Cibersegurança é responsabilidade da alta gestão

Em outubro de 2023, a Comissão de Valores Mobiliários e Câmbio dos Estados Unidos (U.S. Securities and Exchange Commission — SEC) apresentou acusação de fraude e falhas nos controles de segurança interna contra uma empresa e o executivo responsável pela segurança da informação, pois teriam enganado os investidores a respeito das suas práticas de segurança da informação quando a companhia revelou que sofreu um ataque hacker massivo à cadeia de suprimentos [1].

Outro caso que gerou ainda mais repercussão foi a condenação criminal do ex-executivo de segurança de uma empresa por encobrir das autoridades um ataque cibernético e obstruir a investigação promovida pela Comissão Federal de Comércio americana (Federal Trade Commission — FTC) [2].

A responsabilização pessoal de diretores e executivos por incidentes está relacionada com a relevância crítica da cibersegurança para as organizações. O avanço da digitalização produziu efeito visível na economia em escala global na medida em que todos os setores utilizam recursos digitais para executar as suas atividades. As empresas dependem profundamente da internet e de outros recursos digitais para operações rotineiras, como gestão de estoque, funcionamento da linha de produção, atendimento ao cliente e atividades administrativas. Por isso, os dados digitais contêm informações operacionais e estratégicas das organizações.

A inovação é intrínseca à digitalização na medida em que permite constante aprimoramento dos recursos tecnológicos. Observamos a expansão da aplicação da internet das coisas, de sistemas de inteligência artificial e outras tecnologias disruptivas. Ao mesmo tempo em que a digitalização e a inovação levam à otimização da produtividade e consequente crescimento econômico, também implicam no aumento substancial do risco de incidentes de segurança, que podem decorrer de múltiplas causas, como ataques intencionais, erros ou fenômenos naturais (ex. descarga elétrica). Os incidentes podem derivar de ação de terceiros ou de fato ou ato interno à organização.

Há estimativas de que os crimes cibernéticos podem ter custo na esfera global de US$ 5,2 trilhões entre 2020 e 2025 [3].  Mesmo incidentes não intencionais podem provocar danos se comprometerem de alguma forma negativa a entidade afetada. O custo do incidente pode variar de acordo com o tamanho da organização, da quantidade e valor dos dados comprometidos e a possibilidade de recuperação, impacto da quebra nas operações e duração do tempo de inatividade e velocidade da resposta de recuperação e contenção. 

Os danos imediatos podem ser: 1) interrupção dos negócios quando afetar sistema de atendimento ao cliente ou da linha de produção da indústria, por exemplo; 2) perda de informação confidencial, como segredo de negócio, propriedade intelectual e banco de dados de clientes e empregados; 3) perda de receita; 4) danos em equipamentos e infraestrutura de tecnologia. A entidade afetada ainda pode enfrentar impactos negativos posteriores, como: 1) sanções administrativas; 2) condenação judicial a indenizar terceiros por danos sofridos, como parceiros de negócio e clientes; 3) danos à reputação; e 4) perda de contratos e parcerias de negócio. Em caso de incidentes intencionais, a organização ainda fica sujeita a extorsão pelo criminoso autor do ataque.

Diante da relevância sistêmica da segurança cibernética, observamos o aumento do rigor legal em diferentes países quanto à notificação de incidentes, governança de dados e gestão de riscos.

A SEC aprovou mudança da regulação para aprimorar e padronizar as regras aplicáveis às companhias com ações negociadas na bolsa de valores americana em abril de 2023 [4]. Na União Europeia foi aprovada resolução no final de 2022, que prevê a responsabilização de pessoas físicas que representam organizações públicas ou privadas, de setores essenciais ou relevantes, por descumprimento dos seus deveres relativos às medidas de cibersegurança estabelecidas na normativa [5]. 

À luz da evolução do tema, examinamos neste trabalho a responsabilidade da alta gestão quanto à segurança da informação no Brasil.

A cibersegurança na legislação brasileira
A Lei Geral de Proteção de Dados — LGPD (Lei n° 13.709/2018) está em pleno vigor desde agosto de 2021 e é aplicável a todas as organizações, públicas ou privadas, que utilizam dados pessoais no exercício de suas atividades, salvo exceções específicas previstas na Lei. A LGPD estabelece a segurança como um dos princípios do tratamento de dados, que consiste na adoção de medidas técnicas e administrativas para evitar acessos não autorizados e incidentes, decorrentes de atos ilícitos ou não (artigo 6°, VII, LGPD). A falta de segurança no tratamento pode implicar em responsabilização civil dos agentes de tratamento pelos danos causados aos titulares. Ademais, os incidentes de segurança devem ser informados à Autoridade Nacional de Proteção de Dados (ANPD) e, a depender do seu contexto, o agente de tratamento está sujeito à condenação à sanção administrativa pela Autoridade, que inclui multa de até 50 milhões de reais.

