Cibersegurança: 5 pontos para discutir no planejamento 2021
Pesquisa aponta preocupação das companhias com resiliência, busca de talentos para preencher vagas e estratégias para se preparar para ataques em nuvem
A cibersegurança chega à vida adulta. É dessa forma que Sean Joyce, Global and US Cybersecurity, Privacy & Forensics Leader da PwC define o momento em que nos encontramos com relação à cibersegurança. Na pesquisa 2021 Global Digital Trust Insights Survey, que acaba de ser publicada pela consultoria, 3.249 companhias e executivos apontaram o que podemos esperar do próximo ano e como as empresas devem planejar agora seus investimentos em segurança de dados.
O estudo destaca cinco pontos principais que os CISOs devem considerar em relação à informação e segurança de dados e que CEOs não podem perder de vista no momento de analisar o orçamento para o próximo ano.
1.Liderança e estratégia cibernética
2.Repensar o orçamento cibernético
3.Investir em todas as vantagens
4.Resiliência para qualquer cenário
5.Equipes preparadas para o futuro
1. Liderança e estratégia cibernética
A ordem é redefinir a estratégia cibernética pensando nos negócios e desenvolver liderança para estes novos tempos, deixando que o CISO assuma funções mais amplas que estão sendo demandadas pela empresa.
De acordo com a pesquisa, 96% dos executivos vão ajustar sua estratégia de segurança cibernética por conta da pandemia de Covid-19. Praticamente 50% estão propensos a considerar a segurança cibernética em todas as decisões de negócios – o que representa um aumento de 25% frente à pesquisa do ano passado.
A pesquisa aponta que 40% dos executivos estão acelerando o processo de digitalização na companhia, muitas vezes adotando estratégias de negócios que não tinham imaginado antes da pandemia. Dos pesquisados, 21% afirmaram estar mudando seu modelo de negócio principal e redefinindo suas organizações (os “redefinidores”), enquanto 18% estão entrando em novos mercados ou setores (os “exploradores”). O volume de “redefinidores” e de “exploradores” dobrou desde o ano passado.
Para 29% dos executivos, a maior ambição é fazer as coisas com mais rapidez e eficiência (“buscadores de eficiência”), enquanto 31% estão se modernizando com novos recursos (“modernizadores”). Mais de um terço (35%) estão acelerando a adoção de processos de automação para cortar custos.
Em relação ao papel dos CISOs, há uma certeza de que novos tempos exigem novos modos de liderar. Pelo menos 40% dos executivos afirmaram que o CISO precisa se tornar um líder transformacional (20%) ou um líder operacional e estratégico (20%). O CISO transformacional lidera equipes multifuncionais para combinar a velocidade e ousadia das transformações digitais com estratégias, investimentos e planos de segurança e privacidade ágeis e inovadores. O líder operacional e estratégico é um CISO com experiência em tecnologia e negócios que pode fornecer um desempenho de sistema consistente, com segurança e privacidade em toda a organização e seu ecossistema em meio a ameaças constantes e de caráter mutável.
As qualidades que os executivos mais valorizam em um CISO:
– pensamento estratégico (38%)
– capacidade de assumir riscos inteligentes (38%)
– habilidades de liderança (36%)
– capacidade de reconhecer e estimular a inovação ( 34%)
2. Repensar o orçamento cibernético
Mais da metade (55%) das empresas pesquisadas pela pesquisa 2021 GDTI vão aumentar seus orçamentos destinados à segurança de dados e informação, com 51% ampliando suas equipes em tempo integral. Ainda que 64% dos executivos acreditam que as receitas de negócios vão diminuir, eles entendem que a segurança cibernética é mais crítica para a empresa do que nunca.
Isso não significa que a discussão sobre orçamento será tranquila. Pelo menos 26% precisarão fazer mais com menos e 13% terão que se contentar com orçamentos estáticos. Por isso é tão importante garantir o máximo de resultado por dinheiro investido.
O processo de digitalização é crítico para as companhias porque a cada novo ativo digital é criada uma vulnerabilidade para ataques. A grande preocupação é se o dinheiro está indo para o gasto certo: 55% dos executivos de negócios e de tecnologia não se sentem seguros de que os gastos cibernéticos estão alinhados aos riscos mais significativos. Mais da metade (55%) não sentem confiança que o orçamento possa financiar os custos de mitigação de risco ou técnicas de resposta rápida, oferecendo o melhor retorno.
