DARYUS 
1) FATOS E RELATOS
Segundo o relatório World Economic Forum Global Cybersecurity Outlook 2022 (pg 16), “Há um desequilíbrio distinto entre proteger uma rede e atacá-la, e esse desequilíbrio continua crescendo à medida que recursos de hackers mais eficazes se tornam disponíveis a um custo significativamente menor. Porém, sem investimento contínuo e compromisso com a resiliência cibernética, as organizações serão mais vulneráveis a ataques cibernéticos e, portanto, mais propensas a suportar impactos reputacionais, financeiros, operacionais e de segurança”.
Alguma coincidência nessa afirmação? Parece um déjà-vu de uma década atrás, será?
Ainda na mesma página do relatório supramencionado, o desenvolvimento e uso das novas tecnologias transformadoras digitais, “têm causado um profundo reset e ajuste às expectativas tradicionais de gestão de riscos cibernéticos e suas abordagens. Os entrevistados da pesquisa deixam claro que a rápida mudança do cenário digital e as ameaças que as acompanham, exigem uma transformação de como organizações, autoridades estaduais e indivíduos conceituam e implementam resiliência cibernética operacional e desenvolvem táticas de preparação e prontidão para combater a próxima geração de riscos”.
Que entrevistados são estes?
São CIOs e CISOs de grandes organizações mundo afora, são 120 líderes cibernéticos que são os executivos mais graduados de setores privados e públicos, representando 20 países. O foco do trabalho do Centro de Cibersegurança era coletar dados através de uma Pesquisa e analisá-los para entender as percepções dos líderes cibernéticos e a trajetória da cibersegurança e da resiliência cibernética.
Segundo o World Economic Forum Global Cybersecurity Outlook 2022, “O apoio corporativo à resiliência cibernética está ficando cada vez mais forte e onipresente. Nossa pesquisa mostra que mais de 84% dos entrevistados concordam que ’a resiliência cibernética é considerada uma prioridade de negócios para minha organização com apoio e direção da liderança”, sendo que, estes disseram que eles estão confiantes com suas resiliências cibernéticas, e têm isto integrado em suas estratégias de gerenciamento de risco corporativo (ERM-Enterprise Risk Management).
Aparecem três lacunas de percepção principais e críticas entre executivos focados em segurança (chefes de segurança da informação) e executivos de negócios (diretores executivos):
1) Priorizar cyber nas decisões de negócios – 92% dos executivos de negócios entrevistados concordam que a resiliência cibernética está integrada a estratégias de gerenciamento de riscos corporativos;
2) Ganhar apoio de liderança para segurança cibernética – 84% dos entrevistados compartilham que a resiliência cibernética é considerada uma prioridade de negócios em sua organização;
3) Recrutar e reter talentos de cibersegurança – 59% dos entrevistados achariam desafiador responder a um incidente de segurança cibernética devido à escassez de habilidades dentro de sua equipe. Enquanto a maioria dos entrevistados classificou o recrutamento e retenção de talentos o maior desafio.
Segundo Owen Hughes, senior editor (June 1, 2022) da ZDnet.com, “Má notícia: a crise das habilidades de segurança cibernética está prestes a piorar ainda mais. Novas pesquisas sugerem que quase um terço dos profissionais de cibersegurança estão planejando sair do setor, em um momento em que as empresas estão lutando para proteger suas redes contra ataques”.
A empresa de segurança cibernética Trellix, encomendou uma pesquisa com 1.000 profissionais de cibersegurança globalmente e descobriu que 30% planejam mudar de profissão dentro de dois ou mais anos. As organizações já enfrentam a escassez de habilidades de segurança cibernética, com pessoas sem o suficiente para ter as habilidades e qualificações necessárias para manter os sistemas de TI seguros contra violações e outras ameaças à segurança, segundo a ZDNet (2022).
Segundo Sydney Lake, da Fortune.com (June 30, 2022), “As empresas estão desesperadas por trabalhadores de segurança cibernética — mais de 700 mil vagas precisam ser preenchidas. A necessidade de profissionais de cibersegurança vem crescendo rapidamente, ainda mais rápido do que as empresas podem contratar — e espera-se que essa demanda continue. O número de empregos não preenchidos em segurança cibernética em todo o mundo cresceu 350% entre 2013 e 2021, foi de 1 milhão para 3,5 milhões, de acordo com a Cybersecurity Ventures. O pesquisador da indústria também prevê que, em cinco anos, o mesmo número de empregos ainda estará aberto”.
