Um ambiente de negócios novo e arrojado
Impulsionados por eventos imprevistos, os líderes executivos e suas empresas saíram de suas zonas de conforto nos últimos anos. Passaram a trabalhar remotamente, na nuvem e com cadeias de abastecimento quase totalmente digitais. A cada nova empreitada, tiveram que lidar com novos riscos cibernéticos.
A boa notícia: os executivos de segurança da informação (CISOs) e as equipes cibernéticas estão se mostrando à altura do desafio. Mais de 70% dos entrevistados para a pesquisa Global Digital Trust Insights 2023 no Brasil e no mundo apontam melhorias na segurança cibernética de suas empresas em 2022 – graças a investimentos cumulativos e à colaboração da alta administração.
Diante de um cenário de riscos cibernéticos crescentes, os líderes terão muito trabalho pela frente – e num ambiente econômico instável:
- Menos de 40% dos entrevistados no Brasil e no mundo dizem ter mitigado totalmente os riscos a que ficaram expostos durante a pandemia de covid-19.
- Os CISOs veem a necessidade de avançar ainda mais em relação a cinco capacidades cibernéticas: identificar, proteger, detectar, responder e recuperar.
- Os altos executivos se preocupam com o fato de suas empresas não estarem totalmente preparadas para lidar com as ameaças crescentes.
- Em 2023, três desafios ganham mais corpo: divulgações obrigatórias, testes de resiliência e aumento da pressão para garantir a segurança e a privacidade dos dados.
A segurança cibernética se tornou um campo mais dinâmico, que se ajusta e muda rapidamente para acompanhar a inovação nos negócios.
Essa agilidade é necessária para lidar com os árduos desafios à frente. Como cada um pode continuar a fazer a diferença? Onde os CISOs e as equipes cibernéticas devem exercer influência para obter melhores resultados?
O guia sobre cibersegurança e privacidade que apresentamos em nossa pesquisa avalia cenários esperados para 2023 e mostra como os executivos podem trabalhar juntos para encarar o futuro.
Cibersegurança no foco da liderança
O CISO está saindo de sua função de especialista cibernético independente para fazer parceria com toda a liderança. Essa colaboração entre os executivos nunca foi tão importante.
50% |
dos CEOs no Brasil (46% no mundo) querem dar ao CISO mais autoridade para impulsionar a colaboração dos executivos em cibersegurança nos próximos 12 meses |
“Onde eu, o CEO, posso fazer mais diferença na segurança cibernética?”
A digitização torna a segurança um assunto de todos, e essa mudança na cultura começa com o CEO. Os principais stakeholders de uma empresa – acionistas, clientes e funcionários – passaram a equiparar qualquer violação de segurança a uma violação de confiança. E construir e manter a confiança é o principal trabalho do CEO. Grandes mudanças podem ser a maneira mais eficaz de melhorar a postura de cibersegurança da organização – e somente o CEO pode fomentá-las.
61% |
dos CEOs no Brasil (51% no mundo) exigirão um plano de gerenciamento de riscos cibernéticos para cada uma das principais mudanças comerciais ou operacionais nos próximos 12 meses |
Chamada à ação:
Fale sobre seu compromisso com o ciberespaço. Use sua influência para inspirar mudanças estratégicas e remover as barreiras organizacionais que atrapalham o trabalho de coordenação da alta administração.
“Nosso plano de segurança na nuvem é tão ágil quanto o nosso negócio na nuvem?”
Os diretores de tecnologia da informação (CIOs) e suas equipes de DevOps geralmente definem o ritmo para a adoção da nuvem. Como CTO, porém, você precisará trabalhar mais próximo do seu CISO e das equipes de conformidade para tranquilizar a alta administração e o conselho em relação a seus temores de violações cibernéticas na nuvem. As ameaças na nuvem aumentaram em quase 40% das organizações participantes da pesquisa. Ainda assim, quase dois terços dos executivos dizem que seus riscos originados da nuvem não são totalmente mitigados.
19% |
dos CIOs, CISOs e CTOs estão muito confiantes que a empresa tomou medidas para se proteger adequadamente contra quatro causas comuns de violações na nuvem |
Chamada à ação:
Para proteger seu back-end, front-end, internet das coisas e tecnologias operacionais, trabalhe com o CISO para reforçar a segurança de seus ambientes na nuvem – desde o primeiro momento.
“Gastamos o suficiente e nas áreas certas? Estamos reduzindo o risco cibernético de nossos investimentos para o nível adequado?”
