De tanto pesar no bolso das empresas, a cibersegurança foi parar na mesa do CFO. Essa dor comum a todas as organizações já é uma das três principais preocupações do departamento financeiro no Brasil, de acordo com estudos recentes do Insper. Isso não só se explica muito pelo impacto financeiro que os ataques hacker e vazamentos de dados são capazes de gerar, mas também pelo dano reputacional que uma crise como essa causa — outra nova incumbência do chefe das finanças.
Na minha coluna mais recente aqui no Economia SP, inclusive, eu contei um pouco da minha experiência com essa transição do papel que nós, CFOs, desempenhamos: de tesoureiro e guardião das finanças a um profissional mais interdisciplinar e estratégico. Entre as principais funções que passaram a compor o cotidiano do cargo, falei da implementação de novas tecnologias e transformação digital das companhias. Bem, tem muito a ver com isso: sem processos bem estabelecidos e uma gestão de tecnologia eficiente, não pode haver segurança digital.
Foi o que constatou um levantamento divulgado há alguns meses pela IBM. A empresa calcula em US$ 4,88 milhões o custo médio global de cada vazamento de dados durante este ano de 2024 — o número é 10% maior do que no ano passado e o mais alto de todos os tempos. No Brasil, em que a implementação de parâmetros de segurança já está mais avançada que em pares emergentes, o custo foi menor: US$ 1,36 por ataque (uma cifra ainda bastante relevante).
Mas o motivo desses vazamentos foi o que mais me impressionou. Em 40% das violações de dados corporativos, mostra o relatório da IBM, a vulnerabilidade das informações estava atrelada ao fato de os dados estarem armazenados em vários ambientes, inclusive offline. Como CFO de uma fintech, cuja missão é organizar e proteger os dados financeiros de outras empresas, entendi que preciso falar mais sobre esse assunto não só no ecossistema de inovação, mas para todo profissional inserido nos negócios.
Ainda há quem acredite que trabalhar offline, com planilhas no desktop ou, pior, na caderneta física, é mais seguro do que contar com uma nuvem. Dados como os que trouxe acima desmistificam essa ideia ultrapassada e perigosa. A tecnologia evoluiu muito e trouxe com ela mecanismos de segurança, desde a criptografia das informações ao liveness na hora da transação — esse último mecanismo é o que garante que o usuário, sendo autenticado, é de fato uma pessoa e não um robô ou uma gravação.
Em meio aos dados alarmantes, parece que encontramos formas de mitigar essa dor. O estudo da IBM aponta ainda que as organizações que aplicaram IA e automação à prevenção em seus processos internos foram as que perceberam o maior impacto positivo na redução do custo por ataque, economizando em média US$ 2,22 milhões em comparação com aquelas que não implementaram essas tecnologias e tentaram adotar outras formas de contenção.
A integração e automação de processos já se provou uma grande aliada nesse campo, mas não é apenas a questão de segurança que a estratégia resolve. O dado consolidado e integrado se transforma numa ferramenta poderosa de negócios ao promover mais visibilidade e transparência e gerar insights. Mas o big data de qualquer empresa é como um corpo humano: deve ser posto em prática os exercícios propostos de acordo com sua necessidade e sempre renovar essa prática de acordo com a nova memória (digital ou muscular). “If you don’t use it, you lose it”, dizem os médicos e contadores.
Para as empresas brasileiras, o cenário tem se mostrado relativamente favorável. Fomos o único país das Américas, além dos Estados Unidos, a ser reconhecido como um “role model” em cibersegurança no Global Cybersecurity Index 2024, um estudo da International Telecommunication Union (ITU), órgão da ONU. No entanto, o relatório também destaca que há áreas que ainda demandam atenção, como o papel das instituições no ambiente digital. Um exemplo disso é a ausência de uma agência dedicada exclusivamente ao tema.
Penso que um dos maiores desafios continua sendo a conscientização e o entendimento de que esse tema não pode mais ser postergado. Como diretores financeiros, nosso papel é ser intencional em relação ao orçamento de cibersegurança. O custo de prevenir, como vimos no estudo, é muito inferior ao custo da gestão da crise. Afinal, de nada adianta ter um conjunto de regras bem estruturadas ou uma infraestrutura sólida, se não conseguirmos convencer os executivos de que a segurança cibernética deve ser uma prioridade urgente para o futuro da empresa.
