Os riscos de cibersegurança estão se tornando mais sistemáticos e mais graves. Embora os impactos de curto prazo de um ataque cibernético em uma empresa sejam bastante severos, os impactos de longo prazo podem ser ainda mais importantes, como a perda da vantagem competitiva, a redução na classificação de crédito e o aumento dos prêmios de seguro cibernético. Eles não devem ser ignorados. Para abordar essas preocupações de forma eficaz, as empresas precisam: 1) ter um defensor da cibersegurança no conselho para ajudar a definir o tom da organização e 2) desenvolver uma estratégia de segurança cibernética de longo prazo, que deve ser uma prioridade para todas as organizações.
Os riscos cibernéticos estão aumentando vertiginosamente. O mais recenteRelatório de violação de dados da IBM revelou que alarmantes 83% das organizações sofreram mais de uma violação de dados em 2022. De acordo com oRelatório de investigações de violação de dados da Verizon de 2022, o número total de ataques de ransomware aumentou 13%, o que representa um aumento igual ao dos últimos cinco anos juntos. A gravidade da situação continua evidente com a divulgação pública de pelo menos 310 incidentes cibernéticos que ocorreram somente nos últimos três meses, de acordo com janeiro, fevereiro, e Março dados da Governança de TI. Isso inclui o ChatGPT da OpenAI, que expôs as informações relacionadas a pagamentos e outras informações confidenciais de1,2% de seus assinantes do ChatGPT Plus devido a um bug em uma biblioteca de código aberto usada. Além disso,Semicondutor Samsung registrou três incidentes em que funcionários vazaram acidentalmente informações da empresa ao usar o ChatGPT.
Bilhões de dólares perdidos em capitalização de mercado com um efeito cascata são comuns
É sabido que um incidente cibernético pode reduzir o preço das ações de uma organização, especialmente no curto prazo. As empresas de capital aberto sofreram uma queda média de 7,5% no valor de suas ações após uma violação de dados, juntamente com uma perda média de capitalização de mercado de $5,4 bilhões. Ainda mais preocupante é o fato de que foram necessários 46 dias, em média, para que essas empresas recuperassem os preços de suas ações aos níveis anteriores à violação, se é que conseguiram.
É importante ressaltar que esse impacto pode repercutir em toda a cadeia de suprimentos, criando um efeito cascata que pode causar até 26 vezes a perda para o ecossistema de negócios de uma empresa. Por exemplo,um ataque de ransomware à ION Trading Technologies em 31 de janeiro deste ano, as instituições financeiras se esforçaram para confirmar as negociações manualmente. Da mesma forma, uma violação de segurança de um fornecedor terceirizado da Okta evitou$6 bilhões fora da capitalização de mercado da empresa durante a semana em que o incidente foi divulgado. Em outras palavras, você é tão bom quanto seu elo mais fraco.
Impactos de longo prazo estão surgindo e podem ser mais significativos do que o esperado
Embora as flutuações nos preços das ações possam ser fáceis de gerenciar para alguns executivos, os efeitos duradouros dos incidentes cibernéticos nas empresas estão se tornando mais aparentes.
Primeiro, um incidente cibernético consumirá diretamente os recursos da empresa, levando a um aumento no custo de fazer negócios. Em 2022, o custo médio global de uma violação de dados atingiu$4,35 milhões, enquanto o número é mais que o dobro nos EUA, com média de $9,44 milhões. Essas despesas podem incluir tudo, desde pagamentos de resgate e receitas perdidas até tempo de inatividade da empresa, remediação, taxas legais e taxas de auditoria. Por exemplo, as taxas de auditoria para empresas após violações de dados podem ser de cerca de13,5% maior do que aquelas para empresas sem violações. Embora milhões de dólares em perdas possam levar uma pequena empresa à falência, mas não afetem muito uma empresa pública, os atacantes geralmente são “inteligentes” o suficiente para causar mais problemas às empresas maiores. Por exemplo, ataques de ransomware tiveram um impacto financeiro muito maior no setor de saúde, com mais$7,8 bilhões perdido apenas devido ao tempo de inatividade em 2021.
Além disso, esses custos podem ser repassados aos clientes e investidores, limitando a capacidade da empresa de manter sua posição no mercado. Por exemplo,60% das organizações que sofreram violações de dados aumentaram seus preços. Em média, empresas que enfrentam um incidente significativo de violação de dadosdesempenho inferior ao NASDAQ em 8,6% após um ano, e essa diferença pode aumentar para 11,9% após dois anos.
