A Microsoft foi recentemente criticada pelo governo dos EUA e por empresas rivais por não ter conseguido impedir um ataque chinês aos seus sistemas no verão passado. Uma mudança que o gigante tecnológico está a fazer em resposta: associar mais estreitamente a remuneração dos executivos à segurança cibernética.
Em abril, um conselho de revisão do governo descreveu um hack da Microsoft no verão passado atribuído à China como “evitável”. O Conselho de Revisão de Segurança Cibernética do Departamento de Segurança Interna dos EUA apontou “uma cascata de erros” e uma cultura corporativa na Microsoft “que despriorizou os investimentos em segurança empresarial e o gerenciamento rigoroso de riscos”.
Os concorrentes aproveitaram-se do lapso cibernético, com Google publicando uma postagem no blog esta semana destacando as conclusões do governo e observando: “O relatório CSRB também destaca quantos fornecedores, incluindo o Google, já estão fazendo a coisa certa ao projetar abordagens que protegem contra as táticas ilustradas no relatório.”
CrowdStrike exibe com destaque as conclusões do governo em seu site.
Os ataques dos Estados-nação por parte da China e da Rússia estão a aumentar e têm como alvo empresas de toda a economia, bem como o governo e a infraestrutura social dos EUA. A Microsoft tem sido um alvo muito grande, incluindo hacks por parte da Rússia e da China. Há uma pressão crescente do governo dos EUA para que a empresa melhore os seus protocolos de segurança cibernética, com o seu principal advogado corporativo, Brad Smith, a ser chamado para testemunhar no Capitólio.
A Microsoft está em modo de controle de danos. Depois de um hack de contas de e-mail de executivos em janeiro atribuído a hackers russos, a empresa divulgou o incidente em conformidade com as novas regras federais de divulgação de segurança cibernética, embora tecnicamente não fosse um hack “material” que fosse obrigado por lei a compartilhar, levando a discussão em outras empresas sobre onde traçar os limites da nova divulgação. A decisão da Microsoft de vincular a remuneração dos executivos ao desempenho bem-sucedido da segurança cibernética está gerando discussões em outras empresas.
A Microsoft lançou seu Iniciativa Futuro Seguro em novembro e no início deste mês, a empresa delineado em uma postagem no blog de Charlie Bell, vice-presidente executivo de segurança da Microsoft, que como parte de seus objetivos SFI irá “incutir responsabilidade ao basear parte da remuneração da equipe de liderança sênior da empresa em nosso progresso no cumprimento de nossos planos e marcos de segurança”. “
Um porta-voz da Microsoft recusou-se a fornecer detalhes sobre a compensação, mas disse que, como empresa que desempenha um papel central no ecossistema digital mundial, tem uma “responsabilidade crítica” de tornar a segurança cibernética uma prioridade máxima. Faz parte das “importantes mudanças de governança da empresa [made] para apoiar ainda mais uma cultura de segurança em primeiro lugar”, disse o porta-voz.
As empresas muitas vezes fornecem mais detalhes, embora muitas vezes apenas detalhes limitados, sobre as metas de desempenho de remuneração dos executivos em reuniões anuais por procuração, que no caso da Microsoft foi realizada pela última vez em dezembro de 2023.
A segurança cibernética como uma métrica central de risco corporativo e bônus
Tornou-se mais comum que as empresas vinculem uma percentagem dos pagamentos anuais de bónus executivos a vários objectivos que vão além do cumprimento das metas de vendas e lucros. Nos últimos anos, muitas empresas da Fortune 500, incluindo a Apple, adicionaram pagamentos de bônus vinculados a métricas ESG. A gestão de riscos e as metas de segurança fazem parte da remuneração dos executivos há muito tempo, remontando a uma era anterior à ascensão do ESG – por exemplo, empresas de mineração e energia, bem como fabricantes e indústrias, vinculando bônus à segurança ambiental e dos trabalhadores.
As conversas sobre remuneração de executivos ligadas à segurança cibernética começaram a ocorrer em outras empresas desde que a Microsoft tomou sua decisão, de acordo com Aalap Shah, diretor-gerente da consultora de remuneração executiva Pearl Meyer. Não é uma prática predominante de remuneração hoje, disse ele, mas acrescentou: “após o anúncio da Microsoft, recebi telefonemas perguntando: ‘Devemos fazer isso? Funcionaria?’ …Essas conversas são muito semelhantes às que tivemos há alguns anos sobre métricas ESG e uma porcentagem significativa de empresas as adotou.”
