Todos sabemos que a cibersegurança é um elemento crítico no risco empresarial. Mas quão crítico? Algumas diretorias ou conselhos parecem dar pouca importância à segurança digital e ainda assim conseguem evitar repercussões sérias. É por isso que o novo relatório da seguradora global Hiscox é uma leitura interessante. Ele afirma que muitas organizações europeias e americanas estiveram à beira da falência após violações de segurança. E, embora os investimentos estejam aumentando, hoje em dia menos empresas estão "experts" em segurança cibernética.

Está claro que saber direcionar o investimento em cibersegurança nunca foi tão importante. Então, o que os especialistas fazem para evitar a ruína financeira? De acordo com o relatório, trata-se principalmente de uma combinação de boas práticas e da disposição para aprender com incidentes anteriores.

Uma ameaça real

O relatório é um compilado a partir de entrevistas com 5.000 empresas dos EUA, Reino Unido, Bélgica, França, Alemanha, Espanha, Países Baixos e Irlanda. Algumas das conclusões já eram conhecidas, mas há algumas nuances interessantes. Por exemplo:

  • Sete dos oito países classificam um ataque cibernético como a maior ameaça aos seus negócios;
  • 48% dos entrevistados relataram que sofreram um ataque cibernético nos últimos 12 meses, um aumento em relação aos 43% do ano passado;
  • 19% dos entrevistados relatou um ataque de ransomware, um aumento em relação aos 16%. Dois terços das vítimas pagaram aos cibercriminosos.

Até agora, tudo normal. No entanto, há uma grande diferença na percepção entre aqueles que sofreram um ataque e os que não sofreram. Mais da metade (55%) das vítimas de ataques cibernéticos veem a cibersegurança como uma área de alto risco, mas essa porcentagem cai para apenas 36% entre aqueles que não experimentaram um vazamento de dados. Da mesma forma, 41% dos atacados afirmam que sua exposição ao risco aumentou, mas para o outro grupo, esse número é inferior (23%).

Outro dado interessante: os ataques parecem estar cada vez mais mirando empresas menores. Aqueles com as receitas de US$ 100.000 a US$ 500.000 podem agora esperar o mesmo número de ataques que aqueles que faturam de US$ 1 milhão a US$ 9 milhões anualmente.

Custando caro para as empresas

Isso é importante, pois, um quinto das empresas que foram atacadas afirmam que sua sustentabilidade econômica foi ameaçada, um aumento de 24% em relação ao ano anterior ao que o relatório foi produzido. Embora não esteja detalhado no relatório, os custos de vazamentos de dados podem incluir:

  • Interrupções operacionais;
  • Custos legais;
  • Horas extras de TI e custos de análises de terceiros;
  • Multas regulatórias;
  • Perda de clientes;
  • Produção e vendas perdidas;
  • Danos à reputação a longo prazo.

Isso pode explicar parcialmente por que os gastos aumentaram. O gasto médio em segurança digital dos entrevistados aumentou 60% no último ano, atingindo US$ 5,3 milhões, e aumentou 250% desde 2019, de acordo com o relatório.

Como os atacantes estão comprometendo as organizações?

Para entender melhor como sua organização pode evitar a falência, primeiro precisamos saber como os cibercriminosos estão causando tanto dano. De acordo com o relatório, os principais vetores de ataque são:

  • Servidores em nuvem (41%);
  • E-mail corporativo (40%);
  • Servidores corporativos (37%);
  • Servidores de acesso remoto (31%);
  • Dispositivos móveis de propriedade dos funcionários (29%);
  • DDoS (26%).

O que fazer a seguir?

Uma preocupação é a queda nas pontuações de prontidão cibernética, que, segundo estimativas da Hiscox, diminuíram 2,6% em um ano. Isso resultou em uma redução significativa no número de empresas classificadas como "especialistas", que passou de 20% para apenas 4,5%. A proporção de empresas classificadas como "novatas" também caiu, concentrando a maioria na categoria "intermediárias". A prontidão cibernética é crucial, pois os custos medianos de um ataque, como percentual das receitas, são duas vezes e meia maiores para empresas consideradas "ciber-novatas", de acordo com o relatório.

Então, como é uma organização madura e pronta para cibersegurança? Felizmente, não depende apenas de quanto dinheiro está disponível para gastar. Várias melhores práticas são destacadas, incluindo as seguintes:

  • Formalizar a cibersegurança com funções claramente definidas e apoio do conselho ou da alta administração;
  • Garantir que os executivos tenham visibilidade clara e envolvimento com a cibersegurança;
  • Seguir padrões de melhores práticas, como o framework do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST);
  • Distribuir o investimento nas cinco funções principais do NIST – identificar, proteger, detectar, responder e recuperar;
  • Focar no planejamento de resposta a incidentes e simulações de ataque, considerando a atual incerteza geopolítica;
  • Avaliar regularmente os dados corporativos e a infraestrutura tecnológica;
  • Fornecer treinamento eficaz de conscientização sobre cibersegurança;
  • Garantir que fornecedores e parceiros comerciais atendam aos requisitos de segurança;
  • Focar em processos de correção de falhas, teste de intrusão e backups regulares.

Essas medidas, em conjunto, ajudarão a minimizar as chances de um ataque acabar levando à falência da organização.