E ainda que os orçamentos cibernéticos estejam vinculados ao orçamento geral da empresa, 53% não têm confiança de que o processo atual faça isso, enquanto 58% não estão confiantes de que os orçamentos cibernéticos ofereçam controles adequados sobre as tecnologias emergentes.
Com a falta de confiança no processo, vem o impulso da mudança: 44% dos executivos estão buscando novos processos de orçamento, além da melhor maneira para convencer suas lideranças de que precisam desses recursos. Para os que terão de fazer mais com menos, a automação e racionalização da tecnologia são um caminho. O importante é quantificar o risco cibernético e usar dados para garantir escolhas inteligentes que reforcem a segurança, privacidade e fluxo de caixa da empresa.
Quase 60% estão começando a quantificar os riscos ou os implementaram em escala. E quase todas as outras empresas (17%) planejam começar a quantificação de risco nos próximos dois anos.
3. Investir em todas as vantagens
O estudo aconselha a integrar esse pensamento à estratégia cibernética para aumentar as chances de sucesso. A quantidade e a variedade de soluções cibernéticas amadureceu – permitindo mudar para arquiteturas Zero Trust, com inteligência para lidar com ameaças em tempo real, automação de segurança, proteção avançada de endpoint, gerenciamento de identidade e acesso, além de outras tecnologias. Com isso, o crescimento no uso de serviços de nuvem praticamente triplicou.
As startups cibernéticas estão em alta: na última década, mais de 20 empresas atingiram valores de IPO ou M&A de US$ 1 bilhão, 10 deles nos últimos dois anos, de acordo com relatório da CB Insights.
Uma minoria – entre 15% e 19% – dos executivos afirma que já está se beneficiando de novas práticas. São os “primeiros que trocam”.
Executivos que pertencem a grandes organizações preferem uma mudança estratégica (em que a equipe de segurança cibernética colabora mais com a entrega de resultados de negócios), passando para tecnologias avançadas (para melhorar a eficácia dos recursos de defesa cibernética) e operações de reestruturação (redução do custo por meio de automação e racionalização). Já os executivos das maiores organizações
Os executivos das maiores organizações relatam ganhos com o uso de modelos de segurança e tecnologias como Zero Trust, serviços gerenciados, virtualização e adoção acelerada da nuvem.
As empresas estão mudando rapidamente suas operações (75%) e segurança (76%) para a nuvem. Com isso são capazes de eliminar sistemas legados e estáticos por sistemas mais dinâmicos, ágeis e integrados.
Mais de um terço (35%) dos executivos concorda fortemente que a migração para a nuvem é fundamental para a próxima geração de soluções de negócios para sua organização. E 36% concordam que hoje existem novas soluções para proteger as infraestruturas de nuvem. E à medida que as tecnologias se tornam mais acessíveis e os modelos são refinados, as pequenas e médias empresas também podem se beneficiar
4. Resiliência em qualquer cenário
Quanto maior as incertezas no cenário global, mais as organizações buscam a certeza. O ano de 2020 assistiu a vários incidentes, com uma onda de invasões, ransomware e violações de dados, junto com um aumento nas tentativas de phishing. A digitalização cada vez mais rápida significa um aumento na superfície de ataque digital e potencial para danos aos negócios.
Pelo menos 40% dos executivos que responderam à pesquisa têm planos de aumentar os testes de resiliência para garantir que, se ocorrer um evento cibernético perturbador, as funções críticas de negócios não serão afetadas.
O estudo da PwC aponta que a probabilidade maior de ataques, na opinião dos executivos, está nos provedores de Internet das Coisas (IoT) e de serviços em nuvem. Ataques cibernéticos a serviços de nuvem encabeçam a lista de ameaças que terão “impacto significativamente negativo” (relatado por 24%), enquanto 33% acreditam que sistemas que fazem uso de IoT são alvos “muito prováveis”. Os ataques a serviços em nuvem mais temidos são do tipo disruptionware, que afetam serviços críticos (tecnologia operacional) e ransomware.
Para 55%, é provável ou muito provável que seu provedor de serviços em nuvem seja ameaçado no próximo ano. Nesse caso, 45% dizem que o impacto seria negativo ou muito negativo. Já 56% dos executivos avaliam que um ataque de ransomware no próximo ano é provável ou muito provável, e 58% dizem que as consequências seriam negativas ou muito negativas.
