Gestão dos riscos cibernéticos deve ser parte da estratégia das empresas

Por Eder Abreu, diretor de Cyber Risk da Deloitte Brasil

No mundo corporativo existem dois tipos de empresas: aquelas que já sofreram um ataque cibernético, mesmo que não saibam, e aquelas que ainda passarão por isso. De acordo com uma pesquisa conduzida pela Deloitte, chamada “Tendências em Gestão de Riscos Cibernéticos e Segurança da Informação na América Latina e Caribe”, quatro de cada dez organizações participantes sofreram um incidente de segurança cibernética nos últimos 24 meses. Ainda, 70% das corporações afirmam não ter certeza da eficácia de seu processo de resposta diante de incidentes de segurança cibernética, enquanto apenas 3% realizam simulações para testar suas capacidades efetivas de resposta diante de um ataque digital.

Esse cenário lança luz sobre a necessidade das empresas se prepararem para essas invasões. Vale mencionar que o tempo médio para comprometer o ambiente digital de uma empresa fica na casa de horas. Ou seja, em questão de horas o sistema de uma empresa pode ser invadido e comprometido. E qual o tempo médio para que o crime seja detectado? Semanas ou, até mesmo, meses. Isso nos leva a perceber que, muito embora estejamos falando de empresas, o assunto diz respeito a todos que possuem algum tipo de dado circulando no meio digital – ou seja, todos nós. Isso porque, quando falamos de dados, nos referimos desde dados pessoais e financeiros que inserimos para nossas compras online até nosso histórico médico armazenado nos bancos de dados de hospitais ou laboratórios.

Bom, mas minha intenção com este artigo não é fazer você se desesperar. A boa notícia, de acordo com o estudo, é que 89% dos entrevistados atribuem uma importância muito alta à gestão de riscos cibernéticos em um contexto de negócios cada vez mais digital.

Diante dessas ameaças reais do mundo digital, seria importante que as empresas se unissem a seus pares na indústria por um bem maior: proteger o mercado de ataques cibernéticos cada vez mais sofisticados. Atualmente, apenas 30% compartilham informações de ameaças. Seria uma prática estratégica que fortaleceria toda a cadeia. O que nos leva a um último, mas não menos importante quesito: pessoas. Assim como para todo sistema de segurança, precisamos de pessoas capacitadas para atuar. No mundo, de acordo com o (ISC)² Cybersecurity Workforce Study, já faltam 3 milhões de profissionais aptos a trabalhar na detecção, diagnóstico e solução de ataques cibernéticos. Uma iniciativa de cooperação a esta altura representa, então, uma questão de sobrevivência.

Sendo assim, o caminho para se adaptar aos riscos cibernéticos deve começar a ser trilhado a partir da conscientização dos níveis executivos da organização sobre as ameaças do novo ambiente digital de negócios. É imperativo que os investimentos sejam destinados não somente à implantação de medidas de proteção, mas também à melhoria das capacidades de monitoramento e resposta.

Para alcançarem um novo patamar em sua área de gestão de riscos cibernéticos e segurança da informação, as empresas precisarão se capacitar em quatro componentes centrais e estratégicos: governança, segurança, vigilância e resiliência. E suas habilidades deverão refletir não apenas sobre o que acontece da porta para dentro; precisarão entender em profundidade as ameaças que afetam as organizações em geral – e seu setor de atuação em especial – com o objetivo de obter informações que sejam relevantes e que agreguem no processo de prevenção e monitoramento.