Um estudo da Cybersecurity Ventures aponta que o cibercrime deve crescer 15% por ano, em média, e gerar um prejuízo global de US$ 10,5 trilhões já em 2025. Para efeitos de dimensão, isso significa que, se o cibercrime fosse um país, ocuparia a terceira posição no ranking mundial, à frente da Alemanha. Em outras palavras, a “organização cibercriminosa” é grande, como enfatiza José Luiz Marques, responsável pela área de arquitetura e soluções da Embratel. E mais: com a inteligência artificial generativa, tende a ficar cada vez mais potente.
Em contraponto, as ações de cibersegurança acontecem de formas isoladas nas companhias. Ou seja, não só as empresas não trocam experiências entre si, como também os departamentos de segurança cibernética ainda atuam em silos, descoladas da frente de negócios e demais departamentos.
Esse cenário, junto com a falta de profissionais qualificados em cibersegurança, foi o pano de fundo de dois painéis de debates no Futurecom 2024, que se dedicaram tanto a entender e endereçar a figura dos líderes desse setor (CISOs), quanto a mostrar a importância que a segurança cibernética assume nos negócios.
País precisa de novos talentos em cibersegurança
Do ponto de vista de qualificação, enquanto o país conta com uma força de trabalho de 5,1 milhões de pessoas, há uma lacuna de 4 milhões de vagas não preenchidas, segundo Ana Cerqueira, líder da Womcy no Brasil. Esse desequilíbrio evidencia a necessidade de capacitar novos talentos em cibersegurança, principalmente para lidar com um cenário cada vez mais complexo, provocado pelo avanço da Inteligência Artificial (IA) generativa.
Mas a via é dupla e, ao mesmo tempo em que a IA amplia as dificuldades de proteções cibernéticas, ela otimiza inovações, necessárias para a evolução dos negócios.
José Marques, da Embratel, lembra, por exemplo, que a empresa gerencia mais de um bilhão de dispositivos e vê na IA uma ferramenta importante para monitoramento e capacitação. “A IA generativa pode fazer perguntas e ajudar na identificação de vulnerabilidades, trazendo benefícios significativos para a segurança da informação”, disse. “No entanto, quanto mais IA generativa aumenta, mais cresce a superfície de ataque. Hoje, pode-se controlar o gás ou a luz da nossa casa com IA, por exemplo, e isso mostra o risco potencial para a nossa segurança física, inclusive. Portanto, também é necessário investir na defesa dessas tecnologias”, completou.
Desafios com a sofisticação das ameaças
A sofisticação das ameaças impulsionadas pela IA foi reforçada por Marco Túlio Moraes, da Raízen, que destacou a dificuldade de executar o básico enquanto enfrenta desafios mais avançados. Segundo ele, o mercado de segurança precisa de conscientização e de focar na educação contínua, dividindo os problemas em etapas, para que possam ser solucionados tanto no curto quanto no médio prazo.
Para Fabiana Tanaka, diretora de segurança de dados da Leroy Merlin Brasil, a adoção de novas tecnologias e estratégias de segurança precisa ser integrada aos negócios, e, para isso, é preciso que as equipes de cibersegurança entendam o core business e simplifiquem processos internos. “É preciso baixar a complexidade, simplificar contratos e serviços e garantir a capacitação interna, para obter resultados mais robustos”, afirmou. Fabiana também ressaltou a importância de prever ameaças com pelo menos três anos de antecedência, aproveitando eventos como o Futurecom para entender tendências e ajustar suas estratégias de segurança ao futuro.
Rodrigo Byrro, da ZRG Brasil, destacou o impacto que uma estrutura de cibersegurança mal construída pode ter em fusões e aquisições. “Empresas que sofreram ataques ou não têm uma estratégia de segurança bem definida tendem a perder valor”, disse ele.
Já Patrick Rinski, da McKinsey, reforçou que os CISOs (Chief Information Security Officers) enfrentam o dilema de, além de dominar o aspecto técnico, precisarem entender o negócio profundamente para proteger suas operações de forma eficaz. Segundo ele, cibersegurança não deve ser vista apenas como um custo ou uma resposta ao medo de ataques, mas como um gerador de receita. “Se o sistema permanecer ativo e seguro, a empresa pode ganhar mais”, disse Patrick, ressaltando a importância de mudar a narrativa sobre o papel da cibersegurança nos negócios.
Ataques potencializados pela GenAI
Outro ponto abordado pelos especialistas foi o uso de ataques de engenharia social, potencializados pela GenAI (IA generativa). Essas técnicas, que exploram erros humanos para obter informações ou acessar sistemas, são cada vez mais sofisticadas, segundo eles, de modo que a manipulação psicológica por parte dos criminosos utiliza táticas como fingir ser uma autoridade, uma marca confiável ou induzir medo para alcançar seus objetivos.
A falta de comunicação entre as equipes de cibersegurança e as principais lideranças corporativas foi outro ponto de destaque. Leandro Ribeiro, do Sírio Libanês, explicou que o profissional de cibersegurança precisa aprender a “vender” o projeto, destacando a necessidade de planos de longo prazo. “Não adianta falar que vai implantar uma política de ciber em um ano. São, no mínimo, cinco anos de investimentos”, afirmou.
Para José Marques, da Embratel, o problema vai além das ferramentas e processos, atingindo a formação dos profissionais. Ele mencionou a dificuldade de transmitir o conhecimento dentro das equipes e a necessidade de colaboração entre empresas para projetos de grande porte. “Nos anos 1980, quando falavámos sobre educação e treinamento, trouxemos o conceito de conhecimento tácito e explícito da cultura japonesa. Precisamos aplicar isso na segurança da informação“, disse ele. Marques destacou, ainda, a importância de um plano educacional mais completo e colaborativo, com empresas unindo forças para treinar suas equipes de forma eficiente.
Pedro Diógenes, da CLM, mencionou a relevância de ter um palco dedicado à cibersegurança no Futurecom. Para ele, isso demonstra uma tendência que em breve estará visível em eventos setoriais, como na área de saúde, que passarão a ter espaços dedicados ao tema, que passa a ser um pilar central dos negócios.
