Detecção e mitigação de ameaças estão mais difíceis. Um quarto das empresas relata aumento de prejuízos financeiros causados por violações
Ao longo do ano passado, em todo o mundo, as equipes de TI assistiram, horrorizadas, a uma sequência de violações de segurança corporativa divulgadas pela mídia. Mas as manchetes que revelam apenas uma fração do que realmente ocorreu. O uso da tecnologia digital se expande a cada dia, assim como o número de criminosos cibernéticos à espreita na “Darknet”, que estão prontos e dispostos a tirar proveito de quaisquer pontos fracos na tecnologia que forem capazes de detectar. Como resultado, conforme destacado na Pesquisa do Estado do Cibercrime dos EUA de 2018, organizações de todos os tipos e tamanhos sofreram um ataque cibernético que levaram a prejuízos bilionários.
Essas tendências indesejáveis estão pressionando mais e mais empresas a levar a segurança da TI mais a sério, o que é bom. Mas os problemas ainda permanecem no fronte da governança.
Embora mais tempo e recursos são a direcionados à segurança do que nunca, muitas organizações enfrentam dificuldades em controlar o cenário de ameaças em constante evolução. De fato, aproximadamente um quarto (23%) das empresas pesquisadas relataram maiores perdas financeiras do que no ano anterior decorrentes de ataques virtuais.
Uma das desvantagens da explosão do digital no ambiente de trabalho é que ela expande o terreno de caça para os criminosos. Quanto mais dispositivos conectados a uma rede corporativa – e em algumas organizações que já têm em andamento casos de uso de IoT, podem existir centenas de milhares ou milhões de endpoints -, maiores são as possibilidades para os criminosos encontrarem o caminho. Para agravar o cenário, cada vez mais o mercado exige maiores conexões – entre empresas e clientes, entre parceiros e fornecedores. Mas no ambiente digital atual, maior acessibilidade é praticamente sinônimo de maior superfície de ataque.
O cenário de infraestrutura mais diversificado também introduz outra armadilha: dificulta a detecção de violações. Em 2016, o tempo entre a intrusão e a detecção de um ataque foi de 80,6 dias. Um ano depois, 92,2 dias e, no ano passado, 108,5 dias. Isso também sugere que os cibercriminosos estão se tornando mais sofisticados e lançando ataques mais complexos.
O resultado de tudo isso é que os incidentes de segurança têm um impacto maior nos negócios do que nunca. Independentemente de uma violação expor um armazenamento massivo de dados de PII ou de um ataque DDoS cessar uma empresa por horas ou dias, não é apenas o bottom line que sofre um golpe. O mesmo acontece com a marca e a reputação da empresa – duas palavras que ressoam em voz alta entre clientes e acionistas, sem mencionar outras partes interessadas da empresa, como parceiros e fornecedores.
Sob essa luz, é perfeitamente compreensível que os marcos regulatórios estejam sendo revisitados e reescritos. Depois de um ataque cibernético bem-sucedido, cerca de 84% dos entrevistados da pesquisa tiveram que notificar indivíduos; órgãos reguladores; empresas afetadas; ou o governo. Em 2017, esse número foi de apenas 31%.
De acordo com o relatório, aproximadamente 58% das empresas afirmam que seus principais executivos de segurança informam seus conselhos de administração sobre questões cibernéticas pelo menos trimestralmente. O número de companhias que não mantêm suas diretorias no ciclo de segurança diminuiu de 29% em 2017 para 19% em 2018.
Embora houve algum progresso inquestionável, muito mais ainda pode ser feito – e, de acordo com o levantamento, parece que o C-level é o lugar para se começar. Os entrevistados da pesquisa disseram que, de todos os grupos que precisavam de mais educação e treinamento em segurança, os executivos de nível mais alto foram citados por 55%.
Outra área que precisa de melhorias é a prevenção básica de segurança. A pesquisa constatou que, enquanto 66% das organizações estão mais preocupadas com ataques cibernéticos do que no ano anterior, muitas ainda estão aquém de contemplar medidas preventivas ou pós-ataque. Apenas 65% delas têm um plano formal de resposta a incidentes e, dos que o fazem, apenas 44% testam pelo menos uma vez por ano. O perigo aqui é óbvio: quando um ataque acontece e uma resposta precisa ser coordenada na hora, tudo fica mais complicado, e há mais chances das coisas darem errado.
A porcentagem de executivos de segurança que se reportam diretamente ao CEO caiu de 35% em 2017 para 28% no ano passado. Enquanto isso, a porcentagem de CISOs (Chief Information Security Officer) que respondem ao CIO aumentou de 16% em 2017 para 25% em 2018. Do ponto de vista de governança corporativa, isso pode parecer um avanço. Mas é isso mesmo? Ou há conflitos de interesse entre esses reinos?
Frequentemente, quando as companhias adotam um novo app, plataforma ou serviço digital, é compreensível que elas desejam implantar tudo o mais rápido possível. Elas podem ter investido consideravelmente no novo serviço e querem colocá-lo em prática para que possam alcançar o retorno desse investimento. Mas às vezes, na pressa da empresa em lançar, análises de segurança e vulnerabilidades são perdidas no processo, ou pelo menos minimizadas – o que pode voltar a assombrar a organização no caso de uma violação que poderia ter sido evitada.
Para reduzir riscos como esse, e fortalecer a governança a longo prazo, as organizações devem considerar a importância de capacitar seus CISOs e de fazer com que eles se reportem diretamente ao CRO (Chief Risk Officer), ao CEO ou à diretoria. Se isso falhar, os dedos continuarão sempre a ser apontados para o CIO. Mas a verdadeira questão a ser considerada não é quem culpar pelas consequências. E, sim, como evitar que um incidente de segurança aconteça, em primeiro lugar.
