quero falar com um especialista

Artigos

Poucos minutos todos os dias para manter você atualizado sobre o que acontece na segurança cibernética de todo o mundo.

Entenda a responsabilidade civil do administrador quando ocorre um ataque cibernético

Ampliar a responsabilidade civil do administrador é um caminho natural no processo de conscientização do mercado quanto aos riscos cibernéticos e a segurança necessária.

Segundo a Pesquisa Global sobre Gerenciamento de Riscos, divulgada bienalmente pela Aon, o risco cibernético figura hoje entre as 5 maiores preocupações das companhias, perdendo apenas para dano à reputação / marca, desaceleração econômica/ recuperação lenta, aumento da concorrência e mudanças regulatórias a legislativas, respectivamente.

Ao mesmo passo em que são criadas novas tecnologias e exploradas suas vulnerabilidades, quase que diariamente surgem novos tipos de ataques cibernéticos, o que cria a necessidade de novas medidas de mitigação, prevenção e controle.

Existem formas de intrusão que podem “sequestrar” banco de dados inteiros — demandando resgate, ou paralisar toda uma planta fabril. Algumas formas de intrusões garantem até mesmo acessos indevidos aos sistemas e há também o risco político, pouco discutido nesse contexto, mas tão disruptivo quanto os demais.

Vamos mais adiante: imaginem ainda, pela natureza de suas atividades, o quão expostos estão instituições governamentais e companhias de infraestrutura crítica. Ao analisarmos melhor, o crime cibernético é capaz até de parar o funcionamento de uma comunidade.

A responsabilidade civil do administrador, como detentor de dados de terceiros, é, portanto, mais que um caminho natural. Trata-se de uma necessidade que se atribui como encargo das empresas, de forma a fomentar a devida atenção que deve ser dada ao tema. Confira nossa discussão!

As consequências de um ataque cibernético para as empresas

A maior consequência de um ataque cibernético é o tempo indeterminado que se perde para remediar uma situação que poderia ser prevenida.

A interrupção dos negócios e o chamado "custo de oportunidade" são valores que poderiam ser recebidos, mas deixaram de acontecer devido a sistemas indisponíveis e paradas de máquinas, assim como a desconfiguração, sequestro ou corrompimento do banco de dados sob o qual a empresa opera, por exemplo.

Outro problema diz respeito aos danos causados a terceiros. Chamada responsabilidade civil, faz com que os membros do mercado sejam obrigados a reparar os danos provocados pelo vazamento de dados, sua falha na entrega ou inoperabilidade e exige o cumprimento de requisitos legais em todas as circunstâncias, para evitar processos, ações coletivas e consequente indenização.

Fora os custos para lidar com o problema de forma prática, em função de eventuais desdobramentos que resultam em processos e investigações, há ainda as custas judiciais para responder legalmente na Justiça. Dependendo do tempo dos processos, esse gasto pode se tornar um empecilho e um incômodo.

As despesas para resguardar a reputação da empresa, campanhas de publicidade para resgatar a credibilidade no mercado, gastos com notificações, restauração do sistema e custos de investigações forenses também podem incorrer.

Além desses custos, é possível que a empresa sofra com a perda de uma parcela considerável de mercado e com a penalização de pessoas em cargos estratégicos que devem ser responsabilizados pela ocorrência do ataque cibernético, negligência ou omissão perante o tema, já que a organização ficou suscetível.

A responsabilidade civil do administrador quando acontece um ataque cibernético

Todos os executivos nos cargos mais altos, CEOs, CFOs, COOs, CIOs, CROs, e todos em nível hierárquico abaixo, diretores, gerentes e analistas, precisam ter uma clara compreensão acerca do poder disruptivo de um ataque cibernético.

Isso é fundamental para que toda a companhia esteja apta a mitigar os riscos em suas operações. Somente por meio do exemplo e da conscientização efetiva de toda a equipe, começando pelo topo da cadeia hierárquica, é possível que essa preocupação esteja presente em todos os stakeholders da organização, do funcionário ao fornecedor.

Caso o administrador não se posicione de forma firme e consistente acerca do tema — com atitudes como conscientizar colaboradores, melhorar e proteger os processos e procedimentos, garantir a melhor proteção para a infraestrutura instalada etc, deverá responder pela sua negligência e omissão.

Perceba, essa alçada não é simples, deve iniciar com esclarecimentos aos acionistas e controladores, para que seja conduzida, por um órgão regulador de classe ou o Ministério Público do Distrito Federal e Territórios (MPDFT), uma investigação administrativa.

Em paralelo, há a necessidade de manutenção do relacionamento com fornecedores e parceiros de negócio, e, mais adiante, a identificação do prejuízo a terceiros, principalmente clientes — o que vincularia a responsabilidade civil, e a necessidade de reparação do dano causado.

