As violações de segurança de dados há muito que deixaram o domínio do departamento de TI e agora estão firmemente sentadas na mesa da administração: Em 2018, a British Airways sofreu uma violação de segurança cibernética que resultou no roubo de dados pessoais e financeiros dos clientes. O resultado foi de grande alcance. Para além de uma multa de 20 milhões de libras do Gabinete do Comissário da Informação do Reino Unido (ICO), uma ação colectiva poderia acabar por custar à empresa milhares de milhões de libras. Este nível de custos financeiros está diretamente relacionado com o nível da administração.

Mas não são apenas as perdas financeiras que as violações de dados causam. Os clientes, os funcionários, as operações e os fornecedores da empresa são todos potencialmente afectados. O estado da segurança é tal que passou a ser considerado um fator crítico para o negócio da empresa. Os membros do conselho de administração devem estar conscientes das implicações de uma violação de segurança e estar preparados para tomar medidas positivas.

O que uma direção precisa de saber sobre o impacto de uma violação da segurança dos dados

Os membros do conselho de administração têm um dever de cuidado para com a empresa e os seus acionistas. Este dever estende-se a garantir que a empresa se protege contra ameaças, sejam elas maliciosas ou acidentais. No Reino Unido, os deveres fiduciários dos administradores estão definidos na Lei das Sociedades de 2006, que especifica o dever de “promover o êxito da empresa” e de “exercer um cuidado, competência e diligência razoáveis no desempenho das suas funções”; os riscos cibernéticos e a resposta a essas ameaças enquadram-se perfeitamente neste dever de cuidado. Os tipos de impacto que um ciberataque pode ter são detalhados abaixo, cada um deles podendo ter efeitos de longo alcance no sucesso contínuo de uma empresa:

Moral dos empregados

As empresas funcionam melhor com pessoas felizes e eficientes. Se o moral for baixo, a produtividade diminui. Um relatório da Carbonite, que explora a forma como uma violação de dados afecta os empregados, mostra claramente que o moral do pessoal sofre um golpe após uma violação:

  • 25% dos empregados sentem um impacto no seu equilíbrio trabalho/vida pessoal
  • 24% dos empregados sofreram uma queda no moral do escritório
  • 15% das empresas despediram funcionários ou dispensaram-nos, após a violação
  • 11% das empresas viram empregados despedirem-se após uma violação

Preço das acções

Os administradores estão sob pressão para garantir que as acções permaneçam elevadas para manter a confiança dos acionistas. No entanto, há provas de que as violações de dados têm um impacto negativo nas acções. Uma das demonstrações mais evidentes deste facto foi a queda que as acções da Equifax sofreram na sequência da violação de dados da empresa em 2017 – caindo mais de 30% no total antes de recuperarem.

Um estudo da Comparitech, realizado ao longo de vários anos, mostra que os impactos nas cotações das acções são comuns. O estudo utilizou empresas cotadas na Bolsa de Valores de Nova Iorque e concluiu que os preços das acções caíram, em média, -3,5% e que o NASDAQ teve um desempenho inferior em -3,5%.

Conformidade e coimas

Os regulamentos relativos à privacidade e à proteção de dados implicam frequentemente multas pesadas em caso de incumprimento. Dois exemplos de empresas britânicas que foram multadas ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD) da UE demonstram os custos do incumprimento:

Empresa: Ticketmaster

Multa: 1,4 milhões de euros (1,2 milhões de libras)

Porquê: Medidas técnicas e organizativas insuficientes para garantir a segurança da informação

Empresa Marriott International, Inc

Multa: 20,5 milhões de euros (17,8 milhões de libras)

Porquê: Medidas técnicas e organizativas insuficientes para garantir a segurança da informação

Só em 2020, as multas do RGPD aumentaram 19%, com um total de 332,4 milhões de dólares de multas emitidas desde a entrada em vigor da lei em 2018.

Perdas de reputação e de clientes

Um relatório do Lloyds e da KPMG sobre a proteção de activos intangíveis concluiu que, nos últimos 10 a 15 anos, 80% dos activos das empresas podem ser descritos como intangíveis, o que inclui marcas, artefactos de propriedade intelectual e serviços tecnológicos. No entanto, um dos resultados mais difíceis de quantificar de uma fuga ou violação de dados é o impacto na reputação e a perda de clientes. Para contextualizar esta questão, um inquérito da PwC revelou que 87% dos consumidores afirmaram que levariam o seu negócio para outro lado se uma empresa sofresse uma violação de dados.