Probabilidade relativamente alta, mas impacto menor, são vetores de ameaças sempre presentes, como ataques via IoT (65% de probabilidade, 44% de impacto negativo) e provedores de nuvem, bem como aqueles representados por terceiros (49% de probabilidade, 52% negativos) e engenharia social (63% provável, mas impacto negativo para apenas 49%). Os executivos do setor de saúde estão particularmente preocupados com o impacto dos ataques via terceiros.
5. Equipes preparadas para o futuro
Apostar na contratação de talentos, treinamento e capacitação é muito importante em um mercado de trabalho restrito, em que a busca por profissionais especializados está alta, mas não há tantos candidatos para preencher essas vagas. Apenas nos Estados Unidos, há 50% menos candidatos disponíveis do que o necessário no campo cibernético. Em termos globais, cerca de 3,5 milhões de empregos de segurança cibernética não serão preenchidos em 2021.
Mais da metade (51%) dos executivos afirmam que planejam contratar mais pessoal de segurança cibernética em tempo integral no próximo ano. Pelo menos 22% vão aumentar seu quadro de funcionários em 5% ou mais.
As principais funções que as empresas buscam para sua força de trabalho:
– soluções em nuvem (43%)
– inteligência de segurança (40%)
– análise de dados (37%)
Nas novas contratações, mais de 40% dos executivos buscam habilidades analíticas (47%), habilidades de comunicação (43%), pensamento crítico (42%) e criatividade (42%). Além disso, esses profissionais precisam estar prontos e dispostos a trabalhar em colaboração com outras pessoas para resolver novos problemas e analisar informações.
Para atrair essa nova geração de profissionais de segurança cibernética, as organizações entendem que, além de remuneração competitiva, precisam oferecer flexibilidade, treinamento e possibilidade de novos projetos, com ambiente de trabalho “de ponta”.
Outra possibilidade é buscar e desenvolver esses talentos dentro da companhia. Oferecer qualificação para aumentar as habilidades dos funcionários atuais nas mesmas áreas-chave demonstra visão de negócio. O que pode fazer a diferença é o desenho desses programas de treinamento, que devem ser orientados para negócios e resultados. Essa abordagem, chamada de upskilling 2.0, usa técnicas como gamificação para aumentar a participação, melhora a eficácia e a memória ao fazer com que os alunos apliquem seus conhecimentos recém-adquiridos aos desafios que enfrentam no trabalho e recompensa o progresso em direção a resultados de negócios tangíveis.
E como exemplo parte de cima, quase três quartos (72%) dos executivos de tecnologia e segurança gastam três ou mais horas por semana em aprendizado relacionado ao trabalho, e mais de um terço (36%) dedica mais de sete horas por semana para aprender. Fazer cursos em busca de certificação e acompanhar aulas online são as principais maneiras ficar em dia com a rápida evolução em tecnologia e cibernética, perdendo apenas para networking com colegas em todo o país.
As organizações que não possuem recursos para competir por talentos usam um modelo de serviços gerenciados de segurança que ofereça uma força de trabalho diversificada, disponível e altamente qualificada. Os melhores provedores de serviços gerenciados investem continuamente em contratação, credenciamento e qualificação.
As plataformas de serviços gerenciados – redes nuvem, dados, ferramentas analíticas, visualização, aprendizado de máquina – estão em constante evolução. Ao mudar para um modelo de serviços gerenciados, a organização evita os custos de investimento em tecnologia e os riscos que a tecnologia legada representa, incluindo a necessidade de atualizações constantes. Quase 90% dos executivos ouvidos na pesquisa da PwC usam ou planejam usar serviços gerenciados. Pelo menos 18% dizem perceber os benefícios dos serviços gerenciados, enquanto 49% estão começando a usá-los e 18% planejam fazer isso nos próximos dois anos.
Veja também
- IA pode ajudar a resolver problemas de privacidade
- 2020 será o ano da proteção de dados
- CEOs serão pessoalmente responsáveis por incidentes de segurança
- Empresas vigilantes passam à frente da concorrência
- Falta confiança para o compartilhamento de dados
- Guia de segurança para líderes no mundo digital
- LGPD entra em vigor. E a Autoridade de Proteção de Dados?
- O que sua empresa deve fazer em relação à LGPD?
- Proteção e privacidade precisam andar juntas
- Segurança cibernética: o perigo mora dentro de casa
- Segurança: a um passo do fim das senhas
