Empresas na A. Latina levam até 11 meses para responder a incidentes de segurança

A maioria das empresas na América Latina não está preparada para responder com rapidez a incidentes de segurança cibernéticos, concluiu o EY 2023 Global Cybersecurity Leadership Insights”, realizado pela EY. De acordo com o estudo, empresas da região podem levar, em média, 11 meses para responder a um incidente de cibersegurança.

O estudo ouviu tomadores de decisão C-Levels, principalmente CISOs do Brasil, Argentina, Chile e México de 115 companhias com faturamento maior de US＄1 bilhão ao ano.

Para avaliar a maturidade de cibersegurança das empresas, o estudo da EY as dividiu em dois grupos de acordo com métricas em segurança cibernética respondidas pelos líderes. De um lado, há os criadores seguros (42%) e de outro, empresas propensas (58%).

Enquanto o tempo médio de uma empresa ‘criadora segura’ detectar e responder a um incidente cibernético é de cinco meses, a empresa propensa leva 11 meses. “Cinco meses ainda é um tempo absurdamente longo para essa ação. Podemos identificar sim uma evolução do mercado, mas ainda não chegamos a um estágio ideal”, alerta Demetrio Carrión, sócio-líder de Cybersecurity da EY para LAS & Brasil.

A maioria dos ‘criadores seguros’ (70%) consideram-se os primeiros a adotar a tecnologia emergente, em vez de esperar até que a tecnologia seja experimentada e testada. “Eles utilizam soluções avançadas para simplificar seu ambiente, adotando tecnologias focadas em automação e simplificação, como Inteligência Artificial ou Machine Leaning e orquestração e automação em nuvem’, completa Carrión.

Preocupações dos CISOs

O estudo buscou levantar quais são as tecnologias que os CISOs veem com maior preocupação para a cibersegurança. A Internet das Coisas (IoT), nuvem em escala e Inteligência Artificial/Machine Learning ficaram no top 3 de tecnologias que representam os maiores riscos para as empresas para os próximos cinco anos.

A pesquisa também questionou “quais são os maiores desafios internos para a abordagem de segurança cibernética da sua organização hoje?”. E, para os respondentes brasileiros, os principais tópicos foram: dificuldade em equilibrar inovação e segurança (59%), muitas superfícies de potenciais ataques (54%) e força de trabalho não pertencente a TI que não segue as melhores práticas (49%).

O estudo também revelou que 32% dos respondentes na América Latina indicaram que sofreram 50 incidentes ou mais em 2022. Isso representa uma alta de 75% no aumento ataques cibernéticos conhecidos nos últimos cinco anos.

Por fim, o risco dos setores dependentes de infraestruturas industriais, especialmente o de Energia, acompanha o forte crescimento percebido pela pesquisa associado à utilização de dispositivos IoT (Internet das Coisas) que, por contexto, recebe o nome de IIoT (Industrial Internet of Things). “Isso acontece em função da forte pressão global pela transição energética que busca eficiência operacional, redução de emissões e inteligência”, completa Marcos Sêmola, sócio-líder de cybersecurity da EY para o setor de energia LATAM.

Leia mais: 5 formas de proteger os dados da sua empresa contra ciberataques

A EY alerta também para a ascensão da convergência entre os ambientes de IT (Information Technology) e de OT (Operational Technology). Apesar de oferecer benefícios às operações, ela também vem acompanhada da geração de novos riscos resultantes da mistura entre ambientes, pessoas, processos e tecnologias tipicamente muito distintos.

Na análise da EY, é primordial para as empresas do setor identificarem os novos riscos e definir uma estratégia de mitigação que equilibre o atendimento aos requerimentos operacionais do ambiente industrial, e o apetite ao risco do próprio negócio. “Visão integrada de riscos que agora convergem é essencial para pavimentar a transformação digital que está viabilizando a transição energética”, explica Sêmola.

Os impactos potenciais provocados por um incidente de segurança em ambientes industriais extrapolam a razoabilidade e invade espaço ainda pouco experimentados como a perda de vidas humanas; erosão ambiental; passando pela desaceleração das atividades produtivas; perda de receita e valor de mercado; roubo de propriedade intelectual e exposições gerais por não conformidade.

“A Internet Industrial das Coisas (IIoTs) está conduzindo as empresas a uma arquitetura totalmente integrada com sistemas de TI e TO funcionando como uma entidade unificada. Esse novo modelo operacional precisa estar cercado por novos controles e padrões de segurança que acompanhem os novos níveis de exposição e risco”, reitera Sêmola.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!