CFO também podem influenciar a política de segurança da empresa

Todos em uma empresa devem estar envolvidos com a segurança da informação. Do estagiário ao CEO. Cuidar da segurança da informação não é apenas função da equipe de segurança e da TI, afinal, falhas de segurança podem ser causadas por qualquer funcionário e os hackers não estão preocupados com quem os “ajudou” a entrar na empresa. Querem apenas encontrar uma porta aberta e ganhar dinheiro. Claro que quanto mais alta a patente, mais fácil ter acesso a dados confidenciais.

Dessa forma, todas as lideranças precisam conhecer os desafios de segurança enfrentados pela empresa e qual a sua real capacidade de enfrentar tais ameaças. Obviamente, alguns profissionais precisam estar mais antenados ao que acontece que outros. Assim, o papel dos diretores financeiros e dos Chief Financial Officer (CFO) , muitas vezes, ultrapassa a barreira do financeiro.

Como são responsáveis pelas finanças da empesa, controlam metas e orçamentos, consequentemente, em caso de vazamentos ou brechas de segurança, os custos cairão sobre seus colos. Apesar da responsabilidade pela segurança cibernética ser do  Chief Information Security Officer (CISO) e de outros especialistas responsáveis pela estratégia de defesa, é extremamente importante que o CFO entenda que novas prioridades afetam diretamente os negócios e o faturamento da empresa e que ele também é responsável por identificar áreas que precisam de alcançar excelência operacional relacionada a segurança da informação

Uma brecha de segurança pode resultar em custos altíssimos para a empresa, e não apenas financeiros. E os riscos aumentam ainda mais com a implementação da LGPD (Lei Geral de Proteção de Dados), que entra em vigor no próximo ano.

Privacidade acima de tudo

A meta da LGPD é garantir a privacidade dos dados pessoais e permitir que o usuário tenha controle sobre o que as empresas fazem com suas informações. A lei obriga às empresas a criarem um comitê de segurança da informação que tem a função de analisar processos internos e corrigi-los caso seja necessário, sob o risco de multas pesadas. Assim, o CFO deve, além de participar do Comitê, estar familiarizado com os processos de conformidade da empresa e questionar o que é feito em relação à segurança da informação.

O CFO também precisa lidar com o possível impacto financeiro e de desempenho que uma violação pode causar e estar atento às novas normas regulatórias que podem se sobrepor ao processos de conformidade financeira.
É preciso entender que as áreas de TI e financeira compartilham de metas correlatas à proteção de dados e que cada decisão de investimento em segurança deve ser tomada em conjunto pelas áreas para garantir os recursos sejam alocados corretamente e para garantir a redução de riscos com possíveis falhas de segurança.

Entendendo o risco

No Relatório de Risco de Dados Globais de 2018, a Varonis constatou que 58% das empresas têm mais de 100 mil pastas abertas a todos. Além disso, a grande maioria das empresas também não monitora como, quando e por quem os arquivos são acessados. Essa incapacidade é uma gigantesca brecha de segurança e bate de frente com uma das diretrizes da LGPD, que diz respeito exatamente à segurança dos dados em poder das empresas.

Obviamente que o CFO não precisa ser especialista em segurança cibernética, mas ele precisa saber quais perguntas fazer à equipe de segurança para entender o risco e tomar as decisões corretas sobre proteção de dados.

1. Quem acessou dados financeiros da empresa nos últimos 30 dias?

2. Quais dados em posse da empresa não estão adequadamente seguindo as normas do LGPD?

3. A empresa é capaz de detectar acessos incomuns aos dados confidenciais?

Respondidas as questões e entendendo a real situação da empresa, é possível analisar o custo-benefício para que as decisões corretas sejam tomadas para reduzir o risco de falhas e garantir a perfeita alocação dos recursos. O CFO precisa estar atento, ainda, aos impactos de longo prazo que uma falha de segurança pode causar na reputação da empresa, na opinião dos clientes e stakeholders e no que é preciso fazer para reverter os possíveis danos de reputação e financeiros.

*Carlos Rodrigues é vice-presidente da Varonis para América Latina