A ascensão dos desafios de segurança cibernética para CFOs de fundos privados
Os chief financial officers (CFOs) de fundos privados não são experts em segurança cibernética, mas precisam ser especialistas em relação à gestão de risco operacional. Como os ataques cibernéticos representam uma ameaça financeira e reputacional significativa para as organizações, os CFOs desempenham um papel importante na segurança cibernética. Eles trabalham em estreita colaboração com os chief information security officers (CISOs) para avaliar potenciais ameaças, priorizá-las com base no impacto financeiro e implementar estratégias para mitigar riscos de maneira eficaz.
Por que os CFOs devem se preocupar com a segurança cibernética? A estratégia de segurança cibernética de uma empresa afeta diretamente os investidores, representando riscos financeiros e pessoais caso suas informações sejam comprometidas. De acordo com a Cybersecurity Ventures, espera-se que o crime cibernético custe US$10,5 tri globalmente até 2025.
Além das preocupações reputacionais, os CFOs têm obrigações regulatórias de reporte que incluem a segurança cibernética. De acordo com as regulamentações da U.S. Securities and Exchange Commission (SEC), eles devem reportar um incidente relevante de segurança cibernética em até quatro dias. Além de estarem envolvidos com o compliance em relação às regras estabelecidas pela SEC, os CFOs também podem precisar aderir ao Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – GDPR) da União Europeia e à California Consumer Privacy Act (CCPA), entre outras regulamentações. Os CFOs devem, portanto, trabalhar em conjunto com diretores jurídicos, auditores internos, CISOs e outros indivíduos visando o compliance. Eles também devem responder às consultas do conselho de administração e de limited partners (LPs) sobre incidentes cibernéticos, bem como a publicações anuais relacionadas à gestão, estratégia e governança de riscos cibernéticos.
Para atender a esses requerimentos de compliance e preservar a confiança dos investidores, os CFOs devem abordar diversos riscos de segurança cibernética para reduzir possíveis impactos.
Os 5 principais riscos de segurança cibernética para CFOs
1º Risco | Ataques de phishing
Phishing é um tipo de ataque cibernético em que os invasores se passam por empresas ou indivíduos reais para roubar informações confidenciais, como nomes de usuário, senhas e outros dados sensíveis. Eles também costumam induzir os funcionários a transferir dinheiro por meio de solicitações de transferência bancária fraudulentas ou faturas de fornecedores. Geralmente são veiculados via e-mail, ligações e até mesmo mensagens de texto enganosas que são redigidas para parecerem vir de fontes confiáveis, dificultando a detecção.
As perdas com fraudes em investimentos aumentaram para US$4,57 bi em 2023, um aumento de 38% em relação ao ano anterior, de acordo com o U.S. Federal Bureau of Investigation (FBI). Para mitigar esses riscos, os CFOs devem adotar uma abordagem proativa. O treinamento anual dos colaboradores ajudará os times a reconhecer e reportar tentativas de phishing. A implementação de ferramentas avançadas de segurança de e-mail, como filtros de spam e sistemas de detecção de ameaças, pode bloquear mensagens maliciosas antes que elas cheguem às caixas de entrada. A autenticação multifator (multi-factor authentication – MFA) também adiciona uma camada extra de proteção, dificultando o acesso de invasores às contas, mesmo que as credenciais estejam comprometidas. Ao implementar uma estratégia de prevenção que inclua tecnologia, treinamento de colaboradores e controles internos eficazes, os CFOs podem reduzir significativamente a probabilidade de um ataque de phishing bem-sucedido.
2º Risco | Ransomware
Cibercriminosos utilizam ransomware para criptografar os dados de uma empresa e exigem um pagamento de resgate para restaurar o acesso. Os invasores frequentemente disseminam ransomware por meio de softwares comprometidos ou e-mails falsos, o que representa um desafio constante para os CFOs. Em 2024, os ataques de ransomware apresentaram uma tendência ascendente e continuam em alta no início de 2025.
Para mitigar esse risco, os CFOs devem adotar uma estratégia de segurança cibernética em várias camadas. A implementação de ferramentas avançadas de detecção de ameaças ajuda a identificar e isolar ameaças antes que elas causem danos. Atualizar o software regularmente e corrigir vulnerabilidades reduz as chances de invasores encontrarem falhas na segurança. Os CFOs também devem seguir uma estratégia rigorosa de backup de dados para manter seguros os backups offline que permitem a restauração de dados sem a necessidade de pagamento de resgate.
