CFOs e segurança cibernética: conheça as principais ameaças e saiba como evitá-las

Mark Jackley | Estrategista de conteúdo | 27 de março de 2024

Como os ataques cibernéticos representam um grande risco financeiro para a maioria das organizações, os diretores financeiros desempenham um papel importante na segurança cibernética. Eles trabalham em estreita colaboração com os diretores de segurança da informação (CISOs) para priorizar possíveis ameaças com base em seus riscos financeiros, manter as defesas de acordo e, por fim, ajudar a reduzir esses riscos.

Por que os CFOs devem se preocupar com a segurança cibernética?

Os ataques cibernéticos podem gerar diversos prejuízos às organizações. Em geral, o custo médio de uma violação de dados para organizações no mundo todo foi de US$ 4,45 milhões em 2023, de acordo com um estudo da IBM e do Ponemon Institute. Quase 95% dos ataques são lançados para obter ganhos financeiros, e não por motivos políticos, sociais ou pessoais, de acordo com o Verizon Data Breach Investigations Report 2023.

Dados confidenciais, como números de cartões de crédito de clientes e senhas de rede de funcionários, são os principais alvos. O mesmo acontece com os fundos, por meio de faturas falsas de fornecedores, golpes de folha de pagamento e ataques de ransomware. Quase metade dos executivos seniores acredita que os ataques à contabilidade e às finanças vão piorar, de acordo com um estudo de 2023 do Deloitte Center for Controllership. Além disso, há o custo financeiro dos danos à reputação provocados por uma violação de segurança.

As novas regulamentações da Comissão de Valores Mobiliários dos EUA também estão no centro das atenções dos CFOs. A SEC adotou regras que exigem que as empresas de capital aberto forneçam aos investidores informações “relevantes para a tomada de decisões" sobre incidentes de segurança cibernética, bem como atualizações periódicas sobre seus programas de segurança cibernética. As regras também parecem exigir que a SEC seja notificada dentro de quatro dias após a determinação de uma empresa de que um incidente de segurança cibernética é “relevante”, ou seja, um incidente que a maioria dos investidores consideraria importante.

Outro mandato regulatório é a Lei Federal de Gerenciamento de Segurança da Informação (FISMA, Federal Information Security Management Act), que exige que as agências federais dos Estados Unidos desenvolvam, documentem e implementem medidas de segurança em toda a agência. A conformidade com a lei é responsabilidade principalmente do CISO, mas os CFOs do governo precisam estar atentos às suas exigências.

Principais conclusões

  • Como especialistas em gerenciamento de riscos, os CFOs devem trabalhar com os CISOs para priorizar as ameaças cibernéticas e as defesas com base no risco financeiro corporativo.
  • Para avaliar o risco cibernético, os CFOs devem obter um conhecimento sólido das técnicas de ataque cibernético, bem como das estratégias e tecnologias usadas para combatê-las.
  • Cada vez mais, os CFOs contribuem para os planos de segurança cibernética, analisam os orçamentos de segurança e monitoram a eficácia das preparações de segurança.

CFOs e segurança cibernética explicados

Os CFOs não são especialistas em segurança cibernética, mas são especialistas em gerenciamento de riscos. Isso os torna aliados naturais do CISO, que é responsável por proteger os sistemas e os dados da organização. Os CFOs devem ser consultados sobre planos de segurança cibernética, certificando-se de que eles reflitam o risco financeiro geral da empresa. Eles protegem suficientemente os sistemas que processam e armazenam os dados mais confidenciais e valiosos da organização? Eles ajudam os funcionários de toda a organização a identificar emails, ligações fraudulentas e outros golpes? Como principal responsável pelo gerenciamento de riscos, o CFO deve estar confiante de que o nível de risco cibernético da organização é aceitável.

Os CFOs também têm obrigações de relatórios regulamentares que incluem a segurança cibernética. Eles estão intimamente envolvidos com a conformidade com as regras estabelecidas pela Comissão de Valores Mobiliários dos EUA, com a Regulamentação Geral de Proteção de Dados da União Europeia e com a Lei de Privacidade do Consumidor da Califórnia, entre outros. Os CFOs colaboram com conselhos gerais, auditores internos, CISOs e outros para garantir a conformidade. Eles enfrentam perguntas do conselho de administração sobre a divulgação de quaisquer incidentes cibernéticos, além de divulgações anuais de gerenciamento, estratégia e governança de riscos cibernéticos.