Despedimentos de empregados e de quadros superiores

Em última análise, uma violação pode resultar na perda de competências e conhecimentos. Um relatório do Radware State of Web Application Security mostra que 23% das empresas demitiram executivos após uma violação. Um exemplo é, mais uma vez, a violação de dados da Equifax em 2017. Na altura O CIO foi multado em 55.000 dólares e recebeu uma pena de prisão de 4 meses por ter efectuado transacções com informação privilegiada antes de o público ter sido notificado da violação.

Custos de inatividade

As violações da segurança dos dados têm um impacto de grande alcance em toda a empresa. Os impactos de uma violação acima referidos não incluem outras áreas afectadas, como o tempo de inatividade e a perda de propriedade intelectual/informações sensíveis da empresa: A Datto explorou os custos do tempo de inatividade após uma violação da cibersegurança e concluiu que estes aumentaram 486% entre 2018 e 2020.

Formação sobre violação de segurança de dados

Como é que uma violação de dados pode afetar uma direção

Uma cultura de segurança promovida por um tom no topo: A cibersegurança é da responsabilidade de toda a organização, desde a direção aos funcionários, passando pelos consultores externos e muito mais. Nenhum indivíduo, nem uma equipa de TI ou um analista de segurança, pode enfrentar sozinho as ameaças à cibersegurança. Um conselho de administração com uma postura de segurança sólida e robusta é definido a partir do topo. Quando um conselho de administração leva a cibersegurança a sério, forma-se uma cultura de segurança que permeia toda a organização. Esta cultura é a pedra basilar para a sensibilização para a cibersegurança em toda a rede da empresa.

Os dados são valiosos: Os dados e o potencial de exposição aos dados são um aspeto crítico da supervisão da direção. As violações de dados são dispendiosas: o custo médio de uma violação de dados no Reino Unido é de £2,8 milhões ($3,9 milhões)

Falta de formação sobre cibersegurança ao nível da direção: Os conhecimentos sobre cibersegurança podem ser um problema para a direção. Os diretores dos conselhos de administração raramente têm conhecimentos de segurança. No entanto, os membros da direção devem ter formação em sensibilização para a segurança, tal como o resto do pessoal da organização.   A formação deve ser relevante e adaptada ao seu papel como membros do conselho de administração, em vez de uma abordagem de “tamanho único”. Os funcionários da empresa que têm competências em matéria de cibersegurança e excelentes capacidades de comunicação podem ser contratados para ajudar a formar os membros da direção.

Impacto das violações de dados no preço das acções: Como demonstrado, as violações da cibersegurança afectam os acionistas, uma vez que os preços das acções são afectados após uma violação, pelo que os membros do conselho de administração têm o dever de compreender as implicações das violações de dados no valor dos acionistas.

Assinatura da política: As políticas de cibersegurança, algumas das quais podem tocar em informações sensíveis da empresa, são uma parte fundamental de uma estratégia de segurança para toda a empresa que deve ser reconhecida e potencialmente assinada pelo conselho de administração ou por um membro do conselho de administração.

Um sentido de responsabilidade coletivo: A equipa de liderança deve liderar a luta contra os ciberataques. A direção e o conselho de administração podem encorajar e promover um sentido de responsabilidade partilhado que também se estende à consciência da exposição acidental de dados e de erros de segurança simples que podem colocar uma organização em risco acrescido.

Aposta tudo na responsabilidade: A organização e os indivíduos que a compõem são responsáveis pela higiene da cibersegurança. A cultura de sensibilização para a cibersegurança, promovida pela direção, ajuda a moldar a formação necessária para garantir que a higiene da segurança é respeitada por todos.

Multa por violação de segurança de dados

Começa a trabalhar na prevenção da violação de dados

Um relatório da Grant Thornton concluiu que 73% das empresas registaram perdas de cerca de 25% das receitas após sofrerem uma violação informática. Este facto, por si só, é uma das principais razões pelas quais a cibersegurança está no centro das atenções. Um ciberataque tem repercussões importantes em todos os aspectos de uma organização. O conselho de administração desempenha um papel fundamental ao ajudar a criar uma postura de segurança robusta, bem como ao garantir que o orçamento está disponível para fornecer as medidas de segurança corretas e a formação de sensibilização.

O rescaldo de uma violação de dados pode ter consequências devastadoras para as organizações e há inevitavelmente um jogo de culpas que se segue a qualquer incidente cibernético. O nosso próximo webcast intitulado “The Data Breach Blame Game: Employees or Employers?”, a 27 de maio às 15h00 BST, discute o tema cada vez mais complexo da responsabilidade e quem é responsável quando ocorre um lapso.

Webcast: O jogo da culpa pela violação de dados