Parceria Editorial
A urgência para a pauta de cibersecurity já alcançou o ambiente corporativo brasileiro. São conhecidos alguns exemplos famosos de invasões hackers, e estudos de grandes consultorias validam a sensação de insegurança: a Roland Berger afirma que o Brasil é o quinto maior alvo de ciberataques no mundo, enquanto a Deloitte destaca que, no país, 41% das companhias já foram vítimas de algum tipo de abordagem digital criminosa.
Os prejuízos vão além apenas do pagamento de uma vultuosa quantia para o resgate de dados sequestrados – como acontece quando há uma violação de ransomware. Seja essa modalidade de invasão ou outra, a repercussão pode ser ainda mais danosa. Como acionistas, investidores e clientes vão reagir ao saberem da falha de segurança? Qual é o impacto para a reputação da empresa?
O risco é real e conhecido
O reconhecimento da gravidade do cenário já existe. No Brasil, 83% das organizações preveem um aumento nos gastos cibernéticos em 2022, em comparação com 69% no mundo. É o que mostra a pesquisa PwC Digital Trust Insights 2022, que contou com a participação de 3,6 mil executivos de negócios, tecnologia e segurança.
“Há pouco tempo, as empresas pensavam que os únicos alvos seriam grandes bancos, com muito dinheiro, mas vimos que não é assim”, comentou o diretor de Soluções Digitais da Embratel, Mario Sergio Rachid, durante a edição sobre cibersecurity do Embratel Talks. Para assistir na íntegra, clique aqui.
“Acontece com qualquer companhia. A má notícia é: se a sua empresa ainda não foi atacada, ela vai ser. Por isso a gente precisa estar preparado. Temos exemplos em todos os setores, então foi importante trazer esses dados e deixar essa questão ainda mais em evidência”, afirmou Rachid.
Editor-executivo da MIT Technology Review Brasil, Carlos Aros alertou para a natureza ainda incipiente das ações para abordar o assunto. “Há uma percepção clara do tema segurança como um pilar estrutural do negócio, então existe a dimensão de que a segurança pode ser uma inviabilizadora ou uma viabilizadora. Porém, ainda há uma postura majoritariamente reativa, ou seja, só vai haver um encaminhamento dessa pauta, desde infraestrutura a cultura da empresa, depois que uma violação for registrada”, comentou Aros, também durante a dição do Embratel Talks Live.
Aros faz também uma avaliação pragmática do porquê é melhor prevenir do que remediar, segundo a lógica financeira de uma empresa. “O investimento é maior quando você sofre o dano. Se você faz o processo preventivo e olha a segurança como um pilar para a construção de produtos e serviços, é muito mais barato. Infelizmente, empresas ainda têm essa mentalidade de correr atrás do prejuízo depois de um ataque bem-sucedido”, explicou.
Investimento alto não é garantia de segurança
Gerente de Segurança Cibernética e da Informação no Banco Mercantil do Brasil, Ricardo Leocádio crê que trabalha em um setor privilegiado do ponto de vista do reconhecimento da importância da pauta: “Algo que eu sempre digo: até em desenho animado tem alguém querendo roubar banco”.
Segundo Leocádio, mesmo contra a própria vontade, há anos que o sistema financeiro começou a fazer investimentos grandes em cibersecurity. Trata-se de uma área em que, atualmente, bancos administram orçamentos relevantes, mas mesmo assim isso não os isenta de serem alvos dos cibercriminosos.
“Posso falar categoricamente que, em 2020, o setor financeiro nacional foi muito bombardeado. O hacker viu que o banco e os processos mudaram. Hoje, um ataque de ransomware rende valores superiores com uma única tentativa do que as ações criminosas do passado. E com o detalhe de ser muito mais oculto, do ponto de vista da rastreabilidade, uma vez que se tratam de transações do tipo Bitcoin”, relatou Leocádio.
