Evento do escritório Machado Meyer mostra como problemas podem se tornar crise e impactar não apenas empresas de todos os portes, mas também os consumidores.
Danielle Ruas
A crise nas empresas é comparada a atravessar uma rua sem prestar atenção. Em suma, um erro pode levar a graves consequências e à ruína do negócio. Essa analogia enfatiza a importância de estar atento e preparado para enfrentar os desafios, evitando decisões impulsivas que possam comprometer a estabilidade da organização.
"A gestão de dados, a mitigação de riscos cibernéticos e a prevenção de vazamentos de informações são aspectos cruciais no cotidiano das empresas. Especialmente naquelas que lidam com dados confidenciais de clientes. Existe um dever ético em resguardar essas informações, e mesmo as empresas que não estão submetidas a obrigações legais rigorosas devem tratar os dados com a devida atenção. Ademais, é vital entender que empresas que parecem negligenciar essas questões podem enfrentar consequências severas que ameaçam a continuidade de suas operações".
Foi com essas palavras que Eduardo Perazza, sócio de contencioso do Machado Meyer Advogados, iniciou o Summit Resiliência Empresarial: Gerenciando Crises no Mundo Contemporâneo.
Uma companhia do agronegócio, por sua vez, pode se deparar com desafios para assegurar a rastreabilidade de sua colheita. Isso se deve à sua estrutura e aos processos envolvidos, que abrangem desde a colheita até a logística de entrega no porto. Em razão disso, problemas em qualquer uma das fases podem comprometer sua capacidade de cumprir com as obrigações. Essas dificuldades têm origem tanto em questões internas quanto em ameaças externas. "Mesmo empresas que não se consideram tecnológicas estão lidando com essas realidades atualmente", comentou ele no primeiro painel do evento, intitulado "Crise Cyber: do ransomware ao vazamento de dados".
Na sequência, Perazza passou a palavra para Antonio Gesteira, diretor administrativo sênior de tecnologia da FTI Consulting. Esse, por sua vez, compartilhou suas percepções sobre as tendências de ataques e vazamentos de dados que têm gerado preocupação no mercado.
Ataques às empresas
Antonio Gesteira explicou que um dos vetores de ataque não é tão novo, mas está se tornando bastante preocupante. É o spear phishing, que é uma forma mais direcionada de phishing, focada em tomadores de decisão ou executivos. Esses ataques direcionados utilizam táticas personalizadas para enganar as vítimas. "Os hackers pesquisam detalhes sobre a pessoa para criar mensagens que parecem legítimas. Os norte-americanos costumam usar um acrônimo chamado BEC, que se refere ao Business Email Compromise, ou seja, o comprometimento de e-mails corporativos. A diferença em relação ao phishing tradicional é que, nesse caso, o criminoso se dedica a estudar seu alvo e direciona o ataque a um executivo específico, que não precisa ser necessariamente o CEO, mas alguém que é responsável por parte do processo de fornecimento".
Recentemente, a FTI Consulting lidou com um caso na área de comércio exterior, onde uma plataforma integrada ao sistema SAP foi comprometida. Esse ataque expôs a movimentação de exportação de um cliente do setor agrícola, revelando informações sensíveis sobre as cargas e os transportadores envolvidos. "Como hacker, meu objetivo não é necessariamente atingir quem possui os dados, mas sim quem os manipula; uma API mal configurada, por exemplo", explicou Antonio Gesteira.
Recentemente, a FTI Consulting lidou com um caso na área de comércio exterior, onde uma plataforma integrada ao sistema SAP foi comprometida. Esse ataque expôs a movimentação de exportação de um cliente do setor agrícola, revelando informações sensíveis sobre as cargas e os transportadores envolvidos. "Como hacker, meu objetivo não é necessariamente atingir quem possui os dados, mas sim quem os manipula; uma API mal configurada, por exemplo", explicou Antonio Gesteira.
Cibercrime e proteção
Outro exemplo citado por ele foi uma grande empresa que contratou um desenvolvedor de aplicativo. Por causa da interconexão entre o aplicativo e o fluxo contínuo de tokens, ele se tornou alvo. Nesse caso, o cibercriminoso, ao comprometer um token ou uma API, pode atingir objetivos mais obscuros, criando contas digitais fraudulentas ou até manipulando cartões de fidelidade.
