Leandro Augusto, sócio líder em segurança cibernética da consultoria
Estudo aponta quatro iniciativas principais que devem ser adotadas para reduzir riscos de ataques no atual momento
Identificação das deficiências de segurança cibernética, alinhamento dos objetivos de negócios às necessidades de segurança, acompanhamento das novidades sobre regulamentação e a transformação da computação em nuvem. Esses são as quatro ações prioritárias que as empresas devem levar em consideração para mitigar riscos cibernéticos no cenário atual, segundo o estudo “Todo cuidado é pouco: principais considerações cibernéticas para uma nova realidade” (em inglês, All hands on deck: Key cyber considerations for a new reality), produzido pela KPMG.
Conforme aponta a pesquisa, a pandemia gerou uma transformação no modelo de trabalho da maioria das empresas, e devido à corrida para acelerar a transformação digital, as verificações usuais dos controles de segurança e privacidade precisaram ser colocadas em segundo plano em benefício da continuidade dos negócios. Por esses motivos o estudo mostra que, nos próximos meses, as empresas precisarão endereçar os déficits de segurança para estabelecer o controle do ambiente tecnológico que será feito através de ferramentas de detecção de novos softwares utilizados durante a pandemia, analisar os controles da nova e antiga infraestrutura para entender se estão aderentes ao apetite dos riscos da empresa e refletir sobre os processos padrão de monitoramento de segurança e privacidade.
“Com empresas e funcionários mais adaptados à nova realidade, começa-se entender algumas das características mais permanentes da mudança. Cabe à equipe de segurança restabelecer o controle sobre o novo conjunto de tecnologias e processos implementandos durante a pandemia e adaptar domínios ao novo modelo de trabalho”, explica o sócio líder em segurança cibernética da KPMG, Leandro Augusto.
O levantamento indica que diversas organizações realizaram grandes investimentos em segurança cibernética, entretanto, conforme as empresas sentiram os impactos econômicos da pandemia e o esforço para reduzir esses custos aumentaram. Diante deste cenário, a pesquisa aponta que as organizações precisam realizar um alinhamento dos objetivos dos negócios atrelados às necessidades de segurança. Isso pode ser feito através de uma reflexão holística sobre onde se precisa investir, priorização da segurança de ponta a ponta e por fim, implementação de uma abordagem de engenharia que visa introduzir a segurança na mentalidade da equipe que cria novas aplicações e serviços, inclusive sobre os aspectos regulatórios que muitas empresas estão sujeitas.
Outro fator que o estudo identificou está relacionado à próxima onda de regulação. De acordo com a análise, existe uma tendência de que as regulamentações baseadas em questões cibernéticas passem a ter uma abordagem mais holística com foco nas prioridades e responsabilidades dos negócios e também dos executivos. Diante disso, acredita-se que devido às novas normatizações as empresas precisam seguir três ações de defesa que estão associadas a questões como: incorporar as responsabilidades de segurança cibernética de forma estrutural e vincular essas tarefas a metas de desempenho anuais; apoiar políticas e normas de qualidade e resiliência, e reportá-las de volta à administração e ao conselho de administração; e instituir testes contínuos do programa de conformidade para identificar melhorias, integrando as três linhas de defesa das empresas em prol da otimização de custos e esforços em testes.
“A regulação cibernética está focada em garantir que os controles-chave estão funcionais, além de apontar a capacidade da empresa em detectar, responder e se recuperar de ataques cibernéticos, inclusive com o envolvimento dos executivos, e não somente isso, de trazer conhecimento aos riscos da cadeia de fornecedores e o envolvimento de equipes regulatórias nesses processos”, complementa o sócio.
O estudo também aponta que, devido à pandemia, as empresas aceleraram a aplicação da transformação digital e com consequentemente a adoção da computação em nuvem num processo que poderia levar mais de um ano, mas que foi concluído em questão de semanas.
“A implementação de segurança em ambientes em nuvem é diferente do que se vivenciou até aqui. O universo de ameaças, tecnologias e controles internos são bastantes distintos dos habituais e conhecidos pelas empresas, e essa característica exige um conhecimento profundo no mapeamento e testes destes ambientes para aferir a segurança de sua implementação”, finaliza o sócio.