Para garantir a conformidade, os CFOs equilibrar uma série de fatores importantes. Por exemplo, a SEC exige a divulgação de quaisquer “incidentes relevantes” que os investidores considerem importantes. Obviamente, os CFOs usam medidas financeiras para decidir o que é relevante e, consequentemente, o que divulgar, mas também devem considerar fatores mais qualitativos, como o impacto na reputação de um ataque de pequena escala às informações dos clientes.

Os cinco principais riscos de segurança cibernética para CFOs

Neste mundo de negócios que prioriza a Internet, os “vetores de ameaças” disponível para os invasores cibernéticos está se expandindo à medida que as empresas implementam aplicações mais rapidamente e para um número cada vez maior de usuários. As empresas também estão integrando cada vez mais aplicações com sistemas de fornecedores, parceiros e outros terceiros.

Independentemente dos ambientes visados, os invasores estão sempre testando novas maneiras de burlar as defesas cibernéticas. Os CFOs não precisam entender todas as nuances técnicas, mas devem compreender as técnicas mais eficazes usadas pelos invasores. Muitos ataques são variantes dos cinco tipos básicos a seguir.

1. Email comercial comprometido

O comprometimento de email comercial (BEC) é um ataque cibernético que usa emails para manipular os funcionários. Por exemplo, os invasores tentam induzir o destinatário a enviar dinheiro por meio de uma solicitação de transferência de fundos fraudulenta ou de uma fatura de fornecedor falsa. Esses BECs geralmente têm como alvo as equipes de contabilidade e finanças, compras e folha de pagamento. O BEC é um tipo de ataque de phishing. Outros golpes de phishing tentam enganar os destinatários para revelar senhas, fornecer números de cartão de crédito ou clicar em links de malware.

Entre 2013 e 2022, os ataques de BEC custaram US$ 51 bilhões às organizações em todo o mundo, de acordo com o Federal Bureau of Investigation dos EUA. A Abnormal Security, uma empresa de segurança de email, informa que, no primeiro semestre de 2023, os ataques de BEC aumentaram 55% em comparação com o primeiro semestre de 2022.

2. Ataque à cadeia de suprimentos

Como o termo sugere, os ataques à cadeia de suprimentos têm como alvo um produto que uma empresa compra de fornecedores, geralmente um programa de software. Ao explorar uma vulnerabilidade em um programa de software, o invasor pode obter acesso clandestino a várias empresas que estão usando o software. O invasor obtém acesso a redes privadas, incluindo a sua propriedade intelectual, dados de clientes e outros ativos de informações. O exemplo mais conhecido é um ataque de 2020 que corrompeu uma ferramenta de rede popular, levando a invasões nas principais agências governamentais dos EUA e em empresas multinacionais. Embora os ataques à cadeia de suprimentos estejam associados a agentes patrocinados pelo Estado que tentam realizar espionagem ou interromper a infraestrutura essencial, criminosos com motivação financeira também lançam esses ataques.

3. Banco de dados acessível ao público

Um banco de dados acessível ao público é aquele que oferece suporte a um site ou aplicação pública e não é protegido por medidas de segurança, como a exigência de credenciais de usuário, configuração segura, configurações de segurança adequadas ou supervisão na implantação de bancos de dados, o que os torna presas fáceis. O aumento do trabalho remoto durante a pandemia de COVID-19 contribuiu para um aumento de dados não seguros e ataques. Em 2023, a empresa de segurança Group IB, sediada em Cingapura, descobriu quase 400.000 bancos de dados desse tipo na Web aberta. Ao tomar conhecimento do problema, os proprietários de bancos de dados levaram em média 170 dias para corrigi-lo, correndo o risco de vazamentos de dados e ataques posteriores a funcionários ou clientes, constatou o Group IB. Em um estudo realizado em 2022 pelo provedor de segurança Kroll, 53% das organizações disseram que os ataques a bancos de dados expostos resultaram no comprometimento da rede.

4. Ameaças internas

Um insider é um funcionário, ex-funcionário, contratado, fornecedor ou outra parte cujo acesso especial aos sistemas e redes de uma empresa pode representar uma ameaça à segurança. Os insiders se enquadram em duas categorias: os que agem intencionalmente para derrubar os sistemas de uma empresa e roubar seus dados e os que causam involuntariamente uma falha de segurança por falta de treinamento em segurança ou simplesmente por não seguirem os procedimentos. O custo total médio de um incidente de ameaça interna para uma organização aumentou de US$ 15,4 milhões em 2022 para US$ 16,2 milhões em 2023, de acordo com uma pesquisa do fornecedor de TI DTEX Systems e do Ponemon Institute, com base em uma amostra de organizações de diferentes setores e tamanhos.

