Você está aqui: Página Inicial / Blog / Por que um CFO deve apoiar um programa de conscientização em cibersegurança?

Por que um CFO deve apoiar um programa de conscientização em cibersegurança?

Por que um CFO deve apoiar um programa de conscientização em cibersegurança?

Os programas de conscientização em cibersegurança têm o objetivo de ampliar a visão dos colaboradores sobre os riscos envolvendo os ativos de tecnologia de informação e comunicação (TIC). Ainda que os principais defensores desse tipo de programa sejam normalmente os profissionais de segurança da informação, a verdade é que quase todos os departamentos podem se beneficiar com a conscientização.

No caso dos diretores financeiros (ou Chief Financial Officer), o custo dos programas de conscientização em cibersegurança acaba sendo um fator considerado. De certa forma, sempre há uma dúvida sobre o retorno obtido com o investimento no programa.

Outra questão, mais direta, é sobre o impacto do programa de conscientização nos departamentos de compras e finanças da organização. 

Em ambos os casos, há motivos para o CFO também abraçar o programa de conscientização.

Retorno sobre o investimento

Calcular o retorno sobre o investimento em segurança pode ser desafiante, mas um estudo da consultoria Osterman Research desenvolveu um modelo que considera os seguintes critérios: 

  • Prejuízo com ataques cibernéticos e paralisações;

  • Prejuízo com manutenção e remedição de eventos de menor e maior grau;

  • Custo do programa de conscientização;

  • Salário dos funcionários e custo para que eles participem do programa.

O estudo estimou retornos entre 69% e 562%, a depender do tamanho da organização e tipo de incidente de segurança. A variação é grande porque o cálculo muda de acordo com mudanças em cada fator considerado e nas probabilidades e prejuízos atribuídos aos eventos.

Certos fatores nem foram considerados pelo estudo, a exemplo dos seguros contra riscos cibernéticos. Algumas seguradoras buscam saber se há um programa robusto de conscientização para calcular o prêmio. Logo, quem contrata esse tipo de segurança pode ter um benefício direto.

Caso o CFO considere quesitos de conformidade legal e governança financeira, há ainda mais pontos relevantes. Nos Estados Unidos, a SEC, órgão que regula empresas com ações listadas em bolsas de valores, como a CVM no Brasil, adotou uma regra em 2023 que exige uma documentação sobre as medidas adotadas para prevenir incidentes de segurança. A visão dos reguladores é que o programa de gestão de risco e cibersegurança pode influenciar as decisões de investidores.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) também exige que a empresa oriente os funcionários em relação à proteção de dados pessoais, de modo que abandonar um programa de conscientização pode motivar um revés jurídico em ações relacionadas a incidentes. Na Europa, o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) traz disposições semelhantes.

Mesmo que a empresa não tenha de seguir essas regras ela própria, clientes e parceiros podem exigir a existência de um programa de conscientização em sua cadeia de fornecedores. Nesses casos, o programa de conscientização amplia o mercado da empresa.

Fraudes financeiras

Outro aspecto relevante para os CFOs é o grande volume de fraudes cibernéticas que impactam especificamente as atividades financeiras.

O Business Email Compromise (BEC) é um tipo de golpe em que o criminoso se passa por um diretor ou fornecedor da empresa para convencer um colaborador a realizar um pagamento a uma entidade falsa, muitas vezes usando uma fatura clonada ou forjada. Se o colaborador não estiver ciente da fraude, o prejuízo para a empresa pode chegar aos milhões de dólares.

Essas fraudes do tipo BEC já causaram mais de US$ 50 bilhões em prejuízo financeiro direto, segundo cálculos do FBI que levam em conta principalmente as denúncias de empresas nos Estados Unidos. Estimativas de mercado sugerem que o prejuízo total causado pelo cibercrime no mundo todo, somando-se a perda de faturamento com paralisações, roubos de dados e custos de recuperação, deve alcançar os US$ 10 trilhões em 2025 e US$ 23 trilhões em 2027.

Da prevenção à resposta

Programas de conscientização são mais bem-sucedidos quando há um apoio ostensivo por parte da direção. Isso ajuda a promover transformações na cultura da empresa que embasam a tomada de decisões dos demais colaboradores e transmitem a segurança necessária para que eles informem colegas ou chefes sobre suspeitas de fraude, inclusive quando eles próprios cometem deslizes.

O processo da segurança inclui prevenção, detecção e resposta, sendo um equívoco avaliar apenas o caráter preventivo. Mesmo que seja difícil evitar todos os ataques, o programa de conscientização aumenta a resiliência da empresa e eleva as chances de que uma fraude seja detectada e contida mais cedo, diminuindo os prejuízos.

Sendo assim, o apoio do CFO é fundamental para garantir a adesão de sua própria equipe ao programa, permitindo que a empresa obtenha o benefício e retorno esperado em todo o ciclo de segurança da informação.

Produção: Equipe de Conteúdo da Perallis Security
Conteúdo relacionado
Hacker Rangers - Gamificação para conscientização em cibersegurança