Por que a transparência e a segurança da informação são imprescindíveis às práticas empresariais? Conheça algumas lições aprendidas com o caso SolarWinds
Umberto Rosti (*)
Em um mundo cada vez mais digitalizado, temos dois pontos cruciais: a segurança da informação e a transparência nas práticas empresariais. Recentemente, a Comissão de Valores Mobiliários dos Estados Unidos (SEC) apresentou acusações contra a SolarWinds Corporation, uma empresa de software sediada em Austin, Texas, e seu Diretor de Segurança da Informação (CISO), Timothy G. Brown. As acusações alegam fraude e falhas nos controles internos relacionados a riscos e vulnerabilidades de cibersegurança conhecidos.
O caso da SolarWinds ilustra a importância fundamental de empresas adotarem práticas transparentes e rigorosas no que diz respeito à segurança da informação. O principal problema foi alegadamente a falta de divulgação precisa sobre as deficiências nos controles de segurança da SolarWinds e os riscos crescentes que a empresa enfrentava. A SEC alega que a SolarWinds enganou investidores ao exagerar suas práticas de cibersegurança e minimizar ou omitir riscos conhecidos.
Um ponto destacado na acusação foi a disparidade entre as declarações públicas da SolarWinds sobre suas práticas de cibersegurança e as avaliações internas da empresa. Em várias instâncias, os funcionários, incluindo o Diretor de Segurança da Informação, expressaram preocupações sobre a vulnerabilidade dos sistemas da empresa. Essa situação enfatiza a necessidade de uma comunicação transparente e precisa entre os departamentos de segurança da informação e os investidores.
Adicionalmente, desde o início de 2024, a SEC implementou regulamentações mais rígidas para empresas de tecnologia em resposta ao aumento de ataques cibernéticos de alto perfil. Essas novas regras exigem que as empresas divulguem incidentes de segurança cibernética significativos em até quatro dias após a descoberta, promovendo maior transparência e responsabilização.
Outro exemplo recente é o caso da Uber em 2022, onde a empresa sofreu um ataque cibernético que comprometeu informações sensíveis de usuários e motoristas. O hacker conseguiu acesso a sistemas internos ao enganar um funcionário por meio de uma técnica de engenharia social. A resposta inicial da Uber ao ataque foi criticada pela falta de transparência e comunicação rápida com os afetados, resultando em danos à sua reputação e confiança do público. Este incidente sublinha a importância de respostas rápidas e transparentes a incidentes de segurança, bem como a necessidade de educação contínua dos funcionários sobre práticas de segurança.
Esses casos destacam várias lições importantes para empresas em todo o mundo:
1. Transparência é fundamental: investidores confiam em informações precisas e transparentes. Qualquer discrepância entre as declarações públicas e a realidade interna pode ter sérias consequências legais e financeiras.
2. Investimento em Segurança da Informação: empresas devem investir em medidas de segurança robustas e eficazes. Além disso, devem ser transparentes sobre os desafios que enfrentam e as medidas tomadas para proteger dados sensíveis.
3. Comunicação Interna: Uma comunicação eficaz dentro da empresa é crucial. As preocupações dos funcionários devem ser levadas a sério e os problemas de segurança devem ser discutidos e resolvidos proativamente.
4. Responsabilidade Pessoal: indivíduos nas posições de liderança, especialmente aqueles encarregados da segurança da informação, têm uma responsabilidade pessoal para garantir a precisão das informações divulgadas e a segurança dos ativos da empresa. Este ponto é o mais importante e talvez o divisor de águas no caso da SolarWinds: a responsabilidade pessoal (civil e criminal) dos gestores. Algo muito semelhante aconteceu no passado, após a fraude na Enron, e posteriormente à criação da Lei Sarbanes-Oxley.
Nesse cenário desafiador, torna-se imprescindível a adoção de um ambiente de negócios seguro e transparente. A transparência não apenas fortalece a confiança dos investidores, mas também é essencial para a sustentabilidade e a reputação das empresas em um mundo digital cada vez mais complexo.
(*) Umberto Rosti é CEO da Safeway
Sobre a Safeway
A Safeway é uma empresa de Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Acumula diversos projetos que renderam credibilidade e destaque entre seus clientes, grande parte posicionada entre as 100 maiores empresas do Brasil. Considerada one-stop-shop com as melhores soluções de tecnologia, processos e pessoas, a Safeway se destaca com soluções como o Safeway Security Tower, um SOC 24/7 dedicado a cada cliente, certificado ISO27001, além do Cybersecurity Health Check, que identifica riscos associados à segurança da informação e privacidade dos processos de negócios, de forma a aumentar o nível de maturidade e resiliência dos clientes; soluções de Governança, Risco e Compliance, Certificações ISO, LGPD e Privacidade.
