Proteção de dados não tem a ver com tecnologia da informação, mas com governança corporativa | Crédito: Hugo Cordeiro

O Instituto Brasileiro de Governança Corporativa – Capítulo Minas Gerais (IBGC-MG) dedicou a manhã dessa quarta-feira (11) ao tema “Segurança Cibernética”. A proximidade da data para entrada em vigor da Lei Geral de Proteção de Dados (LGPD), marcada para agosto, tornou o assunto ainda mais urgente.

A maior lição do encontro, que reuniu o sócio da PwC, Eduardo Batista; o professor do Departamento de Computação da Universidade Federal de Minas Gerais (UFMG), Virgílio Almeida; o advogado especialista em direito digital, Alexandre Atheniense; e o Security Officer do Banco Inter, Lucas Bernardes; mediados pelo coordenador do IBGC-MG, Fábio Abre; é que a segurança cibernética é muito mais do que uma questão de tecnologia. Ela depende de uma ação multissetorial e uma decisão vinda claramente do board da empresa.

“Ter um processo preparativo é um dos aspectos mais importantes da governança. Fala-se muito nos ataques à informação, mas existe um tipo de ataque que visa à paralisação das atividades da empresa ou instituição. A guerra cibernética não se limita a atingir dados sensíveis e a infraestrutura crítica, mas a disseminação de informações que confundem os consumidores”, explica Almeida.

A segurança cibernética também vai além da legislação. Para todos os analistas, as punições financeiras em forma de multa e sanções administrativas são pesadas, mas a punição mais severa está ligada à perda de reputação perante o público da empresa.

“A proteção de dados não tem a ver com tecnologia da informação (TI), mas com governança corporativa. A governança tem quatro pilares: segurança de dados, segurança cibernética, reputação digital e compliance. O pior são as penalidades reputacionais. Na lei existe a obrigatoriedade da publicização. E reputação não tem preço. Por isso temos que tomar medidas preventivas e ter um plano de ação no caso de um incidente”, afirma Atheniense.

O envolvimento da administração é fundamental porque a segurança cibernética exige mudança da cultura corporativa. O security officer do Banco Inter sugere uma série de ações: definir o papel da segurança da informação e privacidade na estratégia corporativa; demonstrar com clareza os riscos para o negócio; exponha planos de ação estruturados no mercado; treine a administração para agir em uma possível crise cibernética; e crie uma abordagem top-down de conscientização.

“O primeiro passo é conhecer bem seu ambiente digital e fazer a gestão de riscos. Não adianta inventar a roda. Tem que ter um sistema preventivo. Selecionar e monitorar parceiros é também fundamental. Além disso, é preciso valorizar os profissionais. Não existe formação universitária para essa área então qualificação demanda experiência e treinamento”, pontua Bernardes.