Para 77% dos CEOs, empresas estão complexas demais para segurança - WHOW

Tecnologia

Para 77% dos CEOs, empresas estão complexas demais para segurança

Estudo aponta que acesso remoto, integrações de sistemas e corrida pela inovação dificultam ações de segurança digital nas empresas brasileiras

POR Marcelo Almeida | 25/11/2021 17h04

Estudo da PwC, divulgado na quarta-feira (24) ,aponta que a maioria dos líderes de organizações brasileiras têm uma visão um tanto pessimista em termos de segurança: 77% deles acreditam que as companhias se tornaram complexa demais para conseguirem se proteger de uma forma adequada de ataques. No mundo inteiro, esse porcentual entre os líderes fica em 75%.

O estudo, denominado “Digital Trust Insights 2022”, aponta que membros da diretoria, do conselho e líderes de TI e segurança também estão preocupados que a questão do excesso de complexidade nas organizações as exponha a riscos cibernéticos e de privacidade.

Isso se deve, em parte, ao fato de que os profissionais acessam sistemas empresariais por diversos aparelhos, tornando mais difícil criar uma estratégia de segurança cibernética. Muitas vezes, os ataques cibernéticos miram funcionários desavisados por meio de estratégias de phishing para conseguir informações privilegiadas.

Como evitar que um funcionário clique em um link suspeito, por exemplo, durante as centenas de interações, cliques e leituras de e-mails que ele faz durante o dia nos mais diversos dispositivos? Por mais que educar os funcionários possa resolver esse problema em certa medida, essa não é nem de longe a única estratégia usada pelos crackers para disseminar malwares e invadir sites. O problema é mais embaixo.

Dandara Aranha, head de Segurança e Riscos da Grafeno, empresa que oferece uma plataforma que garante uma estrutura bancária e regulatória para a movimentação financeira entre credores e empresas, concorda com a opinião dos empresários e dá exemplos de como essa complexidade se mostra no dia-a-dia das empresas.

“No mundo hiperconectado de hoje, as empresas têm desafios muito maiores e complexos para montarem uma estratégia eficiente de cibersegurança. Elas precisam considerar várias áreas de risco em todo o seu ecossistema”, afirma a especialista. “A transformação digital criou um ambiente de competição cada vez mais intenso e as empresas podem obter vantagem usando tecnologias de ponta para criar novos produtos e serviços e fornecer melhores experiências ao cliente. Para isso, é comum que s busquem novos parceiros para ajudar a expandir seu alcance e suprir essas necessidades tecnológicas. Essas relações são diversas, impactando áreas como dados, marketing, atendimento, serviços de TI e nuvem. As fusões entre esses sistemas muitas vezes multiplicam os riscos, conectando redes já complexas de sistemas, o que os torna exponencialmente mais complexos. Isso eleva os níveis de riscos e custos cibernéticos de forma perigosa e torna toda a gestão da segurança muito mais difícil e complexa”.

Segundo Dandara Aranha,, novos modelos de trabalho, como o home office, também contribuem para tornar a estratégia de cibersegurança ainda mais complexa, assim como os novos tipos de ataques de phishings e ransomwares que surgem a todo momento.

“Para montar uma estratégia eficiente de cibersegurança, é preciso que ela esteja incorporada em todo o ecossistema de negócios e ser suficientemente ágil para se adaptar à velocidade e ao volume de dados exigidos pelas transações diárias, ao mesmo tempo em que é capaz de lidar com a complexidade e a multiplicidade de ameaças em um mundo digital. Ao desenvolver novos produtos e serviços, a empresa precisa encontrar o equilíbrio certo entre inovação e risco. Exige também a atenção e apoio de CEOs e alta direção, que precisam auxiliar e investir na conscientização e mudanças de mentalidade de toda a equipe de gestão”, afirma.

Investimento em segurança

Por outro lado, a pesquisa também traz dados mais animadores.

No Brasil, 83% das organizações preveem um aumento nos gastos em segurança digital em 2022, em comparação com 69% no mundo. Para medida de comparação, em 2020 esses índices ficaram em 55% e 57% , respectivamente.

