A transformação digital colocou em cheque os processos de cibersegurança nas empresas. Na mesma medida em que as novas tecnologias trazem benefícios para os negócios, elas aumentam exponencialmente as possibilidades e o grau de refinamento dos ataques cibernéticos. Assegurar a privacidade dos dados da companhia e dos clientes transformou-se em uma questão estratégica para os negócios. Mas será que as empresas estão preparadas para esse desafio? "O prejuízo que a falta de segurança pode ocasionar ainda é um fator que não foi completamente compreendido", afirma Demetrio Carrión, sócio-líder de Cibersegurança para o Brasil e América Latina da EY.
A pesquisa da EY "Global Information Security Survey" expôs em dados essa deficiência. De acordo com o estudo, apenas 2% das companhias brasileiras acreditam ter um sistema de segurança eficaz – a média global foi de 8%, também considerada preocupante pelos especialistas. A necessidade de se adequar para a nova realidade da transformação digital é urgente. "Quanto mais tempo as organizações demorarem para criar sistemas de proteção robustos, maiores serão os riscos e os custos", diz Carrión. Como mergulhar nesse processo? Confira, a seguir, algumas estratégias.
CUMPRIR O RITUAL DE CIBERSEGURANÇA
Principalmente nos últimos anos, as empresas aumentaram o investimento em tecnologia, ganharam melhor desempenho e expandiram suas possibilidades de negócios. "Mas as vulnerabilidades e ameaças virtuais também cresceram", alerta Carrión. Os novos riscos advêm sobretudo da necessidade de lançar novos produtos e serviços em ritmo acelarado. “A urgência das coisas leva as empresas a deixarem a segurança em segundo plano", diz Carrión. "É comum que elas não sigam os rituais fundamentais de precaução e, por isso, acabam colocando no mercado aplicações com falhas", diz. Muitos dos ataques só acontecem, por exemplo, por vulnerabilidade dos códigos de programação.
A ânsia por implantar tecnologias emergentes, como o blockchain e IoT, também afeta a segurança. "O clamor pela novidade é positivo e o movimento na busca por novas soluções tecnológicas, necessário", diz Carrión. "Mas nunca devemos pular o que chamo de 'ritual da cibersegurança'." Carríon alerta que, antes de qualquer passo, é preciso fazer uma avaliação muito detalhada dos riscos, cumprir procedimentos necessários para mitigar possibilidades de falhas e ataques.
INVESTIR MAIS E MELHOR
As empresas ainda investem pouco em segurança cibernética. De acordo com a análise da EY, 51% das companhias brasileiras investem até US$ 100 mil em segurança da informação, o que pode ser considerado baixo, e 10% sequer têm orçamento definido para as ações na área. “No geral, nunca há recursos para cibersegurança. Até que acontece um problema. Aí, coloca-se aparece um monte de dinheiro disponível”, diz Carrión. “Soluções emergenciais não são o ideal. O investimento em cibersegurança precisa ser contínuo.”
Ter esse perfil de ação e não construir um projeto consistente de segurança pode colocar em risco o futuro do próprio negócio. "Estamos numa época em que as empresas vão sucumbir pela questão da segurança cibernética", diz Carrión. Os custos para construir barreiras efetivas de proteção precisam ser inseridos em um contexto maior e fazer parte do planejamento financeiro das empresas.
CRIAR CAMADAS DE DEFESA
"Não existe sistema 100% seguro, por isso, é inevitável sofrer uma ataque cibernético". O consultor é categórico nessas afirmações. No Brasil, 43% das companhias não têm um programa de inteligência estruturado contra ameaças virtuais e 45% destacam que dificilmente conseguiriam prever tentativas de roubos de dados. Diante da inevitabilidade do ataque é preciso criar mecanismos para detectar riscos e retardar a ação de hackers. "O sistema com essas "lombadas ou barreiras digitais" permite que a equipe de segurança atue a tempo de evitar um problema", diz Carrión. A título de exemplo, utilizar um duplo fator de autenticação e priorizar senhas mais fortes seriam barreiras básicas para reforçar a linha de defesa.
ESTABELECER A CULTURA DA SEGURANÇA
Não adianta ter o mais avançado sistema de proteção de dados se a cultura da cibersegurança não estiver bem sedimentada em toda a cadeia de valor. A razão é simples: estima-se que 90% dos ataques começam a partir da caixa de e-mails. Basta um funcionário clicar em um link malicioso para abrir a janela de oportunidade que os hackers tanto esperam. Há consciência sobre o risco do fator humano entre os gestores. Mais da metade (54%) das organizações brasileiras disseram que sua grande vulnerabilidade são colaboradores desatentos ou mal intencionados. "Quando os funcionários não estão conscientizados sobre a importância da segurança digital, eles acabam sendo a porta de entrada para os ataques", diz Carrión. Segundo o consultor, é preciso estruturar uma jornada de segurança, estabelecer regras e treinar, continuamente, todo o quadro de funcionários para segui-las.
COLOCAR A SEGURANÇA NO CORE
"Historicamente, a segurança da informação é responsabilidade quase que exclusiva do pessoal de TI. Mas esse não é o formato ideal", diz Carrión. Para o consultor, a segurança da informação precisa ser uma preocupação estratégica da companhia e permear todas as áeras de negócios. "Quando a cibersegurança é tratada apenas do ponto de vista técnico fica muito mais difícil às empresas se blindarem contra eventuais problemas", diz Carrión.
A pesquisa da EY refletiu a realidade atual. De acordo com a análise, 55% das companhias não consideram a proteção de dados como parte estratégica dos negócios. "É este paradigma que temos que mudar", afirma o consultor. "Os gestores precisam entender que é necessário ter a segurança cibernética no DNA da companhia, começando pela estratégia de negócios até construir uma relação de confiança com os clientes". Um modelo que Carrión sugere é ter um departamento de cibersegurança independente, que se reporte a executivos das áreas de risco, compliance, negócios ou até mesmo diretamente à presidência da empresa.
PREPARAR-SE PARA A LEI GERAL DE PROTEÇÃO DE DADOS
Sancionada em agosto do ano passado, a Lei Geral de Proteção de Dados (LGPD) deu uma sacudida no mercado. "Pela primeira vez, vimos um movimento em massa em direção à segurança da informação", diz o consultor da EY. As empresas correm contra o tempo para se adaptar às regras da LGPD antes dela começar a valer, em agosto de 2020. A legislação coloca o Brasil em pé de igualdade aos padrões internacionais de proteção de dados. Ela exige transparência no tratamento das informações pessoais e, pela primeira vez, deixa às claras as responsabilidades e penalizações relacionadas a excessos e abusos de quem lida com esses dados.
A pressa em se enquadrar às regras não é apenas uma questão protecionista. "A LGPD foi promulgada para as empresas brasileiras poderem fazer negócios com outros países. Esse é o grande motivador", diz Carrión. Fazer a adaptação é, segundo ele, uma tarefa complexa que exige rever a cultura, os processos e as tecnologias relacionados à segurança. Para se ter uma ideia, depois do diagnóstico inicial da cibersegurança de uma empresa, são necessários até 18 meses para ajustar todos os pontos até que ela esteja de acordo com a legislação. "Não dá para pular etapas. Portanto, quanto mais a companhia atrasar esse início, maior risco ela estará assumindo", diz.
Assine o podcast da EY Brasil sobre o novo mundo dos negócios.