A segurança da informação não está limitada à LGPD e aos dados pessoais, visto que é disciplinada em diversas normas aplicáveis a setores críticos.

A Comissão de Valores Mobiliários (CVM) prevê conjunto robusto de obrigações relacionadas à segurança da informação, gestão de risco e governança aplicáveis às entidades administradoras de mercado organizado de valores mobiliários, que podem ser corretoras, gestoras ou bancos de investimentos autorizados a negociar ações, cotas de fundos de investimento o outros ativos (Res. CVM n° 135/2022). O Conselho de Administração destas entidades tem a responsabilidade de aprovar e revisar, no mínimo anualmente, as políticas corporativas que dispõem sobre plano de continuidade de negócios, programa de segurança cibernética e políticas de gerenciamento de risco.

As instituições autorizadas a funcionar pelo Banco Central — como banco, cooperativa de crédito, consórcio e outras — também devem observar regras específicas quanto à segurança da informação (Resolução CMN n° 4.893/2021). A Política de segurança cibernética e o Plano de ação e de resposta a incidentes devem ser aprovados pelo conselho de administração ou, na sua ausência, pela diretoria e serem revisados, no mínimo, anualmente, bem como a instituição deve designar um diretor responsável pela execução de ambos. Há ainda obrigações quanto à notificação de incidentes e para contratação de serviços em nuvem, especialmente quando há transferência internacional de dados.

Algumas agências reguladoras estabelecem diretrizes e normas quanto à segurança da informação para resguardar a confiabilidade e a continuidade da execução de serviços essenciais, como é caso do setor de telecomunicações (Res. Anatel, n° 740/2020), do setor elétrico (Res. Aneel n° 964/2021) e da aviação civil.

A cibersegurança é também tema de segurança nacional. Por isso, diversos órgãos, agências e outros entes do Poder Público adotam Política de Segurança Cibernética / Informação, cujas normas e diretrizes são aplicáveis aos entes privados com quem mantém relação contratual. Discute-se ainda a apresentação de projeto de lei para estabelecer Política Nacional de Cibersegurança e Sistema Nacional de Cibersegurança [6]. Assim, a participação em concorrência pública pode exigir a adoção de programa de segurança cibernética e até mesmo medidas administrativas e técnicas específicas. A violação das obrigações pode implicar em aplicação das penalidades administrativas e contratuais cabíveis, que abrange restrição de contratação com o Poder Público e multas.

Ao examinar o cenário regulatório internacional, é esperado que as leis brasileiras se tornem cada vez mais rigorosas quanto à cibersegurança.

Dever de diligência e responsabilidade dos administradores
Os administradores de sociedades devem exercer as suas funções com cuidado e diligência, cujo parâmetro é do “homem ativo e probo […] na administração de seus próprios negócios” (artigo 1.011, CC). O mesmo padrão é estabelecido na administração da sociedade anônima (artigo 153, Lei n° 6.404/76).

O dever de diligência do administrador deve ser examinado com base no tipo de atividade da organização, no seu porte e dimensão, nos recursos que o administrador dispõe e no contexto temporal em que a decisão foi tomada.

Os administradores das sociedades podem ser solidariamente responsáveis perante a sociedade e terceiros prejudicados por atos culposos no exercício das suas funções (artigo 1.016, do Código Civil). Nas sociedades anônimas, os administradores podem ser pessoalmente responsabilizados por prejuízos decorrentes de sua conduta culposa ou dolosa no exercício das suas funções, bem como violação da lei ou do estatuto (artigo 158, I e II, Lei n° 6.404/76). O administrador de sociedade anônima ainda pode ser responsabilizado por atos ilícitos praticados por outros administradores quando for conivente, negligente na sua identificação ou se omitir de agir, podendo se eximir em caso de consignar a sua divergência. Outra hipótese é a responsabilização por falta de cumprimento dos deveres legais que lhe são atribuídos para assegurar o regular funcionamento da companhia.

Na prática, é importante apurar criteriosamente a eventual violação do dever de diligência que possa implicar na responsabilização pessoal do administrador, visto que a gestão societária pode ser altamente complexa e o risco é fator inerente à atividade empresarial.

O papel da alta gestão na segurança cibernética
Considerando o alto grau de dependência dos recursos digitais para o exercício das atividades empresariais, o gestor “ativo e probo” deve adotar medidas para gestão de riscos e vulnerabilidades. Assim, é necessário garantir que a empresa tenha:

1) Política de Segurança da Informação com a descrição do controle de vulnerabilidades e riscos, implementação de programa de cibersegurança, treinamento, dentre outros tópicos;

2) Plano de resposta a incidentes de segurança com a descrição das medidas de prevenção, monitoramento, avaliação e gestão de incidentes;

3) Plano de recuperação de negócios com as medidas a serem adotadas em caso de incidente para garantir a continuidade das atividades empresariais, ou a sua retomada no menor tempo possível.

