Há muito que as violações de segurança de dados deixaram o domínio do departamento de TI e agora sentam-se firmemente à mesa da administração: Em 2018, a British Airways sofreu uma quebra de segurança cibernética que resultou no roubo de dados pessoais e financeiros de clientes. O resultado foi de grande alcance. Para além de uma multa de 20 milhões de libras do Gabinete do Comissário de Informação do Reino Unido (ICO), uma acção colectiva poderia acabar por custar à empresa milhares de milhões de libras. Este nível de custo financeiro situa-se directamente ao nível da administração.
Mas não são apenas as perdas financeiras que as violações de dados causam. Os clientes, empregados, operações e fornecedores da empresa são todos potencialmente afectados. O estado da segurança é tal que agora ascendeu ao topo da empresa como uma consideração comercial crítica. Os membros da direcção precisam de estar conscientes das implicações de uma quebra de segurança e de estar prontos a tomar medidas positivas.
O que um conselho precisa de saber sobre o impacto de uma violação da segurança de dados
Os membros da direcção têm o dever de cuidar da empresa e dos seus accionistas. Isto estende-se à garantia de que a empresa se protege contra ameaças, sejam elas maliciosas ou acidentais. No Reino Unido, os deveres fiduciários dos administradores estão estabelecidos no Companies Act 2006, que especifica um dever de "promover o sucesso da empresa" e de "exercer razoável cuidado, habilidade e diligência na condução do seu papel"; os riscos cibernéticos e a resposta a tais ameaças enquadram-se perfeitamente neste dever de cuidado. Os tipos de impacto que um ataque cibernético pode ter são detalhados abaixo, cada um deles pode ter efeitos de grande alcance no sucesso continuado de uma empresa:
Moral dos empregados
As empresas funcionam melhor com pessoas felizes e eficientes. Se o moral é baixo, a produtividade cai. Um relatório da Carbonite, explorando como uma violação de dados afecta os empregados, mostra claramente que o moral do pessoal sofre um golpe após uma violação:
- 25% dos empregados experimentam um impacto no seu equilíbrio trabalho/vida
- 24% dos empregados sofreram uma queda no moral do escritório
- 15% das empresas despediram empregados ou despediram-nos, após a quebra
- 11% das empresas viram empregados desistir após uma quebra
Preço das acções
Os administradores estão sob pressão para assegurar que as acções permaneçam elevadas para manter a confiança dos accionistas. No entanto, há provas de que as violações de dados têm um impacto negativo sobre as acções. Uma das demonstrações mais marcantes desta situação foi a queda que as acções da Equifax sofreram no rescaldo da quebra de dados da empresa em 2017 - descendo mais de 30% no total antes de recuperarem.
A investigação da Comparitech, realizada ao longo de vários anos, mostra que os impactos dos preços das acções são comuns. A investigação utilizou empresas cotadas na Bolsa de Nova Iorque e descobriu que os preços das acções caíram em média -3,5% e tiveram um desempenho inferior ao do NASDAQ em -3,5%.
Cumprimento e multas
Os regulamentos em torno da privacidade e protecção de dados são frequentemente acompanhados de pesadas multas por incumprimento. Dois exemplos de empresas britânicas que foram multadas ao abrigo do Regulamento Geral de Protecção de Dados da UE (GDPR), demonstram os custos do incumprimento:
Empresa: Ticketmaster
Multa: 1,4 milhões de euros (£1,2 milhões)
Porquê: Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação
Empresa Marriott International, Inc
Multa: 20,5 milhões de euros (£17,8 milhões)
Porquê: Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação
Só em 2020, as multas do GDPR aumentaram 19% com um total de 332,4 milhões de dólares de multas emitidas desde a promulgação da lei em 2018.
Reputação e perdas de clientes
Um relatório da Lloyds e da KPMG sobre a protecção de activos intangíveis revelou que nos últimos 10-15 anos 80% dos activos empresariais podem ser descritos como intangíveis - isto inclui marca, artefactos de propriedade intelectual, e serviços impulsionados pela tecnologia. No entanto, um dos resultados mais difíceis de quantificar de uma fuga ou violação de dados é o impacto na reputação e a perda de clientes. Inserindo isto em algum contexto, um inquérito da PwC descobriu que 87% dos consumidores afirmaram que levariam o seu negócio para outro lado se uma empresa sofresse uma quebra de dados.
