Bem preparados tecnologicamente e com conhecimento sobre o nível de segurança de seus alvos, os criminosos digitais têm deixado em alerta companhias de todo o mundo que estão em processo de transformação digital. Segundo pesquisa feita pela CompTIA com mais de mil empresas, 90% das organizações brasileiras enfrentaram pelo menos um incidente de segurança no último ano e 75% tiveram dificuldade em lidar com uma ou mais violações de dados mais sérias.Bem preparados tecnologicamente e com conhecimento sobre o nível de segurança de seus alvos, os criminosos digitais têm deixado em alerta companhias de todo o mundo que estão em processo de transformação digital. Segundo pesquisa feita pela CompTIA com mais de mil empresas, 90% das organizações brasileiras enfrentaram pelo menos um incidente de segurança no último ano e 75% tiveram dificuldade em lidar com uma ou mais violações de dados mais sérias.

Não à toa. De acordo com o Kaspersky Lab, grupo russo de segurança, as companhias no Brasil investem, atualmente, apenas 0,6% de seu orçamento anual em segurança da informação, enquanto nos EUA e na Europa, o indicador chega a 4%. O que acontece, em muitos casos, é que o investimento em proteção não acompanha o de tecnologias disruptivas, como Inteligência Artificial, Internet das Coisas (IoT) e Big Data.

Na entrevista a seguir, Gabriel Catropa, chief technologist cybersecurity da DXC Technology, fala sobre como realizar os investimentos necessários em segurança, sem comprometer a visão de longo prazo da empresa para os projetos de inovação, e os principais desafios dessa jornada:

DXC: Investir em tecnologia tem sido palavra de ordem nas empresas, seja para se  manter no mercado, seja para obter vantagem competitiva. Mas como investir em transformação digital, sem expor a segurança da informação?Gabriel Catropa: O primeiro passo, antes mesmo da adoção de tecnologias, é realizar um mapeamento para verificar o nível de maturidade cibernética que a empresa possui para iniciar – ou evoluir – a jornada digital. Se a companhia quer se transformar e construir, por exemplo, uma estrutura de cloud computing e analytics, é fundamental saber o nível em que a empresa se encontra, tanto em termos de infraestrutura, quanto de gestão e preparo dos profissionais para abraçar a digitalização. Os riscos existem para qualquer negócio. A questão é saber mensurá-los. No Brasil, poucas empresas estão em um nível mínimo adequado de maturidade cibernética.

DXC: O que as companhias precisam ter?Gabriel Catropa: As companhias devem alistar especialistas em consultoria de risco cibernético confiáveis para ajudá-los não só com a tomada de decisões, mas com a determinação da estratégia ideal para garantir que todos os benefícios de um programa de segurança cibernética sejam plenamente realizados, incluindo ROI, nível de confiança na sustentabilidade do seu negócio, confiança dos consumidores em sua reputação e integridade, bem como a de seus reguladores (governo, padrões e/ou acionistas, etc). A importância de avaliar vulnerabilidades de segurança cibernética, ameaças e seus impactos associados aos recursos de sua organização é o que realmente impulsionará a tomada de decisões inteligente.

DXC: Quais as principais ameaças afetam hoje e  como combatê-las?Gabriel Catropa: Há dois pilares aqui. Fala-se muito em ransomware, malware que sequestra o ingresso a computadores e arquivos e só o libera mediante o pagamento de um resgate, cujos mecanismos de entrada são mais aperfeiçoados; e do comportamentos dos profissionais, que podem abrir brechas apenas com o acesso a um link.  A propriedade intelectual das empresas se tornou muito vulnerável com isso: funcionários mal treinados, que não sabem lidar com os dados e os classificam de forma errada ou não dão a importância necessária e os expõem nas redes sociais. O combate deve iniciar com a conscientização constante da equipe. O resultado, a longo prazo,  são funcionários capacitados e uma empresa mais resiliente. Mas, é importante ressaltar que o risco é proporcional à transformação digital que a empresa deseja executar. E os riscos envolvem não apenas a segurança cibernética, mas sequencialmente também danos à imagem e regulamentações.

DXC: Como, então, montar uma estratégia eficaz de segurança da informação?Gabriel Catropa: O primeiro passo  para ter segurança da informação é decidir onde a empresa  quer chegar- e é nessa fase que o plano de avaliação de maturidade cibernética ajuda, dando a direção à companhia. A partir disso, é fundamental estabelecer um processo de governança com os principais alicerces do negócio – infraestrutura, controles de acesso, monitoramento e proteção de dados, operações de segurança, criptografia e possíveis ameaças avançadas -, para estabelecer como esses mecanismos irão funcionar e se conectar. É importante, ainda, organizar todos esses elementos de forma orquestrada.

DXC: Qual o papel do CIO? Contar com um CSO ajuda neste cenário?Gabriel Catropa: Esses profissionais devem estar sempre antenados a tudo o que acontece na empresa. Mas, além disso, precisam se envolver com os executivos da companhia e líderes de todos os setores – RH, financeiro, produção e demais áreas – para juntos tomarem decisões estratégicas. A jornada rumo à transformação digital não é um processo unilateral.

Fonte: Tecmundo