Por que os CISOs terão papel (ainda mais) estratégico nas empresas?
Cenário se mostra desafiador para CISOs, que terão que equilibrar investimentos em gerenciamento de risco com cenário global conturbado
A aproximação de um novo ano nos enche de esperança para novas oportunidades e colocarmos em prática planos que ficaram paralisados por questões externas. Em termos de cibersegurança, 2023 não será diferente e o cenário se mostra ainda mais desafiador para os CISOs, que terão que equilibrar os investimentos em gerenciamento de risco em um ano com previsão de um cenário econômico global conturbado.
O Fundo Monetário Internacional (FMI) já revisou sua expectativa de crescimento global de 2,9% para 2,7% e os bancos centrais do mundo todo demonstraram preocupação com a baixa liquidez em mercados financeiros importantes para o próximo ano. Como consequência a esse cenário, o risco é que empresas façam cortes em seus investimentos, incluindo a segurança de dados.
Neste artigo, quero discutir como os CISOs de empresas podem levar para as salas de reuniões a importância de um plano estratégico robusto para conter ataques cibernéticos, cada vez mais complexos e ágeis e que não miram mais apenas em grandes corporações ou governos. Onde houver uma brecha, tenha certeza de que tentarão se aproveitar dessa vulnerabilidade.
Em 2022, instituições de educação, empresas de diferentes setores e portais de serviços públicos foram alvos de ações de hackers e muitos precisaram paralisar suas atividades para consertar o estrago feito. E atividades paradas impactam nos ganhos e lucros, no caso de organizações privadas, e nos serviços ao cidadão , no caso de órgãos governamentais. papel dos líderes de tecnologia será crucial para manter a saúde financeira dos negócios em dia.
Leia ainda: Hackers criam mais de 130 mil contas em nuvem para operações de cripto
A crise econômica, com uma possível redução de investimentos, será vista como uma oportunidade para os agentes de ameaça, que intensificarão ataques de extorsão. Os ataques de ransomware, especialmente RaaS (Ransomware as a service) em 2023, devem se tornar uma força ainda mais perturbadora e por isso os CISOs precisarão utilizar plataformas de gerenciamento de risco da sua superfície de ataque.
Mas se engana quem acha que os problemas podem surgir apenas em brechas dentro de estruturas de TI complexas, pode ocorrer também em aplicações comuns, que todos os funcionários de uma empresa possuem como o Java. Quem acompanha os noticiários sobre cibersegurança percebeu que me refiro ao Log4J, uma vulnerabilidade descoberta exatamente há um ano, em dezembro de 2021, e que mira em dados de registro que são utilizados para diferentes ações.
Recentemente, nós divulgamos uma pesquisa mostrando que apenas 21% das empresas na América Latina corrigiram totalmente a vulnerabilidade Log4J. Isso é preocupante dado que, com a consolidação do modelo híbrido em muitas empresas, pode deixar os sistemas corporativos fragilizados pela mudança constante entre rede segura (empresa) e rede não segura (casa). Por isso, será necessária uma ação mais assertiva dos CISOs em criar campanhas efetivas de orientações de segurança para os funcionários das empresas, e até mesmo do seu próprio time para que todos estejam atualizados às tendências mais modernas de ataques hackers.
A boa notícia é que, apesar do cenário preocupante, o que não falta no mercado são opções efetivas e preparadas para atender às necessidades das empresas de protegerem suas informações. A Casa Branca, por exemplo, informou a obrigatoriedade da disponibilização de SBOMs (Software Bill of Materials) para facilitar aos consumidores acesso a informações sobre vulnerabilidades e riscos ao adquirirem uma nova aplicação.
Acredito que SBOMs serão uma tendência para o próximo ano. Outro exemplo são as plataformas que unificam em um mesmo ambiente o gerenciamento de exposição e a entrega de avaliações completas de vulnerabilidades em superfícies de ataque para uma ação proativa contra riscos cibernéticos.
Os CISOs terão um papel ainda mais fundamental na estratégia de negócios e no convencimento do board de não pisar no freio dos investimentos em cibersegurança. Aqui citei apenas alguns exemplos de perigo, mas o que não falta são casos de ataques bem-sucedidos e que causaram o atraso de empresas em um ano tão desafiador como foi 2022.
* Arthur Capella é diretor-geral da Tenable Brasil