É sabido e previsto em legislação que todo aquele que causar dano a outrem está obrigado a reparar, mesmo quando é auferida jurisdição àquele cuja responsabilidade é subjetiva — não está limitada a uma ação ou omissão por parte do(s) administrador(es).

Assim como aquele cuja a responsabilidade é objetiva, ou seja, casos em que o ato danoso é comprovadamente uma ação com dolo (ato intencional) ou por culpa, violação normativa ou estatutária.

Logo, a responsabilidade independe da comprovação de culpa ou omissão por parte do agente, basta o terceiro prejudicado comprovar o dano ou prejuízo, assim como o nexo de causalidade.

Observem que o vazamento de dados de terceiros sob a custódia da empresa ou detentora de tais informações, em diferentes níveis de responsabilidade, poderá incorrer inúmeros danos e, consequentemente, prejuízos que vão desde as perdas à própria sociedade até aos administradores vinculados a ela.

Isso torna o Cyber e D&O ótimos mitigadores de risco, uma vez que o primeiro age preventivamente protegendo a companhia de eventuais vazamentos e perdas que daí decorrerem, mas,também notifica a base de clientes e contrata peritos para análise da situação e sua possível remediação caso o mesmo ocorra. No caso o D&O garante conforto ao administrador em relação ao seu patrimônio, para que ele não responda com bens perante essas ocorrências.

Como pode ser percebido, a responsabilidade civil do administrador envolve, primeiramente, a compreensão dessa incumbência a fim de desenvolver uma gestão de riscos transparente e engajada, por meio de uma comunicação efetiva com toda a base laboral.

Como se proteger desses riscos

A exposição organizacional ao risco cibernético pode se dar graças à convergência de três tendências:
• a dependência da tecnologia nas empresas;
• o foco intensificado das agências reguladoras em proteger os dados de consumidores;
• o valor crescente de ativos intangíveis.

Toda e qualquer empresa, micro ou multinacional, pública ou privada, está sujeita às ameaças cibernéticas. A melhor maneira de manter uma organização segura é estar preparado.

Em seu relatório de Previsões de Segurança Cibernética de 2018, a Aon traz três principais pontos que poderiam prover mais segurança às empresas:
• ampliação do papel do CRO (Chief Risk Officer) nas companhias;
• implantação de autenticações multifatoriais;
• implementação de programas de recompensa para avisos de bugs.

Além disso, o investimento em segurança de rede / informação e o treinamento constante dos colaboradores são de suma importância para a prevenção desse tipo de risco, assim como ações mais efetivas na análise de processos e gerenciamento de equipes.

Essa análise da postura de segurança pode aumentar o conhecimento detalhado sobre a infraestrutura do negócio, a carteira de produtos e serviços, para avaliar onde estão os riscos e também como aproveitar melhor as soluções existentes.

Muitas vezes as ferramentas necessárias para a segurança já existem, mas estão mal configuradas, não são integradas ou a equipe não utiliza todos os seus recursos disponíveis. Por isso, é preciso revisar os processos e investir em um projeto de classificação de risco em vez de adquirir outras soluções.

Outra ação efetiva é a contratação de um seguro de risco cibernético. A apólice é uma solução que deve atender às necessidades específicas de cada cliente, levando em consideração todos os fatores de potencial risco a que a organização está exposta.

É uma possibilidade que garante recuperação quando ações de precaução são ineficientes. Para isso, pode conter cláusulas referentes a um de D&O, de responsabilidade civil do administrador, custos de defesas, ou, em alguns casos, até de Lucro Cessante, por exemplo.

A responsabilidade civil do administrador termina quando começa o compromisso individual de cada integrante da empresa: com ações que mitigam qualquer forma de ameaça. Assim, por meio de uma rotina baseada na segurança de dados e no combate a intrusões, toda a cultura organizacional pode mudar.

Gostou do nosso artigo? Então, fale com um dos nossos especialistas e saiba como se proteger!

Anteriores

Fale com a Aon

Nossos especialistas estão prontos para ouvi-los e conversar sobre os Riscos Cibernéticos
e as possíveis soluções que o mercado de seguros pode oferecer.

A Aon e outras empresas do grupo usarão suas informações pessoais para contatá-lo eventualmente sobre produtos, serviços e eventos que acreditamos ser de seu interesse. Toda informação coletada é usada de acordo com nossa Política de Privacidade.

Ao preencher os dados, você autoriza expressamente a Aon a coletar, usar, armazenar, transferir e processar seus dados pessoais conforme previsto em tal Política de Privacidade. Por favor assinale este campo caso NÃO deseje receber estes comunicados.