A ameaça às operações e os riscos de impactos financeiros, regulatórios, legais e reputacionais gerados por incidentes cibernéticos resultaram globalmente em mais responsabilidades para o setor jurídico das empresas. No entanto, há diferenças sensíveis entre as regiões pesquisadas quanto ao envolvimento dos departamentos jurídicos em questões estratégicas relacionadas a resposta a incidentes.
É o que aponta o relatório Cyber Report 2017/18, realizado pela Kroll em parceria com a Legal Week Intelligence, a partir de entrevistas com executivos do setor jurídico de diversos países do mundo. Metade da amostra (51%) pesquisada é formada por diretores jurídicos.
Aproximadamente quatro a cada 10 participantes reportaram expansão de atribuições como planejamento (45%), resposta (43%), monitoramento (40%) e relatórios (37%) antes e após um ataque.
Esta ampliação resulta de ocorrências recentes, como as violações de sistemas do Yahoo! reveladas em 2016, que resultaram no vazamento de dados sensíveis de usuários. Em março deste ano, o próprio portal reconheceu que colaboradores de sua equipe legal tinham informações suficientes para uma investigação já em 2014, mas não o fizeram. O episódio terminou com a renúncia de seu principal conselheiro jurídico.
Diferenças pelo mundo
Ainda que o engajamento do departamento legal com questões cibernéticas configure uma tendência global, o relatório aponta disparidades entre regiões.
Os respondentes da América Latina são os mais confiantes em suas medidas de gestão cibernética. Embora 47% revelem muita preocupação com ataques, pouco mais da metade (57%) acredita na capacidade de suas empresas superarem ocorrências. Em contrapartida, apenas 20% dos respondentes da América do Norte acreditam nesta superação, apesar da maior maturidade cultural e regulatória da região em segurança da informação.
Outro contraste relevante se dá quanto à participação de executivos jurídicos nos Planos de Resposta a Incidentes. Enquanto 53% dos respondentes da Europa e 60% dos da América do Norte se envolvem diretamente, entre os da América Latina nenhum profissional sinalizou engajamento nessa frente.
Os respondentes da América Latina também apresentaram o pior alinhamento com o departamento de TI e o menor índice de treinamento de colaboradores em questões cibernéticas. Na região, 36% dos participantes afirmaram não manter qualquer relação com a área de tecnologia e apenas 20% reportaram capacitação de equipes em suas organizações.
“As maiores companhias da região desenvolveram um planejamento mais maduro para segurança cibernética e resposta a incidentes. No entanto, muitas empresas menores ainda são deficientes em sua postura diante dessa ameaça”, comenta Fernando Carbone, diretor sênior de segurança e investigações cibernéticas na Kroll do Brasil.
“Ao integrar a segurança cibernética ao programa de gestão de riscos corporativos, as empresas podem ampliar seu escopo para abordar riscos adicionais, como os de natureza humana, regulatória e de reputação, bem como questões relacionadas à TI”, analisa.
