De acordo com o novo “Worldwide Security Spending Guide” da IDC, a consultora espera que o gasto mundial em soluções e serviços de segurança seja de 219 bilhões de dólares em 2023, um aumento de 12,1% em relação a 2022. Espera também que o investimento em hardware, software e serviços relacionados com cibersegurança atinja quase 300 bilhões de dólares até 2026.
Cenário da cibersegurança no Brasil
O Brasil figurou como o país mais visado em ataques cibernéticos da América Latina no primeiro semestre de 2023. Os usuários e empresas de nosso país foram atingidos por nada menos do que 23 bilhões de incidentes desse tipo entre janeiro e junho deste ano, um total que representa quase o dobro do segundo colocado, o México.
Os dados da empresa de cibersegurança Fortinet apontam que o Brasil registrou mais de 36% de todos os incidentes de cibersegurança registrados na América Latina e Caribe nesta primeira metade de 2023.
Segundo a CNN, aproximadamente um quarto das companhias brasileiras relataram perdas financeiras devido a ataques digitais em 2022, com a maioria relatando casos de roubo de dados, de acordo com uma pesquisa anual realizada pela empresa de segurança Proofpoint. O levantamento afirma que 78% das empresas brasileiras tiveram, ao menos, uma experiência de ataque de roubo de dados (phishing) por e-mail bem-sucedido em 2022, e 23% delas sofreram perdas financeiras como resultado.
Durante um evento que participei, realizado em 03/10 pela “tiinside” no WTC em São Paulo, houve um quase que consenso entre os diversos especialistas de cibersegurança e DPO´s (Data Protection Officer), que a palavra de ordem quando falamos de cibersegurança, passa por “treinamento/conscientização”.
Muito foi falado sobre o “crime organizado” e sobre a necessidade de termos uma “cibersegurança colaborativa e organizada” entre as organizações, pois sem esta ação orquestrada, sempre estaremos em desvantagem perante os cibercriminosos.
Chegamos a uma realidade que treinamento trimestrais, bimestrais e até mensais não são o suficiente, o treinamento e principalmente a conscientização precisa ser parte do cotidiano e, principalmente, estes precisam acompanhar as mudanças de mercado, não só de tecnologia, mas do mercado como um todo.
O alvo da segurança é um alvo móvel e preocupações pontuais, passam a deixar uma vasta área vulnerável a outros ataques.
Vivemos o mundo do “Security Everything”, onde tudo é conectado, tudo embarca tecnologia e tudo nos expõe, principalmente, quando falamos em tecnologia em nossas residências, e, quem não leva seus celulares e notebooks corporativos para trabalhos a serem realizados em casa?
Quase que um consenso que, é prioritário:
- Educação continuada;
- Regulamentação da cibersegurança;
- Trazer os debates aos eventos dos diversos nichos de mercado, visando educar a todos;
- Trazer as questões de cibersegurança cada vez mais para experiência do usuário;
- Tratar e cobrar o tratamento dos Terceiros envolvidos com nossas organizações; e
- Tornar o Registro das Atividades de Tratamento de Dados pessoais (Record Of Processing Activities – ROPA), cada vez mais dinâmico, propiciando um compliance efetivo, com o esperado pela ANPD com relação à LGPD.
Dentro da tríade de segurança, processos, tecnologia e pessoas, já é mais do que normal escutarmos que são as pessoas o elo mais fraco, mas se as conscientizações e treinamentos, estão cada vez mais intensificados dentro das organizações, onde encontramos um grande GAP neste conjunto de pessoas?
Cibersegurança e a alta gestão
E apesar de delicado, é neste momento que como DPO e Consultor, preciso falar dos executivos C-level, que incluem cargos como CEO, CTO, CIO, CCO, CMO, dentre outros. E apenas como um parêntese, em sua esmagadora maioria, não participam de eventos como este de cibersegurança, e depois, normalmente, minimizam as informações que os especialistas levam para dentro das organizações.
Em 2020 chegou a se levantar que 3 a cada 4 C-levels ignoram os protocolos de segurança das empresas.
Engana-se quem acredita que isto mudou, nas centenas de entrevistados por mim entre 2022 e 2023, entre trabalhos de levantamento de processos ou mesmo RoPA, o que mais escutamos é que enquanto os colaboradores tendem a seguir as regras de segurança determinadas pelas empresas, muitos executivos, que ocupam cargos mais altos, solicitam protocolos mais flexíveis de segurança, inclusive segurança móvel.
Treinamento de cibersegurança específico para executivos
Em um trabalho mais aprofundado como DPO, acesso a lista de regras de permissões e verifico a quase unanimidade de C-level com acessos privilegiados a diversas linhas de proteção, como exemplo, o uso de pendrive.
Justamente este grupo que é mais exposto em função de sua posição hierárquica dentro das empresas, são os que muitas vezes não admitem as restrições que são implementadas em pró da segurança.
Não é incomum escutar destes executivos que a segurança limita a usabilidade de seus dispositivos e que tecnologias como a autenticação multifator (MFA), praticamente os impede de trabalhar.
Quando questionamos os profissionais de TI e SI quanto a estas liberações, nos explicam que são “Top Down” e que quanto precisam argumentar sobre as iniciativas nos Comitês, são voto vencido.
Portanto, evidenciamos a necessidade da conscientização da “Alta Administração” e de “Conselheiros” sobre novas tecnologias (suas possibilidades, vantagens e vulnerabilidades), cibersegurança, Gestão de Riscos, Compliance e Governança.
E foram estes alguns dos fatores que fizeram com que a Massi Consultoria, o Studio Estratégia e ECCON, se juntassem e desenvolvessem treinamentos específicos para este público.
O objetivo é conscientizar a alta gestão, para que o exemplo venha de cima, sem impactar na inovação e no desenvolvimento, mas permitir que este ocorra de maneira responsável e dentro do apetite de risco das organizações.
Se você quiser saber mais sobre nossos treinamentos direcionados, entre em contato pelo nosso e-mail: contato@studioestrategia.com.br.
Uma resposta