Participaram do painel Juliana Abrusio, sócia de Direito Digital e Proteção de Dados do Machado Meyer; Felipe Galofaro, fundador da Elytron Security; e André Leão, gerente de especialidade em cibersegurança da Marsh (corretora de seguros e consultora de risco).
Na ocasião, André Leão fez um paralelo dos últimos quatro anos, destacando sua atuação na área de seguros após sua passagem por uma consultoria de cibersegurança focada em melhorias de controle. Ele enfatizou as dificuldades que muitas empresas enfrentam em reconhecer a cibersegurança como uma questão estratégica, frequentemente limitando essa percepção ao departamento de TI. "Embora a equipe de TI tenha conhecimento sobre as vulnerabilidades, muitas vezes falta investimento para resolver esses problemas, o que pode resultar em consequências severas para toda a empresa em caso de ataques", disse ele.
Time de TI é o culpado pelos ataques?
André Leão destacou que muitos CEOs veem a tecnologia da empresa como uma responsabilidade exclusiva do departamento de TI, mas essa visão precisa mudar. E urgente. Ele ressaltou que a equipe de TI entende as vulnerabilidades, mas precisa de apoio e investimento para agir. "No contexto de ataques cibernéticos, é crucial não ver esses riscos de forma unilateral. Embora os grandes ataques de ransomware tenham diminuído, os criminosos estão agora utilizando táticas que proporcionam ganhos financeiros rápidos, focando em alvos vulneráveis, em vez de grandes corporações, como era comum durante a pandemia".
Na visão de Eduardo Perazza, a reflexão apresentada destacou a importância da área de TI como um componente estratégico dentro das empresas, além de ser um suporte técnico. "Ou seja, todas as operações estão interconectadas, sendo fundamental uma visão ampla que considere essa interligação. Além disso, destaque para a relevância da identificação e mitigação de riscos, evidenciando a necessidade de uma abordagem que englobe diferentes áreas da empresa, incluindo o jurídico", enfatizou o sócio do Machado Meyer, na mediação do painel.
Regulação
Juliana Abrusio tratou dos impactos legais e regulatórios que as empresas enfrentam após um ataque cibernético ou um vazamento de dados. É importante destacar que, além da indisponibilidade dos sistemas, que requer atenção do departamento de TI, e dos possíveis prejuízos financeiros, existem também consequências jurídicas que podem se estender por anos. As autoridades regulatórias e o próprio Poder Judiciário podem iniciar investigações, trazendo à tona a necessidade de uma compreensão mais ampla sobre os riscos envolvidos.
Portanto, ela acredita que o jurídico nunca teve um papel tão relevante nesta discussão. Isso não é uma escolha, é resultado da evolução do cenário atual. "Vivemos em um mundo cada vez mais informatizado. No setor agropecuário, temos a sistematização, e em mineradoras, sistemas de IoT que, em caso de ataque, podem parar uma operação crítica, etc".
Por consequência, como todos os serviços estão interligados, seja em sistemas locais ou em nuvem, nenhuma empresa consegue absorver todas essas demandas internamente - e nem frear os riscos. "Por isso, sempre falamos sobre a cadeia de suprimentos, que se torna crucial, pois a maior preocupação está nas operações externas. Controlar o que está dentro da empresa já é um desafio, mas lidar com o que está fora torna-se ainda mais complicado. Nesse contexto, é essencial entender que isso não se limita a um único setor ou a porte de pessoa jurídica; estamos diante de uma questão transversal que impacta todos os tipos de negócios".
Growth risk
Trazendo à tona o conceito de "growth risk" (risco de crescimento econômico), ela traçou uma relação com a legislação, e definiu que a "aplicação de um padrão único contra-ataques para todos os setores se mostra inviável. Cada setor enfrenta desafios distintos, e órgãos reguladores como Bacen, ANEEL, Anatel, Susep e Anac, por exemplo, têm trabalhado em especificidades desde 2018. E a administração desse cenário complexo envolve uma abordagem proporcional ao risco, com a Autoridade Nacional de Proteção de Dados (ANPD) e outros se dedicando a novas legislações, como a de cibersegurança.
