Artigo

Segurança digital: investir apenas em tecnologia não é o suficiente

Muitas empresas intensificaram os investimentos em tecnologias e softwares que prometem manter a segurança digital. O investimento global total com softwares de antivírus, por exemplo, alcançará US$ 3,77 bilhões em 2019, segundo o grupo de pesquisa de mercado Analytical Research Cognizance (ARC).

Softwares, sem dúvida, desempenham um papel importante no combate aos ataques cibernéticos, mas há outras vertentes sendo deixadas de lado. Surpreendentemente, os líderes de negócios consultados ​​no International Business Report (IBR) da Grant Thornton disseram que o excesso de confiança em softwares é o ponto mais fraco no gerenciamento de ameaças relacionadas à privacidade e ao ciberespaço.

Os líderes de negócio, uma vez reconhecendo esse fator, precisam agir através de aprimoramento de suas habilidades digitais e da conscientização de todos os seus colaboradores em relação à segurança tecnológica. Inclusive, avaliar a contratação de um cyber seguro, tipo de apólice que tende a passar por uma alta demanda devido a nova Lei Geral de Proteção de Dados (LGPD).

Isso não significa gastar mais dinheiro. Em muitos casos, as empresas podem reduzir os investimentos com software à medida que reforçam a capacitação humana e as provisões com seguro. De maneira geral, a ARC prevê que as receitas do mercado de softwares de antivírus encolherão a uma taxa CAGR de -1,2% nos próximos cinco anos.

Veja também

Aumentando a conscientização sobre segurança digital

As empresas podem ter softwares de segurança virtual sofisticados, mas isso não eliminará a possibilidade de ocorrer erros humanos que estão por trás de muitas violações digitais. Afinal, são pessoas que respondem a e-mails de phishing e instalam softwares não autorizados.

Com o investimento mais elevado das empresas em sistemas de segurança cibernética do que na educação e conscientização dos funcionários, portanto, não é surpresa que o excesso de confiança na tecnologia seja visto como um ponto fraco no gerenciamento do risco digital.

Os negócios podem resolver isso aumentando a conscientização de todos os funcionários sobre segurança virtual. Mas como? Afinal de contas, as empresas têm realizado webinars de segurança cibernética e programas de treinamento obrigatórios por muitos anos, mas o erro humano continua a levá-las a ataques cibernéticos. É necessária uma nova abordagem.

Christos Makedonas, líder de risco tecnológico da Grant Thornton Chipre, diz que formatos de treinamento mais curtos ajudariam. "Ninguém tem tempo para assistir a vídeos de treinamento de uma hora. Eles devem ser encurtados para no máximo dois minutos. Você também precisa de lembretes visuais - como banners no escritório e mensagens nas telas - para lembrar as pessoas das melhores práticas”.

“As empresas deveriam simular tentativas de phishing, para que os funcionários que respondessem a essas tentativas pudessem receber um treinamento adicional”, ele completou. “Descobrimos que esses tipos de programas de treinamento têm muito mais êxito que os seminários online convencionais”.

Identifique as vulnerabilidades primeiro, invista depois

As empresas precisam entender suas vulnerabilidades ​​quanto aos ataques cibernéticos e as brechas na proteção de seus dados antes de investir em software preventivo. Isso requer habilidades especializadas que a maioria das empresas não possui.

“As empresas precisam reunir habilidades relacionadas à privacidade para ajudar no mapeamento de dados e no entendimento de suas especificações - particularmente em um ambiente de nuvem”, diz Mike Harris, sócio da área de Cyber ​​Security da Grant Thornton Irlanda.

O executivo pontua, ainda, que as organizações também precisam buscar habilidades tecnológicas diretamente relacionadas às tecnologias utilizadas em suas unidades/matrizes. “Por exemplo, se você estiver usando um serviço de nuvem fornecido pela Amazon ou pelo Azure, precisará ter habilidades de segurança interna para descobrir o que eles farão e não farão em relação à segurança virtual. Esse conjunto de habilidades é frequentemente ignorado”, reforça.

Tecnologia analítica avançada requer mentes analíticas avançadas

Muitas empresas direcionaram grande volume de investimento em tecnologias avançadas de segurança cibernética analítica que ajudam a identificar novas ameaças e vulnerabilidades.

Mas essas tecnologias são tão boas quanto às pessoas que podem interpretar os resultados e implementar as alterações correspondentes.

"Muitas pessoas veem a tecnologia como uma solução mágica, mas não é", diz James Arthur, sócio e diretor de Cyber Consulting da Grant Thornton. “Muitas empresas gastam muito dinheiro com software de segurança cibernética analítica comportamental orientado por IA, o que pode ser realmente útil em algumas circunstâncias, mas você normalmente precisa gastar muito tempo treinando-o para garantir insights úteis. Então você precisa de um humano no final da cadeia que possa olhar para a saída e fazer/aprovar as mudanças”.

A demanda crescente do cyber seguro

“Existem dois tipos de empresas: aquelas que já foram hackeadas e aquelas que ainda serão. E ambas estão se convergindo numa só categoria: empresas que foram hackeadas e serão hackeadas novamente”.