Além disso, os riscos cibernéticos podem resultar em um rebaixamento da classificação de crédito, afetando a capacidade e o custo de uma empresa de garantir financiamento. Por exemplo, empresas com práticas de cibersegurança mais fracas podem enfrentar maiores custos de empréstimos e maior risco financeiro, poisA Moody’s foi anunciada em 2018 que avaliaria as práticas de segurança cibernética das empresas ao atribuir classificações de crédito. Na verdade,Moody’s reduziu a classificação de crédito da Equifax em 2019 após a violação de dados da Equifax que ocorreu em 2017.
Não deixe que o cibercrime prejudique seus resultados
É claro que as ramificações dos incidentes cibernéticos vão além de uma redução de curto prazo no preço das ações, e é essencial que os executivos se preparem para os impactos de longo prazo. Uma estratégia de resposta sistemática e uma atitude proativa do cliente — como liderar com medidas de cibersegurança já implementadas, adotar melhorias planejadas e praticar exercícios de combate a incêndio — provaram ser eficaz na redução dos impactos negativos dos incidentes cibernéticos. Para se preparar para a perspectiva de longo prazo, aqui estão dois esforços essenciais que os executivos devem realizar:
Coloque um campeão de cibersegurança no conselho
Essa é a primeira tarefa que os executivos devem realizar para proteger suas empresas. Ter esse campeão pode não apenas ajudar a responder a incidentes cibernéticos, mas também manter a segurança cibernética como uma frente estratégica e transmitir conhecimento sobre segurança cibernética à diretoria.
Atualmente, a segurança cibernética está muito mais incorporada ao cenário operacional, incluindotornando a segurança cibernética uma prioridade máxima para os conselhos por meio de comunicações eficazes e no desenvolvimento de processos de gerenciamento ágeis. Além de ter um CIO ou CISO no conselho para assumir a responsabilidade pela segurança cibernética, um CEO ou CFO com experiência relacionada também pode reduzir efetivamente o risco de segurança cibernética e manter a empresa longe de um incidente cibernético.
Desenvolva uma estratégia de segurança cibernética de longo prazo
O segundo esforço fundamental que os executivos devem empreender é adotar uma estratégia de cibersegurança de longo prazo, em vez de uma abordagem reativa de curto prazo. Embora o investimento no gerenciamento de riscos cibernéticos possa afetar inicialmente seus recursos geradores de receita no curto prazo, valerá a pena no longo prazo.
UMAestudar de 5.882 hospitais dos EUA descobriram que aqueles que substancialmente a segurança de TI adotada e profundamente integrada em processos e estruturas, em vez de simplesmente adotarem de forma simbólica, poderia efetivamente reduzir 37,8% das violações de dados. Empresas com melhores políticas de segurança cibernética, como aquelas que têm um CISO dedicado, conduzem auditorias regulares e participam de programas de compartilhamento de ameaças, podem recuperar os preços de suas ações dentro desete dias. Por outro lado, aqueles com má postura de segurança podem levar muito mais tempo para se recuperar, com uma média de 90 dias.
A segurança cibernética deve ser uma prioridade em toda a organização, pois os funcionários estão sempre na linha de frente para mitigar os riscos de segurança cibernética. A segurança cibernética deve fazer parte dedescrição do cargo de cada funcionário. Considere novamente o incidente de violação de dados da Samsung Semiconductor, em que funcionários enviaram código-fonte ultrassecreto ao ChatGPT para correção de erros. Esse incidente não foi devido a uma fraqueza técnica, mas sim a uma questão cultural e operacional. Uma forte cultura de cibersegurança pode ajudar seus funcionários a evitar esse incidente cibernético não intencional e, ao mesmo tempo, permitir que eles aproveitem simultaneamente os benefícios de inovações digitais de ponta, como o ChatGPT.
. . .
Os riscos de cibersegurança estão se tornando mais sistemáticos e mais graves. Embora os impactos de curto prazo de um ataque cibernético em uma empresa sejam bastante severos, os impactos de longo prazo podem ser ainda mais importantes, como a perda da vantagem competitiva, a redução na classificação de crédito e o aumento dos prêmios de seguro cibernético. Eles não devem ser ignorados. Para que as empresas lidem com essas preocupações de forma eficaz, é necessário que haja um defensor da cibersegurança no conselho para ajudar a definir o tom da organização e desenvolver uma estratégia de segurança cibernética de longo prazo, que deve ser uma prioridade para todas as organizações.
Agradecimento: A pesquisa relatada neste artigo foi apoiada, em parte, por fundos do NSFC 6217071254 e dos membros do consórcio Cybersecurity at MIT Sloan (CAMS).
