Há um fato inconveniente que tem sido bastante comentado na comunidade empresarial. Como muitos tomadores de decisões de negócios bem sabem, parece que dificilmente passaremos uma semana sem que uma violação de dados de algum tipo seja divulgada na imprensa. Somente em um ano, casos envolvendo incidentes de segurança afetaram milhares de pessoas no mundo inteiro.

Examinemos as estatísticas. Em outubro de 2017, a empresa de testes de DNA MyHeritage sofreu uma violação que afetou 92 milhões de pessoas. Avançando para março do ano passado, descobrimos que os dados de 87 milhões de usuários do Facebook foram compartilhados. Em junho, a Ticketmaster divulgou que as informações de login, os dados de pagamento, endereços, nomes e números de telefone de quase 40 mil pessoas foram violados. Após todos esses acontecimentos, no início de setembro, hackers invadiram os sistemas da British Airways, afetando 380 mil transações.

As violações, independentemente da proporção, têm consequências brutais quando acontecem (mesmo que sejam menores que as dos exemplos citados). Tomemos como exemplo apenas o setor de varejo: estudos recentes mostraram que 19% dos consumidores deixariam de gastar seu dinheiro com a loja se a empresa fosse violada, e um terço (33%) declarou que não compraria mais dela pelo menos por um tempo. Você consegue imaginar como a perda de 19% de sua base de clientes afetaria seus resultados? Com certeza o cenário não seria favorável.

Com o estabelecimento de novas regulamentações, como o Regulamento Geral sobre a Proteção de Dados europeu (General Data Protection Regulation, GDPR), as multas também são um grande fator de receio para os líderes empresariais. Segundo relatórios, a multa recebida pelo Facebook por sua participação no escândalo da Cambridge Analytica poderia ter sido de £ 1,4 bilhão (quase R$ 6,67 bilhões) no mundo pós-GDPR. Uma soma extremamente pesada até para um gigante global. Imagine para uma pequena empresa: a possibilidade de pagar até 4% do volume de negócios anual em multas não é brincadeira.

É fato que as consequências de uma violação de dados, das multas aos prejuízos financeiros e à frustração ou o abandono pelos clientes, são prejudiciais, desanimadoras e podem comprometer as empresas envolvidas.

Com esse cenário, tendemos a achar que é fácil para os diretores de segurança de informações justificar seus orçamentos. Contudo, uma pesquisa feita por nós em 2018 (What it takes to be a CISO: success and leadership in corporate IT security; “O que é necessário para ser um CISO: sucesso e liderança na segurança de TI corporativa”) mostrou que, na verdade, os Chief Information Secutiry Officers (CISOs) têm dificuldades em obter os orçamentos necessários para combater os cibercriminosos.

Os motivos? Existem vários, inclusive o fato de que a segurança é agregada ao orçamento geral de TI. Mas, por conta da falta de conhecimento por parte da diretoria, a verba é priorizada para projetos de TI digital, de nuvem e outros. No entanto, o motivo mais comum é a dificuldade que os CISOs têm de conseguir orçamento quando não são capazes de garantir que a organização não sofrerá uma violação.

Do ponto de vista da empresa, talvez isso faça sentido, certo? Afinal de contas, se você é um administrador de empresas e tem como foco o resultado final, por que concordaria em investir em uma guerra que aparentemente não pode ser vencida? A regra lógica dos negócios determina que só deve existir investimento quando há um retorno certo.

Pode parecer controverso, pelo menos para os administradores de empresas – mas, aqui, achamos que a pergunta “você pode garantir que não haverá mais violações?” não deveria mais ser uma dúvida para as empresas. Antes de explicar por que, vamos nos perguntar mais uma vez: as violações são realmente inevitáveis?

De acordo com os resultados de nossa pesquisa, nove em cada dez (86%) CISOs acreditam que as violações são inevitáveis. E o que há por trás dessa certeza?

Bem, a maioria das grandes empresas está no caminho da transformação digital, sendo que mais da metade delas (52%) concorda que essa é a tendência que terá mais impacto sobre a segurança de TI de suas organizações nos próximos cinco anos. A transformação digital amplia a superfície de ataque, possibilitando aos cibercriminosos mais oportunidades para descobrir pontos fracos, infiltrar-se furtivamente nos sistemas e vazar ou explorar os dados. A adoção da nuvem, a mobilidade crescente das equipes de trabalho e o aumento da utilização de canais digitais são fatores que aumentam os riscos.

E essa não é a única questão que os CISOs enfrentam. E se um funcionário mal-intencionado estiver trabalhando contra a empresa ou até ajudando um atacante externo – talvez para ajudá-lo a passar pelo backdoor?

Esse tipo de ameaça seria especialmente difícil de identificar e evitar antecipadamente. Na verdade, é um dos tipos de ameaça mais temido para grande parte dos CISOs – 29% deles concordam que esse é o maior risco de segurança de TI para suas organizações –, atrás apenas das questões relacionadas às gangues de cibercriminosos com motivação financeira (40%).

Se a violação de uma organização promete ganhos substanciais para os atacantes e excedem os recursos que eles precisam como saída para organizar o ataque, seus esforços são justificados e eles vão continuar buscando novas maneiras de ganhar informações e dinheiro às custas das vítimas.

Parece haver muitos motivos para que a pergunta “posso evitar um ataque?” não ser a mais adequada a se fazer. Então, qual é a pergunta que deve seja feita pelos administradores?

Se os ataques são prováveis e estão aumentando, o “x” da questão é realmente se uma empresa consegue detectá-lo com rapidez suficiente e reagir de maneira abrangente e veloz para minimizar seu impacto.

Em outras palavras, está cada vez mais claro que as empresas não podem mais viver apenas no paradigma da prevenção. Essa mentalidade está ultrapassada e fora de sincronia com o funcionamento das empresas atuais. Em termos de ataques direcionados altamente elaborados, a detecção e a resposta devem ser prioridade.

É hora de mostrar aos líderes empresariais que vale a pena investir em cibersegurança. Não se trata de garantir a prevenção total de incidentes cibernéticos, mas de torná-los mais difíceis e caros para os invasores, o que fará com que os ataques passem a ser inviáveis e a não valer mais a pena para os cibercriminosos.

Mas, mais importante do que tudo, é preciso preparar o ambiente e sua equipe de segurança para lidar imediatamente com qualquer tentativa de intervenção na rede da sua organização. Em média, uma violação custa a uma grande corporação até US$ 1,23 milhão. Se tomarmos as medidas necessárias, porém, esse valor cairá, podendo até ser igual a zero. Acredito que agora tenhamos entendido a decisão mais sensata a ser feita para os negócios a curto, médio e longo prazo.

 

Maxim Frolov - Vice-presidente de vendas globais da Kaspersky Lab