A expectativa é que essa nova era de regulamentação não se concentre na burocracia, mas sim na gestão efetiva dos processos. "Ter um checklist de políticas, como as derivadas do Decreto nº 8771 sobre segurança da informação é insuficiente sem a sua aplicação prática nas empresas, o que levanta questões sobre a real eficácia das políticas de gerenciamento de processos em vigor".
Proporcionalidade do risco
A proporcionalidade do risco refere-se a observar a sua empresa com suas características e o contexto do modelo de negócio. É necessário analisar quais atividades, comportamentos e tecnologias apresentam maior risco. "A partir dessa análise, você deve deixar a burocracia de lado e focar no contexto, sempre garantindo que a inovação tecnológica esteja em pauta. Assim, você poderá atender às exigências, e aqui entra a importância de analisar cada situação de acordo com o risco apresentado", orientou Juliana, aconselhando ter em mente que, mesmo com todas as precauções, incidentes podem ocorrer.
"E se acontecerem, estaremos prontos para demonstrar às autoridades o que elas precisam ver. Todos que já assistiram a palestras de diretores da ANPD sabem que eles reconhecem a possibilidade de incidentes. Eles entendem que, mesmo com um bom gerenciamento, o problema pode surgir. O que realmente desejam é a evidência de diligência. Essa é uma abordagem proporcional ao risco. Ou seja, o que foi feito para evitar problemas?", comentou Juliana.
O papel do jurídico
Quando há uma crise, a atuação da equipe jurídica desde o início é crucial para a elaboração de documentos informativos ao regulador, visando à prevenção e desburocratização. A decisão sobre a notificação de incidentes depende do contexto regulatório; um incidente no PIX, por exemplo, obriga a notificação, enquanto no varejo, aplica-se a regra geral da Lei Geral de Proteção de Dados (LGPD). No caso de dados sensíveis, como os de crianças, há um prazo de três dias úteis para notificação à ANPD. "É importante, porém, lidar com as sobrecargas administrativas que podem surgir de diversas fontes. Assim, o papel do jurídico é crucial tanto na prevenção quanto em crises, assegurando o cumprimento das obrigações regulatórias e a preservação da reputação da empresa, especialmente em momentos de pressão intensa como incidentes inesperados".
Muitas empresas se perguntam sobre a necessidade de notificação em relação a incidentes com dados. Se a empresa demonstrou a devida diligência, pode operar sem penalizações, mas ainda enfrentará procedimentos administrativos que podem gerar demandas acumuladas, incluindo ofícios da ANPD, do Ministério Público e da Secretaria Nacional do Consumidor (Senacon), quando a crise afeta consumidores. Portanto, Juliana considera a análise jurídica como "essencial" para garantir que as obrigações regulatórias sejam cumpridas adequadamente, protegendo a reputação da empresa.
Cultura organizacional
Já Felipe Galofaro destacou que, quando o tema é segurança cibernética nas empresas, a primeira necessidade das empresas é uma cultura organizacional robusta que envolva todos os departamentos, não apenas o setor técnico. O impacto de ataques, como em sistemas IoT, por exemplo, evidencia a importância de uma gestão de risco eficaz e da preparação para incidentes cibernéticos.
A cultura de segurança deve incluir treinamentos constantes, simulando incidentes para garantir que toda a equipe esteja alinhada na resposta a ataques, minimizando potenciais danos. "Exemplos como o Lockbit (ransomware mais recente que afetou empresas em todo o mundo), que criptografa arquivos rapidamente, ressaltam a urgência em estar preparado, sendo fundamental que todos na organização compreendam a relevância da cibersegurança", enfatizou Felipe.
Por fim, ficou claro que o compartilhamento de responsabilidades e o desenvolvimento contínuo de habilidades são cruciais para reduzir o impacto de incidentes, já que a criatividade dos criminosos é ilimitada e a preparação deve ser constante.
Consumidor Moderno
https://consumidormoderno.com.br/crise-empresas-area-ti/
03042025171308.jpg)
