As ameaças cibernéticas estão a crescer a um ritmo exponencial a nível global.
De acordo com o mais recente Inquérito Global de Segurança da Informação da EY (GISS), 77% dos inquiridos viram aumentar o número de ataques disruptivos nos últimos 12 meses. Segundo a Cybersecurity Ventures, espera-se que os custos globais do cibercrime cresçam 15% ao ano nos próximos cinco anos, atingindo 10,5 biliões de dólares anuais até 2025.
Todos os dias são revelados novos ciberataques bem-sucedidos a entidades de todos os sectores de actividade, desde pequenas empresas até grandes instituições públicas e privadas. Ninguém está imune aos impactos financeiros, operacionais e reputacionais cada vez mais elevados dos ataques, e em particular aos que são realizados a infraestruturas críticas e operadores de serviços essenciais.
No entanto, apesar deste clima de risco crescente, muitas entidades ainda estão a assumir que o mal só acontece aos outros e a protelar os investimentos necessários para se protegerem de forma mais robusta perante estes cenários. Os dados sugerem que o financiamento da cibersegurança não tem acompanhado o risco crescente. Metade dos inquiridos do GISS diz que os orçamentos são inferiores ao necessário para lidar com os desafios existentes relacionados com a cibersegurança, e mais de 45% acham que é apenas uma questão de tempo até que ocorra uma violação que poderia ter sido evitada com o investimento adequado.
Esta falta de investimento e prioridade é particularmente notória quando vemos que alguns dos ciberataques deixam um completo rasto de destruição com fugas massivas de informação, perdas de dados irrecuperáveis e entidades que ficam completamente à mercê do pagamento de resgates a cibercriminosos.
Já assistimos a alguns dos responsáveis de cibersegurança a partilhar que um dos poucos lados positivos de terem sido alvos de um ataque massivo, foi o de que a gestão ter finalmente assinalado a cibersegurança com uma prioridade para o negócio e avançado com a implementação das iniciativas que estavam previstas há anos, mas que nunca tinham tido orçamentação e mobilização de recursos para a sua prossecução.
Hoje em dia, qualquer organização pode ser um alvo de um ciberataque bem-sucedido. Com o tempo, os recursos e a motivação necessários os cibercriminosos conseguem muitas vezes contornar as defesas do alvo.
As organizações precisam de aplicar bons princípios de gestão de riscos, que começam por tratar o risco cibernético, tal como um risco de negócio. Compreender o panorama da ameaça cibernética é um passo fundamental na mudança para melhorar a maturidade cibernética. Para resolver este problema, as empresas precisam de ter um plano claro que faça parte do seu roteiro de transformação digital e que inclua as seguintes considerações:
- Definir a cibersegurança como um imperativo estratégico para lidar com a potencial interrupção do negócio e impacto financeiro face ao aumento do cibercrime financeiro (ransomware como serviço), proteção de infraestruturas críticas (regulação emergente) e alterações nas formas de trabalhar;
- Adoptar uma framework de cibersegurança (ex: ISO 27001, NIST CSF, CIS) para a identificação consistente de vulnerabilidades, ameaças e controlo cibernético necessárias para atingir o perfil de risco alvo;
- Adoptar uma abordagem baseada no risco, que faça um equilíbrio entre "proteger" e "reagir", e satisfaça os requisitos operacionais de uma organização;
- Preparar-se para uma arquitetura de segurança "moderna" em toda a organização, uma vez que os próximos cinco anos verão inevitavelmente mudanças significativas na tecnologia e nos dados, em resultado da adoção acelerada de nuvem, análise e automação;
- Procurar oportunidades para repor as fundações de cibersegurança, como a gestão de identidade e acesso e a arquitectura de segurança zero trust, como parte de programas mais amplos de modernização e transformação digital das aplicações core.
Artigo escrito por Sérgio Martins, Associate Partner EY, Cibersecurity, Consulting Services