Sua empresa não sobrevive sem cibersegurança – mesmo que não saiba
Enquanto o cibercrime lucra cada vez mais, empresas precisam reavaliar suas práticas de cibersegurança para mitigar os riscos
Cibersegurança ainda é um tema pouco discutido? Dá para dizer que sim. Por se tratar de uma área muito técnica, que exige alta especialização e constante formação diante dos ambientes digitais cada vez mais complexos, certamente ainda existe um entrave para que pessoas de demais áreas direcionem sua atenção a questões de segurança. Entretanto, todos devem dividir esse papel e, mesmo que não saibam, podem estar impactando diretamente nas chances de sobrevivência do negócio. Afinal, estamos falando de uma realidade de aceleração da digitalização em que dados são compartilhados a todo o momento e avanços tecnológicos também trazem novos riscos a serem mapeados.
Para se ter uma ideia, se o cibercrime fosse um País, equivaleria à terceira maior economia do mundo, com a estimativa de causar um prejuízo de US$ 8 trilhões ainda neste ano e de crescimento de cerca de 15% até 2025, segundo dados da Cybersecurity Ventures. Por outro lado, pelo terceiro ano consecutivo, o incidente cibernético é a principal preocupação dos executivos no mundo todo em relação aos riscos para empresas em 2024, segundo o “Barômetro de Riscos” da Allianz.
Segundo a IBM, um incidente cibernético, por si só, já tem custo médio de US$ 4 milhões para a companhia afetada. E por experiência prática, posso dizer que esse número médio é pequeno se olhamos para a realidade em grandes empresas. O estrago é ainda maior quando as empresas decidem pagar pelo resgate dos dados e abrem brechas para que novos ataques aconteçam. Ou seja: enquanto o cibercrime lucra cada vez mais, empresas precisam reavaliar suas práticas de segurança da informação para prevenir ou ao menos mitigar os riscos a fim de garantir a sobrevivência e o funcionamento de um ambiente digital propício para inovar.
É uma relação muito assimétrica. O atacante precisa encontrar uma brecha e as empresas precisam se defender de todas as possíveis táticas e procedimentos de ataque.
Leia também: Qual é o custo da violação de dados no Brasil?
Se tratando de investimento em cibersegurança, o Brasil ainda está nos estágios iniciais, geralmente com empresas que possuem orçamentos que concorrem com a área de Tecnologia da Informação (TI). A Pesquisa Setorial em Cibersegurança já revelou esse déficit: entre empresas listadas na B3, especialmente nos setores de varejo e saúde, apenas de 3% a 7% do orçamento de tecnologia é direcionado à segurança cibernética. Apenas a vertical de finanças, como imaginado, que sai mais na frente, com 10% a 15% do orçamento.
Ainda assim, falar do mercado de modo geral pode gerar um certo distanciamento do dia a dia de um profissional não formado em cyber e que ainda não tenha vivenciado as dimensões de um ataque. Então vamos direcionar para uma rotina comum de trabalho nos dias de hoje, por exemplo, no varejo.
O varejo, enquanto um dos principais alvos dos cibercriminosos e o mais atingido em 2022, segundo mapeamento da IBM, pode ser uma boa representação. Visualize um profissional de marketing que está trabalhando em uma campanha publicitária para o Natal. Publicações programadas, influencers contratados e landing page pronta, tudo amarrado em uma mesma proposta comercial e de comunicação para garantir boas vendas. No entanto, sem qualquer alinhamento para um plano de cibersegurança, a página de vendas é afetada pelos chamados “bad bots”, que se passam por usuários reais, sobrecarregam o acesso e interrompem as atividades. Sem poder atender os consumidores, esse período, que pode durar dias ou até semanas, representa não apenas um prejuízo financeiro das vendas perdidas, como também a perda de credibilidade na reputação, algo ainda mais difícil de recuperar.
Para além do aspecto comercial, imagine um hospital que tem suas operações paralisadas por ataque cibernético no sistema, prejudicando o atendimento aos pacientes?
Também podemos ver o impacto de CyberSec na determinação do valor das empresas. Hoje os processos de fusão e aquisição (M&A) incluem a análise de cibersegurança e proteção de dados da empresa durante a etapa de due diligence para efetivar a transação. E evidentemente é mais um ponto que influencia no valor da transação. As empresas de capital aberto que sofreram grandes ataques cibernéticos tiveram seu valor em bolsa afetado imediatamente e com impacto residual de cerca de 7% do valor nos anos subsequentes.
Todos compartilham um papel importante diante desse desafio, o que fica ainda mais claro diante das ameaças internas nas empresas: o chamado “dormindo com o inimigo”. Isso se deve pelo fato dos colaboradores também serem portas-de-entrada para que cibercriminosos tenham acesso a credenciais e dados confidenciais da organização. Pode ser por um descuido ao clicar em um e-mail malicioso (phishing) que expõe a empresa para um sequestro de dados, o famoso ransomware, bem como a conexão de sistemas corporativos em um Wi-fi público sem usar alguma ferramenta ou seguir protocolos de segurança. Em cada caso, mesmo que variando as circunstâncias, não minimizar as vulnerabilidades tem consequências catastróficas.
Imagino que aqui o leitor já tenha se conscientizado da importância e impacto do assunto. Obviamente o meu objetivo não é apontar culpados ou aterrorizar ninguém. Até porque existem metodologias de defesa, framework de gestão, tecnologias de prevenção, detecção, resposta e recuperação disponíveis no mercado. Se os cibercriminosos estão organizados e profissionalizados, os atores de defesa também estão preparados. Ainda assim, para criar essa cultura de resiliência, é necessário torná-la uma pauta da agenda executiva não apenas em momentos de crise, mas sempre.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!