Muitos CISOs e diretores financeiros (CFOs) mudaram a forma como investem em cibersegurança: eles estão usando dados para tomar decisões de financiamento tendo em mente metas de negócios e seus principais riscos. À medida que as soluções tecnológicas proliferam, você, como CFO, precisará trabalhar com o CISO na elaboração de um plano geral para proteger sua organização em vários níveis, além de simplificar e otimizar todo o software de sua empresa.
39% |
dos CFOs dizem que ter mais soluções de tecnologia cibernética ajudará a melhorar a postura cibernética |
Chamada à ação:
No processo de modernização da TI, é importante levar em conta como cada investimento adicional pode mitigar o risco cibernético. A compreensão dos custos associados ao risco ajuda a priorizar a segurança desde a concepção da solução, e isso gera economia.
“O que devemos fazer para tornar nossa cadeia de suprimentos e nossas operações menos vulneráveis e mais resilientes a ataques cibernéticos?”
A cadeia de suprimentos é um ponto focal para ameaças como ataques cibernéticos, pressões competitivas e macroeconômicas e preocupações ESG. Como diretor de operações (COO), você começa a enfrentar os desafios de segurança ao treinar seus funcionários de operações, investir em tecnologia e gerenciar melhor os riscos de terceiros. Mas a crescente atração dos agentes de ameaças cibernéticas pela tecnologia operacional significa que você deve prestar atenção especial à proteção contra ataques.
56% |
dos diretores de receita (CROs) e de operações estão extremamente ou muito preocupados com a capacidade de sua empresa de resistir a ataques à cadeia de suprimentos |
Chamada à ação:
Planeje com o CISO e o CIO como avançar na maneira de proteger sua tecnologia operacional junto com a TI.
“A administração está fazendo o suficiente? Como nós, o conselho, podemos exercer uma melhor governança sobre a segurança cibernética da organização?”
Os conselhos estão mais engajados com a cibersegurança, pois suas empresas enfrentam riscos crescentes. E você sabe que é um desafio manter em dia a cibersegurança. Mas o futuro da supervisão cibernética pode ser diferente. Os diretores corporativos estão dispostos a aprender e dedicar mais tempo para entender os riscos cibernéticos relacionados à estratégia de negócios. Você está empenhado em obter relatórios aprimorados sobre cibersegurança.
59% |
dos membros do conselho dizem que o órgão não é muito eficaz em compreender os fatores impulsionadores e os impactos dos riscos cibernéticos em sua organização |
Chamada à ação:
Incentive o CISO a falar seu idioma. Peça para participar de exercícios que ajudem você a entender a resiliência cibernética de sua organização.
“Como podemos garantir a governança e segurança dos dados de nossos clientes, para mantê-los privados e ao mesmo tempo seguros para uso comercial?”
Os diretores de dados (CDOs) enfrentam muitos desafios, pois os dados se tornaram um ativo central para o bem e para o mal. Metade dos líderes não se sente confiante o suficiente na governança e segurança de dados de sua organização para tomar decisões com base em dados. A boa notícia: o CDO é visto cada vez mais como alguém importante para tratar da segurança e privacidade dos dados. A parceria com seu CISO pode ajudá-lo a proteger melhor os dados e a privacidade.
31% |
dos CDOs, diretores de produto (CPOs) e de marketing (CMOs) dizem ter relações de trabalho “muito eficazes” com os CISOs e avaliam a privacidade e a segurança no marketing |
Chamada à ação:
Trabalhe com seu CISO para atender às diferentes expectativas dos stakeholders, analisando todos os ângulos importantes de segurança e privacidade de dados, incluindo governança, acessibilidade e precisão.
“Como o perfil de risco cibernético afeta a tolerância ao risco de nossa organização? Até que ponto os líderes das unidades de negócios estão engajados no gerenciamento de riscos cibernéticos?”
CISOs e CROs têm trabalhado em conjunto para incluir riscos cibernéticos nos programas de gerenciamento de riscos corporativos de suas organizações. Mas ainda há muitas lacunas. Buscar a digitização pode significar mais riscos do que o apetite da sua organização comporta. Para ajudar a se fortalecer contra ataques cibernéticos cada vez mais sofisticados, você deve criar, testar e implementar planos e controles operacionais e de resiliência tecnológica robustos.