Segundo Nardav Arbel, Forbes.com (2022), “Nos últimos anos, uma questão tem permanecido predominante e continuará a ser: uma escassez de mão de obra de segurança cibernética e lacuna de talentos. Este está se tornando um problema mais reconhecível à medida que as empresas se apegam à realidade dos ataques cibernéticos, ao crime e ao caos que estão causando às suas vítimas. Estes não são apenas grandes nomes que são cobertos pela mídia; são empresas ao lado que já podem ter se tornado uma estatística de crimes cibernéticos. Tudo isso está acontecendo durante um período que agora está sendo cunhado como a ‘Grande Renúncia’, onde os trabalhadores deixaram seus empregos em massa. Especificamente, de acordo com o Bureau of Labor Statistics dos EUA, 4,5 milhões de americanos deixaram seus empregos em novembro de 2021. Além disso, o modelo híbrido work-from-home levou empresas em todo o mundo a ter centenas de novas regulamentações devido à indefinição das linhas entre espaços pessoais e segurança corporativa”.
Para Bruce Schneier, Professor de Políticas Públicas, John F. Kennedy School of Government, Harvard University (EUA),”No curto prazo, precisamos ter o ransomware sob controle. A má segurança cibernética torna muitos de nós, alvos fáceis. E a prevalência de criptomoedas torna muito fácil para os criminosos coletarem seus resgates. Resolver isso exigirá mudanças em uma variedade de frentes. Precisamos proteger melhor nossas redes, então não somos tão facilmente vitimados por este crime, obviamente. Mas precisamos de mais regulação das criptomoedas, para que os criminosos não possam facilmente esconder suas transações. Precisamos que a polícia identifique, acuse e prenda os piores infratores. E precisamos de parcerias globais para eliminar os portos seguros onde esses criminosos podem operar. Ransomware é um crime bem otimizado para a era da Internet; precisamos de defesa para aumentar o jogo deles também”.
2) TRANSFORMAÇÃO DIGITAL COLABORATIVA SEGURA (TDCS)
O Grupo DARYUS Consultoria e Treinamento, por meio de sua consultoria, vem acompanhando as transformações em cibersegurança, gestão de segurança e continuidade de negócios de algumas empresas líderes, e o que podemos relatar é que CEOs, COOs, CIOs e CISOs que temos trocado ideias e apoiado nas estratégias de proteção e transformação, estão com um desafio grande devido à crise mundial, falta de recursos financeiros para investimento versus a necessidade de investimentos imediatos para colher frutos daqui a 3-5 anos.
Como justificar e receber de 3-5 mil dólares por usuário das empresas para protegê-las? Sendo que, nos últimos anos, sequer as empresas tinham o tema no Planejamento Estratégico, e muito menos verbas alocadas. Usar sobras de TI? Já vimos esse filme perdedor nos últimos 10 anos.
Usar sobras ou o mesmo orçamento de TI para gestão de segurança ou cibersegurança foi um erro, e continua sendo. Não adianta ter conselheiros em cibersegurança, riscos e segurança da informação, e não ter os temas no Planejamento Estratégico.
Muitas empresas ainda não entendem que Gestão da Segurança, Cibersegurança, Segurança de TIC e Administração de Segurança (compliance) são temas diferentes e congruentes. Em outro artigo falarei mais sobre essa visão holística do tema.
"Uma andorinha não faz verão" - Colaboração e parceiros são imprescindíveis!
Segundo o WEF Global Cybersecurity Outlook 2022, “Os líderes cibernéticos reconhecem a necessidade de colaboração e uma plataforma comum para uma cibersegurança mais robusta e um ecossistema resiliente”. Como Ken Xie, CEO da Fortinet, relata: “Em um mundo tão profundamente interconectado pela tecnologia digital, cibersegurança e segurança global são a mesma coisa. Nenhuma organização, pública ou privada, pode ter uma visão completa de todo o cenário cibernético. A liderança sênior deve insistir que as organizações compartilhem informações para juntar as peças do quebra-cabeça. Caso contrário, voaremos cegos”.
De acordo com o Fórum Econômico Mundial, “o principal objetivo dos líderes cibernéticos é desenvolver confiança e forjar parcerias dentro de seu ecossistema. O valor das parcerias é comprovado; mais de 90% dos entrevistados relatam ter recebido insights acionáveis de grupos e/ou parceiros externos de compartilhamento de informações”. Thiago Bordini, coordenador e professor da pós-graduação em Cyber Threat Intelligence (CTI), no IDESP – Instituto Daryus de Ensino Superior Paulista, recentemente em uma live sobre carreira e profissões em ciber e riscos comigo tocou no tema e abordamos esta necessidade. Veja nos canais DARYUS Consultoria e Treinamento e IDESP disponíveis.
