Com cada vez mais dados transitando pela rede, a proteção a eles e a todos os elementos da cadeia de TI é mais necessária que nunca. Mas será que as empresas realmente “compraram” a ideia e as práticas da cibersegurança, ou elas ainda precisam ser educadas (e convencidas) a se proteger?

Sua empresa está vulnerável online, e você também. Se você faz parte do mercado de TI, está mais do que consciente dos riscos (ou ao menos queremos acreditar nisso). Mas você já deve ter notado que essa percepção, normalmente, não se estende para fora do universo da tecnologia.

Vamos aos números que provam isso: foram 8,4 bilhões de tentativas de invasão e roubo de dados só no Brasil em 2020, segundo relatório de 2021 do FortiGuard Labs, laboratório de ameaças da Fortinet. Desse montante, nada menos que 5 bilhões ocorreram apenas nos últimos três meses do ano. Já outro relatório, esse da Kaspersky, divulgado em setembro do ano passado, aponta o que, no campo da educação, os ciberataques aumentaram 350% só no primeiro semestre do ano passado. 33,4% dos computadores de sistemas de controles industriais foram alvos de crimes, segundo outro documento da mesma empresa.

“Os investimentos adequados, ao meu ver, devem ser, principalmente, em treinamentos para práticas de desenvolvimento seguro em aplicações, contratação de mais profissionais ligados à cibersegurança, monitoramento e pentest”, Giovanni Zadinello, CEO da GZ Segurança e Defesa Cibernética.

Tem mais: o Fórum Econômico Mundial (WEF, da sigla em inglês)  divulgou seu relatório de riscos globais (Global Risks Report 2021) e colocou o cibercrime entre as principais ameaças à economia mundial. Segundo apurou o WEF, os cibercriminosos roubaram cerca de US$ 600 bilhões por ano de governos, empresas e indivíduos. A organização acredita que em apenas dois anos (2023) essa cifra anual pode chegar a US$ 5,2 trilhões.

Mas, ainda assim, a proteção está longe de ser uma realidade. “Você sabe, quando as empresas querem fazer algo, elas contratam gente, mobilizam recursos. Mas acho que esse assunto ainda não é bem resolvido no board. Todas as pesquisas apontam que o tema é prioridade no mundo, mas aqui no Brasil ainda vivemos um momento educativo. Existe uma diferença entre a cibersegurança vista pelo engenheiro e aquela que é vista pelo conselho de administração”, avalia Rafael Sampaio, country manager para o Brasil da Etek Nova Red.

“Muito dessa aceleração digital implicou em publicar aplicações novas na internet, soltar um IP novo, um novo e-commerce, tudo muito rapidamente. E me questiono se essa agilidade está sendo feita com segurança”, Rafael Sampaio, country manager para o Brasil da Etek Nova Red.

Para Sampaio, as altas direções têm uma postura de aceitação do risco que lhes é muito cômoda. “Elas ficam em posição de bystander [observador]: veem o que está acontecendo, escutam casos, mas não tomam atitudes concretas”, diz.

 

Caminhos do mercado

O consultor de segurança Giovanni Zadinello, CEO da GZ Segurança e Defesa Cibernética, enxerga também uma questão cultural, que vai além do board: “Os investimentos adequados, ao meu ver, devem ser, principalmente, em treinamentos para práticas de desenvolvimento seguro em aplicações, contratação de mais profissionais ligados à cibersegurança, monitoramento e pentest. Faltam infraestrutura e profissionais capacitados para atuar na área, diz.

Não é possível garantir um sistema 100% seguro, porque o elemento humano é uma variável delicada — e imprevisível. Na avaliação de Giovanni Zadinello, “a prioridade deve ser proteger o sistema em si, mas políticas de combate a ransomware ou phishing têm que ser tratadas com campanhas internas de conscientização”.

 

O movimento de segurança na nuvem é muito incipiente. A gente viu uma quantidade enorme de vazamento de dados acontecendo pela nuvem, no ano passado e no atual. Outra área com espaço para crescer é a proteção de dados: apesar de todas as legislações e regulamentações, como GDPR e LGPD, eles continuam pouco protegidos e precisam receber maior atenção

 

A experiência à frente da Etek Nova Red leva Rafael Sampaio a acreditar que as empresas concentram seus investimentos de segurança na proteção do que se pode classificar como “jóias da coroa”.  “A companhia que é muito capilarizada vai comprar soluções de acesso remoto, enquanto aquela que é altamente dependente de dados tende a investir em soluções sofisticadas para protegê-los. Ela tem que entender as ameaças às quais estão sujeitas e qual é a prioridade de proteção”, diz.

A tal “transformação digital acelerada” da qual todos ouvimos falar com frequência ao longo do ano passado também gerou brechas e oportunidades significativas. “O movimento de segurança na nuvem é muito incipiente. A gente viu uma quantidade enorme de vazamento de dados acontecendo pela nuvem, no ano passado e no atual. Outra área com espaço para crescer é a proteção de dados: apesar de todas as legislações e regulamentações, como GDPR e LGPD, eles continuam pouco protegidos e precisam receber maior atenção”, avalia Sampaio..

Ele vê, ainda, uma “terceira onda” de ciberataques, que deve se concentrar na área de aplicações. “Muito dessa aceleração digital implicou em publicar aplicações novas na internet, soltar um IP novo, um novo e-commerce, tudo muito rapidamente. E me questiono se essa agilidade está sendo feita com segurança. A história mostra que normalmente a agilidade passa por cima de critérios importantes de segurança, gera uma superfície de risco muito perigosa”.

 

Com alguns clientes, você consegue ter uma participação mais estratégica, com outros, são projetos mais mais pontuais, de média ou longa duração. Seja como for, o integrador não pode se furtar de discutir e ajudar a aumentar o nível de maturidade para a segurança [do cliente]

 

O papel do integrador

Os recentes casos de vazamentos de dados no país podem ter o efeito de um alerta, mas Sampaio avalia que a reação das empresas é temporária.Já se nota um aumento na contratação de seguro de dados, mas mesmo a melhor apólice não cobre os danos à reputação, afirma.

Ele acredita que é papel do integrador fazer um trabalho de educação e conscientização dentro do cliente, desde que ele se mostre receptivo a isso. “Com alguns clientes, você consegue ter uma participação mais estratégica, com outros, são projetos mais mais pontuais, de média ou longa duração. Seja como for, o integrador não pode se furtar de discutir e ajudar a aumentar o nível de maturidade para a segurança [do cliente]”, afirma.

 

Leia mais:

Os desafios de conectividade em 2021: breves respostas para grandes questões

A TI em prol da acessibilidade: por que esse é um tema que afeta você também

2021: uma perspectiva realista e imediata sobre a aquisição de produtos e serviços de TI