O fator humano e a escassez de talentos com as skills desejadas estão entre os principais desafios que as empresas enfrentam em segurança cibernética e IA (Crédito: Freepik)
A adoção de novas tecnologias em segurança cibernética representa duas vertentes: a possibilidade para a organização avançar e se tornar mais competitiva e a ampliação da superfície de ataque. De acordo com um levantamento de supervisão de segurança cibernética divulgado pela EY nos Estados Unidos, 93% das empresas estão usando a IA Generativa (GenAI) de alguma forma, e muitas relatam que têm planos de “usar a GenAI para melhorar a segurança cibernética, ajudando as empresas a identificar possíveis riscos cibernéticos, detectar vulnerabilidades e violações e priorizar os esforços de segurança cibernética”.
No entanto, as ameaças cibernéticas continuam a crescer. No ano passado, o FBI registrou um aumento de 10% nas reclamações e um aumento de 22% nas perdas sofridas – agora US$ 12,5 bilhões por ano. Quase um terço (32%) desses incidentes envolve algum tipo de esquema de extorsão, como ransomware.
Os riscos cibernéticos de terceiros também estão crescendo: o levantamento aponta que a dependência de terceiros para ambientes operacionais de TI cada vez mais complexos está expandindo a área de superfície da ameaça. Ao mesmo tempo, as divulgações sobre o uso de um consultor externo independente pela empresa mais do que dobraram, passando de 43% em 2023 para 87% em 2024, e 10% informaram que seus conselhos se envolvem com um consultor.
Principais desafios internos em cibersegurança para empresas
Para proteger os ativos digitais e informações sensíveis, as organizações enfrentam desafios que começam “dentro de casa”:
- Complexidade do ambiente tecnológico
- Expansão da superfície de ataque
- Riscos da cadeia de suprimentos
- Fator humano e adoção de melhores práticas
- Escassez de talentos em cibersegurança
- Integração da cibersegurança nas decisões de negócios
- Adoção de novas tecnologias e IA
- Gerenciamento de risco de terceiros
Anteriormente, falamos sobre complexidade do ambiente tecnológico, expansão da superfície de ataque e riscos da cadeia de suprimentos. Agora, vamos tratar dos demais desafios: fator humano, escassez de talentos, integração da cibersegurança nas decisões de negócios, adoção de novas tecnologias e gerenciamento de risco de terceiros. Leia a seguir.
4. Fator humano e adoção de melhores práticas
O erro humano continua sendo um grande facilitador de ataques cibernéticos. Para algumas lideranças de segurança cibernética, talvez o maior. Essa visão nasce da fraca conformidade com as melhores práticas de cibersegurança, juntamente com os dados de uma pesquisa que aponta o departamento de TI como o terceiro maior desafio interno.
Apenas metade dos líderes de cibersegurança diz que seu treinamento cibernético é eficaz, e apenas 36% estão satisfeitos com a adoção de melhores práticas fora da área de TI. Isso levanta questões sobre a eficácia real desse treinamento.
Solução: Treinamento eficaz e integração da cibersegurança na cultura organizacional
Para abordar o fator humano, as organizações devem:
- Simplificar as melhores práticas solicitadas à força de trabalho e criar barreiras em seus processos para limitar riscos, em vez de depender apenas da conformidade.
- Implementar treinamento regular e incremental, aproveitando as mais recentes ferramentas de automação e prevenção.
- Incorporar a cibersegurança na psique de cada pessoa na organização, tornando-a uma segunda natureza.
As organizações “Secure Creators” estão mais satisfeitas com a adoção de melhores práticas de cibersegurança do que as empresas menos eficazes. Na comparação, 47% das organizações classificadas como “Secure Creators” estão satisfeitas com suas práticas, contra 27% das demais empresas, indicando que essa abordagem pode trazer resultados positivos.
5. Escassez de talentos em cibersegurança
A escassez de talentos em segurança cibernética é um desafio recorrente, com a lacuna da força de trabalho em cibersegurança crescendo mais de duas vezes mais rápido que a força de trabalho cibernética mundial no último ano.
Solução: Abordagem criativa para aquisição e desenvolvimento de talentos
Para enfrentar a escassez de talentos, as organizações “Secure Creators” estão adotando abordagens mais criativas:
- Priorizar o recrutamento ou requalificação de trabalhadores que atualmente não estão no campo da segurança cibernética (28% no caso dos “Secure Creators”, frente a 14% das empresas menos eficazes).
- Buscar contratações não tradicionais de diversas origens, incluindo áreas funcionais onde a automação reduziu significativamente as cargas de trabalho, como finanças e TI geral.
- Terceirizar mais suas operações de segurança (uma decisão adotada com sucesso por 25% dos “Secure Creators”, em comparação com 15% das empresas menos eficazes).
- Priorizar a padronização e automação de processos de segurança para reduzir as necessidades de pessoal (35% dos “Secure Creators” frente a 26% dos concorrentes).
- Formular funções individuais para coordenar equipes de negócios e cibernéticas, atuando como uma capacidade de “consultoria” que serve de ligação entre as equipes cibernéticas e o negócio mais amplo. Em geral, estas funções se enquadram no papel dos BISOs (Business Information Security Officers).
