Todos sabemos que a cibersegurança é um elemento crítico no risco empresarial. Mas quão crítico? Algumas diretorias ou conselhos parecem dar pouca importância à segurança digital e ainda assim conseguem evitar repercussões sérias. É por isso que o novo relatório da seguradora global Hiscox é uma leitura interessante. Ele afirma que muitas organizações europeias e americanas estiveram à beira da falência após violações de segurança. E, embora os investimentos estejam aumentando, hoje em dia menos empresas estão "experts" em segurança cibernética.
Está claro que saber direcionar o investimento em cibersegurança nunca foi tão importante. Então, o que os especialistas fazem para evitar a ruína financeira? De acordo com o relatório, trata-se principalmente de uma combinação de boas práticas e da disposição para aprender com incidentes anteriores.
Uma ameaça real
O relatório é um compilado a partir de entrevistas com 5.000 empresas dos EUA, Reino Unido, Bélgica, França, Alemanha, Espanha, Países Baixos e Irlanda. Algumas das conclusões já eram conhecidas, mas há algumas nuances interessantes. Por exemplo:
- Sete dos oito países classificam um ataque cibernético como a maior ameaça aos seus negócios;
- 48% dos entrevistados relataram que sofreram um ataque cibernético nos últimos 12 meses, um aumento em relação aos 43% do ano passado;
- 19% dos entrevistados relatou um ataque de ransomware, um aumento em relação aos 16%. Dois terços das vítimas pagaram aos cibercriminosos.
Até agora, tudo normal. No entanto, há uma grande diferença na percepção entre aqueles que sofreram um ataque e os que não sofreram. Mais da metade (55%) das vítimas de ataques cibernéticos veem a cibersegurança como uma área de alto risco, mas essa porcentagem cai para apenas 36% entre aqueles que não experimentaram um vazamento de dados. Da mesma forma, 41% dos atacados afirmam que sua exposição ao risco aumentou, mas para o outro grupo, esse número é inferior (23%).
Outro dado interessante: os ataques parecem estar cada vez mais mirando empresas menores. Aqueles com as receitas de US$ 100.000 a US$ 500.000 podem agora esperar o mesmo número de ataques que aqueles que faturam de US$ 1 milhão a US$ 9 milhões anualmente.
Custando caro para as empresas
Isso é importante, pois, um quinto das empresas que foram atacadas afirmam que sua sustentabilidade econômica foi ameaçada, um aumento de 24% em relação ao ano anterior ao que o relatório foi produzido. Embora não esteja detalhado no relatório, os custos de vazamentos de dados podem incluir:
- Interrupções operacionais;
- Custos legais;
- Horas extras de TI e custos de análises de terceiros;
- Multas regulatórias;
- Perda de clientes;
- Produção e vendas perdidas;
- Danos à reputação a longo prazo.
Isso pode explicar parcialmente por que os gastos aumentaram. O gasto médio em segurança digital dos entrevistados aumentou 60% no último ano, atingindo US$ 5,3 milhões, e aumentou 250% desde 2019, de acordo com o relatório.
Como os atacantes estão comprometendo as organizações?
Para entender melhor como sua organização pode evitar a falência, primeiro precisamos saber como os cibercriminosos estão causando tanto dano. De acordo com o relatório, os principais vetores de ataque são:
- Servidores em nuvem (41%);
- E-mail corporativo (40%);
- Servidores corporativos (37%);
- Servidores de acesso remoto (31%);
- Dispositivos móveis de propriedade dos funcionários (29%);
- DDoS (26%).
O que fazer a seguir?
Uma preocupação é a queda nas pontuações de prontidão cibernética, que, segundo estimativas da Hiscox, diminuíram 2,6% em um ano. Isso resultou em uma redução significativa no número de empresas classificadas como "especialistas", que passou de 20% para apenas 4,5%. A proporção de empresas classificadas como "novatas" também caiu, concentrando a maioria na categoria "intermediárias". A prontidão cibernética é crucial, pois os custos medianos de um ataque, como percentual das receitas, são duas vezes e meia maiores para empresas consideradas "ciber-novatas", de acordo com o relatório.
Então, como é uma organização madura e pronta para cibersegurança? Felizmente, não depende apenas de quanto dinheiro está disponível para gastar. Várias melhores práticas são destacadas, incluindo as seguintes:
- Formalizar a cibersegurança com funções claramente definidas e apoio do conselho ou da alta administração;
- Garantir que os executivos tenham visibilidade clara e envolvimento com a cibersegurança;
- Seguir padrões de melhores práticas, como o framework do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST);
- Distribuir o investimento nas cinco funções principais do NIST – identificar, proteger, detectar, responder e recuperar;
- Focar no planejamento de resposta a incidentes e simulações de ataque, considerando a atual incerteza geopolítica;
- Avaliar regularmente os dados corporativos e a infraestrutura tecnológica;
- Fornecer treinamento eficaz de conscientização sobre cibersegurança;
- Garantir que fornecedores e parceiros comerciais atendam aos requisitos de segurança;
- Focar em processos de correção de falhas, teste de intrusão e backups regulares.
Essas medidas, em conjunto, ajudarão a minimizar as chances de um ataque acabar levando à falência da organização.