EXCLUSIVO – Mesmo com a aceleração da transformação digital ocasionada pela pandemia, as empresas não estão confiantes em sua capacidade de gerenciar um ataque cibernético. É o que revelou o Relatório do Estado da Resiliência Cibernética, produzido pela Marsh. A pesquisa ouviu 660 tomadores de decisão sobre riscos cibernéticos no mundo, 162 deles na América Latina, para analisar como o risco cibernético é visto por diversas organizações. inclusive em segurança digital, TI, gestão de riscos e seguros, finanças e liderança executiva.
Segundo o relatório, em 2019, 22% dos entrevistados na América Latina disseram estar muito confiantes em sua capacidade de entender e avaliar ameaças cibernéticas e 18% em suas habilidades de gerenciar e responder a incidentes cibernéticos. Em 2022 os valores variaram ligeiramente, com 19% e 16%, respectivamente. “Os grupos criminosos estão ficando cada vez mais sofisticados no emprego de técnicas que podem confundir até mesmo profissionais treinados, e a pandemia da Covid-19 apenas reforçou esse cenário, com as pessoas em home office, o que deixou sistemas mais vulneráveis”, afirma Arthur Capella, Diretor Geral da Tenable no Brasil.
O estudo ainda constatou que apenas 43% dos entrevistados afirmaram ter avaliado o risco dos seus fornecedores ou cadeias de suprimentos. Para Capella, as mudanças no ambiente de trabalho, em decorrência da pandemia, abriram as organizações para riscos cibernéticos novos e até então desconhecidos ou não gerenciados. “Os líderes de segurança da informação devem reavaliar sua abordagem para navegar com eficácia e proteger garantir que as organizações brasileiras não fiquem tão vulneráveis a ataques cibernéticos. E essa reavaliação deve ser estendida aos seus parceiros de negócios dentro da cadeia de valor”, diz.
A pesquisa também apontou que apenas 41% das organizações olham além da segurança cibernética e do seguro para incluir suas funções legais, de planejamento corporativo, financeiro, operações ou gerenciamento da cadeia de suprimentos na elaboração de planos de risco cibernético. “Hoje, a chave é abordar esses tipos de ameaças com uma abordagem baseada em riscos. Não é possível corrigir falhas o tempo todo, é preciso abordar os aspectos mais vulneráveis do negócio em primeiro lugar”, afirma Capella. O executivo ainda ressalta que muitas das ameaças cibernéticas podem ser identificadas e mitigadas rapidamente, por meio de um trabalho de “higiene cibernética”, que nada mais é que o tratamento básico e preliminar de configurações incorretas para ajudar a limitar as vias de ataques e, consequentemente, impedi-los.
De acordo com a pesquisa, apenas quatro em cada dez entrevistados na América Latina (41%) disseram que sua organização utiliza métodos quantitativos para medir sua exposição ao risco cibernética. Trata-se de uma melhora em relação à pesquisa de 2019, quando apenas três em cada dez entrevistados (30%) afirmaram analisar dados para verificar o quanto seus sistemas estão expostos.
Capella diz que a mitigação do risco pode ser maximizada com a adoção de métricas dinâmicas, baseadas na atividade do invasor em tempo real, por meio de projeções sobre as vulnerabilidades que os invasores irão explorar em seguida. “Entendendo este trabalho preliminar de gerenciamento de vulnerabilidades, uma ação de inteligência cibernética para determinação da gravidade de uma ameaça é fundamental para definir a rapidez na atuação para lidar com ela”.
O relatório ainda apontou que 63% das empresas entrevistadas da América Latina e do Caribe consideram que o Home Office os coloca em risco de um ataque cibernético, seguido pelo uso de dispositivos móveis pessoais de funcionários (59%). O executivo afirma que cabe às empresas implementar o máximo possível de medidas de segurança cibernética para evitar os riscos mais comuns, levando em consideração a dificuldade em zerar a margem de riscos. “Além disso, é fundamental que as companhias invistam em um programa robusto de segurança cibernética e os funcionários reconheçam potenciais perigos de segurança cibernética. Elaborar normas de segurança para que os colaboradores entendam melhor esses riscos, pode fazer a diferença”.
Metade dos entrevistados pela Marsh revelaram que o principal motivo das empresas não medirem sua exposição aos riscos cibernéticos, é por falta de funcionários capacitados. Capella diz que uma solução para esse problema pode ser o investimento em no estudo e implantação da IaC (Infraestrutura como código), que minimiza o potencial de ataques utilizando softwares para automatizar algumas atividades por meio de códigos. “Esses códigos podem ser executados para as alterações que forem necessárias em infraestruturas de TI, evitando erros humanos que podem resultar em ciberataques”.
O executivo finaliza dizendo que, além do talento, a prática dos fundamentos cibernéticos básicos (sistemas de correção, uso de autenticação forte, etc.) pode reduzir significativamente o risco de comprometimento das operações. “A grande maioria dos ataques de hoje são resultado de vulnerabilidades conhecidas, mas não corrigidas e aspectos básicos como o uso de contra senhas fracas. As organizações também devem adotar uma abordagem moderna da ciber-segurança. Uma que seja construída para o mundo digital e todas as suas complexidades. Para isso, tecnologia, processos e pessoas serão os pilares fundamentais”.
Nicole Fraga
Revista Apólice
The post Empresas ainda não se sentem capazes de gerenciar e mitigar riscos cibernéticos appeared first on Revista Apólice.