5. Ransomware

O ransomware é um tipo de malware usado por invasores para criptografar os dados de uma empresa, geralmente fornecidos por software comprometido ou emails falsos, e depois exigir um resgate financeiro para remover a criptografia. Quando o ransomware é ativado, os funcionários não conseguem acessar os principais sistemas e dados e nem trabalhar, e as operações são interrompidas até que a organização pague o resgate exigido e o acesso seja restaurado. Algumas empresas decidem que pagar o resgate tem o custo mais baixo do que o tempo de inatividade operacional, especialmente se o seguro cibernético cobrir parte das perdas. No entanto, não há garantia de que os invasores, uma vez pagos, fornecerão uma chave de descriptografia para liberar os dados. O pagamento médio de ransomware em 2023 foi de US$ 1,54 milhão, de acordo com o fornecedor de segurança Sophos. Em outubro passado, a Counter Ransomware Initiative, um grupo liderado pelos EUA de organizações governamentais de 50 países, prometeu que nunca pagaria resgate a criminosos cibernéticos.

Ataques cibernéticos: principais estatísticas
55%
Aumento percentual nos ataques de comprometimento de email comercial de janeiro a junho de 2023
US$ 138 bilhões
Custo global estimado dos ataques à cadeia de suprimentos em 2023
74%
Porcentagem de organizações consideradas de moderada a extremamente vulneráveis a ameaças internas em 2023
US$ 1,54 milhão
Pagamento médio de ransomware em 2023

Fontes: Abnormal Security, Cybersecurity Insiders, Sophos

O papel do CFO na segurança cibernética

Além de trabalhar com os CISOs para priorizar os riscos cibernéticos, os CFOs os ajudam cada vez mais a elaborar um plano de segurança, desenvolver um orçamento de segurança e monitorar o desempenho e a preparação da segurança.

Entenda os riscos de segurança cibernética

Para entender os riscos de segurança cibernética, os CFOs os priorizam com base nos riscos financeiros. Isso significa, por exemplo, trabalhar com os CISOs para garantir que as principais aplicações, que gerenciam pagamentos e dados confidenciais, sejam adequadamente protegidas. Diferentes funções exigem diferentes níveis de permissão para acessar dados e realizar transações, o que é o princípio do menor privilégio? Por exemplo, um gerente da cadeia de suprimentos pode precisar de permissão para entrar em um sistema de compras e fazer ou aprovar transações. Um especialista em contabilidade pode não precisar de permissão para trabalhar nesse sistema, mas precisa de permissão para acessar e fazer negócios em sistemas contábeis e financeiros. Da mesma forma, somente funcionários autorizados devem configurar pagamentos de fornecedores.

As aplicações de alta prioridade são encontradas em contabilidade e finanças (contas a receber e a pagar), operações da cadeia de suprimentos (compras) e RH (folha de pagamento). Em alguns setores, como o de serviços financeiros e de saúde, a proteção de aplicações que gerenciam dados de clientes ou pacientes é especialmente importante.

“A segurança cibernética não tem uma fórmula padrão”, diz Aman Desouza, diretor sênior de produtos da Oracle, que anteriormente liderou estratégias de governança, risco e conformidade da empresa global de fintech Broadridge Financial Solutions. “Algumas aplicações são muito mais importantes do que outros. Os CISOs devem trabalhar com os CFOs e, ocasionalmente, com outros executivos, priorizando os riscos comerciais e protegendo os ativos mais valiosos. E, às vezes, o CFO precisa estar disposto a desafiar o pensamento do CISO.”

Ao avaliar o possível impacto dos ataques, os CFOs devem ir além dos danos financeiros imediatos. Eles também devem considerar os efeitos duradouros sobre a produtividade, a reputação da marca, os relacionamentos com os clientes e a conformidade legal.