Shah disse que é possível argumentar que a segurança cibernética é uma questão central que pode ser equiparada à mineração ou à segurança industrial. Mas há uma grande diferença entre uma empresa de segurança cibernética e, por exemplo, um retalhista, ao defender este caso. E mesmo em setores além da tecnologia e da cibersegurança, onde manter os dados seguros é uma questão central, como os serviços financeiros e os cuidados de saúde – que têm sido alvo de ataques cibernéticos de alto nível – ainda não é um caso claro para vincular a remuneração dos executivos dos funcionários mais seniores. , como um diretor financeiro ou conselheiro geral, para segurança cibernética, versus o diretor de segurança da informação ou diretor de tecnologia, especificamente.
Vincular o pagamento a hacks é um ‘bom lugar para começar’
Algumas empresas defenderão que a segurança cibernética já está enraizada na sua cultura e que tal medida seria redundante, mas com a escalada das ameaças de hackers e a crescente importância dos gastos com segurança cibernética para os resultados financeiros de empresas como a Microsoft, esta nova métrica de remuneração dos executivos pode estar atrasado.
Tornar a remuneração dos executivos dependente, até certo ponto, do cumprimento dos objectivos de cibersegurança é um bom ponto de partida para incutir uma cultura de segurança no topo da hierarquia empresarial que é fundamental para o sucesso, de acordo com especialistas.
“A mensagem mais importante enviada interna e externamente é que é muito importante para a sua cultura e cada vez mais empresas seguirão o exemplo, independentemente de o ganho ser significativo”, disse Shah. “O que eles querem fazer é garantir que isso esteja se tornando culturalmente enraizado, e o caminho para fazer isso é vinculá-lo à compensação”.
“A segurança cibernética tem que estar na cultura da organização”, disse Stuart Madnick, professor de tecnologia da informação no MIT. Mas priorizar a segurança pode ser difícil dentro de uma empresa, disse Madnick, porque muitas vezes significa investir dinheiro em áreas que não estão claramente refletidas nos resultados financeiros. “A cultura corporativa prioriza outras coisas em relação à segurança e ao gerenciamento de riscos”, disse Madnick. “Como você sabe o quão seguro você está? Talvez ninguém esteja mirando em você no momento. Mas se você aumentar as vendas em 20%, isso é dinheiro no banco.”
A pesquisa de Madnick mostra que as lacunas na cultura corporativa são frequentemente culpadas de hacks de alto perfil, e não apenas do exemplo da Microsoft. A prevenção, diz ele, envolve tanto previsão quanto retrospectiva. Em um artigo recente, ele citou estudos do MIT sobre violações de segurança da Equifax e Capital One dos últimos anos como outros exemplos proeminentes. “Embora alguns riscos sejam verdadeiras surpresas que provavelmente não serão reconhecidas antecipadamente, muitos são mais parecidos com o alarme contra roubo conhecido por estar com defeito”, disse ele.
Equifax e Capital One não responderam aos pedidos de comentários.
Madnick descreveu a mentalidade corporativa como, na maioria das vezes, “tomada de decisão sistemática e semiconsciente”. Isso significa que as decisões de gestão são tomadas sem analisar os riscos cibernéticos que estão sendo introduzidos pela decisão. Vincular a remuneração dos executivos a objectivos de segurança não significará necessariamente que a abordagem se evapore de uma cultura empresarial, mas ele disse que tem ressonância simbólica e, a partir desse registo simbólico, a prática pode de facto resultar.
‘Um aborrecimento e um centro de lucro’
Para a Microsoft, os riscos são maiores do que para a maioria das organizações. Suas plataformas e sistemas são tão onipresentes — nas empresas e no governo — que é essencialmente impossível viver sem eles. “Não há alternativa à Microsoft, do ponto de vista da produtividade. É preciso fazer coisas malucas para tentar trabalhar sem ela”, disse Ryan Kalember, vice-presidente executivo de estratégia de segurança cibernética do fornecedor de segurança cibernética Proofpoint.
Somando-se à complexidade da inevitabilidade da Microsoft, disse ele, está a natureza em camadas de suas plataformas, nas quais as iterações sucessivas são muitas vezes apoiadas por aplicativos legados que remontam aos anos 90, antes de ameaças à segurança que se assemelham remotamente ao que existe agora.
