Como empresário, confesso que se há 15 ou 20 anos alguém me perguntasse se a minha empresa estaria preparada para um risco grave que obrigasse o negócio a parar ou fechar por impossibilidade de prosseguir a atividade, pensaria na mãe-natureza, nos terramotos, incêndios, ciclones, etc., ou em qualquer disrupção séria da sociedade civil do tipo coletes amarelos. E quanto a esses tipos de risco, nada a fazer senão ter uma boa apólice de seguro.
Hoje, infelizmente, nem só a natureza ou as revoltas populares podem provocar a interrupção do negócio. Isto porque já em 2010, me deparei com um estudo de dezembro de 2004, do americano NIC – National Intelligence Council – denominado “Mapping the Global Future – Global Trends 2020”, com a visão da “inteligência” americana sobre como será o mundo em 2020. No seu sumário executivo falava-se no crescimento exponencial das novas tecnologias – que se verificou -, mas também dos perigos da sua utilização por países e grupos à procura de novas formas de desestabilização da economia mundial.
Por isso não nos devemos admirar com algumas das recentes conclusões do “Barómetro de Risco Allianz 2019” da responsabilidade da Allianz Global Corporate & Specialty: questionados 2415 especialistas de 86 países – incluindo CEOs, gestores de risco, corretores e especialistas em seguros – afirmaram que os incidentes cibernéticos (37% das resposta) são equiparáveis à interrupção de negócios (37% das respostas) e são vistos como dos principais riscos de negócio a nível global.
Outra fonte credível, o Fórum Económico Mundial, na 14ª edição do seu “Relatório de Riscos Globais”, analisa o panorama de riscos a nível macro e destacam o risco cibernético e a interrupção do negócio como sendo as 4ª e 5ª principais ameaças que podem perturbar o mundo em 2019 e na próxima década.
Mas afinal o que motiva estes grupos (Organizações) a atacarem as empresas, colocando em risco a própria existência das mesmas? Fundamentalmente, a crença de que a informação e as grandes bases de dados pessoais são o petróleo do século XXI, logo valem bem o esforço (investimento) do roubo e posterior comercialização no mercado negro, seja para fins políticos, financeiros ou por puro terrorismo.
Poderemos pensar que este pequeno recanto da Europa não tem riqueza suficiente para atrair o interesse destes hackers internacionais, mas isso é esquecer que os mercados são globais e estão totalmente interligados. Veja-se o caso do futebol, empresas de advogados, redes sociais, etc. As violações de dados e os escândalos de privacidade já são uma realidade do nosso quotidiano, com a agravante de que o novo RGPD – Regulamento Geral de Proteção de Dados – tem mão pesada sobre as empresas que sofram este tipo de incidentes e os titulares dos dados têm também o direito a serem indemnizados.
Destacamos dois elementos em que, a exposição ao risco de violação da segurança cibernética é mais significativa. Uma devido a ataques realizados no interior da empresa – quer sejam malware, e-mails fraudulentos, mas quase sempre por falta de sensibilização e envolvimento de toda a estrutura e colaboradores e outra de dados perdidos ou roubados – quer sejam por acessos indevidos, como via suportes portáteis de dados (USB pendrive, discos externos, mobile devices, entre outros).
Para se lidar com estes riscos é importante que o gestor ou investidor entenda que muito do risco associado à cibersegurança passa pela metodologia com que empresa aborda o problema da privacidade dos dados pessoais e da segurança da informação, em geral.
A realidade é esta: poderá a empresa adquirir os melhores programas de software de segurança ou as melhores máquinas computacionais que, mesmo assim, qualquer “toupeira” ou qualquer falha de entendimento sobre o que deve ser protegido fará com que, um dia, alguém ligue para o responsável máximo e o informe que, afinal, os computadores enlouqueceram e não há qualquer informação ou dados disponíveis para se poder trabalhar…