Retorno aos ‘negócios como de costume’ traz CISOs de volta à dura realidade

Com o caos da pandemia agora no espelho retrovisor, finalmente voltamos aos “negócios como de costume”. O retorno às operações normais pode significar que os Diretores de Segurança da Informação (CISOs) podem agora respirar mais aliviados, mas o oposto é verdadeiro. Os CISOs estão se sentindo menos preparados para lidar com ataques cibernéticos e mais em risco do que no ano passado, indicando uma reversão para os primeiros dias da pandemia, segundo uma nova pesquisa.

O relatório 2023 Voice of the CISO, pesquisa global da Proofpoint que ouviu 1,6 mil CISOs, incluindo Brasil, constatou que 68% dos entrevistados globais se sentem em risco de sofrer um ataque cibernético significativo nos próximos 12 meses. Um número elevado em relação aos 48% do ano passado e um passo de volta aos níveis de 2021, quando 64% se sentiam em risco. O relatório também descobriu que 72% dos líderes de segurança pesquisados no Brasil acreditam que sua organização não está preparada para lidar com um ataque cibernético direcionado – 11 pontos a mais do que a média global.

Os tumultuados eventos de segurança cibernética de 2022 podem ser uma das razões por trás do retorno dos CISOs a uma preocupação elevada. No ano passado, vimos ataques de ransomware cada vez mais devastadores que fecharam organizações e paralisaram nações inteiras. Ao mesmo tempo, as tensões geopolíticas continuaram a aumentar com incidentes como os ataques da Rússia aos aeroportos dos EUA e os ataques de grupos chineses patrocinados pelo Estado às telecomunicações. A economia instável não ajudou em nada, e 58% dos CISOs pesquisados disseram que a recessão afetou negativamente seus orçamentos de segurança. Todos esses eventos colocam os líderes de segurança no limite, talvez diminuindo sua confiança na postura de segurança.

Outra explicação para a elevada preocupação dos CISOs pode ser a pandemia. Tendo vencido os desafios sem precedentes, resultantes da mudança do dia para a noite para operações remotas, os líderes de segurança tiveram uma sensação de calma. Embora o volume de ataques não tenha diminuído, os CISOs tiveram um breve período de alívio, pois sentiram que suas organizações corriam menos riscos. No entanto, a capacidade de proteger seus ambientes remotos pode ter dado aos CISOs uma falsa sensação de confiança. Com o retorno às operações normais, as métricas de segurança pós-pandemia, provavelmente pareciam menos tranquilizadoras, e o otimismo passou.

As pressões crescentes tornam o trabalho do CISO insustentável

A pesquisa também revelou que 70% dos CISOs brasileiros sofreram de esgotamento nos últimos 12 meses, enquanto 71% sentiram que suas expectativas de trabalho não são razoáveis. Quando adicionamos essas pressões crescentes às lutas contínuas, como a escassez de talentos em segurança cibernética e novos problemas, como a recente onda de demissões, não é de surpreender que a função do CISO esteja se tornando insustentável.

Este é um momento em que eles precisam, mais do que nunca, de defensores em seus conselhos de administração. O relatório da Proofpoint nos dá um vislumbre de esperança nesse sentido, mostrando um degelo na relação entre o CISO e o conselho de administração – oito em cada dez CISOs brasileiros dizem que estão de acordo com o conselho de administração em questões de segurança cibernética. Essa tendência tem se mantido em uma trajetória ascendente nos últimos três anos.

Proteger os dados é uma prioridade máxima – e um grande desafio

Esse mesmo relatório mostra que a proteção de dados continua sendo uma das principais prioridades dos CISOs. O efeito cascata da rotatividade de funcionários exacerba o problema da perda de dados – 58% dos líderes de segurança pesquisados no Brasil relataram ter lidado com uma perda material de dados confidenciais nos últimos 12 meses, e 63% disseram que a saída de funcionários da organização contribuiu para essa perda. As demissões, como as massivas que temos visto no setor de tecnologia, podem ser um problema especialmente porque os funcionários podem se sentir injustiçados e acham justo levar os dados corporativos com eles ao saírem.

Apesar da perda generalizada de dados, 71% dos CISOs brasileiros acreditam que possuem controles adequados para protegê-los. Esse otimismo é surpreendente, especialmente devido à falta de confiança dos CISOs em suas posturas de segurança. O que se espera é que o problema acabe se agravando à medida que a incerteza econômica persistir e mais setores, além da tecnologia, façam demissões em massa.

Cadeia de suprimentos praticamente segura

Outra área em que os líderes de segurança estão otimistas é a segurança da cadeia de suprimentos. Quase dois terços dos CISOs brasileiros pesquisados pela Proofpoint disseram que têm controles adequados para mitigar o risco da cadeia de suprimentos. No entanto, proteger a cadeia de suprimentos complexa e interconectada de hoje é extremamente difícil – e um problema que nós, como setor, não conseguimos resolver.

A maioria das organizações simplesmente não tem controle sobre o risco de terceiros e depende muito de uma série de parceiros e fornecedores. Os agentes de ameaças sabem muito bem disso, e é por isso que entramos em uma nova era em que a confiança se torna uma arma. Como exemplo, uma pesquisa constatou um aumento surpreendente de 633% no número de ataques à cadeia de suprimentos usando componentes maliciosos no ano passado.

A boa notícia é que abordar o risco dos fornecedores é uma das principais prioridades nos próximos 12 meses entre os CISOs pesquisados. Essas descobertas indicam que os líderes de segurança percebem que a segurança da cadeia de suprimentos é fundamental. A questão é se eles podem continuar a dedicar os recursos adequados a essa área se os orçamentos de segurança estiverem sob risco.

Os desafios trazidos pelo aumento do escrutínio regulatório, dos ataques à cadeia de suprimentos e da proteção de dados, afetam a confiança dos investidores, dos consumidores e dos funcionários na empresa. À medida em que a confiança se torna mais importante para o sucesso organizacional, é importante que os CISOs e as diretorias considerem o risco de segurança como um risco de negócios bem como entendam as implicações do risco sistêmico dentro da organização.

Embora a solução de problemas complexos de segurança cibernética exija um esforço de todo o setor, tudo começa no nível organizacional – e os CISOs devem liderar essa conversa.

*Marcelo Bezerra é gerente sênior de Engenharia de Vendas da Proofpoint para América Latina