Cibersegurança: O que as empresas estão ignorando?

Muito se tem comentado, noticiado e discutido sobre cibersegurança. Mas o que, na prática, os gestores estão fazendo? 

ConsciÊncia X Ação

O primeiro passo para concretização de uma ação é a consciência de que é algo deve ser feito. Entretanto,  sabedoria sem ação não tem valor.

Exemplos:

1. Se você sabe que usar cinto de segurança ajuda reduzir os riscos de ferimentos graves em acidentes de trânsito, porém utiliza o cinto apenas de vez em quando, então este conhecimento pouco te ajudará. 
2. Você está acima do peso e sabe que precisa comer mais saudável e praticar exercícios para melhorar sua saúde, porém não faz, você não melhorará sua condição física.

Com cibersegurança é a mesma coisa, o primeiro passo é ter consciência que algo precisa ser feito e depois fazer. Primeiro, vamos analisar como está a consciência das organizações em relação a cibersegurança. Depois verificaremos suas ações. 

Os gestores brasileiros tem consciência da importância de cibersegurança? 

As pequisas mostram que sim: 

• Segundo o Global Information Security Survey, da Ernst & Young, divulgado em 05/2016 , 44% das organizações brasileiras se sentem vulneráveis a ataques causados por funcionários
• 90% das empresas brasileiras esperam que cibersegurança torne-se uma prioridade mais elevada ao longo dos próximos dois anos. International Trends in Cybersecurity, pesquisa publicada em 29/04/2016 pela CompTIA.
• O Brasil está entre os países que mais se preocupam com violação de privacidade no mundo - 62% dos brasileiros entrevistados estão extremamente preocupados com a violação dos dados de seus clientes, segundo a pesquisa da Forrester de 2015.

Já que temos consciência em cibersegurança, onde estamos errando? 

• O Brasil é o país mais vulnerável para vazamento de dados - De acordo com a IBM e o Instituto Ponemon, as empresas brasileiras tiveram um aumento considerável no risco de sofrerem um grande vazamento de dados, saltando de 30,1% em 2014 para 37% em 2015, “herdando” a amarga liderança do ranking.
• No Brasil 87% das organizações disseram que experimentaram pelo menos uma violação de segurança cibernética ou incidente nos últimos 12 meses.International Trends in Cybersecurity, pesquisa publicada em 29/04/2016 pela CompTIA. 
• Pesquisa da Kasperskylab revela as razões pela qual o Brasil estar se tornando um dos países mais famosos por crimes cibernéticos. Matéria completa em:  Beaches, carnivals and cybercrime: a look inside the Brazilian underground
• De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), o Brasil teve o triplo de ataques à segurança de redes em 2014. O Centro recebeu mais de um milhão de notificações de incidentes envolvendo computadores conectados à Internet, o que representa 197% a mais do que em 2013.
• Informações pessoais são compradas por golpistas em mercado clandestino A reportagem especial do Fantástico do dia 11/08/2013 revelou como os dados pessoais estão desprotegidos.

 A seguir listarei os 4 problemas mais comuns que encontrei ao longo das minhas visitas e consultorias sobre cibersegurança nas organizações brasileiras:

1 - Falta de recursos financeiros

Muitas organizações alegam que não possuem recursos financeiros para investir em cibersegurança. Entretanto, ao invés das organizações se planejarem para implementarem processos e mecanismos de cibersegurança de acordo com sua realidade, muitas delas preferem usar o seguinte argumento: "não investimos em cibersegurança pois não é nossa prioridade" ou "a diretoria não apoia investimentos em cibersegurança, pois este tipo de investimento não traz ROI.

É responsabilidade dos gestores de TI e SI evidenciarem os riscos de negligenciar cibersegurança aos donos e gestores de negócio da empresa. Se necessário, solicitem que aos donos das empresas assinem cartas de riscos por optar em não investir em áreas importantes da cibersegurança, como:

• programas de conscientização em segurança da informação

2 - AusÊncia de profissionais de cibersegurança

A ausência de profissionais dedicados a cibersegurança dentro de uma organização implica em baixos níveis de investimento em cibersegurança: processos mal formulados e tecnologias precárias e insuficientes para combater o crime cibernético. Por isso, é necessário que cada organização designe um profissional ou um departamento responsável por segurança da informação. Caso a empresa seja pequena, ela deverá acrescentar esta função para um funcionário. Caberá a este funcionário elaborar um plano para melhorar a segurança da informação da organização - as limitações financeiras e estruturais devem ser respeitadas.
 

3 - Falta de colaboração entre as áreas

Muitas organizações possuem departamentos que não querem assumir ou dividir a responsabilidade por cibersegurança. Resultado: a cibersegurança fica esquecida dentro da organização. O CEO da empresa deve atribuir estas responsabilidades em um documento oficial. Neste documento ele deve relatar quais gestores serão responsáveis por cibersegurança, além de definir metas e resultados a serem cumpridos dentro da segurança da informação. 

4 - Ausência de legislação 

A maioria dos projetos implementados na área de segurança são motivados por alguma lei ou norma, já que muitas vezes o prejudicado não é a própria organização, mas sim terceiros(clientes ou outras empresas). Desta forma, sem nenhuma lei na área de segurança da informação, como a lei de proteção de dados pessoais, dificilmente a cibersegurança receberá os investimentos necessários. Desta forma, é de nossa responsabilidade revindicarmos a criação e aprovação de leis, além de participarmos ativamente com opiniões durante a elaboração do conteúdo destas leis. Acompanhe o projeto de Lei 4060/2012 - Proteção de Dado Pessoais.

O maior prejudicado pela falta de investimento em cibersegurança será sempre a sociedade.

Autor:  Vinícius Perallis
Especialista em Cibersegurança