Em um mundo cada vez mais digitalizado, temos dois pontos cruciais: a segurança da informação e a transparência nas práticas empresariais. Recentemente, a Comissão de Valores Mobiliários dos Estados Unidos (SEC) apresentou acusações contra a SolarWinds Corporation, uma empresa de software sediada em Austin, Texas, e seu Diretor de Segurança da Informação (CISO), Timothy G. Brown. As acusações alegam fraude e falhas nos controles internos relacionados a riscos e vulnerabilidades de cibersegurança conhecidos.
O caso da SolarWinds ilustra a importância fundamental de empresas adotarem práticas transparentes e rigorosas no que diz respeito à segurança da informação. O principal problema foi alegadamente a falta de divulgação precisa sobre as deficiências nos controles de segurança da SolarWinds e os riscos crescentes que a empresa enfrentava. A SEC alega que a SolarWinds enganou investidores ao exagerar suas práticas de cibersegurança e minimizar ou omitir riscos conhecidos.
Um ponto destacado na acusação foi a disparidade entre as declarações públicas da SolarWinds sobre suas práticas de cibersegurança e as avaliações internas da empresa. Em várias instâncias, os funcionários, incluindo o Diretor de Segurança da Informação, expressaram preocupações sobre a vulnerabilidade dos sistemas da empresa. Essa situação enfatiza a necessidade de uma comunicação transparente e precisa entre os departamentos de segurança da informação e os investidores.
Este caso destaca várias lições importantes para empresas em todo o mundo:
1. Transparência é fundamental: investidores confiam em informações precisas e transparentes. Qualquer discrepância entre as declarações públicas e a realidade interna pode ter sérias consequências legais e financeiras.
2. Investimento em Segurança da Informação: empresas devem investir em medidas de segurança robustas e eficazes. Além disso, devem ser transparentes sobre os desafios que enfrentam e as medidas tomadas para proteger dados sensíveis.
3. Comunicação Interna: Uma comunicação eficaz dentro da empresa é crucial. As preocupações dos funcionários devem ser levadas a sério e os problemas de segurança devem ser discutidos e resolvidos proativamente.
4. Responsabilidade Pessoal: indivíduos nas posições de liderança, especialmente aqueles encarregados da segurança da informação, têm uma responsabilidade pessoal para garantir a precisão das informações divulgadas e a segurança dos ativos da empresa. Este ponto é o mais importante e talvez o divisor de águas no caso da Solarwinds: a responsabilidade pessoal (civil e criminal) dos gestores. Algo muito semelhante aconteceu no passado, após a fraude na Enron, e posteriormente à criação da Lei Sabarnes-Oxley.
Nesse cenário desafiador, torna-se imprescindível a adoção de um ambiente de negócios seguro e transparente. A transparência não apenas fortalece a confiança dos investidores, mas também é essencial para a sustentabilidade e a reputação das empresas em um mundo digital cada vez mais complexo.
Por Umberto Rosti
CEO da Safeway, empresa de cibersegurança do Grupo Stefanini