46% |
dos CROs e COOs dizem que têm controles em uso em toda a organização para evitar sérias disrupções cibernéticas |
Chamada à ação:
Adote uma abordagem que envolva “todos os riscos” para identificar fontes de disrupção e crie um programa de resiliência para a empresa que integre as principais competências de gerenciamento de crise, continuidade de negócios, recuperação de desastres e resposta a incidentes, para responder de maneira coesa e consistente.
“Como podemos preencher nossas posições cibernéticas mais rapidamente e reter nossos talentos?”
CISOs e diretores de recursos humanos (CHROs) estão rompendo com velhos modelos e ampliando os parâmetros de recrutamento. Ao reconhecer que algumas características – como habilidades de resolução de problemas – são, no mínimo, tão importantes como certificações e diplomas técnicos, você está ampliando seu grupo de candidatos. Ao mesmo tempo, você também está treinando os funcionários existentes e começando a usar serviços gerenciados para ajudar a manter a segurança cibernética de sua empresa.
39% |
dos CISOs, CIOs e CTOs dizem que a perda de talentos é um problema crescente. Para outros 15%, ele atrapalha o progresso das metas cibernéticas |
Chamada à ação:
Pergunte quais habilidades você realmente precisa ter em seu programa cibernético, atualize sua forma de recrutamento, dê incentivos aos talentos e ofereça trilhas de crescimento que os estimulem a ficar na empresa.
Um ataque cibernético catastrófico é o principal cenário nos planos de resiliência de 2023. Um ataque assim certamente colocaria as alianças da alta administração à prova.
Dois terços dos executivos no Brasil e no mundo consideram o cibercriminoso o agente de ameaças mais importante para sua organização no próximo ano. Ferramentas de cibercrime como serviço e prontas para uso permitem que criminosos executem uma variedade de ataques lucrativos com mais facilidade.
Ataques que exploram a nuvem
36% no Brasil (38% no mundo) esperam ataques mais sérios via nuvem em 2023
A violação: os invasores exploram uma configuração incorreta no aplicativo hospedado na nuvem de uma empresa e roubam dados de usuários para vender no mercado negro.
Consequências: notificações dispendiosas para os titulares dos dados. Uma possível ação coletiva contra a empresa. Danos à reputação da empresa.
O que deu errado: segurança inadequada, nenhuma defesa em profundidade, erros de codificação, testes inadequados de código escrito e de biblioteca, dados criptografados incorretamente.
Quem deve trabalhar em conjunto: CIO, CISO, CTO, CDO
Ataques à tecnologia operacional
39% das grandes organizações no Brasil (29% no mundo) esperam um aumento de ataques à tecnologia operacional
A violação: um sistema de produção é afetado por um evento de ransomware devido a vulnerabilidades em sistemas operacionais legados.
Consequências: a produção é interrompida quando os sistemas afetados são desligados para evitar que os danos se espalhem. Os impactos se disseminam pela cadeia de suprimentos.
O que deu errado: hackers exploram vulnerabilidades não corrigidas para injetar ransomware. As vulnerabilidades exploradas já haviam sido corrigidas em sistemas corporativos, mas, devido à falta de recursos de gerenciamento, monitoramento e detecção de patches para os sistemas legados, as vulnerabilidades permaneceram não detectadas.
Quem deve trabalhar em conjunto: CIO, CISO, CTO, CRO, COO
Ransomware
45% dos executivos de segurança e TI esperam que os ataques de ransomware continuem aumentando
A violação: um funcionário médico abre um documento em um e-mail de phishing, ativando um malware.
Consequências: interrupção do serviço e desligamento quase total das redes.
O que deu errado: o software antivírus executou regras desatualizadas que não detectaram o malware incorporado no anexo malicioso. A falta de autenticação multifator permitiu que os invasores obtivessem acesso inicial. Sem serem notados na rede corporativa por semanas, os cibercriminosos realizaram o reconhecimento da rede e acabaram comprometendo uma conta de administrador de domínio, adquirindo privilégios elevados para lançar o malware, que desligou grande parte da infraestrutura principal de TI e comprometeu os backups.
Quem deve trabalhar em conjunto: CEO, CIO, CTO, COO, CISO, CDO, CRO, CFO, Conselho
Sobre a pesquisa
A pesquisa Global Digital Trust Insights 2023 foi realizada com 3.522 executivos de negócios, tecnologia e segurança de diversas regiões do mundo em julho e agosto de 2022. O estudo foi feito pela PwC Research, o centro de excelência global da PwC para pesquisa e insights de mercado.
Contact us
.jpg.pwcimage.105.105.jpg)
