Você acha que o conselho representa uma ameaça cibernética em potencial à sua empresa?

O que alavancaria uma grande perda para a empresa? Uma previsão de mercado incorreta, uma crise nacional repentina, a perda de um cliente importante?

Os diretores de empresas, pessoas que trabalham com afinco para manter o bom andamento dos negócios, podem, na verdade, ser alvos involuntários de um ataque cibernético — uma categoria de crimes empresariais em rápido crescimento que pode fazer com que uma empresa de qualquer porte enfrente perdas financeiras significativas. Mesmo empresas com protocolos de TI rigorosos podem ter um ponto cego em relação a esses “jogadores mais valiosos” (MVPs) quando se trata de computadores, contas e práticas de acesso remoto de altos executivos que não fazem parte das operações de rotina.

Cerca de 90% de empresas de grande porte já sofreram um ataque cibernético, segundo o Betanews, citando uma pesquisa de 2015 com 5.500 empresas. Quase metade das empresas pesquisadas alega ter perdido dados confidenciais em razão de algum tipo de violação de segurança. Uma grande empresa pode gastar cerca de meio milhão de dólares para se recuperar de violações de segurança.

O ataque cibernético médio incorre nos seguintes custos:

• USD 73.000 de correções profissionais
• USD 58.000 de perdas de oportunidades de negócios
• USD 420.000 de tempo de inatividade

Esclarecer os riscos de segurança que o conselho de administração representa ou enfrenta é uma forma de evitar um problema nem sempre visível.

Tipos de ataque

Conforme abordado em um white paper da Diligent, “malware” é o termo abrangente para as ameaças cibernéticas mais comuns e mais conhecidas, como vírus, worms, Trojans e ransomware (um tipo de ameaça em rápido crescimento). O ransomware criptografa os dados e força o proprietário a pagar um resgate dentro de determinado número de dias para receber a chave de criptografia.

Os membros do conselho são muito mais vulneráveis a ataques de malware, pois eles podem estar conectados a várias organizações. Ninguém está imune.

Como impedir a ameaça

Três dos riscos de segurança mais comuns representados pelo conselho de administração têm soluções baseadas em tecnologia fáceis de usar.

1. Insiders: ainda que sua equipe regular possa ser atenta o suficiente para evitar violações de dados, os membros do conselho podem cometer erros simples, inocentes e não intencionais, como clicar em um e-mail de phishing, esquecer o celular em algum lugar ou abrir um anexo de e-mail enviado por uma conta de e-mail camuflada. Uma pesquisa realizada pela Thomson Reuters, constatou que mais da metade dos membros do conselho (56%) ainda imprime e transporta documentos do conselho. Esses documentos podem ser perdidos ou deixados em lugar errado. Os dados corporativos podem ser encontrados e comprometidos por pessoas externas à organização.

Solução: educação. Ofereça ao conselho capacitação específica, inclusive dicas de comunicação e segurança relacionadas a atualizações, novas ameaças e expectativas de segurança; treinamento prático; guias de práticas recomendadas em redes sociais, compartilhamento de dicas de detecção e pontos de contato para os membros do conselho que podem enxergar uma ameaça em potencial.

2. “Traga seu próprio dispositivo”: como mostra o relatório Global Web Index , ajustado por renda, a maioria dos membros do conselho tem ao menos quatro dispositivos. Os departamentos de TI têm controle limitado sobre esses dispositivos, o que é negativo — 60% dos dispositivos de propriedade pessoal se conectam à rede da empresa fora do escritório. Os usuários de dispositivos pessoais podem não seguir as práticas recomendadas ao acessar informações da empresa em casa ou em trânsito. Esses problemas de segurança devem se agravar: de acordo com a empresa de pesquisa Gartner, em 2016, mais de seis bilhões de dispositivos estavam conectados à Internet — o que representa seis bilhões de chances de ataques backdoor ou violações de segurança.

Solução: proteção de dados. A principal preocupação das organizações deve ser a proteção de dados. Como há muitos usuários e, por isso, dispositivos únicos, com acesso a dados confidenciais, especialistas ressaltam que os métodos tradicionais de segurança de perímetro já não são tão eficazes. Algumas medidas podem ajudar, como selecionar rigorosamente os fornecedores, criptografar os dados — mesmo quando não estão em uso — e ter ferramentas de segurança em cada ponto de extremidade, inclusive em equipamentos pessoais.

3. Autenticação de usuário: as senhas são tão valiosas para o crime cibernético que são traficadas em mercados clandestinos. Como relata a Wired, um membro do conselho da Shipley Energy descobriu o impacto que um hacker pode ter na segurança ao ser vítima de um ataque de phishing. Não foi exatamente um roubo. A vítima, sem querer, revelou sua senha ao digitá-la em uma página falsa da AOL, e o hacker minerou os dados no e-mail e no computador dela. Combos de senha/nome de usuário únicos facilitam o trabalho do hacker.

Solução: novas tecnologias, portais gerenciados. O uso de sistemas de autenticação multifator dificulta invasões de redes. Portais criptografados para a comunicação entre stakeholders adicionam outra camada de segurança e limitam os pontos de acesso. Os portais para conselhos são projetados especificamente para oferecer aos membros do conselho um local de acesso único às informações, o que significa que os documentos não serão armazenados em sistemas desatualizados ou vulneráveis, que corram risco de exploração.

Perdas corporativas no montante de USD 2 trilhões são esperadas como resultado de crimes cibernéticos até 2019. Embora agentes externos mal-intencionados, como os hackers, sejam frequentemente apontados como a causa, cabe aos líderes corporativos reduzir os riscos de ataques cibernéticos decorrentes de comportamentos inadequados de membros do conselho.