3º Risco | Violações de dados
Uma violação de dados pode ter consequências financeiras e reputacionais devastadoras para as empresas, levando a multas regulatórias, custos jurídicos, interrupções operacionais e danos à reputação. De acordo com Relatório de Custo de uma Violação de Dados da IBM, o custo médio de uma violação foi de US$4,88 mi em 2024, o que representou um aumento de 10% em relação a 2023 e o maior total já registrado.
Para os CFOs, mitigar este risco exige uma abordagem proativa que inclui investir em uma infraestrutura de segurança cibernética eficiente, realizar testes de penetração (pentests) éticos, implementar controles de acesso rigorosos, realizar avaliações regulares sobre riscos e garantir o compliance com as regulamentações da indústria. Além disso, realizar um planejamento anual de resposta a incidentes pode ajudar a prevenir violações com custos elevados.
4º Risco | Ameaças internas
Ameaças internas de colaboradores atuais ou antigos podem resultar em danos significativos, considerando o conhecimento e o acesso destes usuários a sistemas e dados internos. Ameaças internas, intencionais ou acidentais, podem levar a perdas financeiras, violações de dados e danos à reputação. De acordo com uma pesquisa da DTEX Systems and the Ponemon Institute, o custo médio de um incidente de ameaça interna aumentou de US$6,2 mi em 2023 para US$17,4 mi em 2025.
Os CFOs devem implementar protocolos rigorosos de controle de acesso. Controles de acesso baseados em funções e atributos fornecem aos funcionários acesso aos dados necessários para suas funções, reduzindo o potencial de exposição não autorizada. Auditorias regulares sobre as permissões de acesso dos usuários ajudam a identificar e remover privilégios desnecessários, especialmente para funcionários que estão sendo desligados ou em transição de função. O monitoramento da atividade dos usuários a partir de análises comportamentais pode detectar ações suspeitas, como downloads de dados ou tentativas de login incomuns. Ao combinar salvaguardas tecnológicas com políticas internas, os CFOs podem reduzir o risco de violações de segurança relacionadas a informações internas.
5º Risco | Riscos de terceiros
Fornecedores terceirizados representam um risco significativo à segurança cibernética, pois frequentemente têm acesso a dados financeiros confidenciais e aos sistemas da empresa. Uma violação na rede de um fornecedor pode criar um ponto de entrada para cibercriminosos, levando a roubo de dados, fraudes financeiras e violações regulatórias. De acordo com o estudo de Gestão de Risco de Terceiros da Prevalent, 61% das empresas precisaram lidar com uma violação de dados de terceiros ou um incidente de segurança cibernética no ano anterior.
Os CFOs devem implementar uma estratégia abrangente de gestão de riscos de fornecedores. A realização de due diligence antes do onboarding de colaboradores terceirizados esclarecerá se eles atendem aos padrões de segurança cibernética da empresa, como uso de criptografia de dados, MFA e compliance com as regulamentações. Estabelecer um acordo de nível de serviço (service level agreement – SLA) que descreva avaliações de segurança obrigatórias, cronogramas de notificação de violações e cláusulas de responsabilidade pode reforçar a responsabilização do fornecedor. Além disso, restringir o acesso do fornecedor apenas aos dados e sistemas necessários para sua função minimiza uma exposição em potencial.
Fortalecendo a resiliência da segurança cibernética
À medida que as ameaças cibernéticas evoluem, os CFOs desempenham um papel fundamental na proteção de suas empresas contra riscos financeiros e operacionais. Ataques de phishing, ransomware, ameaças internas e vulnerabilidades de terceiros representam desafios importantes que exigem uma estratégia de defesa proativa e multicamadas. Fortalecer a resiliência da segurança cibernética não é apenas uma preocupação de TI – é uma iniciativa estratégica que protege a estabilidade financeira, a confiança dos investidores e o sucesso empresarial a longo prazo.
Prospere no atual contexto de rápida transformação
Quer aprofundar seus conhecimentos sobre o cenário da gestão de ativos? Nosso relatório mais recente – uma colaboração entre a TMF Group, a Drawbridge, provedora de software e serviços de segurança cibernética, e a gestora global de ativos Schroders – analisa como os gestores de ativos e seus investidores podem prosperar no contexto atual em rápida transformação. Saiba mais sobre o guia "Sobrevivência do mais adaptado – Um guia para o sucesso" aqui.