O governo dos EUA apelou às maiores e mais antigas empresas de tecnologia para atualizarem os sistemas em que tanto as empresas como os consumidores dependem. No ano passado, a diretora da Agência de Segurança Cibernética e de Infraestrutura, Jen Easterly, disse em uma entrevista à CNBC que segurança cibernética é segurança do consumidor e comparou-a às regulamentações automotivas. “As empresas de tecnologia que há décadas criam produtos e software que são fundamentalmente inseguros precisam começar a criar produtos que sejam seguros por design e seguros por padrão com recursos de segurança integrados”, disse ela.
As plataformas legadas são muito mais fáceis de conectar e construir, em vez de implantar um sistema totalmente novo, mas “é um pesadelo de segurança”, disse Kalember. “Um MS365 para todos, desde o Departamento de Estado até o Joe’s Crab Shack, é um ótimo modelo de negócios, mas não se adapta bem às medidas de segurança tradicionais.”
Os princípios arquitetônicos incorporados em alguns desses sistemas legados foram projetados “quando o ransomware era realmente algo que simplesmente não existia – exceto em disquetes”, disse ele. Isso fez com que a empresa acumulasse enormes quantidades de o que é chamado de “dívida técnica” – décadas disso – que pode ser abusado pelos Estados-nação e permitir que agências de inteligência estrangeiras “roubem tudo o que quiserem”, acrescentou.
A Microsoft está presa entre dois impulsos concorrentes, sendo a segurança “uma combinação de aborrecimento e centro de lucro”, disse Kalember. É um centro de lucro porque a Microsoft é o maior fornecedor mundial de segurança cibernética, alcançando US$ 20 bilhões em receita anual ano passado. Isso torna a medida de compensação “um bom gesto”, disse ele, mas acrescentou: “sem detalhes específicos por trás disso, é muito difícil avaliar”.
Não há detalhes sobre como o pagamento da Microsoft será influenciado
A falta de detalhes sobre a fórmula de remuneração impossibilita uma avaliação adequada do incentivo. Muitas empresas que adotaram métricas ESG o fizeram apenas na parcela de bônus da remuneração dos executivos, e não no plano de incentivos de longo prazo, que é muito mais significativo. “Isso é colocar seu dinheiro onde está sua boca”, disse Shah.
Um bônus pode compreender, em média, 20% da remuneração dos executivos e, especificamente, dentro do conjunto de bônus, métricas financeiras não essenciais, como ESG, contribuem apenas com 20% de um possível pagamento total de bônus. “Quando você tem 20% do total [bonus] compensação e dividi-la em algumas métricas diferentes, até que ponto você está realmente vinculando algo como cibernético a isso?” Shah disse.
Os planos de incentivos de longo prazo vinculados a subvenções de capital, especialmente em tecnologia, são onde o dinheiro real é ganho, e é aí que estes tipos de métricas financeiras não essenciais têm baixa prevalência. Esse seria o local ideal dentro de um plano de remuneração para definir a remuneração de acordo com a segurança cibernética e as metas corporativas de longo prazo, mas é difícil para as empresas conceberem metas de dois a três anos relacionadas à segurança cibernética, privacidade do consumidor e violações de dados que possam ser medido como vendas e lucro. “Será um desafio”, disse Shah. “É o número de incidentes? O cuidado que tenho é o mesmo que com ESG: você quer ter certeza de que não apenas a relevância existe, mas também quer ter certeza de que há metas quantificáveis. Na pressa de adotar, se é subjetivo, então é menos significativo para os acionistas.”
Os conselhos de administração já têm o poder de responsabilizar os executivos todos os anos e decidir fazer ajustes em baixa nos bónus, com base no desempenho, incluindo violações de dados. Até o momento, esse tipo de bônus/incentivo/punição tem sido limitado principalmente aos diretores de segurança da informação, de acordo com Mike Doonan, diretor administrativo da SPMB, uma empresa de recrutamento de executivos onde se especializou em tecnologia. Na sua opinião, é uma comparação imperfeita olhar para o histórico do pagamento de bónus vinculado a métricas como a segurança dos trabalhadores, uma vez que muitos hacks ocorrem devido a vulnerabilidades de terceiros, que muitas vezes estão fora do controlo direto da empresa. Mas Doonan disse que poderia ver esse tipo de incentivo executivo sendo adotado de forma mais ampla, “porque é uma boa ideia de relações públicas dizer que a segurança é uma prioridade máxima em todo o conjunto executivo e pode resultar em melhorias”. Mas ele acha que existe uma maneira ainda melhor de reforçar a defesa corporativa: “economizando o conjunto de bônus e investindo esses dólares em programas de segurança”.