Internet das coisas (IoT), nuvem hyperscale e inteligência artificial/machine learning estão no top 3 de tecnologias que representam os maiores riscos para as empresas para os próximos cinco anos. É o que aponta o EY 2023 Global Cybersecurity Leadership Insights, pesquisa realizada pela consultoria e auditoria EY, que ouviu 500 empresas de diferentes regiões do mundo com faturamento superior a US$ 1 bilhão ao ano, por meio de seus tomadores de decisão, como C-levels, principalmente CISOs.
No recorte por região, Latam, que inclui Brasil, Argentina, Chile e México e representa 115 companhias (23%) dos executivos entrevistados, IoT é apontada por 32% das respostas dos quatro países. “Para o território local, nuvem em escala também está no topo do ranking com 33% e IA/ML tem 26%. Essas preocupações estão equilibradas com os outros países da região ouvidos no estudo”, completa Demetrio Carrión, sócio-líder de cybersecurity da EY para LAS & Brasil.
Esses três pontos também estão entre os mais citados nas regiões da Ásia-Pacífico, que incluem países como Japão e Austrália e EMEA (Europa, Oriente Médio e África), representando países como França e Emirados Árabes Unidos. IoT representa respectivamente 33% e 32%, nuvem hyperscale 32% e 31% e IA/ML fecha o top 3 dessas regiões com 24% e 26%, respectivamente. “Esses dados mostram que o Brasil e a América Latina estão com preocupações alinhadas com o restante do mundo. Isso pode ajudar no desenvolvimento de soluções para suprir esses gaps, tendo países que são mais avançados como referência”, indica o executivo.
A pesquisa também questionou “quais são os maiores desafios internos para a abordagem de segurança cibernética na organização hoje?”. Para os entrevistados brasileiros, os principais pontos citados foram: dificuldade em equilibrar inovação e segurança (59%), muitas superfícies de potenciais ataques (54%) e força de trabalho não pertencente a TI e que não segue as melhores práticas (49%). Já para os argentinos, os principais pontos são: dificuldade em equilibrar inovação e segurança (60%), orçamento inadequado para cibersegurança (50%), além de força de trabalho não pertencente a TI que não segue as melhores práticas, muitas superfícies de potenciais ataques e a integração de tecnologia emergente que não é priorizada, todas com 40%.
Já no Chile, os três pontos mais citados foram: muitas superfícies de potenciais ataques (63%), dificuldade em equilibrar inovação e segurança (53%) e a integração da tecnologia emergente que não é priorizada (43%). Por fim, no México, muitas superfícies de potenciais ataques lideram com 81%, seguido por dificuldade em equilibrar inovação e segurança (50%) e força de trabalho não pertencente a TI que não segue as melhores práticas (42%).
Outro aspecto abordado é que, segundo o estudo, 32% dos participantes indicaram que sofreram 50 incidentes ou mais no ano passado. Isso representa uma alta de 75% no número de ataques cibernéticos conhecidos nos últimos cinco anos. Para Carrión, “um dado bastante relevante que a pesquisa traz é que 76% dos entrevistados globais levam seis meses ou mais para detectar e responder a um incidente. Isso indica que, independentemente da região geográfica, o mercado ainda tem muito a evoluir para conseguir mitigar esses problemas”.
Por fim, o risco dos setores dependentes de infraestruturas industriais, especialmente o de energia, acompanha o forte crescimento percebido pela pesquisa associado à utilização de dispositivos IoT que, por contexto, recebe o nome de IIoT (internet das coisas industrial). “Isso acontece em função da forte pressão global pela transição energética que busca eficiência operacional, redução de emissões e inteligência”, completa Marcos Sêmola, sócio-líder de cybersecurity da EY para o setor de energia Latam.
A tendência de convergência entre os ambientes de IT (tecnologia da informação) e de OT (tecnologia operacional) já é um caminho sem volta, porém, o benefício vem acompanhado da geração de novos riscos resultantes da mistura entre ambientes, pessoas, processos e tecnologias tipicamente muito distintos. É, portanto, primordial para toda empresa do setor, identificar os novos riscos e definir uma estratégia de mitigação que equilibre o atendimento aos requerimentos operacionais do ambiente industrial, e o apetite ao risco do próprio negócio. “Visão integrada de riscos que agora convergem é essencial para pavimentar a transformação digital que está viabilizando a transição energética”, explica Sêmola.
Veja isso
Hackers treinam chatbots de IA para ataques de phishing
Malware para OT/IoT cresce dez vezes na primeira metade do ano
Os impactos potenciais provocados por um incidente de segurança em ambientes industriais extrapolam a razoabilidade e invade espaço ainda pouco experimentados como a perda de vidas humanas; erosão ambiental; passando pela desaceleração das atividades produtivas; perda de receita e valor de mercado; roubo de propriedade intelectual e exposições gerais por não conformidade.
“A internet das coisas industrial está conduzindo as empresas a uma arquitetura totalmente integrada com sistemas de TI e TO funcionando como uma entidade unificada. Esse novo modelo operacional precisa estar cercado por novos controles e padrões de segurança que acompanhem os novos níveis de exposição e risco”, reitera Sêmola.
Seguras ou propensas a ataques: onde se encaixam as empresas?
Para identificar empresas com melhores resultados de segurança cibernética da pesquisa, os líderes avaliaram sua organização em relação a uma série de métricas de segurança cibernética objetivas e subjetivas. Dessa forma, elas foram divididas em dois grupos: criadores seguros (42%) e empresas propensas (58%).
Enquanto o tempo médio de uma empresa “criadora segura” detectar e responder a um incidente cibernético é de cinco meses, a “empresa propensa” leva 11 meses. “Vale reforçar que cinco meses ainda é um tempo absurdamente longo para essa ação. Podemos identificar sim uma evolução do mercado, mas ainda não chegamos a um estágio ideal”, detalha Carrión.
Além disso, a maioria dos “criadores seguros” (70%) consideram-se os primeiros a adotar a tecnologia emergente, em vez de esperar até que a tecnologia seja experimentada e testada. “Eles utilizam soluções avançadas para simplificar seu ambiente, adotando tecnologias focadas em automação e simplificação, como inteligência artificial ou machine learning e orquestração e automação em nuvem”, completa.
“Quando analisamos as 115 companhias da América Latina que responderam as perguntas para dividi-las nessas duas categorias de companhias, temos o seguinte recorte: 45 são ‘criadoras seguras’ e 70 são ‘empresas propensas’. Vendo o copo meio cheio, ainda temos muito caminho a percorrer para termos ambientes realmente seguros. Porém, ainda é necessário ter muita atenção e cautela, mantendo a cibersegurança como parte das estratégias e necessidades de negócio”, finaliza Carrión.