Primeiras ações
Rachid destacou três pilares importantes para se alcançar a ciber-resiliência. O primeiro é ter ferramentas (software e hardware) para haver um primeiro nível de proteção da empresa. O segundo ponto é que, além de treinar a equipe de segurança que vai colocar para funcionar essas ferramentas, é preciso treinar e capacitar todos os colaboradores da organização, para que a questão de segurança seja um tema dela. “Não adianta ter a melhor ferramenta do mundo se um usuário da contabilidade, por exemplo, abre um e-mail que não devia”, afirmou o diretor de Soluções Digitais da Embratel.
Por fim, o terceiro ponto é ter a governança que fique lembrando todo dia que os processos sejam seguidos. É por meio dela que vai ser elaborado um plano de contingenciamento, caso um ataque bem-sucedido aconteça.
Na opinião de Aros, o ponto da capacitação de profissionais é o mais importante e o que mais deve ser levado em consideração na hora de planejar investimentos. “Investir em tecnologia é fundamental, mas é um passo que vem a reboque desse aporte em soluções. Às vezes você tem dentro de casa fornecedores, infraestrutura, está gastando até muito mais do que deveria, mas tudo isso não está sendo aproveitado porque você não tem as pessoas certas atuando com os recursos disponíveis ou os profissionais com a visão de segurança alinhada com as estratégias do negócio. Estamos falando de uma cultura dentro da empresa que potencialize o cuidado e a atenção com segurança”, destacou.
Mudança de cultura: mais fácil falar do que fazer
Uma vez que que o perigo é reconhecido e há um mapa de ações primárias a ser executado, o desafio passa a ser estabelecer uma mentalidade ciber-resiliente dentro das organizações, e isso só pode acontecer se houver o apoio dos tomadores de decisão. CEOs e conselhos de administração precisam bancar as resoluções recomendadas pelos profissionais de segurança digital, sob o risco de não serem o exemplo que vai instigar os demais funcionários a cumprirem as diretrizes passadas.
“Dentro de uma empresa, você começa a trabalhar essa questão com o board, depois passa pelas gerências e, em seguida, pelos demais níveis”, destacou Rachid. “A governança da segurança e do tratamento de riscos precisa estar inerente por toda a empresa. Na Embratel, fazemos um trabalho importante junto aos nossos clientes de uma consultoria de avaliar o nível de segurança da companhia, em que pontos ela pode e deve melhorar. Segurança é como respirar, você não pode parar depois que sofrer um ataque e pensar: ‘E agora’. É um trabalho diário, de todos”, afirmou.
Por sua vez, Aros pede que se faça um paralelo com o início da Transformação Digital no ambiente corporativo, quando empresas propagandeavam estar passando por mudanças, mas sem entender a real dimensão da importância daquele processo. “Quando tudo desanda, você tem muitas tecnologias adotadas, mas não tem uma empresa preparada para essa enxurrada de inovação que chegou”, exemplificou.
Aros afirma que nada vai adiantar se não houver um entendimento que parta de quem está em cima na hierarquia. E esse entendimento passa por saber que, além da mudança de cultura, esse é um trabalho que nunca vai acabar, uma vez que os cibercriminosos vão estar sempre em busca de desenvolver novos mecanismos para agir.
“Aqueles que decidem dentro de uma organização, precisam colocar a segurança como item estratégico. Em seguida, vão sendo trabalhados os processos com os gestores. Eu não conheço um único processo de Transformação Digital que tenha se encerrado, por ser um processo inerente à existência do negócio. Com a segurança é a mesma história, trabalhar uma ideia de atualização constante. Você investe hoje, amanhã e depois, para se ter resultado hoje, amanhã e depois. Fomentar nas pessoas o valor que as práticas cotidianas geram”, comentou.
Para acessar a Special Edition “Organizações ciber-resilientes”, produzida pela MIT Technology Review Brasil em parceria com a Embratel, clique aqui!
