André Gurgel (*)
Em 2023, os ataques cibernéticos continuarão a assolar as organizações brasileiras. No segmento de varejo, por exemplo, as perdas foram expressivas. Estudo da consultoria internacional BIP realizado em outubro de 2022 em 13 países, incluindo o Brasil, revelou que, para 55% dos 80 dos maiores varejistas do país, o principal problema que afetou seus negócios foram os ciberataques.
Em diversas ocasiões, um dos resultados desse quadro foi a demissão de CISOs. Trata-se de uma visão em processo de transformação. A economia digital precisa ser segura para os negócios avançarem e o CISO tem um papel crítico na sustentação de processos e na geração de riqueza.
Foi-se o tempo, porém, em que um líder e um time poderiam garantir a vitória contra as gangues digitais. Em 2023, o sucesso virá para a organização usuária que apoia seu CISO e trabalha com uma visão de longo prazo de proteção de seu ambiente de negócios. Para que o CISO e o time de Cyber Security sejam ouvidos por toda a organização, algumas mudanças importantes têm de seguir acontecendo.
Ainda há muitas empresas que não inserem o CISO em seus Boards. Essa configuração gerencial amplia o abismo entre o CISO e os gestores de negócios, dificultando que líderes sem expertise técnica consigam compreender a magnitude das ameaças digitais. Outro resultado desse contexto é o atraso na disseminação das melhores práticas de segurança em todas as áreas da empresa.
A integração entre o CISO e o Board é necessária porque, hoje, um ataque digital afeta a empresa como um todo. As perdas financeiras causadas por uma indisponibilidade do portal Web da organização, por exemplo, têm de ser equacionadas pelo CFO. O prejuízo causado à marca pela perda de credibilidade causada por um ataque, por outro lado, exige a intervenção do CMO para ser superado.
Uma falha na conformidade da empresa à LGPD demandará que o Diretor Jurídico atue com presteza. A velocidade e eficácia da resposta da organização como um todo às ameaças e aos ataques dependem dessa nova configuração do Board. Esta realidade é tão premente que, nos EUA, a SEC (Securities and Exchange Commission, a versão norte-americana da brasileira CVM), propôs, em abril de 2022, que a lei Sarbanex-Oxley (SOX) passe a exigir que os líderes de cyber security tornem-se membros dos Boards empresariais.
Segundo estudo da gestora de investimentos global Moody´s publicado no WSJ, em um universo de 1300 organizações norte-americanas, 56% das empresas do setor de finanças já contam com CISOs em seus Boards. Entre órgãos governamentais, no entanto, somente 37% das organizações já atuam nesse modelo. Ainda não há estatísticas como estas em relação ao Brasil, mas é seguro afirmar que, em 2023, a segurança dos negócios digitais ganhará maturidade com a maior proximidade entre os CISOs e os outros membros dos Boards.
Outra frente de apoio aos CISOs são os Comitês Multidisciplinares de Segurança. Em muitas organizações, os primeiros Comitês Gestores de Privacidade e Proteção de Dados foram criados com foco na conformidade à LGPD. Como a busca da conformidade à lei é um ciclo contínuo, esses comitês seguem em ação.
Em muitas empresas, porém, está acontecendo a ampliação desse modelo, com a organização de Comitês de Segurança que reunem stakesholders de todas as áreas de negócios. Esse fórum escuta as recomendações do CISO e de seu time e também faz recomendações aos experts em cyber security, compartilhando lógicas de negócios e de processos essenciais para o sucesso de uma política de segurança digital.
Em 2023 veremos, também, um número maior de empresas de portes variados buscando a conformidade à LGPD. A maior conscientização de consumidores e usuários sobre a proteção de seus dados pessoais está definindo escolhas de compra.
Estudo realizado em dezembro de 2022 pelo Grupo Daryus a partir de entrevistas com 200 profissionais de ICT Security de empresas de todas as verticais e de todos os estados brasileiros indicam que, deste universo, somente 20% já estavam em conformidade com a lei. 80% ainda estão no processo de buscar essa transformação – 24% desse total disseram estar no inicio dos trabalhos.
Como a jornada em direção à LGPD envolve processos e tecnologia, é comum ser necessário contratar uma consultoria para suportar essa transformação. As grandes consultorias de negócios cobram caro por sua homem/hora e acabam sendo a escolha das maiores empresas brasileiras. Em 2023, esse contexto criará oportunidades de negócios para Integradores de Soluções de segurança e MSSPs que conheçam as disciplinas de desenho de processos e possam atuar de forma consultiva junto a seus clientes.
Em alguns casos, a estratégia adotada é uma fusão ou aquisição entre essas empresas e uma consultoria jurídica ou de processos com expertise em LGPD. Essa oferta inclui a possibilidade de profissionais dessas empresas atuarem como os DPOs das organizações usuárias de pequeno e médio porte.
. Crise econômica reduzirá os budgets de ICT Security – Em todo Brasil, os CISOs revelam que os budgets para 2023 ou não foram ampliados o suficiente ou foram reduzidos. As dificuldades de comunicação entre as áreas técnicas e de negócios tornam esse quadro ainda mais crítico.
Uma estratégia para lidar com esse desafio é construir casos de uso que projetem um ROI bem definido, com informações que façam sentido para os líderes de negócios. Na vertical saúde, por exemplo, o caso de uso que medir o impacto de ataques digitais na reputação da empresa e de seus médicos é algo tangível. Em tempos de crise, o orçamento é disputado por várias áreas.
Pode acontecer, por exemplo, de que uma verba crítica para a proteção dos dados dos pacientes seja utilizada na compra de uma máquina de ressonância magnética. Nesse contexto, o principal desafio do CISO é sensibilizar seus interlocutores sobre o impacto que um ataque pode causar à empresa como um todo.
Uma forma de construir esses casos de uso é utilizar ataques acontecidos em outros países ou empresas da mesma vertical e, a partir daí, montar um estudo indicando quantas horas ou dias a empresa ficou fora do ar, o quanto deixou de ser faturado, quantos clientes abandonaram a marca, etc.
A vitória na guerra digital de 2023 virá para quem ouvir o CISO, e passar a tratar a segurança digital como uma missão de longo prazo que pertence a todos os colaboradores da organização.
(*) – É Country Manager da Hillstone Networks Brasil (https://www.hillstonenet.br.com/).