A dificuldade em definir onde investir para fortalecer a segurança digital é hoje um dos maiores desafios para 31% dos líderes de cibersegurança no Brasil. Segundo o mais recente levantamento da Kaspersky com líderes de cibersegurança brasileiros, 48% das organizações também não possuem um cronograma regular de avaliações de risco e, em vez disso, reagem a incidentes ou notícias externas para revisar sua segurança.
A pesquisa revela também que a maioria das empresas realiza simulações de incidentes – sendo que 58% delas o fazem mensalmente e 34% trimestralmente. Porém uma em cada dez empresas não tem nenhuma rotina nesse sentido e acabam criando uma lacuna crítica que afeta a preparação real diante de um ataque. Sem um plano estruturado de testes, as equipes deixam de identificar vulnerabilidades ocultas e de construir a resiliência que o ambiente atual exige.
Outro dado relevante é que 44% dos entrevistados afirmam não possuir uma estratégia clara de segurança. Isso reforça que, para muitas organizações, o desafio não está apenas em saber o que precisar ser feito, mas na falta de uma diretriz estruturada que guie decisões, priorize recursos e defina o nível mínimo de proteção necessário.
Essa falta de disciplina em avaliar pontos fracos e riscos impacta ainda outro problema identificado pela pesquisa da empresa: a distorção entre confiança e realidade na proteção digital das organizações. Quando a empresa acredita estar mais protegida do que realmente está, torna-se ainda mais difícil enxergar prioridades, justificar investimentos e corrigir pontos críticos.
“Quando não há uma visibilidade real sobre o estado da cibersegurança, as decisões de investimento tornam-se incertas, intuitivas e mais difíceis de serem mensuradas corretamente. Como consequência, justificar o investimento torna-se uma tarefa desafiadora. Já quando se tem um cenário claro de onde a empresa está e quando ela quer chegar, cria-se um plano de investimentos em estágios com metas e expectativa de melhorias claras – o que ajuda tanto a operação quanto explicar os danos potenciais que podem ser evitados. O ROI em cibersegurança é um tema complicado, pois não há geração de receita com segurança, na realidade, ela evita perdas – isso é como um seguro do carro, precisamos ter, mas desejamos nunca usá-lo”, explica Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
Para mudar esse cenário, o executivo da Kaspersky recomenda que os líderes de segurança adotem uma abordagem pragmática, baseada em um diagnóstico estruturado da segurança atual e/ou uma análise de riscos baseados em impacto, como o FAIR (Factor Analysis of Information Risk).
Seja a análise de fraquesas quanto a matriz de risco, a equipe de segurança terá um documento objetivo das áreas críticas que precisam ser melhoradas e receber os primeiros investimentos. Esse trabalho também indica as razões para justificar cada investimento e define benefícios concretos e mensuráveis.
Rebouças destaca que, recentemente, muitas empresas se tornaram notícia devido a ciberataques, e isso fez com que a liderança se preocupasse com os ataques digitais. Mesmo considerando o orçamento como um limitador, ele reforça que a abordagem pragmática pode definir um nível satisfatório para cada organização, juntamente com o investimento e prazo necessário para atingí-lo.
“Seja uma pequena empresa que irá definir uma boa proteção e adotará boas práticas ou uma grande organização que precisa de uma estratégia robusta, todas conseguirão definir as melhorias necessárias de forma clara, é a complexidade que mudará”. reforça Rebouças.