“O custo das violações a uma organização é alto, totalizando uma média de US$ 3,6 milhões por incidente. Talvez ainda mais preocupante seja a tendência crescente de que as empresas precisam, em média, de 280 dias para identificar e responder a um ataque cibernético.”, aponta o WEF Global Cybersecurity Outlook 2022.
Segundo o Global Risk Report 2022, do WEF, as dependências digitais e vulnerabilidades cibernéticas apresentam para 2022-2023:
- 435% aumento do ransomware desde 2020;
- 3 milhões é a lacuna em profissionais cibernéticos necessários em todo o mundo;
- US$ 800 bilhões de crescimento estimado no valor do comércio digital até 2024; e
- 95% problemas de segurança cibernética são causados por ERRO HUMANO.
A terceirização e uso de computação em nuvem são ótimas opções de redução de despesas, melhora de performance e para cibersegurança, porém, resiliência e continuidade não são opções.
Verificar a segurança e cibersegurança, isso mesmo os dois assuntos, para os ambientes transformados e colaborativos em CLOUD é obrigação dos gestores e profissionais de cyber. Usar a máxima “Está na CLOUD e está seguro”, é um erro e um risco.
Serviços são disponibilizados para Continuidade e Recuperação de Desastres pelas grandes operadoras e fornecedoras de CLOUD como Amazon, Azure, Oracle e Google, consulte os seus parceiros de implementação e empresas especializadas em riscos e continuidade. Note que nós da DARYUS Consultoria recentemente ofertamos um serviço exclusivo para Cloud Cyber Security Assessment a fim de ajudar na demanda crescente para apoiar as empresas. Não confunda Alta Disponibilidade com Continuidade de Negócios, são coisas distintas.
Disrupções e interrupções de serviços por motivos não tão claros ou esclarecidos, como nos casos do Google e do Santander, reforçam a reflexão dos executivos para responder a seguintes 3 perguntas:
1) Estamos realmente seguros, mesmo tendo os melhores sabores do GARTNER implementados?
2) Temos real capacidade de detecção e resposta para incidentes cibernéticos?
3) Será que meu risco real de ciber e de segurança da informação está sendo mapeado corretamente em meus fornecedores e cadeia de suprimentos?
3) Considerações finais
A gestão de riscos também está passando por uma transformação e adaptação digital e colaborativa. Ambientes colaborativos de escritórios (Digital Workplace Management) necessitam de gestão de segurança e cibersegurança, principalmente em ambientes e plataformas Microsoft(r), a mais utilizada pelas empresas líderes e a mais estável. Teams(r) e Sharepoint(r) dominam o cenário das líderes e permitem a adaptação necessária para o cenário híbrido das empresas mundo a fora, porém, estão seguros?
Cerca de “85 milhões de empregos podem ser automatizados em até 5 anos”, segundo o WEF The Global Risk Report 2021
A infraestrutura de nuvem utilizada em outras frentes e a excessiva terceirização de serviços e softwares torna a gestão de riscos muito além das planilhas, obrigando os profissionais de GRC a pensar, entender de negócios, finanças e de tecnologias transformadoras e colaborativas como IA, IoT, Cloud, 5G, entre outras.
“A dependência de algoritmos que exacerbam desigualdades pode prejudicar o bem-estar e amplificar fraturas sociais.”, segundo o WEF The Global Risk Report 2021. Além de estimarem que aumentaremos os “dados gerados em 4X até 2025”, segundo o mesmo relatório do fórum de “DAVOS”.
Resiliência cibernética é utopia ou tendência necessária? O que os líderes entendem ou querem entender sobre isso? O quanto a resiliência será VALOR para os negócios em um mercado cada vez mais com indicadores de riscos e regulamentações tentando uma proteção cada vez mais desafiada e ameaçada por um ciberespaço selvagem e dinâmico?
O novo perímetro é a identidade! É já falávamos sobre isso em 2015 no Global Risk Meeting 2010 (eventos DARYUS). O desafio é proteger as identidades dos cidadãos híbridos onde estiverem conectados, o que torna a resiliência cibernética mais interessante.
Adoraria ouvi-los sobre o tema ainda novo, desafiador e que reunirá a necessidade dos profissionais mais técnicos de Cyber, CTI, Forense e segurança em TIC se integrarem com profissionais de gestão e estratégia de negócios como gestão e governança de segurança da informação, gestão de riscos, negócios digitais e segurança empresarial para criar arquiteturas de negócios para possibilitar o risk e security by design ainda distante.
Boa leitura, agradeço e contribuam com o debate, para juntos pensarmos a nova resiliência empresarial.
