Segurança não é dos assuntos mais fáceis, nem sob o ponto de vista técnico e muito menos sob a perspectiva da comunicação. Mas é, sem sobra de dúvida, o tema essencial, aquele que dá base para o desenvolvimento do negócio, que sustenta o crescimento da empresa, a criação e a oferta de novos produtos e serviços, e que gera, na relação com o cliente, a confiança necessária para o sucesso da companhia.
Mesmo não sendo fácil, segurança — física e digitalmente falando — é uma construção que envolve muitas áreas dentro do negócio, desde a gestão até a área de tecnologia, passando por produtos e até mesmo o marketing. Nos últimos anos, o entendimento sobre o que de fato é cibersegurança evoluiu e se tornou muito mais próximo daquilo que os líderes desse segmento defendem há bastante tempo.
A evolução principal começou quando as empresas deixaram de construir grandes muralhas e colocar seguranças fortes e bem armados na porta porque compreenderam que independentemente da altura do muro e da espessura da porta, os pontos vulneráveis eram muitos e em lugares distintos, de difícil acesso para os seguranças e suas armas potentes. Convertendo a metáfora para o digital, estamos falando em instituições que investiam em ferramentas de proteção e em sistemas genéricos, gastando muito mais do que o necessário para obter proteção ilusória.
Felizmente deixamos para trás a ideia de segurança como produto, algo que se compra na prateleira de uma loja, e adotamos o conceito de solução. As soluções de segurança são muito mais efetivas do que os “muros altos”, porque são feitas pensando nas particularidades do negócio, seja sob a ótica de risco ou da perspectiva de futuro, observando os caminhos que a empresa deverá trilhar no futuro. É mais barato e eficiente.
E os desafios nesse campo estão mais claros do que nunca. De acordo com estudo divulgado pelo Fórum Econômico Mundial de 2021, as falhas em cibersegurança são o quarto maior risco para o curto prazo, e tanto empresas como governos estão susceptíveis a se envolver em ataques cibernético mais perigosos e cada vez mais sofisticados. Prova disso está no volume e na complexidade dos ataques cibernéticos que têm sido noticiados nos últimos tempos – a maior parte deles com foco em inviabilizar o negócio ou buscar recompensas financeira com o pagamento de resgate pela liberação de informações capturadas. O Brasil, aliás, figura entre as primeiras posições entre os países com maior número de ataques de ransomware em diversos levantamentos sobre cibersegurança.
Mas, se o entendimento sobre o que é segurança mudou, se as empresas hoje reconhecem que o sucesso do negócio está atrelado à capacidade que se tem de proteger informações sensíveis, de garantir a proteção dos dados e dos recursos de clientes e de parceiros, e de blindar a companhia de ações frequentemente cometidas por cibercriminosos, como ataques de DDoS ou de ransomware, por onde deve começar o investimento da empresa em segurança?
Um caminho simples seria dizer que começa com tecnologia. Mas essa é outra visão que mudou — felizmente — com o passar dos anos. “Se a gente não conseguir implantar em uma empresa uma cultura de segurança, todo o investimento feito em tecnologia pode ser jogado fora. A maioria dos casos que conhecemos são problemas ocasionados por um usuário dentro da empresa que, inadvertidamente, abriu um e-mail, um link ou um arquivo e a partir daquele momento disseminou um problema por toda a organização”, resume Mario Sergio Rachid, diretor executivo de soluções digitais da Embratel.
Se fossemos desenhar um infográfico rudimentar sobre por onde deve começar a segurança dentro de uma empresa, seguiríamos esse caminho: iniciamos o processo de educação com as equipes à medida que implementamos tecnologias que vão suportar as ações com foco em segurança; em seguida, reforçamos esse processo de treinamentos para criar hábito e tornar a segurança parte da cultura da empresa, até que se torna natural. Sem o envolvimento das equipes, não há uso consciente dos recursos, mesmo que sejam soluções tecnológicas de última geração. Um deslize, por comportamento equivocado do usuário, pode colocar tudo a perder.
“É preciso efetivamente trabalhar a cultura e entender que, como todo aspecto cultural, não é algo que vai acontecer da noite para o dia. Você tem que estabelecer regras, treinar, catequizar — para usar um termo específico — toda a organização até que se entenda que é um tema importante e se torne natural. Esse é o grande desafio para as empresas que estão hoje no mercado”, analisa Rachid.
O mais importante quando falamos sobre cultura é ter a clareza de que se trata de uma construção para médio ou longo prazo. Hábitos não mudam da noite para o dia, eles são continuamente exercitados para que as ações não sejam percebidas, porque se forem é sinal de que não é algo natural. Quer testar? Me responda: quantas vezes você piscou enquanto leu esse texto?
As empresas, de forma geral, admitem que o melhor caminho para que a segurança digital seja efetiva é a sinergia entre os profissionais bem treinados e as ferramentas tecnológicas aplicadas de forma adequada — respeitando as necessidades do negócio e aplicando soluções de segurança customizadas. De acordo com a pesquisa Estratégias para um futuro cibernético, da Deloitte, “62% das empresas concordam que treinamentos e políticas de segurança cibernética proporcionam maior engajamento dos profissionais em busca de resultados para a empresa.”
Esse mesmo estudo mostra que apenas 47% das empresas aplicam treinamentos sobre segurança cibernética e proteção de dados para todos os profissionais. E 33% das empresas não oferecem nenhum tipo de treinamento. Há, deste modo, um descompasso entre a crença e a prática, uma vez que não basta acreditar no potencial benéfico do engajamento dos colaboradores em segurança, é preciso envolvê-los nisso.
Há, evidentemente, muitas mudanças que ainda precisam acontecer para que a segurança deixe de ser um tema incômodo para se transformar em assunto de negócio. Entre elas, a opção por investir em segurança apenas depois de a empresa ter sido vítima de um ataque cibernético. Nesses casos, inclusive, 58% das empresas atualizam a infraestrutura de TI após o ataque e 49% criam programas de conscientização sobre o tema.
Outro ponto que pode ser melhorado é percepção de que investir em segurança traz reflexos para o negócio. Pouco mais da metade (56%) acreditam que o investimento pode alavancar os resultados. Esse é um dos aspectos que pode — e deve — ser trabalhado pelas organizações, porque as áreas de negócios e de tecnologia juntas podem usar os investimentos em segurança como ponto de partida para construir novas (e mais seguras) relações com clientes e parceiros, otimizar processos internos e tornar a empresa mais ágil e eficiente, blindar o negócio de interrupções causadas muitas vezes por falhas de segurança e ainda ganhar reputação e relevância no mercado justamente porque a marca está comprometida com segurança e proteção de dados.
Em tecnologia, começamos pelas pessoas e terminamos por elas. Com segurança não é diferente. São os usuários, e suas práticas cotidianas, que vão definir a cultura de segurança da empresa. Aos gestores resta fazer boas escolhas no campo técnico, provisionar recursos para os investimentos em soluções adequadas ao negócio. Não existe mágica, claro, mas planejamento, treino e, claro, a disseminação do conhecimento.
*Carlos Aros é editor-executivo MIT Technology Review Brasil