A extensão e grau de complexidade dos instrumentos acima mencionados, assim como das medidas técnicas adotadas, variam de acordo com o porte da organização, segmento de atuação, recursos disponíveis e padrão de boas práticas. Por ex., uma empresa que precise observar alto padrão de segurança e confiabilidade pode obter certificação reconhecida pelo mercado, realizar auditorias recorrentes, utilizar criptografia e outras tecnologias para resguardar a confidencialidade dos dados. Porém, outra que trabalha com dados menos críticos podem adotar medidas básicas de segurança, como aquelas indicadas pela ANPD para agentes de pequeno porte. Cabe à diretoria, com o suporte técnico especializado, estabelecer o padrão adequado a ser seguido.

O conselho de administração, quando existir, e a diretoria devem supervisionar os riscos cibernéticos. Discute-se se pelo menos um membro da alta gestão deve ter conhecimento especializado em tecnologia. Um estudo do Massachusetts Institute of Technology (MIT) descobriu que, entre empresas com faturamento anual superior a um bilhão de dólares, 24% tinham membros da alta gestão com experiência digital e superaram significativamente seus pares em métricas importantes, como crescimento de receita, retorno sobre ativos e crescimento de capitalização de mercado [7]. Entretanto, pode-se entender que a cibersegurança é apenas um dentre diversos temas que a alta administração precisa avaliar e não seria necessário o conhecimento aprofundado, que pode ser tratado pela gerência sênior.

Independentemente da sua composição, é recomendável que a alta gestão tome decisões tecnicamente informadas, sendo relevante o contato próximo com o executivo de tecnologia (Chief Information Officer – CIO) ou de segurança (Chief Information Security Officer — Ciso). Cabe aos responsáveis pela gestão da cibersegurança elaborar relatórios com explicações claras sobre questões técnicas, evitando o emprego de jargões e utilizando métricas e medidas ou tabelas de desempenho que sejam compreensíveis e facilmente visualizadas por não especialistas. Assim, a alta gestão consegue compreender a evolução e pontos de aprimoramento da companhia quanto a fatores de risco.

A resiliência cibernética — ou seja, a capacidade responder e se recuperar de um incidente com menor dano, custo e impacto reputacional possível — e a segurança da informação devem estar integrados nos sistemas de gerenciamento de risco corporativo e nas decisões estratégicas; não podem ser vistos como questões técnicas isoladas. A cibersegurança deve estar presente nas decisões sobre fusões e aquisições, investimentos, mudanças em operações, ingresso em novos mercados, desenvolvimento de novos produtos e serviços, dentre outras. Um ponto de atenção é a relação com fornecedores e prestadores de serviços, visto que muitos ataques cibernéticos são realizados por meio de terceiros que mantêm relação com a organização-alvo. Por isso, devem ser adotadas medidas técnicas, administrativas e contratuais para resguardar a segurança.

A maior parte da violação de dados está relacionada com erros humanos. Assim, é necessário garantir que sejam observados políticas e processos, bem como treinar os colaboradores quanto à gestão de risco e vulnerabilidades. A segurança da informação deve integrar a cultura corporativa e ser responsabilidade de todos.

Mesmo com a adoção de todas as medidas acima descritas, podem ocorrer incidentes de segurança e danos diretos ou indiretos à organização. É provável que os danos sejam menores se houver um sistema robusto de segurança. Porém, no caso de organizações que não adotem medidas suficientes preventivas e de gestão de risco, o prejuízo pode ser devastador e irrecuperável [8]. Neste cenário de grave prejuízo à sociedade e de falta de diligência administrativa comprovada, os diretores e executivos podem ser pessoalmente responsabilizados.

^[1] https://www.sec.gov/news/press-release/2023-227 

^[2] https://www.justice.gov/usao-ndca/pr/former-chief-security-officer-uber-convicted-federal-charges-covering-data-breach

^[3] https://iapp.org/resources/article/the-cost-of-cybercrime-annual-study-by-accenture/

^[4] https://www.federalregister.gov/documents/2023/08/04/2023-16194/cybersecurity-risk-management-strategy-governance-and-incident-disclosure#footnote-11-p51897

^[5] https://eur-lex.europa.eu/eli/dir/2022/2555/oj

^[6] https://www.gov.br/gsi/pt-br/ssic/audiencia-publica/PNCiberAudienciaPublicaProjetoBase.pdf

^[7] https://sloanreview.mit.edu/article/it-pays-to-have-a-digitally-savvy-board/

^[8] https://hbr.org/2023/05/the-devastating-business-impacts-of-a-cyber-breach