Investimentos para mitigar riscos são insuficientes

Ataques cibernéticos que afetam simultaneamente diversos países, como o registrado no mês passado, expõem a fragilidade dos mecanismos de proteção dos dados adotados pelas corporações em nível mundial. No Brasil, os investimentos em ferramentas tecnológicas avançadas para mitigar riscos estão crescendo, mas não têm sido suficientes para conter as ameaças, que estão cada vez mais sofisticadas.

Os ataques por vírus (feitos por arquivos conhecidos como phishing e worm) e por códigos maliciosos que liberam o acesso aos dados sequestrados dos computadores mediante pagamento de resgate (prática conhecida como ramsomware) figuram no topo da lista dos incidentes cibernéticos relatados por empresas brasileiras nos últimos 12 meses, conforme o Relatório Global de Fraude & Risco 2016/17, divulgado pela Kroll.

Com o avanço dos canais digitais, a tendência crescente de migração das aplicações para o ambiente da computação em nuvem e o advento da internet das coisas (IoT, na sigla em inglês), o tema de segurança dos dados ganha ainda mais relevância. Há uma percepção do mercado de que esses três movimentos podem contribuir para intensificação das medidas de prevenção.

O problema é que, em geral, as empresas concentram as atenções na compra de produtos sem medir a eficácia de sua aplicação. Além disso, não costumam fazer uma boa avaliação dos riscos cibernéticos aos quais estão expostas, aponta Fernando Carbone, diretor sênior do escritório da Kroll no Brasil. “Não existe uma solução única que vai garantir totalmente a segurança dos dados”, afirma.

Por esse movito, o executivo da Kroll chama a atenção para a necessidade de as empresas conhecerem o mapa de risco para aplicar os recursos financeiros não apenas na aquisição de produtos, mas também em treinamento, em programas de conscientização e no que ele chama de terceirização do risco, com a contratação de um seguro cibernético.

Outro aspecto crítico relacionado à segurança dos dados diz respeito à chamada janela de exposição, que compreende o período em que ocorre o ataque e o momento que se toma conhecimento dele. Segundo Carbone, as empresas demoram para detectar o incidente cibernético e muitas ficam sabendo que tiveram os seus sistemas invadidos através de notícias veiculadas na imprensa ou quando são notificadas por parceiros de negócios, clientes e até mesmo concorrentes.

Diante do crescimento das ameaças cibernéticas, o ideal seria que as empresas promovessem um alinhamento entre os projetos de modernização do ambiente de tecnologia da informação (TI) e a estratégia de segurança de dados. Não é o que ocorre, constata Márcio Kanamaru, diretor geral da McAfee no Brasil, que aponta os riscos inerentes da desconexão entre as duas áreas no cenário de avanço dos negócios para o mundo digital.

Essa desconexão pode ser perigosa não apenas para a empresa, mas também para os parceiros que fazem parte de sua cadeia produtiva. “Uma empresa pode não ter uma base de informações relevantes, mas os hackers muitas vezes estão interessados em atacá-la para obter dados de seus parceiros de negócios”, explica Kanamaru.

Embora crescentes, historicamente os investimentos em segurança da informação correspondem a uma pequena fração do orçamento que as empresas destinam para o desenvolvimento dos projetos de TI. Em média gira em torno de 4% a 5%, o que é pouco, avalia Rogério Reis, diretor de operações da Arcon. “O ideal é que fosse aplicado bem mais”.

Além das limitações orçamentárias, Reis lista outras barreiras para os projetos da área: complexidade dos sistemas de segurança e a escassez de pessoal especializado para gerenciar os mecanismos de segurança, além da falta de apoio organizacional e da percepção da necessidade de se adotar soluções que protegem o ambiente. Segundo Reis, esses pontos derivam do fato de que países como Brasil não têm uma cultura de segurança. “O assunto segurança cibernética poucas vezes é colocado à mesa para discussão, pois estamos acostumados a conviver com risco”.

Fonte: Valor