Os recorrentes casos de vazamento e sequestro de dados entre empresas do Brasil posicionam o País como um dos principais alvos do cibercrime, trazendo à tona a necessidade de regulamentação nas medidas de defesa como proposto na criação da Agência de Segurança Cibernética (ANCiber).
“Um incidente cibernético pode levar à perda de até 5-7% do valor de mercado de uma empresa nos seis meses subsequentes e, em sua grande maioria, provoca uma perda de longo prazo irreparável em reputação. O impacto positivo da cibersegurança fica muito tangível em processos de M&A, pois durante essas transações, sempre se realiza uma diligência cyber que pode retirar valor da transação ou acrescer valor”, cita Rafael Sampaio, country manager da NovaRed.
Interrupção de negócios e segurança da informação são os dois principais motivos de preocupação dos executivos brasileiros neste ano, segundo o Barômetro de Riscos da Allianz. Para a NovaRed, é possível destacar quatro motivos principais que podem explicar a dimensão da cibersegurança no Brasil atualmente.
Falta de investimento em cyber
O investimento em cibersegurança ainda é um entrave entre os executivos do alto escalão, sendo que apenas de 3% a 7% dos investimentos em tecnologia da informação são dedicados às soluções de defesa, segundo dados da Pesquisa Setorial em Cibersegurança, pela Associação Brasileira das Companhias Abertas (Abrasca).
O estudo mostra que empresas listadas na B3 ainda não investem o suficiente em segurança cibernética, com destaque para os setores de varejo e saúde que possuem a menor proporção do orçamento dedicado a isso.
“A segurança da informação por muito tempo foi vista como um custo desnecessário e, até pior, como um obstáculo ao progresso da inovação. Esse tipo de visão urge de uma revisão imediata. O assunto precisa ser visto pela ótica que realmente ele representa. Segurança da Informação é um habilitador da inovação. A inovação depende de um ambiente seguro para se consolidar. E ao contrário da associação com custos, a gestão de riscos cibernéticos aumenta o valor de mercado das empresas”, declara Sampaio.
Ampla superfície de risco
Para o executivo da NovaRed, o aspecto mais perceptível no Brasil é a grandiosidade da população nacional, com mais de 200 milhões de habitantes segundo o IBGE.
“Enquanto a sétima nação mais populosa mundialmente, existe um alto volume de informações em circulação na rede. O Brasil é um dos grandes utilizadores de mídias sociais e mensagens instantâneas. É um fato que o período de pandemia acelerou a digitalização de diversos setores e, consequentemente, aumentou a superfície de risco. A partir do momento que se passa a ter uma vida digital mais rica, a necessidade de implementação de práticas de defesa cibernética se torna imprescindível”.
Segundo levantamento da Comscore, o Brasil é o terceiro país que mais consome redes sociais mundialmente, atrás apenas de Índia e Indonésia. Esse é um exemplo do alto volume de informações que circulam entre os usuários brasileiros no ambiente digital e geram mais oportunidades de ataque para os cibercriminosos.
Movimentação econômica
Se tratando da nona maior economia do mundo, o Brasil contempla grandes corporações e milhões de micro e pequenas empresas. Apenas entre janeiro e agosto de 2023, já foram abertas mais de 2,7 milhões de novas empresas no país, conforme novos dados do relatório Mapa de Empresas elaborado pelo Ministério do Desenvolvimento, Indústria, Comércio e Serviços (MDIC) em parceria com o Serviço Federal de Processamento de Dados (Serpro).
“Ou seja, existem muitos alvos para um ataque cibernético”, aponta Rafael. Um ponto de atenção está nos pedidos de resgate em casos de ataques de ransomware, por exemplo, que envolvem o sequestro de dados de uma companhia.
“Embora pareça ser a solução mais prática em momentos de ataque pagar um resgate sem garantias, isso pode ter consequências a longo prazo, confirmando um ciclo vicioso e produzindo uma zona de falsa segurança. O ideal é que exista um plano prévio de cibersegurança alinhado com o conselho administrativo, elaborado pelo CISO (Chief Information Security Officer) que possa orientar as melhores estratégias de prevenção, detecção, resposta e recuperação de incidentes cibernéticos”, comenta o executivo.
O cibercrime também representa uma grande movimentação econômica em todo o mundo, a partir de ataques em cadeia. Uma única brecha cibernética, por exemplo, pode abrir portas para que o cibercriminoso consiga acessar todos os arquivos, backups ou mesmo dispositivos conectados de uma empresa. Se o cibercrime fosse medido como um país, representaria a terceira maior economia do mundo, com projeção de prejuízos de R$ 43 trilhões apenas neste ano, um aumento de 630% desde 2019, conforme dados da Statista.
Baixa regulação em segurança cibernética
Por outro lado, o Brasil desponta tecnologicamente em muitos aspectos. O setor financeiro brasileiro é reconhecido mundialmente pelo seu avanço tecnológico, o setor de aviação nacional idem. O país usa e desenvolve bastante tecnologia. No entanto, enquanto muitos países têm regulamentações aprovadas de segurança em âmbito nacional e setorial (saúde, energia e indústria, para citar alguns casos), o Brasil ainda se encontra menos maduro, com pouca cobertura normativa e baixíssima fiscalização sobre o tema.
A regulamentação é boa e necessária para que as empresas e entes do governo adotem melhores práticas, protegendo a sociedade. A conclusão é que o nível de governança em segurança da informação é baixo no Brasil. Criando ano após ano um déficit em tecnologias de proteção nas nossas organizações.
Nesse processo de amadurecimento, alguns setores do país estão realizando movimentações mais significativas, porém a lacuna existe. Naturalmente, os setores mais regulados, como finanças e empresas abertas, têm maior maturidade que os demais com pouca regulamentação. Já as pequenas e médias empresas estão, em sua maioria, imaturas em relação à implementação de práticas de defesa.
Essa dificuldade maior para PMEs também é considerada pela Autoridade Nacional de Proteção de Dados (ANPD), que simplificou o modelo de registro das operações na fiscalização da Lei Geral de Proteção de Dados Pessoais (LGPD) para Agentes de Tratamento de Pequeno Porte (ATPP).
A cibersegurança deve pautar todos os negócios
Apesar do Brasil apresentar grandes desafios diante do cibercrime, também é percebido um crescimento da democratização da segurança da informação com o surgimento de soluções que podem ser adquiridas por organizações de diferentes portes.
“O ecossistema de empresas dedicadas à defesa cibernética vem florescendo ano após ano. Para além da defesa dos próprios sistemas e do monitoramento constante com os Centros de Operações de Segurança (SOC), o gerenciamento de risco de terceiros passa a pautar uma nova realidade de parcerias focadas em governança de dados. Os riscos cibernéticos não vão desaparecer, ao contrário, eles aumentam exponencialmente ano após ano e a cada grande organização cabe gerir este risco de forma diligente e responsável”, completa Rafael.