6. Integração da cibersegurança nas decisões de negócios
Garantir que a cibersegurança seja integrada nas decisões de negócios em todos os níveis da organização está entre os maiores desafios internos em todas as organizações. Existe uma lacuna de percepção entre os CISOs e a diretoria e board sobre a eficácia da abordagem de cibersegurança da organização, muitas vezes sedimentada em conflitos do passado. Hora de virar a chave.
Solução: Comunicação eficaz e alinhamento estratégico
Para superar esse desafio, as organizações devem:
- Garantir que os CISOs tenham um assento na mesa de gerenciamento sênior.
- Traduzir a narrativa de cibersegurança em uma história que ressoe em termos de redução de riscos, impacto nos negócios e criação de valor.
- Alinhar as percepções de desempenho entre o CISO e a alta administração, o que é uma marca de empresas mais seguras.
- Integrar as operações de cibersegurança com as prioridades e estratégias de negócios principais, o que está associado a menores chances de experimentar incidentes.
7. Adoção de novas tecnologias e IA
A rápida adoção de novas tecnologias, especialmente a Inteligência Artificial (IA) e a IA Generativa (GenAI), apresenta novos desafios de segurança cibernética. De acordo com dados da EY, 93% das empresas estão usando GenAI de alguma forma, e muitas organizações planejam usar GenAI para melhorar a cibersegurança. No entanto, o uso crescente de GenAI em todas as funções de negócios está abrindo novas vulnerabilidades que muitas funções cibernéticas não estão posicionadas para dar conta.
Solução: Abraçar proativamente a IA na função cibernética
Para enfrentar esse desafio, as organizações devem:
- Adotar rapidamente tecnologias emergentes na defesa cibernética, incluindo o uso de IA e automação. Isso permitiu que as organizações Secure Creators tenham tempos de detecção e resposta a incidentes cibernéticos mais de 50% mais rápidos do que outras organizações.
- Integrar IA nos processos de detecção, resposta e recuperação de novas maneiras. Avanços em aprendizado profundo e redes neurais agora permitem que conjuntos de dados maiores e mais heterogêneos sejam analisados em tempo real.
- Usar IA para automatizar partes significativas do processo de caça a ameaças, ajudando a identificar atividades maliciosas e responder mais rapidamente.
- Focar em mudar de profissionais cibernéticos técnicos para operadores e “ajustadores finos” de IA. Funcionários com habilidades de engenharia de prompts, habilitados pela tecnologia certa e uma interface de IA, podem fazer o trabalho de vários testadores de penetração.
8. Gerenciamento de riscos de terceiros
Com a crescente dependência das organizações de empresas terceiras, profissionais freelancer e parceiros para preencher as lacunas em ambientes operacionais de TI, a gestão de riscos de terceiros tornou-se um desafio crítico de cibersegurança.
Solução: Avaliação e monitoramento contínuos de riscos de terceiros
Para abordar esse desafio, as organizações devem:
- Implementar um programa abrangente de gerenciamento de riscos de terceiros que inclua:
- Avaliação inicial rigorosa de todos os novos fornecedores e parceiros.
- Monitoramento contínuo da postura de segurança dos terceiros.
- Revisões periódicas dos controles de segurança dos fornecedores.
- Utilizar tecnologia e automação para melhorar a eficiência e eficácia do programa de gerenciamento de riscos de terceiros. Isso pode incluir:
– Integração de provedores de dados externos para obter informações em tempo real sobre os riscos dos fornecedores.
– Uso de ferramentas de automação para realizar avaliações de risco contínuas. - Adotar uma abordagem centralizada para o gerenciamento de riscos de terceiros. Organizações com modelos centralizados podem gerenciar efetivamente quase o dobro de terceiros em comparação com estruturas híbridas.
- Desenvolver planos de contingência e estratégias de saída para fornecedores de alto risco. O estudo da EY mostra que apenas 48% das organizações têm esses planos em vigor.
- Integrar considerações de governança ambiental, social e corporativa (ESG) nas avaliações de risco de terceiros, refletindo a crescente importância desses fatores.
- Implementar uma estrutura de governança clara para o gerenciamento de riscos de terceiros, garantindo que haja responsabilidade e supervisão adequadas em toda a organização.
- Investir em treinamento e conscientização para garantir que todos os funcionários envolvidos na gestão de relacionamentos com terceiros compreendam os riscos e as melhores práticas de mitigação.
- Utilizar análise de dados avançada para identificar padrões e tendências nos riscos de terceiros, permitindo uma abordagem mais proativa para o gerenciamento de riscos.
SOBRE ESTE CONTEÚDO: A série Ciberinteligência é um projeto conjunto da divisão de cibersegurança da EY em parceria com a The Shift. Com atuação em Assurance, Consulting, Strategy, Tax e Transactions, a EY existe para construir um mundo de negócios melhor, ajudando a criar valor no longo prazo para seus clientes, pessoas e sociedade e gerando confiança nos mercados de capitais. Tendo dados e tecnologia como viabilizadores, equipes diversas da EY em mais de 150 países contribuem para o crescimento, transformação e operação de seus clientes. Saiba mais sobre como geramos valor as empresas por meio da tecnologia.