Desenvolva um plano de segurança cibernética

Embora a estrutura das empresas varie, o planejamento da segurança cibernética é um esforço multifuncional que normalmente recai principalmente sobre o CISO. No entanto, como os ataques cibernéticos apresentam sérios riscos para os resultados financeiros, os CISOs devem consultar os CFOs ao elaborar planos. Com as novas regras da SEC, os CFOs de empresas de capital aberto dos EUA também precisam incluir certas informações de gerenciamento de riscos, estratégia e governança de segurança cibernética em seus relatórios anuais, para que precisem trabalhar em estreita colaboração com os CISOs nesse sentido.

Todos os planos devem incluir uma avaliação do risco de segurança cibernética. Os CFOs avaliam o risco cibernético com base no valor de vários dados, além dos possíveis custos legais e de reputação dos incidentes de segurança. Os CFOs também consideram os riscos de terceirizar o armazenamento de dados confidenciais, principalmente as implicações para a cobertura de seguro de segurança cibernética e os riscos de não conformidade com a SEC ou outros regulamentos.

Outro aspecto crucial do planejamento é uma avaliação das ferramentas e dos processos de segurança atuais. Os CISOs avaliam as ferramentas com base em seus recursos técnicos. Os CFOs querem saber se as ferramentas e os processos relacionados podem defender ativos de alto valor, principalmente aplicações financeiras e de pagamentos. Por meio da análise de custo-benefício, os CFOs também podem avaliar os investimentos em tecnologia de segurança, uma perspectiva que ajuda os CISOs na hora de apresentar o orçamento de segurança aos CEOs e às diretorias.

Os melhores planos são flexíveis, permitindo que as empresas se adaptem aos riscos emergentes, como os deepfakes alimentados por IA, que podem apresentar imitações ultrarrealistas dos principais executivos. Um ataque usou um vídeo deepfake em uma teleconferência para induzir um funcionário do setor de finanças a enviar US$ 25,6 milhões para as contas bancárias do hacker, informou a CNN. Os planos flexíveis também abrem espaço para as ferramentas de segurança mais recentes, algumas das quais usam IA generativa para detectar anomalias na rede e atividades mal-intencionadas com mais rapidez.

Estabeleça um orçamento para a segurança cibernética

Assim como no plano de segurança cibernética, o CISO assume a liderança na proposta de um orçamento de segurança cibernética. Na maioria das empresas, os CFOs consultam processos, analisam o orçamento, fazem perguntas e recomendações. Ao analisar os gastos com segurança, os CFOs examinam os investimentos em pessoas com conhecimento especializado, tecnologias para detectar e combater ataques e ferramentas para monitorar conformidade com a segurança e os riscos cibernéticos.

No ciclo orçamentário de 2022 a 2023, os orçamentos para segurança cibernética apresentaram um pequeno aumento, de acordo com um estudo de 2023 realizado pela consultoria de segurança IANS Research. Por exemplo, as empresas de tecnologia, em média, aumentaram os orçamentos de segurança em apenas 5%, em comparação com um aumento de mais de 30% no ciclo de 2021 a 2022. Em comparação com outros setores, no entanto, as empresas de tecnologia têm os maiores orçamentos de segurança como proporção dos gastos totais de TI, com 19,4%. O setor de varejo, por outro lado, aloca uma média de 7,2% dos orçamentos de TI para a segurança.

Quando os recursos são limitados, os CFOs fazem perguntas difíceis. O orçamento proposto está alinhado com os objetivos da empresa? Ele financia adequadamente os esforços para defender a organização e reduzir os riscos?

Aloque recursos para a segurança cibernética

Depois que o orçamento de segurança cibernética é definido, os CISOs analisam se os recursos estão sendo alocados onde são mais necessários para reduzir os riscos, seja para contratar profissionais qualificados, expandir os programas de treinamento de segurança dos funcionários, comprar um novo software de segurança ou migrar a organização para um modelo em nuvem mais seguro. Mais uma vez, os CFOs desempenham um papel de consultoria, garantindo que as alocações reflitam as prioridades de riscos financeiros. Exemplo: ao alocar fundos para ferramentas de autenticação multifatorial, a organização reduzirá o risco de invasão e protegerá os dados melhor do que se gastasse uma quantia semelhante em funcionários ou em melhorias de processos?

