Incidentes cibernéticos podem ter impactos negativos nas classificações de crédito das organizações. Agências de rating agora consideram este tipo de risco como um fator determinante, alertando que a falta de remediação rápida ou planejamento adequado pode resultar em rebaixamentos nas classificações.
Marta Schuh (*)
A segurança cibernética não é mais uma questão isolada da área de Tecnologia da Informação (TI). Ela emergiu como uma preocupação central para diretores corporativos, impulsionada pelo crescente interesse dos investidores na supervisão eficaz do conselho e na responsabilização pela gestão de riscos.
Com a imposição da nova regulamentação da SEC, que passa a valer a partir de 15 de dezembro para a maioria das empresas com American Depositary Receipts (ADRs), o arquivamento de relatórios anuais se torna obrigatório e as empresas estão sendo incentivadas a adotar medidas de governança cibernética para proteger seus ativos digitais e mitigar os riscos associados à cibersegurança.
Diante do crescente interesse dos investidores na supervisão eficaz do conselho e na responsabilização pela gestão de riscos, os conselhos visionários reconhecem a forte governança cibernética como um impulsionador de valor. Enquanto isso, os diretores agora enfrentam uma investigação em relação às violações de dados, que não apenas ameaçam a reputação, mas também impactam os resultados financeiros das organizações.
O diálogo significativo sobre estratégias defensivas tornou-se crucial, especialmente diante das ameaças em constante evolução, como ransomware e comprometimento da cadeia de suprimentos. Quando violações de dados ou interrupções operacionais ganham as manchetes, os danos não se limitam à reputação ou à sala de crise de TI. Surpreendentemente, incidentes cibernéticos também podem ter impactos negativos nas classificações de crédito das organizações. Agências de classificação agora consideram este tipo de risco como um fator determinante, alertando que a falta de remediação rápida ou planejamento adequado pode resultar em rebaixamentos nas classificações.
Investidores de private equity e fundos também avaliam a governança cibernética solicitando informações, as quais incluem políticas e processos estabelecidos, bem como se a empresa possui um seguro cyber, para aportar investimentos – impactando assim empresas que não são listadas mas que desejam atrair rodadas de aporte de capital.
Isso porque os efeitos de um incidente vão desde danos à reputação até impactos financeiros significativos, incluindo perdas de receita, custos imprevistos de gestão de crises, honorários consultivos e até mesmo custos de empréstimos mais elevados. A crise instaurada na área de TI pode se refletir no balanço, desencadeando efeitos negativos em toda a organização.
Monitoramento contínuo
Os conselhos desempenham um papel vital na garantia do monitoramento contínuo e no planejamento de cenários. Testes rigorosos dos planos de resposta a incidentes devem considerar as consequências na qualidade do risco, visando a proteção não apenas da reputação, mas também dos acionistas, além de outras questões estratégicas do negócio.
Os investidores agora consideram o seguro cibernético não apenas como uma proteção financeira, mas como um indicador de maturidade no gerenciamento de riscos cibernéticos, já que o processo inclui uma avaliação de maturidade e, consequentemente, a tomada das perdas relacionadas a um incidente em potencial por uma terceira parte – no caso a seguradora.
Em tempos de incerteza, investidores buscam empresas com perspectivas sólidas sobre como manter suas classificações de crédito seguras, mesmo diante das ameaças internas e externas. A segurança cibernética não é mais uma questão isolada de TI, mas uma parte integrante da estratégia corporativa e da governança, destacando-se como um diferencial competitivo no ambiente empresarial atual.
(*) Diretora de Seguros Cibernéticos e Tecnológicos na Howden Brasil