Investimentos em cybersecurity: os 5 erros que impedem que o CISO seja bem-sucedido
13 de maio de 2024Uma análise global do início de 2024 indica que 95% das organizações já postergaram colocar em produção novos projetos de cybersecurity
Por Thiago N. Felippe
As organizações já sabem que foram atacadas, seus sistemas foram invadidos e dados críticos vazados. Esta realidade explica, segundo o Gartner, o fato do mercado global investir US$ 4,3 bilhões em cybersecurity em 2024.
É uma cifra impactante, mas que não se aproxima do prejuízo causado pelos ataques digitais: US$ 9,5 trilhões em 2024, segundo estudo da Cybersecurity Ventures.
Outro relatório do Gartner indica que, neste ano, muitos CIOs pretendem ampliar em 80% os gastos com soluções e serviços de segurança digital.
A complexidade da economia digital do Brasil é tal que a vontade de investir não garante a conquista dos resultados esperados com a implementação das novas soluções de segurança. Uma análise global realizada no início de 2024 indica que 95% das organizações já postergaram colocar em produção novos projetos de cybersecurity. Especialmente quando a solução é disruptiva, 36% dos projetos apresentam falhas ainda durante a fase de desenvolvimento.
Por trás desses índices há erros que exigem correção antes da aquisição e implementação da solução de cybersecurity serem concretizadas.
Falta de alinhamento com o negócio e falhas de processos. Segundo o World Economic Forum Global Cybersecurity Outlook 2024 – estudo realizado a partir de entrevistas com 199 líderes de TI e segurança de empresas globais –, o maior impedimento para o sucesso dos projetos de cybersecurity é transformar o legado e atualizar de forma contínua os processos de negócios. Para evitar essas armadilhas, é fundamental que a organização tenha clareza sobre seus processos e seu grau de maturidade digital. Cabe ao CISO conhecer em profundidade a cadeia de valor da empresa, quais são os processos críticos para o negócio e, a partir daí, construir um retrato que revele o quão digital é esse universo. Por meio da contratação de uma consultoria ou utilizando seus recursos internos é possível, a partir de benchmarks de mercado como o NIST (National Institute of Standards and Technology), medir a maturidade digital da empresa. Enquanto a ISO 27001 tem 127 controles (pontos a serem checados), o NIST é organizado em 23 categorias e 108 subcategorias. Um dos critérios mais críticos diz respeito aos dados sensíveis da organização. Outra ferramenta importante é o framework TOGAF (The Open Group Architecture Framework). Essa plataforma cruza os principais processos da empresa usuária com os elementos de tecnologia que suportam esses workflows, indicando o grau de alinhamento entre esses dois universos. Esse assessment prévio colabora para que o CISO enxergue com clareza o grau de maturidade digital da empresa e, a partir daí, desenhe um roadmap de novas aquisições em cybersecurity de acordo com as necessidades reais da organização. Sem ter cumprido essa etapa, o CISO pode acabar adquirindo soluções que são uma tendência de mercado, mas que nem sempre atendem às demandas da empresa usuária.
Ausência de um PDTI e de um PDSI. Organizações que não conseguem se planejar a contento estão fadadas a viver de susto em susto, sem governança, sem planejamento estratégico. É nesse contexto que entram em cena o Plano Diretor de Tecnologia da Informação (PDTI) e o Plano Diretor de Segurança da Informação (PDSI). A partir do mapeamento dos processos e das necessidades do negócio, constrói-se planos essenciais para justificar, diante do Board, o orçamento de TI e de segurança. Fica mais fácil provar, por meio de cálculos de ROI, o impacto da solução de cybersecurity sobre a performance de negócios da empresa. É esse posicionamento que ajudará o CISO a conquistar a aprovação para projetos capazes de efetivamente proteger os processos atuais e futuros (inovação) que suportam a cadeia de valor da empresa.
Problemas com a gestão de mudanças. Por sua própria natureza, cada novo projeto de segurança irá impactar a rotina dos colaboradores e clientes da empresa. É fundamental, antes da implementação ser iniciada, conquistar o engajamento de patrocinadores e stakeholders – em muitos casos as áreas de negócios – antes de colocar a tecnologia em produção. Um trabalho delicado de comunicação é necessário. Neste contexto, o time de cybersecurity terá de equilibrar a intervenção da nova solução com as demandas de negócios, que não podem ser travadas por causa da nova tecnologia adquirida pelo CISO.
Falta de integração entre os times técnicos. A entrada em cena de uma nova solução de cybersecurity fatalmente afetará as áreas de infraestrutura e de redes. Ou seja: a gestão de mudanças passa, também, por um assessment do impacto da nova oferta sobre os “n” ambientes da empresa. O desafio é conseguir que times diversos, avaliados a partir de KPIs variados, trabalhem ombro a ombro para fazer da nova tecnologia de segurança algo que traga benefícios também para os gestores de infraestrutura. Quem conseguir essa coesão ganhará velocidade na inovação, com segurança, de seus processos digitais.
Desatualização do conhecimento técnico da equipe de segurança. A complexidade dos ambientes digitais das empresas é, de fato, desafiadora. Um estudo divulgado no ano passado revelou que, em todo o mundo, 85% das empresas mantém em operação aplicações legacy e modernas – deste total, 20% utilizavam até seis ambientes diferentes de nuvem. Em paralelo, gangues digitais trabalham 24×7 para explorar vulnerabilidades e disparar novos golpes e fraudes. Diante desse quadro, é fundamental que o time técnico receba incentivos para estudar continuamente novas tecnologias e ameaças.
Quem conseguir equacionar esses desafios alcançará vantagens tangíveis. Segundo o estudo State of Cybersecurity Resilience 2023, da Accenture, as empresas que efetivamente alinham a área de tecnologia com os negócios, atualizam seus processos e investem continuamente na formação e treinamento tanto de profissionais de cybersecurity como de usuários/consumidores têm o que comemorar. Essas organizações são chamadas pelos analistas da Accenture de “Cybertransformers” e destacam-se por reduzir em 26% os prejuízos causados por violações, além de ter 18% a mais de chances de aumentar seu faturamento.
Abordagem Zero Trust aplicada à seleção da tecnologia
Esse tipo de avanço exige um novo mind-set de CIOs e CISOs. É hora de aplicar o conceito “Zero Trust” à seleção das novas soluções de segurança para a empresa. Da mesma forma como, no ZTNA, todo acesso está sob júdice e terá de ser checado para ser liberado, vale a pena olhar para as opções do mercado de forma questionadora. A meta é ir além das recomendações de institutos de pesquisa e realizar PoCs e PoVs sob medida para a maturidade digital da empresa.
E, nesse processo, desconfiar de tudo, verificar cada promessa, executar testes críticos e ouvir depoimentos de outros CISOs. O resultado dessa abordagem será um processo de escolha, compra e implementação de cybersecurity com menos erros, totalmente baseado em fatos. É uma forma de garantir que o investimento realizado por orientação do CISO em novas tecnologias termine, sempre, em sucesso.
A importância da regulamentação de segurança cibernética no mundo empresarial