Além disso, 45% dos brasileiros (26% no mundo) preveem aumento de gastos ciber acima de 10% – ano passado apenas 14% faziam essa previsão (e 8% no mundo).

Em relação ao orçamento das empresas, neste ano de 2021 o percentual do orçamento de TI destinado à cibersegurança foi distribuído da seguinte forma:

  • 7% das empresas destinaram menos de 5%
  • 18% destinaram entre 5% e 7%
  • 25% destinaram de 8% a 10%
  • 11% destinaram de 11% a 15%
  • 10% destinaram de 16% a 20%
  • 7% destinaram de 21% a 30%
  • 2% destinaram de 31% a 40%
  • 0% destinaram de 41 a 50%
  • 2% destinaram mais de 50%

Para 2022, a previsão para a maioria dos entrevistados (81%) é que haja um aumento de no mínimo 6% dos investimentos na área, sendo que 33% dizem que irão aumentar o orçamento em 15% ou mais.

Papel dos CEOs na segurança das empresas

De acordo com o estudo, os CEOs podem fazer a diferença nesse cenário.

“Os CEOs das empresas com melhores resultados de segurança cibernética nos últimos dois anos têm 14 vezes mais probabilidade de fornecer suporte relevante ao CISO (chief information security officer, ou diretor de segurança da informação, em tradução livre para o português) em todas as áreas que pesquisamos. Nessas mesmas empresas, os executivos por eles liderados têm 12 vezes mais probabilidade de dizer que seus CEOs oferecem esse apoio relevante”, diz o estudo.

Não basta apenas montar um time e cobrar dele que tudo ocorra da melhor forma possível e imaginável, sendo necessário dar o suporte que for necessário aos líderes dessa área sempre que for preciso.

Além disso, os pesquisadores perguntaram qual é o nível de envolvimento dos CEOs com os temas de segurança cibernética e destacaram que “no Brasil, a visão dos CEOs sobre seu papel coincide aproximadamente com a dos integrantes da sua equipe executiva: eles se veem como mais engajados na discussão de métricas e questões cibernéticas e de privacidade do que como estratégicos ou reativos a problemas nessa área”.

De forma geral, o estudo aponta que os CEOs têm maior probabilidade de se envolver com questões cibernéticas e relacionadas à privacidade quando ocorre algum tipo de violação ou se existe algum contato por parte de agências reguladoras. Fora desses casos, segue sendo uma questão tratada de forma esporádica e sem muito senso de urgência.

Possíveis soluções

Para os especialistas responsáveis pelo estudo, um dos caminhos para melhorar a segurança das empresas passa pela simplificação.

No entanto, em algumas áreas isso pode ser meio utópico, já que empresas, sobretudo do setor de tecnologia, precisam estabelecer uma infraestrutura digital, e integrar uma série de sistemas e programas.

Mas os autores do estudo no Brasil, Eduardo Batista, Edgar D’Andrea e Fernando Mitre, acreditam que é possível simplificar, de forma consciente e deliberada, ao mesmo tempo que se preserva o que a complexidade traz de positivo para as companhias. “Caso contrário, ataques cibernéticos mais devastadores do que os ocorridos nos últimos 10 meses – que deverão fazer de 2021 o pior ano de segurança cibernética já registrado – podem se multiplicar”, advertem eles.

Simplificar, porém, parece um termo bastante amplo e genérico demais. No estudo, o termo é definido como “romper com maus hábitos que surgiram nos últimos anos em nome da velocidade ou com práticas que resistem à mudança.”

Como exemplos de maus hábitos a serem eliminados, são apontados:

  • Implementar produtos sem considerar a segurança;
  • Permitir que unidades de negócio tomem decisões autônomas e não verificadas de compra de tecnologia ou contratação de terceiros;
  • Gerenciar a área cibernética e a privacidade separadamente do gerenciamento de riscos corporativos;
  • Não coordenar o trabalho das diversas funções envolvidas na continuidade do negócio e na gestão de crises;
  • Não ter uma estrutura única para governar os dados;
  • Não falar em linguagem de negócios ao abordar questões do ciberespaço;
  • Centralizar demais ou dar muita autonomia à unidade de negócios.