Empregado e C-Suite sackings
Em última análise, uma violação pode resultar na perda de competências e conhecimentos. Um relatório do Radware State of Web Application Security mostra que 23% das empresas demitiram executivos após a ocorrência de uma violação. Um exemplo é, mais uma vez, a partir da quebra de dados Equifax de 2017. O então CIO foi multado em 55.000 dólares e recebeu uma sentença de 4 meses de prisão por ter praticado abuso de informação privilegiada antes de o público ter sido notificado da violação.
Custos de inactividade
As violações de segurança de dados têm um impacto de grande alcance em toda a empresa. Os impactos acima referidos de uma violação, não incluem outras áreas afectadas, tais como tempo de inactividade e perda de propriedade intelectual/informações sensíveis da empresa: Os dados exploraram os custos do tempo de inactividade após uma quebra de segurança cibernética e constataram que estes aumentaram 486% entre 2018 e 2020.
Como uma violação de dados pode ter impacto num quadro
Uma cultura de segurança promovida por um tom no topo: A segurança cibernética é da responsabilidade de toda a organização, desde o conselho de administração ao funcionário, passando pelo consultor de terceiros e não só. Nenhum indivíduo, nem uma equipa de TI ou um analista de segurança pode enfrentar sozinho as ameaças de segurança cibernética, é vital que o Conselho de Administração seja integrado com segurança. Um conselho de segurança robusto e sólido toma o seu tom a partir do topo. Quando um conselho leva a sério a segurança cibernética, forma-se uma cultura de segurança que permeia toda a organização. Esta cultura é a pedra angular para construir a consciência da segurança cibernética em toda a rede da empresa.
Os dados são valiosos: Os dados e o potencial de exposição de dados é um aspecto crítico da supervisão do conselho. As violações de dados são assuntos dispendiosos: o custo médio de uma violação de dados no Reino Unido é de £2,8 milhões ($3,9 milhões)
Falta de formação em segurança cibernética a nível da direcção: Os conhecimentos de segurança cibernética podem ser um problema para um conselho de administração. Os directores do conselho raramente têm formação de segurança. No entanto, os membros do conselho devem ter Formação de Sensibilização para a Segurança juntamente com o resto do pessoal da organização. A formação deve ser relevante e adaptada ao seu papel como membros do conselho, em vez de uma abordagem de "tamanho único". Os funcionários da empresa que tenham conhecimentos de segurança cibernética e excelentes capacidades de comunicação podem ser empregados para ajudar a formar os membros do conselho de administração.
Impacto das violações de dados nos preços das acções: Conforme demonstrado, as violações da cibersegurança afectam os accionistas à medida que os preços das acções são afectados após uma violação, pelo que os membros do conselho de administração têm o dever de compreender as implicações das violações de dados no valor dos accionistas.
Assinatura da política: As políticas de segurança cibernética, algumas das quais podem tocar em informações sensíveis da empresa, são uma parte fundamental de uma estratégia de segurança a nível da empresa que deve ser reconhecida e potencialmente assinada pelo conselho de administração ou por um membro do conselho.
Um sentido colectivo de responsabilidade: A equipa de liderança deve liderar a acusação contra os ciberataques. A C-Suite e a direcção podem encorajar e promover um sentido de responsabilidade partilhada que também se estende a estar consciente da exposição acidental de dados e de simples erros de segurança que podem colocar uma organização em risco acrescido.
Todos a favor da responsabilização: A organização e os indivíduos que a compõem são responsáveis e responsáveis pela higiene da segurança cibernética. A cultura da cibersegurança, promovida pela direcção, ajuda a moldar a formação necessária para assegurar que a higiene da segurança seja respeitada por todos.
A bordo com prevenção de violação de dados
Um relatório da Grant Thornton concluiu que 73% das empresas reportaram perdas de cerca de 25% das receitas após terem sofrido uma violação cibernética. Só esta é uma das principais razões pelas quais a segurança cibernética se encontra na sala de reuniões da administração. Um ataque cibernético tem grandes repercussões em todos os aspectos de uma organização. O conselho desempenha um papel fulcral ao ajudar a criar uma postura de segurança robusta, bem como ao assegurar a disponibilidade de orçamento para fornecer as medidas de segurança correctas e formação de sensibilização.
O rescaldo de uma violação de dados pode ter consequências devastadoras para as organizações e há inevitavelmente um jogo de culpas que se segue a qualquer incidente cibernético. O nosso próximo webcast intitulado "The Data Breach Blame Game" (O Jogo da Culpa pela Violação de Dados): Employees or Employers?', 27 de Maio às 15h BST, discute o tema cada vez mais complexo da responsabilidade e quem é responsável quando ocorre um lapso.
