Resiliência Cibernética: desafio das empresas neste século XXI
Prof. Dr. Antonio Celso Ribeiro Brasiliano, MCRC, CIEAI, CEGRC, MBCR, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS,
Doutor em Ciências da Informação e Engenharia e Inteligência Estratégica pela Universidade Paris-Est (Marne La Vallée, Paris, França); Doctor Internacional em Ciencias de la Seguridad, pelo CEAS – Internacional – Madrid – Espanha, presidente da Brasiliano INTERISK.
abrasiliano@brasiliano.com.br
Julho | 2022
A confiança dos líderes empresariais na gestão de riscos cibernéticos permanece praticamente inalterada desde 2019, diz estudo da Marsh com a Microsoft na pesquisa de 2022.
A maioria dos líderes empresariais não confia na capacidade de suas organizações de gerenciar o risco cibernético. Esta é a conclusão de um novo estudo elaborado pela Marsh, consultoria de riscos e corretagem de seguros, em parceria com a Microsoft.
Intitulado Relatório do Estado da Resiliência Cibernética, o estudo teve como objetivo analisar como o risco cibernético é visto por diversas organizações líderes em seus segmentos, inclusive em segurança digital, TI, gestão de riscos e seguros, finanças e liderança executiva. Para tal, foram ouvidos 660 tomadores de decisão sobre riscos cibernéticos no mundo, 162 deles na América Latina.
De acordo com o relatório, a confiança dos líderes nos recursos de gerenciamento de riscos cibernéticos, incluindo a capacidade de entender e avaliar ameaças, bem como gerenciar e responder a ataques cibernéticos, permaneceu praticamente inalterada desde 2019. Naquele ano, 22% dos entrevistados na América Latina disseram estar muito confiantes em sua capacidade de entender e avaliar ameaças cibernéticas e 18% em suas habilidades de gerenciar e responder a incidentes cibernéticos; já em 2022 os valores variaram ligeiramente, para 19% e 16%, respectivamente. Por outro lado, ainda em 2019, 20% dos entrevistados tinham muita confiança em suas capacidades de mitigação ou prevenção de ataques cibernéticos, percentual este que caiu para 12% em 2022. Isso pode dar uma ideia de como a maturidade das empresas em segurança cibernética ainda se encontra em nível bastante baixo.
O estudo aponta que muitas organizações ainda lutam para entender, como parte de suas estratégias de segurança cibernética, os riscos representados por seus fornecedores e por suas cadeias de suprimentos digitais. Tanto é assim que apenas 43% dos entrevistados afirmaram ter avaliado o risco dos seus fornecedores ou de suas cadeias de suprimentos. Além disso, somente 41% das organizações olham além da segurança cibernética e do seguro para incluir suas funções legais, de planejamento corporativo, financeiro, operações ou gerenciamento da cadeia de suprimentos na elaboração de planos de risco cibernético.
Apesar desse quadro, quatro em cada dez entrevistados na região disseram que sua organização utiliza métodos quantitativos para medir sua exposição ao risco cibernético, o que é um passo fundamental para entender como ataques cibernéticos e outros eventos podem gerar volatilidade. Trata-se de uma melhora em relação à pesquisa de 2019, quando apenas três em cada dez entrevistados afirmaram que suas organizações utilizavam métodos quantitativos.
O levantamento constatou ainda que as taxas de seguro cibernético continuaram a subir, impulsionadas em grande parte pelo aumento contínuo da frequência e gravidade dos sinistros de ransomware, embora muitas seguradoras tenham tornado mais rígidos os termos e condições de cobertura, especialmente em decorrência da guerra na Ucrânia.
A prática do home office e o uso de dispositivos móveis pessoais pelos funcionários aparecem como fatores muito importantes de exposição ao risco de um ataque cibernético para grande parte das empresas da América Latina e Caribe (63% e 59%, respectivamente). Enquanto isso, 50% das organizações consultadas informam que não conseguem medir sua exposição ao risco cibernético em razão da falta de talento no âmbito da organização.
A contínua ascensão do ransomware e o agravamento do atual cenário de ameaças não fizeram com que as empresas deixassem de confiar totalmente em sua própria capacidade de responder a riscos cibernéticos. No entanto, combater com sucesso as ameaças deve ser um objetivo de toda e qualquer empresa, mediante a construção da capacidade de resiliência cibernética da organização como um todo, em lugar de realizar investimentos isolados e descoordenados em prevenção de ataques ou em defesa cibernética.
Diante desse panorama, a Marsh e a Microsoft ressaltam que as empresas devem apostar em uma estratégia abrangente e bem definida de prevenção de riscos cibernéticos.
Tomando-se em conta que um ataque cibernético é iminente, independentemente do ramo ou da indústria, as empresas devem estruturar estratégias de segurança cibernética com senso de urgência, incluindo não apenas iniciativas relacionadas à mitigação, mas também à transferência de risco através de seguros de risco cibernético.
Compartilhar a responsabilidade promove a construção da resiliência cibernética. Hoje, não há uma solução única para os riscos cibernéticos que as organizações enfrentam. As medidas de segurança cibernética, seguros, análises de dados e confecção de planos de resposta a incidentes desempenham um papel importante. No entanto, um elemento crítico para fazer essas e outras peças trabalharem juntas é desenvolver um senso de harmonização em toda a empresa em torno do gerenciamento de riscos cibernéticos, fomentando a responsabilidade compartilhada.
O desafio é fazer com que as diversas áreas de negócios sintam-se também responsáveis pela segurança cibernética, fomentando assim, de forma direta e proativa, a construção da verdadeira resiliência cibernética.