Cibersegurança: empresas que investem mais sofrem menos com ataques, mas investimentos ainda são reativos

A pesquisa “Index Insider: Can You Pay for Cybersecurity Performance?” desenvolvida pela ISG, revela que há uma relação entre o tamanho do orçamento de segurança cibernética e a incidência de ataques de phishing nas empresas internacionais. Essa descoberta nos levou a uma constatação crucial: empresas que investem mais em cibersegurança tendem a sofrer menos com ataques por terem funcionários mais atentos. No entanto, é importante ressaltar que esse fato também nos alerta para um aspecto preocupante, que é uma tendência das empresas a investirem de forma significativa em segurança cibernética somente após terem sido vítimas de ataques.

Aqui no Brasil, o cenário é muito parecido, pois quando falamos em investimentos, muitas empresas não adotam a abordagem de “prevenir é melhor do que remediar”. Geralmente ações de sensibilização de profissionais e investimentos em processos e tecnologias de segurança são reativas, ou seja, começam a ter maior investimento após sofrerem algum tipo de incidente.

De acordo com a pesquisa, as organizações que gastam menos em segurança cibernética – orçamentos que somaram menos de 0,5% de sua receita – relataram muito mais incidentes cibernéticos do que aquelas que gastam >1% da receita. Por isso, conclui-se que as organizações que gastam mais em segurança cibernética obterão melhores resultados.

Ainda na pesquisa, quando líderes executivos e funcionais foram questionados sobre o envolvimento na criação de planos de resiliência cibernética dentro de suas respectivas organizações, foi descoberto que as organizações com orçamentos menores de segurança cibernética geralmente concentravam suas tomadas de decisão de segurança cibernética no CIO e o no CISO e envolviam menos outras funções. Organizações com maiores orçamentos de segurança cibernética, no entanto, distribuem suas tomadas de decisão cibernética para um grupo muito mais amplo.

A pesquisa, por sua vez, conclui que as organizações com baixos investimentos em segurança cibernética e, consequentemente, uma tendência maior de incidentes de segurança, enfrentam a necessidade de uma transformação organizacional em sua abordagem de segurança cibernética, mais do que apenas um aumento de gastos. Além disso, afirma que a segurança cibernética é um desafio de negócios, não apenas de TI ou do CISO. Todos têm um papel a desempenhar nas decisões que uma empresa está tomando para reduzir seus riscos de segurança cibernética.

Um bom diagnóstico da situação atual, à luz de uma boa prática como a ISO 27001 ou a ISO 27701, podem nortear os primeiros passos para reconsiderar a abordagem que uma organização deve ter no âmbito da segurança cibernética. Cabe ressaltar que essas ISOs foram escritas numa época em que ainda havia muita infraestrutura interna, mas hoje, com a migração para nuvem, outros passos podem ser considerados, inclusive com alavancas de economia consideráveis.

Diversas ações essenciais devem ser priorizadas para proteger as organizações contra ameaças crescentes. Entre as principais medidas a serem adotadas, destacam-se avaliar os riscos cibernéticos específicos, desenvolver políticas de segurança claras, treinar os funcionários e manter sistemas atualizados.

Adicionalmente, utilizar firewalls e antivírus, implementar controle de acesso rigoroso, estabelecer monitoramento de segurança e fazer backups e testes de restore regulares, também é indispensável nesses casos. Por fim, é importante ressaltar que independentemente do orçamento, a segurança cibernética deve ser priorizada para reduzir o risco de incidentes de segurança.

Os fornecedores de serviços e soluções de cibersegurança podem adotar várias abordagens para atender às necessidades de organizações com menor orçamento de segurança cibernética. Essas abordagens podem incluir modelos de preços flexíveis, soluções com custo menor, treinamento e conscientização, soluções baseadas em nuvem, utilização de componentes Open Source e freeware homologados, parcerias e programas de desconto, monitoramento contínuo e suporte técnico acessível.

É fundamental reconhecer que mesmo com recursos limitados, as organizações enfrentam ameaças cibernéticas significativas e precisam de proteção adequada. A cibersegurança não deve ser negligenciada, e os fornecedores desempenham um papel crucial ao oferecer opções acessíveis e adaptadas às necessidades dos clientes.

Por David de Paulo Pereira, distinguished analyst da TGT ISG.