As empresas brasileiras ainda têm um longo caminho a percorrer para se proteger contra ataques cibernéticos, mas isso só vai ocorrer se seus altos executivos comprarem a ideia de investir na área.

A cultura empresarial, porém, não colabora com o processo de alocar investimentos para a cibersegurança, apesar dos frequentes ataques de hackers que ocorrem no país.

O resultado é que persiste uma grande quantidade de vulnerabilidades entre as empresas brasileiras, segundo o consultor José Fontenelle, CISO Trust Advisor e professor de GRC de Segurança da Informação e Cibernética no IBEF-Rio.

Há décadas trabalhando com a cibersegurança, ele detalhou em entrevista para a RSB sua visão sobre as dificuldades que as companhias enfrentam para gerenciar este risco. Leia abaixo os principais trechos:

RSB - As lideranças das empresas estão convencidas da necessidade de investir em segurança cibernética?

José Fontenelle – O nível de maturidade de nossos executivos é muitas vezes inferior ao que se vê na Europa ou nos EUA. Muitas vezes eles são reativos a regulações, e a maioria das empresas ainda tem uma cultura de não prevenir, e, se necessário, remediar.

Mas a Lei Geral de Proteção de Dados e a regulação de infraestruturas críticas, como as do Banco Central, da Aneel e do ONS, mostram que o Brasil começou a agir em termos de regulação. E é natural que as empresas também comecem a reagir, por exemplo, com uma mudança cultural a nível do CEO.

Essas novas regulações, não só no Brasil mas também nos EUA e outros países, vão aumentar a conscientização dos executivos sobre a necessidade de investir em cibersegurança.

Qual é o principal obstáculos hoje aos investimentos em cibersegurança?

Enquanto país, nós não temos a cultura da segurança.

As empresas tendem a pensar que nada vai acontecer com elas, que elas não são um alvo de alto valor para os criminosos cibernéticos. Os executivos pensam que o pessoal do TI exagera quando fala nas ameaças.

Mas estamos vendo casos concretos, por exemplo, de hospitais cuja operação foi interrompida por ataques cibernéticos e tiveram que transferir pacientes de UTI, com urgência, para outros hospitais.

Os exemplos estão aí e mostram o tamanho do impacto que os ataques podem ter, mas a cultura ainda é um dos obstáculos para que as empresas atuem de forma mais intensa na área da cibersegurança.

A questão financeira sempre é um fator também, e o papel dos gestores de riscos é ajudar com o esforço de transformação e amadurecimento dos executivos.

Quais são as vulnerabilidades mais comuns entre as empresas?

É difícil até de elencar, de tantas que há. A falta do multifator de autenticação, ou MFA, é uma delas.

Na Europa e nos EUA, já nem se fala na possiblidade de ter acesso a um sistema sem MFA. No Brasil, infelizmente ainda não há esta maturidade.

Hoje há grupos criminosos especializados no acesso inicial às empresas, os Initial Access Brokers. Eles vendem as credenciais de acesso a quem quiser atacar uma empresa. Se essa empresa não tem MFA, o ataque já está iniciado.

Também há vulnerabilidades relacionadas à infraestrutura digital, aos sistemas, aos fornecedores.

Há o risco de ataques à cadeia de suprimento de software, que está aumentando significativamente.

Em uma empresa há muitos processos, e muitas vezes a área de cibersegurança os desconhece.

É o famoso shadow IT, nos quais os departamentos são autônomos para contratar seus próprios serviços. Muitas vezes, esses serviços são prestados por uma solução baseada em nuvem.

O departamento de TI nem sempre está envolvida na contratação e avaliação do risco do fornecedor, e muitas vezes é só o departamento de TI que cuida de cibersegurança, não há uma estrutura dedicada a isso.

Enfim, existem muitos riscos desconhecidos nas empresas.

As empresas possuem os recursos tecnológicos e humanos para reforçar a cibersegurança?

Elas enfrentam desafios que, quando não são vencidos, se tornam vulnerabilidades.

O primeiro é a contratação e disponibilidade de funcionários qualificados. A escassez de bons profissionais para atuar na segurança cibernética é reconhecida mundialmente.

Outra questão é a complexidade, quantidade e variedade das ferramentas voltadas à cibersegurança. Há todo um mosaico de tecnologias que precisam ser integradas e otimizadas.

Não adianta comprar uma tecnologia que oferece cem funcionalidades, e só usar dez delas. Para poder utilizar as cem, é necessário ter os profissionais qualificados para otimizar seu uso.

Que papel os seguros cibernéticos jogam nesse processo?

Os seguros têm um papel muito importante. As empresas que oferecem esse produto perceberam que, se não fizerem um trabalho de due diligence do cliente, vão assumir um risco desconhecido. Então as seguradoras passaram a avaliar minimamente o nível de segurança das empresas.

Se a seguradora avalia que a empresa tem um nível de segurança baixo, médio ou alto, vai oferecer uma apólice com valor menor ou maior. E há seguradoras que já nem oferecem o seguro se o nível de risco não for satisfatório.

Quem quer comprar o seguro cyber necessita ter um nível de segurança mínimo, e isso ajuda a promover uma melhoria geral da segurança nas empresas.

Edições anteriores

RSB # 11 - Seguro para a transição energética exige parceria entre subscritores e clientes

RSB # 10 - Reforma do Código Civil alimenta disputa sobre o futuro do seguro

RSB # 9 - Mercado de seguro para empresas cresce 5,9% além da inflação

RSB # 8 - PLC 29: uma bomba nacionalista contra o (res)seguro?

RSB # 7 - Onde estão os seguros para a transição energética?

RSB # 6 - Renovações 2024: ventos menos duros no mercado global

RSB # 5 - Cativas e ILS: soluções para um mercado difícil

RSB # 4 - Capacidade abundante, mas seletiva, para as energias renováveis

RSB # 3 - Após arrumar a casa, ABGR quer crescer e influenciar

RSB # 2 - Mais capacidade de resseguro à vista?

RSB # 1 - Seguro cyber caro chegou para ficar