Por Leandro Augusto
Sócio-líder de Cyber Security da KPMG no Brasil

É sempre um momento de ruptura quando alguém decide enfrentar seus medos de uma forma tangível e pragmática. Isso é especialmente verdadeiro para a segurança cibernética, no momento em que um líder empresarial deixa de ver as ameaças cibernéticas como um risco que ocorrerá algum dia, proveniente de um inimigo fantasma, e, em vez disso, passa a enxergá-las como um real concorrente criminoso experiente e empreendedor.

E esse momento chegou. Com base nas conclusões da pesquisa KPMG 2021 CEO Outlook com 1.325 CEOs, eles revelaram que:

  • Enxergam a segurança cibernética como uma das principais prioridades de negócio.
  • Devem se preparar para um incidente cibernético agora, não no futuro.
  • Precisam incorporar uma cultura de segurança cibernética, incluindo a mentalidade de secure by design (ou seguro desde o projeto, em português) para gerenciar esses riscos, aproveitar os benefícios dos ecossistemas de cadeias de suprimentos e conquistar a confiança digital dos públicos de interesse.

Esta é uma prioridade hoje

O fato de que os líderes empresariais seniores atualmente enxergarem a segurança cibernética como um dos principais problemas de negócios repercute na nossa pesquisa. Por exemplo:

  • O risco de segurança cibernética concorria com os problemas ambientais e de cadeia de suprimentos atuais como a principal ameaça ao crescimento organizacional nos próximos três anos.
  • 79% dos pesquisados afirmam que enxergam a segurança da informação como uma função estratégica e fonte potencial de vantagem competitiva.
  • A resiliência da segurança cibernética está entre as três principais prioridades operacionais nos próximos três anos.

Essas atitudes representam uma grande mudança em relação há apenas cinco anos, quando a segurança cibernética era vista como um problema técnico para a equipe de TI. Essa mudança de perspectiva faz sentido, considerando as manchetes frequentes sobre ataques cibernéticos paralisantes contra empresas e governos, ao mesmo tempo em que os executivos adotam a digitalização abrangente e a interconectividade funcional. Na verdade, nossa pesquisa revelou que metade das organizações planeja colaborar com parceiros externos de tecnologia em nuvem e 42% estabelecerão parcerias com provedores de dados externos, impulsionando a urgência necessária para a proteção contra riscos cibernéticos da cadeia de suprimentos cada vez mais complexos.

Uma dose saudável de dúvida

Também é encorajador ver que os líderes seniores estão tendo uma visão mais crítica sobre a sua própria preparação para essas ameaças. Por exemplo, a porcentagem de entrevistados que afirmam estar “muito bem preparados para um ataque cibernético futuro” caiu de 27% em 2019 para 10% em 2021, com aqueles que se sentem “bem preparados” caindo de 68% para 58% ao longo desse período. Essa queda talvez reflita a percepção crescente dos executivos de que a segurança cibernética exige vigilância constante, não um investimento único.

Eles também estão atentos à questão dos ataques de ransomware: embora 57% tenham afirmado “eu tenho um plano para enfrentar um ataque de ransomware”, apenas 8% concordaram fortemente com a afirmação e 11% foram francos em admitir que não contam com esse plano.

Eles também analisam as consequências da falta de ação, uma vez que 75% afirmaram que uma estratégia cibernética sólida é fundamental para gerar confiança com os seus públicos. Isso sugere um entendimento de que a confiança digital está se tornando um fator-chave para a saúde da marca das organizações e para o crescimento futuro.

Partindo para a ação

Mas se a aceitação é metade do problema, como essas organizações resolvem o resto? Quase metade dos participantes da pesquisa (46%) afirma que, nos próximos três anos, vão se concentrar em melhorar as habilidades de segurança cibernética ou fortalecerão sua governança em torno da resiliência operacional e da capacidade de se recuperar de um grande incidente.

