IoT, nuvem hyperscale e IA serão principais fontes de risco

Estudo da consultoria EY revela que estes foram os tópicos mais citados pela maioria das empresas entrevistadas no mundo como os maiores risco à cibersegurança
Da Redação
08/08/2023

Internet das coisas (IoT), nuvem hyperscale e inteligência artificial/machine learning estão no top 3 de tecnologias que representam os maiores riscos para as empresas para os próximos cinco anos. É o que aponta o EY 2023 Global Cybersecurity Leadership Insights, pesquisa realizada pela consultoria e auditoria EY, que ouviu 500 empresas de diferentes regiões do mundo com faturamento superior a US$ 1 bilhão ao ano, por meio de seus tomadores de decisão, como C-levels, principalmente CISOs.

No recorte por região, Latam, que inclui Brasil, Argentina, Chile e México e representa 115 companhias (23%) dos executivos entrevistados, IoT é apontada por 32% das respostas dos quatro países. “Para o território local, nuvem em escala também está no topo do ranking com 33% e IA/ML tem 26%. Essas preocupações estão equilibradas com os outros países da região ouvidos no estudo”, completa Demetrio Carrión, sócio-líder de cybersecurity da EY para LAS & Brasil. 

Esses três pontos também estão entre os mais citados nas regiões da Ásia-Pacífico, que incluem países como Japão e Austrália e EMEA (Europa, Oriente Médio e África), representando países como França e Emirados Árabes Unidos. IoT representa respectivamente 33% e 32%, nuvem hyperscale 32% e 31% e IA/ML fecha o top 3 dessas regiões com 24% e 26%, respectivamente. “Esses dados mostram que o Brasil e a América Latina estão com preocupações alinhadas com o restante do mundo. Isso pode ajudar no desenvolvimento de soluções para suprir esses gaps, tendo países que são mais avançados como referência”, indica o executivo.

A pesquisa também questionou “quais são os maiores desafios internos para a abordagem de segurança cibernética na organização hoje?”. Para os entrevistados brasileiros, os principais pontos citados foram: dificuldade em equilibrar inovação e segurança (59%), muitas superfícies de potenciais ataques (54%) e força de trabalho não pertencente a TI e que não segue as melhores práticas (49%). Já para os argentinos, os principais pontos são: dificuldade em equilibrar inovação e segurança (60%), orçamento inadequado para cibersegurança (50%), além de força de trabalho não pertencente a TI que não segue as melhores práticas, muitas superfícies de potenciais ataques e a integração de tecnologia emergente que não é priorizada, todas com 40%. 

Já no Chile, os três pontos mais citados foram: muitas superfícies de potenciais ataques (63%), dificuldade em equilibrar inovação e segurança (53%) e a integração da tecnologia emergente que não é priorizada (43%). Por fim, no México, muitas superfícies de potenciais ataques lideram com 81%, seguido por dificuldade em equilibrar inovação e segurança (50%) e força de trabalho não pertencente a TI que não segue as melhores práticas (42%). 

Outro aspecto abordado é que, segundo o estudo, 32% dos participantes indicaram que sofreram 50 incidentes ou mais no ano passado. Isso representa uma alta de 75% no número de ataques cibernéticos conhecidos nos últimos cinco anos. Para Carrión, “um dado bastante relevante que a pesquisa traz é que 76% dos entrevistados globais levam seis meses ou mais para detectar e responder a um incidente. Isso indica que, independentemente da região geográfica, o mercado ainda tem muito a evoluir para conseguir mitigar esses problemas”. 

Por fim, o risco dos setores dependentes de infraestruturas industriais, especialmente o de energia, acompanha o forte crescimento percebido pela pesquisa associado à utilização de dispositivos IoT que, por contexto, recebe o nome de IIoT (internet das coisas industrial). “Isso acontece em função da forte pressão global pela transição energética que busca eficiência operacional, redução de emissões e inteligência”, completa Marcos Sêmola, sócio-líder de cybersecurity da EY para o setor de energia Latam.

A tendência de convergência entre os ambientes de IT (tecnologia da informação) e de OT (tecnologia operacional) já é um caminho sem volta, porém, o benefício vem acompanhado da geração de novos riscos resultantes da mistura entre ambientes, pessoas, processos e tecnologias tipicamente muito distintos. É, portanto, primordial para toda empresa do setor, identificar os novos riscos e definir uma estratégia de mitigação que equilibre o atendimento aos requerimentos operacionais do ambiente industrial, e o apetite ao risco do próprio negócio. “Visão integrada de riscos que agora convergem é essencial para pavimentar a transformação digital que está viabilizando a transição energética”, explica Sêmola. 

Veja isso
Hackers treinam chatbots de IA para ataques de phishing
Malware para OT/IoT cresce dez vezes na primeira metade do ano

Os impactos potenciais provocados por um incidente de segurança em ambientes industriais extrapolam a razoabilidade e invade espaço ainda pouco experimentados como a perda de vidas humanas; erosão ambiental; passando pela desaceleração das atividades produtivas; perda de receita e valor de mercado; roubo de propriedade intelectual e exposições gerais por não conformidade. 

“A internet das coisas industrial está conduzindo as empresas a uma arquitetura totalmente integrada com sistemas de TI e TO funcionando como uma entidade unificada. Esse novo modelo operacional precisa estar cercado por novos controles e padrões de segurança que acompanhem os novos níveis de exposição e risco”, reitera Sêmola.

Seguras ou propensas a ataques: onde se encaixam as empresas? 

Para identificar empresas com melhores resultados de segurança cibernética da pesquisa, os líderes avaliaram sua organização em relação a uma série de métricas de segurança cibernética objetivas e subjetivas. Dessa forma, elas foram divididas em dois grupos: criadores seguros (42%) e empresas propensas (58%). 

Enquanto o tempo médio de uma empresa “criadora segura” detectar e responder a um incidente cibernético é de cinco meses, a “empresa propensa” leva 11 meses. “Vale reforçar que cinco meses ainda é um tempo absurdamente longo para essa ação. Podemos identificar sim uma evolução do mercado, mas ainda não chegamos a um estágio ideal”, detalha Carrión. 

Além disso, a maioria dos “criadores seguros” (70%) consideram-se os primeiros a adotar a tecnologia emergente, em vez de esperar até que a tecnologia seja experimentada e testada. “Eles utilizam soluções avançadas para simplificar seu ambiente, adotando tecnologias focadas em automação e simplificação, como inteligência artificial ou machine learning e orquestração e automação em nuvem”, completa. 

“Quando analisamos as 115 companhias da América Latina que responderam as perguntas para dividi-las nessas duas categorias de companhias, temos o seguinte recorte: 45 são ‘criadoras seguras’ e 70 são ‘empresas propensas’. Vendo o copo meio cheio, ainda temos muito caminho a percorrer para termos ambientes realmente seguros. Porém, ainda é necessário ter muita atenção e cautela, mantendo a cibersegurança como parte das estratégias e necessidades de negócio”, finaliza Carrión.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)