Empresas brasileiras continuam com nível de segurança cibernética abaixo da média mundial
Antonio Celso Ribeiro Brasiliano, PhD,
Doctor of Philosophy in International Security Sciences, pela Cambridge International University, Inglaterra, Reino Unido.
Presidente da Brasiliano INTERISK.
Março | 2024
As empresas brasileiras continuam capengando em termos de segurança cibernética. O nível de segurança se encontra abaixo da média mundial, o que significa que, embora ainda haja preocupação por parte dos executivos C-Level e do Conselho de Administração, as ações ensaiadas até agora podem ser consideradas pífias. Não há planejamento e muito menos visão holística dos riscos interconectados que interferem na segurança cibernética.
Podemos citar a pesquisa internacional do MIT, com seu Índice de Defesa Cibernética, conforme descrito abaixo.
Pesquisa do Índice de Defesa Cibernética – MIT Technology Review – 2022/2023
Publicado pelo Insights, braço do MIT Technology Review, o Índice de Defesa Cibernética mede a capacidade das maiores economias digitais do mundo de se preparar, responder e se recuperar ante ameaças à cibersegurança. O indicador avalia a adoção, pelas instituições dos 20 países analisados, de tecnologias e práticas digitais para aumentar sua resiliência a ataques cibernéticos. Além disso, a pontuação traduz o nível de segurança das transações digitais promovidas pelos governos e estruturas políticas de cada país.
São 15 indicadores formulados para medir as pontuações, distribuídos em 4 grandes dimensões:
-
infraestrutura crítica;
-
recursos de cibersegurança;
-
capacidade organizacional;
-
comprometimento com as políticas públicas.
De acordo com o Índice de Defesa Cibernética do MIT Technology Review Insights realizado entre 2022 e 2023, o Brasil está em posição desfavorecida quando o assunto é cibersegurança. Após dois anos de uma pandemia que forçou e antecipou o processo de digitalização, o País ficou entre os três com progresso mais lento na criação das defesas cibernéticas, à frente apenas da Turquia e da Indonésia. Isso explica por que as empresas, tanto públicas quanto privadas, vêm apanhando constantemente dos hackers.
O indicador de infraestrutura crítica avalia se o país dispõe de redes de telecomunicações digitais seguras e robustas e os recursos computacionais que sustentam as principais atividades econômicas. É também levado em consideração um indicador geral de capacidade de telecomunicação avaliado pelas Nações Unidas, além de métricas para incorporar o número de data centers e servidores seguros disponíveis no país. Também foram feitas entrevistas com especialistas globais sobre a robustez da infraestrutura de telecomunicações de cada economia. Coletivamente, os indicadores deste pilar equivalem a 30% da pontuação final do Índice de Defesa Cibernética e, nele, o Brasil marcou 4,63 de 10 pontos possíveis.
Já o pilar de recursos de segurança cibernética reúne avaliações de mecanismos tanto tecnológicos quanto jurídicos para prevenir o acesso e o uso inadequado de dados sensíveis. Ele inclui a avaliação holística da agência das Nações Unidas especializada em tecnologias da informação e da comunicação, além da classificação de proteções de privacidade digital desenvolvida pela própria equipe de Insights do MIT Technology Review e de opiniões de entrevistados sobre a qualidade do emprego das ferramentas e da infraestrutura de segurança cibernética em seus respectivos mercados.
É no pilar de recursos de segurança cibernética que o Brasil apresenta seu melhor desempenho, com nota 5,87.
Já a avaliação da capacidade organizacional mede a relativa maturidade em cibersegurança e a experiência digital das empresas e instituições de cada país.
Esse pilar inclui a medida da participação digital no governo, até que ponto as organizações estão familiarizadas com a inteligência artificial e as avaliações de entrevistados sobre o grau em que os recursos de segurança cibernética estão integrados em suas organizações. Neste quesito, o Brasil marcou 4,24 pontos.
O último grupo de indicadores diz respeito ao comprometimento das políticas públicas do país com a segurança cibernética. Ele mede a abrangência, a qualidade e a eficácia do ambiente regulatório no aprimoramento e promoção de práticas resilientes de cibersegurança. Os indicadores que fazem parte deste pilar incorporam a avaliação do Banco Mundial sobre a eficácia do governo e a qualidade de sua regulamentação de segurança cibernética, além de avaliações de entrevistados sobre a robustez e integridade dessa regulamentação. Esta é a nota mais baixa do Brasil: 3,04 pontos.
Conclusão
A média do Brasil é muito baixa: 4,75. Esta nota demonstra pouca sensibilidade dos Conselhos de Administração, aliada ao desinteresse dos altos executivos em operacionalizar determinadas estratégias cibernéticas e, o mais importante, empoderar a área de riscos corporativos. Portanto, isso se aplica não somente à área de segurança de TI/TO/Cibernética, como também à área de riscos corporativos, caracterizando a necessidade de que a empresa disponha de uma segunda linha ativa, que funcione de fato como a supervisora de todas as topologias de riscos da empresa.
O maior erro que as empresas cometem é o de não integrar a gestão de riscos. Existem ainda determinadas áreas completamente segregadas da área de riscos corporativos, e, com isto a sintonia fina acaba sendo diluída. As empresas, em vez de investirem no entendimento das Joias da Coroa para saber o que de fato precisa ser protegido, investem muito tentando fechar uma grande superfície de ataque. O hacker, como estrategista que é, realiza o reconhecimento das vulnerabilidades e age sobre elas, explorando-as com eficácia, de forma a atingir seus resultados.
Já nos perguntamos mais de uma vez por que os investimentos em cibernética crescem e os ataques continuam a ocorrer. Devemos estar fazendo alguma coisa errada!
Continuaremos a enxugar gelo? O tempo dirá! Espero que nossa mentalidade mude, de modo a que tenhamos processos estruturados, metodologias e tecnologias eficazes, além de muita capacitação!!
Conheça a metodologia de segurança cibernética "CYBERSECURITY RISKS – CSR", que aborda a identificação e proteção das "Joias da Coroa", expressão usada em segurança da informação para se referir aos ativos mais valiosos e críticos de uma organização, como informações confidenciais, propriedade intelectual, dados sensíveis dos clientes e sistemas essenciais para as operações da empresa. Proteger as "Joias da Coroa" é fundamental para a segurança cibernética de uma empresa, pois o comprometimento desses ativos pode ter um impacto significativo nos negócios e na reputação da organização.