s
Foto: Markus Spiske - Unsplash
SEGURANÇA

A cibersegurança chegou ao board, mas falta trazer o CISO

Pesquisa com 600 membros de conselhos administrativos de empresas globais mostra que o Brasil é o país que menos conecta responsáveis pela segurança digital com a gestão.

Por Silvia Bassi 05/12/2022

Excesso de confiança ou falta de perspectiva de cenário? Um estudo conduzido pela empresa global de cibersegurança e compliance Proofpoint, em parceria com o consório de pesquisa interdisciplinar CAMS (Cybersecurity at MIT Sloan), avaliou a percepção sobre desafios e riscos de segurança digital de 600 membros de conselhos de administração em doze países, e descobriu que os brasileiros padecem de falta de sincronia interna: embora 88% das pessoas entrevistadas no Brasil afirmem que a segurança digital é discutida mensalmente nas empresas, só 57% disseram fazer reuniões regulares com CISOs (Chief Information Security Officer), o menor índice entre os 12 países avaliados.

O relatório Cybersecurity: The 2022 Board Perspective mostra um otimismo equivocado dos brasileiros: 92% acreditam que suas empresas investiram adequadamente em cibersegurança (maior índice do ranking), 88% dizem que o conselho entende o risco sistêmico da cibersegurança, e 86% acreditam que seu dados estão protegidos, mas só 48% avaliam que suas empresas estão preparadas para lidar com um ataque nos próximos 12 meses. Quanto a acreditar que há risco de sofrer esse ataque nos próximos 12 meses, só 58% dos brasileiros concordam, contra 65% da média global.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

“A pesquisa mostra que a segurança chegou ao board, mas com um otimismo equivocado. 92% acham que investiram o suficiente no assunto, maior índice entre os países, mas não vamos ter a mesma resposta se perguntarmos aos CISOs”, diz Rogério Morais, vice-presidente da Proofpoint para América Latina e Caribe, em entrevista à  The Shift. “Outra coisa que chama a atenção é ver que 92% das pessoas entrevistadas no Brasil acreditam que os funcionários estão preparados para um incidente, é um dos maiores índices entre os 12 países, mas 72% de membros brasileiros do conselho disseram que o erro humano é sua maior vulnerabilidade cibernética”.

De forma global, a falta de conexão entre CISOs e board mostra que há um caminho longo a percorrer, escreve a vice-presidente e CISO global da Proofpoint, Lucia Milică, na abertura do estudo. “Uma das formas dos conselhos ficarem mais preparados é estar na mesma página com seus CISOs. A relação conselho-CISO é fundamental para proteger pessoas e dados, e cada lado deve se esforçar para estabelecer uma comunicação mais eficaz e colaborativa para garantir o sucesso organizacional”.

A empresa fez um estudo similar com CISOs, mas o Brasil e o México não foram incluídos. Quando vemos a diferença do olhar entre dois, fica claro que há urgência na correção do descompasso. Nos dois gráficos abaixo é fácil ver onde CISOs e board são otimistas em excesso e onde o descompasso da visão é mais relevante.

 

Os membros de conselhos brasileiros têm preocupações diferentes dos seus pares globais em relação às ameaças que enfrentam: classificaram a fraude de e-mail/compromisso de e-mail comercial (BEC) e a ameaça interna como sua principal preocupação (40%), seguida por malware (36%). Embora a fraude de e-mail/BEC também tenha sido a principal preocupação dos membros dos conselhos globais, eles também veem o comprometimento da conta na nuvem e o ransomware como as principais ameaças.

A preocupação com e-mail faz parte do core business da Proofpoint. A companhia analisa e filtra 25% de todos os e-mails globais. São 2 bilhões de e-mails por dia, com 1 bilhão de anexos e 48 bilhões de URLs analisadas filtradas na nuvem da companhia, diz Morais. “As pessoas decretam o fim do e-mail faz tempo, mas ele não vai morrer. Para muitos casos ele continua sendo o ponto de contato entre as pessoas da empresa e também entre empresas e consumidores. Basta ver quantos comprovantes você recebe por e-mail para completar atividades online. O e-mail é processo crítico corporativo”, afirma.

“Junto com os riscos de cibersegurança também analisamos os riscos de compliance com as regulações globais com uma plataforma que permite ao jurídico corporativo montar rapidamente uma resposta. E aí tem um elemento muito importante que as empresas podem não estar prestando atenção: os riscos não estão apenas nos dados estruturados nos e-mails. Com o trabalho remoto, estamos falando de videoconferência, WhatsApp, Zoom etc. e tudo interconectado”, alerta Morais. “Não adianta monitorar dispositivos. O elo mais fraco da cadeia são as pessoas e agora elas levam esses pontos para suas casas”.

Resiliência Cibernética: O outro apagão digital

Segurança

Resiliência Cibernética: O outro apagão digital

O apagão causado CrowdStrike revelou um grande problema nas empresas de tecnologia: a falta de resiliência cibernética.

Segurança: Protegendo os Jogos Olímpicos de Paris 2024

Segurança

Segurança: Protegendo os Jogos Olímpicos de Paris 2024

Diferentes soluções estão sendo implementadas para garantir a segurança dos jogos olímpicos desse ano.

Do Deepfake ao ChatGPT: como a IA impulsiona fraudes e golpes

Segurança

Do Deepfake ao ChatGPT: como a IA impulsiona fraudes e golpes

Foi-se a época em que a ortografia e a gramática inadequadas eram indicadores de um possível golpe. Há necessidade urgente de soluções inovadoras.

Por Cassiano Cavalcanti *
Não adianta trancar a porta e deixar a janela aberta

Segurança

Não adianta trancar a porta e deixar a janela aberta

Vulnerabilidades conhecidas desempenharam um papel importante nos ataques de 2022

Redes blockchain são seguras?

Segurança

Redes blockchain são seguras?

A tecnologia blockchain foi construída em torno das ideias de consenso, descentralização e criptografia de modo a garantir confiança nas transações. Mas esta é uma cláusula pétrea? Sem ameaças, riscos ou imperfeições?

Cresce a

Segurança

Cresce a "tecnologia hostil" em 2023

A natureza das ameaças cibernéticas está mudando e os métodos tradicionais para prevenir ataques estão falhando rotineiramente. As empresas vão precisar ampliar seu escopo de segurança para proteger os consumidores e minimizar o pote...