Muitos entrevistados também demonstraram um entendimento diferenciado do assunto. Por exemplo, 79% afirmaram que “proteger o nosso ecossistema de parceiros e a cadeia de suprimentos é tão importante quanto construir as defesas cibernéticas da nossa organização”. Além disso, 72% disseram que “uma abordagem ampla do setor será necessária para enfrentar adequadamente o problema das demandas de ransomware”.

Essa percepção de que não se pode simplesmente tomar iniciativas pontuais é um indicador positivo. Na verdade, uma abordagem mais ampla com a comunidade poderia levar a mais cooperação com os pares do setor e as autoridades policiais para interromper o crime cibernético organizado. É esperado que isso leve a uma divulgação corporativa mais transparente de incidentes cibernéticos, em vez de pagar discretamente os pedidos de resgate de ransomware. Testemunhamos um compartilhamento impressionante de inteligência e colaboração no setor bancário há vários anos. Agora, outros setores estão demonstrando maior abertura, como tecnologia e telecomunicações, petróleo e gás e serviços públicos.

Incorporando uma cultura de segurança cibernética

Também é promissor que 81% afirmem que “construir um cultura de segurança cibernética é tão importante quanto construir controles tecnológicos”. Isso é um divisor de águas, pois sabemos que atualmente é insustentável depender de uma única equipe central de segurança cibernética para responder reativamente a todas as vulnerabilidades nos produtos, canais, sistemas e infraestrutura de uma empresa.

Em vez disso, imaginamos uma cultura organizacional onde todos os líderes de negócios e executivos compartilham a responsabilidade de atingir resiliência cibernética — e proteções são incorporadas ao processo de desenvolvimento, de maneira que novos produtos, serviços e conectividade sejam seguros desde o projeto, em vez de adaptados rapidamente para resolver cada lacuna de segurança.

Vemos essas melhores práticas em setores importantes, onde os CISOs (Chief Information Security Officer, ou diretor de segurança da informação, em português) não atuam mais apenas como tradutores de questões cibernéticas para os líderes empresariais. Em vez disso, eles estão internalizando esses valores em cada função de negócios, incorporando diretores de segurança da informação de negócios (ou membros da equipe com cargos similares), que integram as práticas corretas na tomada de decisões de negócios do dia a dia, enquanto recorrem a orientações, recursos e processos de segurança centralizados. No entanto, sejamos honestos: há muito mais a fazer para atingir essas metas, com apenas 19% dos entrevistados afirmando que “planejam incorporar princípios de segurança e resiliência ao projeto de sistemas e serviços futuros” para enfrentar os riscos digitais.

Do inimigo fantasma à realidade empresarial

De muitas maneiras, as etapas descritas acima realmente significam repensar um problema de tecnologia como uma resposta comercial a qualquer ameaça competitiva. Essencialmente, devemos reunir inteligência sobre o adversário, identificar pontos fracos, desenvolver pontos fortes, procurar maneiras de minar o modelo de negócios desse adversário e melhorar continuamente.

Enxergando o desafio cibernético dessa forma, os líderes de negócios podem perceber que os criminosos cibernéticos atuais não são inimigos misteriosos, mas apenas mais concorrentes empresariais — embora sejam provenientes do mundo do crime organizado e que estão muito felizes em utilizar táticas ilegais e assumir o risco. Fundamentalmente, eles são apenas outros adversários astutos que buscam o retorno sobre o investimento às custas da sua empresa.

Ao adotar essa mentalidade, os líderes empresariais podem ganhar confiança para combater essa ameaça competitiva de uma maneira mais estratégica e integrada. Os resultados do KPMG 2021 CEO Outlook sugerem que as organizações estão realmente prontas para enfrentar seus temores, encontrar seu equilíbrio e gerenciar os riscos cada vez maiores de segurança cibernética.

Entre em contato conosco

conecte-se conosco

Meu perfil

Conteúdo exclusivo e personalizado para você

Sign up today