Monitorar o desempenho da segurança cibernética

O plano de segurança cibernética inclui métricas de monitoramento de desempenho, mostrando se os níveis atuais de risco são aceitáveis ou não. O CISO analisa métricas como o tempo médio para detectar e responder a ataques. O CFO se concentra mais na prontidão da segurança do que no desempenho da tecnologia e do processo. “Na maioria das vezes, os CFOs querem evidências da maturidade dos programas de segurança”, diz Desouza. “Eles procuram indicadores, como ferramentas de monitoramento automatizado ou treinamento de conscientização de segurança que ensine os funcionários a identificar ataques de BEC e phishing. Para o CFO, é mais uma questão de preparação do que qualquer outra coisa.”

O preço de ignorar a segurança cibernética

Quando as empresas ignoram (ou não prestam atenção suficiente) à segurança cibernética, o preço pode ser alto, resultando em perda de dados, fundos e/ou propriedade intelectual. Os custos também podem incluir a diminuição da confiança do cliente, o cancelamento de pedidos comerciais, a queda do preço das ações, manchetes negativas e penalidades legais. A Dark Reading informou que uma violação de segurança amplamente divulgada em 2017 levou à redução do preço das ações da empresa em 31% em uma semana e que levou dois anos para ela se recuperar totalmente. No entanto, o mais comum são as quedas imediatas no preço das ações, na casa de um dígito.

Espera-se que os danos causados pelo crime cibernético global atinjam US$ 10,5 trilhões até 2025, de acordo com a pesquisa de 2022 da Cybersecurity Ventures. O fornecedor de segurança Deep Instinct relatou que 75% dos profissionais de segurança testemunharam um aumento nos ataques entre 2022 e 2023.

De acordo com as novas regras de divulgação cibernética da SEC, as empresas devem "divulgar anualmente informações sobre gerenciamento, estratégia e governança de riscos de segurança cibernética", disse Erik Gerding, diretor da divisão de finanças corporativas da SEC, em um comunicado. Isso se soma à necessidade de divulgar qualquer incidente relevante de segurança cibernética. Com base nesses requisitos, os CFOs de empresas de capital aberto devem ter certeza de que entendem a estratégia e as práticas de segurança cibernética contínuas da empresa. Eles precisam ter o conhecimento e o relacionamento para reconhecer rapidamente os incidentes de segurança cibernética relevantes e avaliar a dimensão desses ataques. Os CFOs que negligenciam esses requisitos expõem suas organizações a penalidades regulatórias.

Elimine os riscos de segurança cibernética logo no início com a Oracle

O Oracle Fusion Cloud Enterprise Resource Planning (ERP), pacote de aplicações de finanças, compras, gerenciamento de projetos, entre outros, oferece segurança por design. Os controles de acesso centralizados podem ajudar a simplificar a autorização da rede e, juntamente com os recursos de segurança oferecidos como parte do Oracle Cloud ERP, podem ajudar as organizações a gerenciar suas obrigações regulatórias e de conformidade.

O Oracle Risk Management and Compliance, parte do pacote Oracle Cloud ERP, é uma solução de segurança e auditoria que inclui ferramentas de IA para controlar o acesso aos dados financeiros do pacote, detectar transações suspeitas e ajudar a fornecer às organizações informações valiosas para ajudar a cumprir as regulamentações de segurança.

Perguntas frequentes sobre segurança cibernética para CFOs

Qual é o papel do CFO na segurança cibernética?
Como administrador do gerenciamento de riscos da organização, o CFO garante que seus esforços de segurança cibernética reflitam as estratégias de gerenciamento de riscos financeiros. O CFO ajuda o CISO a entender as prioridades de risco em toda a empresa e a criar planos e orçamentos de segurança adequados.

Quais certificações de segurança cibernética um CFO deve ter?
Uma certificação que os CFOs devem considerar é o Maximizing Digital Operational Excellence Certificate, oferecido pelo Certified Public Accountants e pelo Chartered Institute of Management Accountants. Isso confirmará que os gerentes financeiros estão atualizados sobre os métodos para fortalecer a governança, a segurança e o controle financeiros.

Quais são as principais responsabilidades de segurança cibernética que um CFO deve cumprir?
Além de garantir que a segurança cibernética esteja alinhada com o risco financeiro, os CFOs devem ajudar os CISOs a refinar planos e orçamentos de segurança, bem como a priorizar a proteção de aplicações que gerenciam dados e pagamentos críticos. O CFO das organizações públicas também pode ter requisitos regulamentares de divulgação, dependendo de onde a empresa está localizada.

O guia do CFO para impulsionar os lucros e o crescimento

Desbloqueie 5 estratégias para reduzir os custos e aumentar a produtividade sem desacelerar o crescimento.