Responsabilização no pós-incidente: Quais os impactos sobre o CISO

Diante de grandes mudanças no contexto regulatório brasileiro e internacional focado em Cibersegurança, como projetos para fortalecer a Estratégia Nacional de SI, uma dúvida constante tanto de líderes do setor quanto dos times jurídicos é como devem ficar a percepção das responsabilidades direcionadas tanto aos profissionais executivos quanto da própria organização, como pessoa jurídica.

Ocorrências anteriores em empresas de grande porte chamam a atenção nesse sentido, como na Uber em 2016, quando a empresa sofreu uma invasão cibernética sem precedentes. À época, o CISO da organização, Joseph Sullivan, foi condenado por obstrução da Justiça e omissão grave de crime, ao ocultar das autoridades norte-americanas que a companhia custeou a extorsão dos ciberatacantes.

Conforme explica o Sócio da VLK Advogados e especialistas em direito digital, Rony Vainzof, o incidente reforça como Líderes de Cibersegurança e de Negócios podem estar sujeitos a sanções judiciais quando consideradas situações de consciência sobre um ato ilícito após o incidente. De acordo com ele, crises de alto impacto como esse ressaltam a demanda por maior definição sobre os papéis e responsabilidades dos executivos.

“Vemos essa cobrança maior, por exemplo, a partir de regulações como a NIS2, da União Europeia, que, embora não tenha força de lei, define como dever dos órgãos de gestão aprovarem medidas contra riscos de Cyber, além da responsabilização em casos de infrações cometidas. Ainda que esse controle seja direcionado aos Conselhos Administrativos, o CISO atua de forma crucial para criar as respostas aos incidentes que abrem tal caminho”, disse ele, em entrevista à Security Report.

Vainzof explica que uma medida para mitigar a possibilidade de sanções contra a organização ou seus executivos é ampliar os trabalhos de governança e proteção da Liderança de SI, estabelecendo cláusulas de limitação de responsabilidade. Isso inclui medidas como apólices de Seguro focados nos CISOs, decisões colegiadas dos executivos oficializadas em documentos oficiais, para garantir que todos sejam resguardados em responsabilidades compartilhadas.

Além disso, as organizações devem estabelecer planos claros e eficientes de resposta a crises cibernéticas, devidamente testados e avaliados. Esses projetos devem considerar todas as principais causas raízes de incidentes cibernéticos para a empresa, como risco de credenciais comprometidas, phishing, configuração de nuvem, MFA, demandas por Zero Trust e a aplicação de novas tecnologias, como Inteligência Artificial.

“O ponto mais relevante é que todas as empresas estão sujeitas a ataques cibernéticos. E essas operações hostis estão cada vez mais complexas e sofisticadas, utilizando informações estratégicas para direcionar maiores impactos ao negócio. Por isso, quanto mais diligente a empresa e o CISO puderem ser para compreender e responder a cenários de risco, menor será a possibilidade de um impacto jurídico desse tipo”, conclui.