Postura de bystander: o maior risco cibernético
Saia da inércia, vá além e faça o que é necessário para reduzir a vulnerabilidade dos dados da sua organização
Com frequência perguntam para mim “qual é o maior risco cibernético no mundo digital”? Bom, a resposta padrão adotada pelos consultores de segurança da informação se refere à vulnerabilidade dos dados de uma organização diante dos cibercriminosos cada vez mais profissionalizados e dos usuários – seja por falta de conhecimento, conscientização ou má intenção mesmo. Mas, na minha opinião, de verdade, o que mais ameaça as empresas é a inércia dos bystanders, que podemos traduzir como observadores ou espectadores, responsáveis pela tomada de decisão nas companhias.
O que é postura de bystander?
É aquela postura em que os profissionais são informados dos riscos, veem as coisas acontecendo, mas não atuam no tempo adequado. Pode ser um conselheiro que demora a aprovar ou defender o investimento em um projeto de cibersegurança ou um CEO que defende a cultura da segurança da informação da porta para fora, mas se esforça menos do que deveria para implementá-la na rotina da organização. Há também casos de CISOs que não conseguem comunicar um plano robusto de proteção, usando argumentos, fatos e apetite à risco da empresa em linguagem adequada e que seja capaz de mover o conselho na direção adequada.
O grande risco de todos esses cenários é que acaba-se fazendo o básico ou o que é possível e não aquilo que é necessário. Mantendo a postura de bystander, ninguém, na verdade, encara a questão com seriedade. Esses líderes acabam reagindo apenas quando o problema se instala, no momento em que a companhia é vítima, por exemplo, de um ransomware e tem seus dados sequestrados ou fica com sua operação paralisada. Nessas horas, às pressas, altos budgets são liberados para apagar o incêndio. Afinal, uma maturidade em segurança da informação que demora entre três ou quatro anos para se estabelecer, precisa ser colocada em prática da noite para o dia.
É sempre importante rever alguns fatos sobre o avanço dos riscos cibernéticos no mundo. O setor prevê que os custos associados ao cibercrime alcancem 6 trilhões de dólares ano em 2021, os custos com sequestro de dados têm previsão de crescimento de 57 vezes se o observarmos de 2015 a 2021. E ainda em 2021 se prevê que 70% das transações de criptomoedas serão motivadas por atividades ilegais. Este é o lado visível de um risco que, em princípio, parece invisível, mas que operado habilmente por criminosos se torna uma arma perfeita de uma guerra silenciosa.
Não deveria haver necessidade de se colocar nesse sufoco, já que existem normativas de segurança, como a ISO 27000, NIST, CIS e tantas outras normativas de referência, que criam uma régua de maturidade de segurança para as companhias. Em um mundo ideal, seria necessário apenas que os conselheiros, diretores e CISOs adotem esses controles das para irem aperfeiçoando suas camadas de proteção, ano a ano. É claro que nada exime a empresa de invasões, pois todas estão suscetíveis a problemas de segurança, sobretudo para os casos de “Dia Zero”. Mas é preciso se precaver para que o jogo de “fui surpreendido” não aconteça o tempo todo.
A pandemia foi apenas mais um chamado à ação recebido pelos líderes do mundo corporativo. E com a aceleração dos processos de transformação digital nas empresas, ao fim da pandemia teremos um mundo ainda mais digital e, possivelmente, com maior superfície de risco. Como, com certeza, essa não será a última crise que vamos enfrentar, eu desejo, sinceramente, que o grupo de bystanders repensem a postura adotada até agora. Nunca é tarde para buscar apoio e novos conhecimentos para enfrentar novos problemas. Todos têm a ganhar com isso. Inclusive a alta gestão, que ganhará fôlego para fazer investimentos mais conscientes, efetivos e estratégicos.
