A cibersegurança chegou ao board, mas falta trazer o CISO
Pesquisa com 600 membros de conselhos administrativos de empresas globais mostra que o Brasil é o país que menos conecta responsáveis pela segurança digital com a gestão.
Excesso de confiança ou falta de perspectiva de cenário? Um estudo conduzido pela empresa global de cibersegurança e compliance Proofpoint, em parceria com o consório de pesquisa interdisciplinar CAMS (Cybersecurity at MIT Sloan), avaliou a percepção sobre desafios e riscos de segurança digital de 600 membros de conselhos de administração em doze países, e descobriu que os brasileiros padecem de falta de sincronia interna: embora 88% das pessoas entrevistadas no Brasil afirmem que a segurança digital é discutida mensalmente nas empresas, só 57% disseram fazer reuniões regulares com CISOs (Chief Information Security Officer), o menor índice entre os 12 países avaliados.
O relatório Cybersecurity: The 2022 Board Perspective mostra um otimismo equivocado dos brasileiros: 92% acreditam que suas empresas investiram adequadamente em cibersegurança (maior índice do ranking), 88% dizem que o conselho entende o risco sistêmico da cibersegurança, e 86% acreditam que seu dados estão protegidos, mas só 48% avaliam que suas empresas estão preparadas para lidar com um ataque nos próximos 12 meses. Quanto a acreditar que há risco de sofrer esse ataque nos próximos 12 meses, só 58% dos brasileiros concordam, contra 65% da média global.
“A pesquisa mostra que a segurança chegou ao board, mas com um otimismo equivocado. 92% acham que investiram o suficiente no assunto, maior índice entre os países, mas não vamos ter a mesma resposta se perguntarmos aos CISOs”, diz Rogério Morais, vice-presidente da Proofpoint para América Latina e Caribe, em entrevista à The Shift. “Outra coisa que chama a atenção é ver que 92% das pessoas entrevistadas no Brasil acreditam que os funcionários estão preparados para um incidente, é um dos maiores índices entre os 12 países, mas 72% de membros brasileiros do conselho disseram que o erro humano é sua maior vulnerabilidade cibernética”.
De forma global, a falta de conexão entre CISOs e board mostra que há um caminho longo a percorrer, escreve a vice-presidente e CISO global da Proofpoint, Lucia Milică, na abertura do estudo. “Uma das formas dos conselhos ficarem mais preparados é estar na mesma página com seus CISOs. A relação conselho-CISO é fundamental para proteger pessoas e dados, e cada lado deve se esforçar para estabelecer uma comunicação mais eficaz e colaborativa para garantir o sucesso organizacional”.
A empresa fez um estudo similar com CISOs, mas o Brasil e o México não foram incluídos. Quando vemos a diferença do olhar entre dois, fica claro que há urgência na correção do descompasso. Nos dois gráficos abaixo é fácil ver onde CISOs e board são otimistas em excesso e onde o descompasso da visão é mais relevante.
Os membros de conselhos brasileiros têm preocupações diferentes dos seus pares globais em relação às ameaças que enfrentam: classificaram a fraude de e-mail/compromisso de e-mail comercial (BEC) e a ameaça interna como sua principal preocupação (40%), seguida por malware (36%). Embora a fraude de e-mail/BEC também tenha sido a principal preocupação dos membros dos conselhos globais, eles também veem o comprometimento da conta na nuvem e o ransomware como as principais ameaças.
A preocupação com e-mail faz parte do core business da Proofpoint. A companhia analisa e filtra 25% de todos os e-mails globais. São 2 bilhões de e-mails por dia, com 1 bilhão de anexos e 48 bilhões de URLs analisadas filtradas na nuvem da companhia, diz Morais. “As pessoas decretam o fim do e-mail faz tempo, mas ele não vai morrer. Para muitos casos ele continua sendo o ponto de contato entre as pessoas da empresa e também entre empresas e consumidores. Basta ver quantos comprovantes você recebe por e-mail para completar atividades online. O e-mail é processo crítico corporativo”, afirma.
“Junto com os riscos de cibersegurança também analisamos os riscos de compliance com as regulações globais com uma plataforma que permite ao jurídico corporativo montar rapidamente uma resposta. E aí tem um elemento muito importante que as empresas podem não estar prestando atenção: os riscos não estão apenas nos dados estruturados nos e-mails. Com o trabalho remoto, estamos falando de videoconferência, WhatsApp, Zoom etc. e tudo interconectado”, alerta Morais. “Não adianta monitorar dispositivos. O elo mais fraco da cadeia são as pessoas e agora elas levam esses pontos para suas casas”.
