Em um mundo cada vez mais digital e conectado, os riscos de ataques cibernéticos também aumentam, com possibilidades de vazamento de dados cadastrais, roubos de senhas e de dados bancários, e comprometimento de infraestruturas digitais. Para debater a importância da cibersegurança, bem como a atuação do Brasil nessa área, a IDC Brasil reuniu clientes e grandes empresas no evento IDC Cybersecurity Roadshow Brazil, no qual também apresentou pesquisas e análises relacionadas ao tema.
No campo de investimentos, segundo o IDC Worldwide Black Book 2023, o Brasil ocupa a nona posição entre os países com mais aplicações/gastos com TI e Telecom, representando 1,7% de todo o planeta. Em um recorte apenas sobre TI, o país lidera o ranking na América Latina, com 38% dos gastos da região.
Especificamente sobre cibersegurança, 37,5% das empresas brasileiras consideram os investimentos na área como a principal iniciativa de TI para o ano. “Até o fim de 2023, os gastos das empresas brasileiras com segurança representarão 3,5% dos investimentos feitos em TI, um crescimento de 12% em relação ao ano anterior”, diz Pietro Delai, diretor de Pesquisa e Consultoria de Enterprise da IDC Latin America.
“Apesar da boa colocação nos rankings e do aumento dos investimentos com TI e Telecom, o Brasil demorou para enxergar a necessidade de investir em cibersegurança, largando atrás de muitos outros países e se tornando alvo frequente de ataques do tipo. Nesse momento, o investimento feito no país ainda é aquém da média global e o Brasil sofre com uma carência de profissionais qualificados para o setor”, alerta Delai.
Segundo o CVE (Common Vulnerabilities and Exposures), banco de dados do MITRE que registra vulnerabilidades e exposições relacionadas à segurança da informação, mais de 25,2 mil vulnerabilidades foram detectadas ou reconhecidas pelos fabricantes de tecnologia em todo o ano de 2022, além de mais de 5,4 mil nos seis primeiros meses de 2023.
“Outro dado público relevante foi divulgado pelo FBI. Segundo o relatório FBI Internet Crime 2022, no ano passado, o departamento de inteligência norte-americano registrou mais de 479 mil denúncias de incidentes com segurança digital nos Estados Unidos, o país que lidera este ranking. O Brasil, apareceu na décima posição com 1.181 crimes cibernéticos registrados pelo departamento”, conta Delai.
“Isso reforça, que mesmo muito abaixo dos países mais atacados ciberneticamente, o risco no Brasil está crescendo. Em 2021 e 2020, os números eram de 1.053 e 951, respectivamente.”
O estudo IDC Brasil Cyber Security Research 2023 também mapeou a proporção dos incidentes identificados nas organizações brasileiras e mostrou que os ciberataques mais comuns são feitos por: Ransonwares, que é sequestro de dados feito por meio de criptografia em softwares e que usa arquivos pessoais da vítima como ‘reféns’ para receber pelo restabelecimento do acesso por parte do usuário; Phishing, que é uma técnica de engenharia social usada para enganar usuários na internet e obter informações confidenciais, e Malwares, que são softwares não-seguros e indesejados que podem roubar informações pessoais ou danificar dispositivos.
Medidas tomadas pelas empresas brasileiras
No estudo IDC Worldwide Security Spending Guide – Latin America 2022 a IDC listou 39 medidas de segurança digital e perguntou para as empresas da América Latina quais são as mais utilizadas por elas para evitarem ataques cibernéticos. No Brasil, o TOP 5 de medidas é composto por: Messaging Security Software (utilizado por 33,1% dos entrevistados), Tier 2 SOC Analytics and Cloud Native XDR (28,7%), Server Security (28,6%), Modern Endpoint Security (24,7%) e Authentication (23%).
O estudo mostrou ainda que, até 2026, 30% das organizações com mais de mil funcionários migrarão para centros de operações de segurança autônomos com equipes distribuídas para gestão de risco, remediação e resposta mais rápidos. “Essa transição deve acontecer pois a área de segurança tem que defender o ecossistema da empresa o tempo todo, e isso é algo muito intenso, visto que depende de recursos e de gente 24 horas por dia, sete dias por semana. Quanto mais softwares são produzidos, mais riscos são gerados e, consequentemente, mais investimentos devem ser feitos na automatização desses processos de segurança”, elucida Delai.
Brasil está atrasado em Cybersecurity
A IDC levantou que existem 31 mil profissionais brasileiros no LinkedIn que se declaram como experts em cibersegurança, o que faz do Brasil o líder na América Latina, com 38,7% dos profissionais do segmento na região. “Apesar de ser um número bonito em termos de maturidade, o Brasil ainda tem uma cultura muito reativa. Sempre espera algo grave acontecer para depois tomar as medidas necessárias, diferentemente de outros países que largaram na frente quando a questão da cibersegurança começou a ser discutida”, opina Delai.
Segundo o analista da IDC, vários elementos, como a relatividade cultural, fizeram o Brasil não alavancar para as posições de lideranças no setor. “A LGPD (Lei Geral da Privacidade de Dados) só chegou ao país em 2020, enquanto o México já tinha suas leis de proteção desde 2010 e a Europa desde 2016. Além disso, apenas cinco CSIRT (Computer Security Incident Responde Team) brasileiros estão registrados em FIRST.org (Forum of Incident Responde and Security Teams), enquanto o México e a Europa contam, respectivamente, com 17 e 175 times de segurança no órgão global”, exemplifica Delai.
Outro exemplo trazido por Delai e que reforça a análise é que o Brasil assinou o Convênio de Budapeste, que visa facilitar e fortalecer meios disponíveis para prevenir e enfrentar crimes cibernéticos, apenas em julho de 2023, após receber a primeira multa relativa à LGPD. A comunidade europeia, por exemplo, aderiu em 2021.
Conclusões e recomendações
Luciano Ramos, Country Manager da IDC Brasil, explica que os riscos de segurança e privacidade aumentam a partir da proliferação e distribuição de dados em diferentes ambientes (Cloud e Data Center) – e dispositivos. “Esses dados precisam estar protegidos para alcançar com segurança o seu destino final – pessoas, aplicações, processos etc. Felizmente, essa já é uma percepção clara das empresas mais maduras, que seguirão ampliando investimentos e adoção de soluções de segurança à medida em que avançam em sua jornada de digitalização”, analisa Ramos.
Outro ponto levantado pelo executivo é o da necessidade de se desenvolver uma cultura que enfatize o impacto positivo da segurança da informação nos objetivos de negócio por meio de educação e de processos claros. “Isso é essencial e pode abrir caminhos para uma melhor comunicação com toda a organização.”
Ramos conclui que temas como observabilidade, integração e Threat Intelligence só ganham importância e destaque quando aplicados adequadamente para gerar melhor gestão de riscos e proporcionar decisões eficientes para os negócios. “Buscar a experiência e o conhecimento de parceiros tecnológicos pode ser o caminho para acelerar esse entendimento e expandir as competências das equipes de segurança.”