Estas são as palavras do ex-diretor do FBI Robert Mueller, em 2012.

Sua mensagem é clara - e tão relevante hoje quanto há sete anos: uma brecha é inevitável. É um forte argumento para motivar o investimento em seguros que ajudem a mitigar o impacto de ataques cibernéticos, e não apenas em softwares para evitá-los.

“Qualquer programa de risco digital razoável precisa ter um elemento de detecção, resposta e cobertura, porque eventos cibernéticos vão acontecer”, diz Mike Harris. “Observamos uma adoção cada vez maior de seguros que abrangem ataques cibernéticos e violações regulatórias de privacidade de dados. Mas, embora seja imperativo e seu uso esteja aumentando, a maioria das empresas ainda não tem esse tipo de seguro”.

As empresas podem supor que seu seguro geral cobre ataques cibernéticos, mas elas podem ter uma surpresa desagradável. Por exemplo, a seguradora Hiscox está atualmente contestando uma reivindicação do escritório de advocacia DLA Piper - provavelmente em milhões de libras – baseando-se no fato de que a companhia de seguros não tinha uma política específica de segurança digital.

Recusando a cobertura legalmente

Nem mesmo empresas com seguro cibernético possuem conforto total. As seguradoras podem se recusar a pagar se considerarem o ataque como um ato de guerra, caso que pode ser discutido se tal ataque for iniciado por agentes estatais.

"Ter seguro é ótimo, mas o truque está nos detalhes", explica James Arthur. "Temos visto as seguradoras tentando achar uma saída no seu dever com a cobertura, alegando que determinado ataque foi rastreado até um grupo estatal".

Além disso, as políticas cibernéticas podem conter cláusulas que exigem que as empresas instalem atualizações e patches frequentes. Não fazer isso pode resultar na falta de pagamento pelas seguradoras no caso de um incidente.

“Algumas políticas exigem que as empresas mantenham seu gerenciamento de patches atualizado com muito mais frequência do que estão acostumadas - ou gostariam, devido à paralização que isso pode causar nos negócios”, acrescenta Arthur.

As empresas devem, portanto, examinar os detalhes de seu cyber seguro forense para garantir que estejam cobertos e possam cumprir com suas condições.

Colabore com as seguradoras

O seguro contra riscos digitais está em alta, principalmente no exterior, mas a sofisticação das ofertas de seguros não é evidente. Essa é a visão dos líderes empresariais pesquisados ​​no IBR da Grant Thornton. De maneira surpreendente, mais de dois terços acreditam que a indústria de seguros precisa melhorar sua oferta para empresas acerca dos riscos de privacidade.

"O mercado de seguros de violação de dados cibernéticos está longe de ser tão maduro quanto outros mercados de seguros", explica Christos Makedonas. “As seguradoras estão atualmente lutando para avaliar os riscos porque as empresas têm diferentes vulnerabilidades. Duas empresas do mesmo setor e do mesmo tamanho podem ter uma cultura diferente e usar tecnologias diferentes, o que dificulta muito na avaliação de valor do risco”.

"Mas é muito importante para as empresas explorar isso e trabalhar com as seguradoras para impulsionar o mercado".

Cinco recomendações para criar uma abordagem equilibrada do seu risco digital. Confira:
1. Inove nas abordagens de treinamento

As abordagens tradicionais para treinamento cibernético não estão funcionando. As empresas devem desenvolver vídeos de treinamento mais curtos e regulares, além de simular tentativas de phishing para melhor educar seus colaboradores.

2. Invista em recursos humanos

As empresas precisam de recursos para identificar e mapear suas vulnerabilidades digitais. Elas precisam recrutar funcionários com habilidades cibernéticas especializadas que complementem os softwares utilizados em campo. Isso garantirá que o investimento em software preventivo seja mais adequado.

3. Avalie seguradoras específicas

Todas as empresas sofrerão um ciberataque, não importa o quanto invistam em software preventivo. O seguro comum pode não cobrir estes tipos de ataque, portanto, as empresas devem explorar um seguro específico contra riscos digitais que cubra ataques cibernéticos e violações de privacidade de dados.

4. Foque nas vulnerabilidades específicas

O mercado de seguros cibernéticos é relativamente imaturo. Assim, as empresas devem fazer com que as seguradoras entendam e foquem nas vulnerabilidades específicas do negócio, para que o risco seja precificado de forma eficaz.

5. Atente-se aos termos e condições

Uma vez que o seguro estiver sendo avaliado, as empresas devem estar atentas quanto à adesão aos termos e condições. Se eles não conseguirem instalar atualizações, isso poderá anular o seguro.

Essas recomendações devem ser implementadas no contexto de ambientes de risco digital específico das empresas. Portanto, o primeiro passo para os líderes empresariais é entender as vulnerabilidades e ameaças específicas aos seus negócios. Só então eles podem implementar as tecnologias mais relevantes, iniciativas de treinamento e contratação de seguro.

Quer saber mais sobre como a sua empresa pode mitigar riscos e garantir maior segurança digital? Entre em contato com os nossos especialistas da área de Consultoria.