Skip to main content

O risco cibernético já é uma prioridade das empresas na América Latina, mas ainda precisa melhorar

Nosso Estudo de Percepção do Risco Cibernético na América Latina 2019, realizado em parceria com a Microsoft, mostra que há mais companhias vendo o risco cibernético como prioridade e que, diferentemente dos resultados globais, na América Latina, a confiança na ciberresiliência aumentou. 

Aumenta a preocupação com o risco cibernético

Impulsionados pela frequência e gravidade dos recentes e grandes incidentes, os riscos e ameaças aumentaram significativamente entre as principais prioridades das organizações participantes do estudo em 2019.

Na América Latina, 73% dos entrevistados classificaram os riscos cibernéticos como uma das cinco principais preocupações para sua empresa, em comparação com 47% em 2017.

O percentual dos que citam o ciberrisco como sua preocupação número 1 quadruplicou na região, de 5% para 21%.

Em 2019, mais entrevistados classificaram o risco cibernético como uma de suas principais preocupações entre quaisquer outros riscos comerciais importantes.

A incerteza econômica foi a segunda, classificada como um dos cinco principais riscos por 59% das organizações, 14 pontos percentuais abaixo de ataques e ameaças cibernéticos.

Estes resultados sugerem um forte aumento na proeminência do risco cibernético na empresa e se correlacionam com outros estudos recentes.

Por exemplo, no Relatório de Riscos Globais 2019 do Fórum Econômico Mundial (WEF), os líderes das empresas classificaram roubo de dados e ciberataques entre os cinco principais riscos com maior probabilidade de acontecer.

Aumenta a confiança na resiliência cibernética

Ao contrário dos resultados globais, o estudo mostra que na América Latina a confiança das empresas em cada área crítica de resiliência cibernética aumentou:

1.     Entender, avaliar e quantificar as ameaças cibernéticas

2.     Prevenir e mitigar ataques cibernéticos

3.     Gerir e se recuperar de ataques cibernéticos

Em conjunto, estas áreas oferecem uma medida geral da resiliência cibernética de uma organização: sua competência de navegar com êxito por um evento cibernético, aplicar capacidades de planificação, avaliação, prevenção, mitigação e resposta para geri-lo e o retorno às operações normais com tempo de inatividade e perdas mínimas.

Em 2019, a proporção de empresas latino-americanas que disseram se sentir “muito confiantes” aumentou em cada uma destas três áreas, em comparação com 2017.

Entretanto, com respeito às empresas que manifestaram não confiar nem um pouco, o percentual aumentou, em relação a 2017, na área “entender, avaliar e quantificar ameaças cibernéticas”, enquanto que nos outros pilares diminuiu um pouco.

Em geral, na América Latina, embora houvesse um incremento na “alta confiança” nos três pilares, no relacionado a “confiança” e “confiança nenhuma” os resultados foram negativos, em comparação com 2017.

Risco estratégico, gestão tática

Apesar de o ciberrisco estar entre as prioridades estratégicas das organizações, a maioria das empresas continuam administrando no nível tático.

Em geral, as empresas lutam para criar uma cultura de cibersegurança forte com uma governança, prioridade, enfoque de gestão e recursos apropriados. Isso coloca as organizações em desvantagem na criação de resiliência cibernética quando se observa o panorama cada vez mais complexo do ciberrisco.

Por exemplo, para a maioria das empresas, as funções de tecnologia e segurança da informação continuam sendo vistas como os principais responsáveis pela gestão do risco cibernético.

De fato, o domínio da área de TI/Sistemas aumentou nos últimos dois anos, com quase 9 a cada 10 empresas que identificaram TI/Segurança da Informação como o principal responsável em 2019, um aumento grande em relação a 60% em 2017. Por outro lado, em 2019, a percepção da responsabilidade sobre o board executivo diminuiu de 57% em 2017 para 53%.

Um sinal positivo em 2019 é que a responsabilidade dos gerentes de risco aumentou de 17% para 46% nos últimos dois anos.

Embora tenha acontecido um aumento considerável desde 2017, ainda existe uma margem significativa para ampliar a participação das equipes de gestão de riscos para impulsionar as agendas do ciberrisco.

O fato de a área de TI/Sistemas ser apontada como a principal responsável quase o dobro de vezes que os gerentes de riscos deixa clara a visão contínua e errônea do risco cibernético como um problema de tecnologia, em vez de ser reconhecido como um risco comercial que merece um enfoque estratégico de gestão de riscos empresariais.

A questão de quem lidera o gerenciamento de riscos cibernéticos é apenas uma área em que há dissonância entre as percepções e ações de uma organização.

Apesar do alto nível de preocupação estratégica que as organizações dizem ter pelos riscos cibernéticos, nem todos os responsáveis pelos riscos internos dão a devida atenção a eles.

Somente 9% dos entrevistados disseram que o board executivo passou várias semanas durante o ano passado focado em questões de risco cibernético.

Inclusive, do próprio grupo de TI/Sistemas que respondeu à pesquisa (responsáveis pela gestão do ciberrisco), apenas 17% disseram passar vários meses dedicados às questões de cyber. Esta dedicação pequena de tempo é preocupante, dado que estes grupos estão classificados entre os três principais responsáveis dentro da organização para a gestão do risco cibernético.

A importância da liderança de alto nível que move a agenda do risco cibernético se destaca pela brecha na confiança na resiliência cibernética, como relatado por aqueles que não têm essa liderança.

A nível global, entre as organizações que citaram a falta de uma liderança como uma barreira à gestão eficaz do risco cibernético, somente 19% disseram ter muita confiança em qualquer das três áreas de resiliência, em comparação com 31% de todos os entrevistados.

Apesar do amplo reconhecimento do risco cibernético como uma das principais prioridades, atualmente, bem poucas organizações tomam medidas para criar uma cultura de segurança cibernética sólida com normas apropriadas para a governança, priorização e enfoque na gestão e propriedade.

Isso as coloca em desvantagem, tanto em desenvolvimento de resiliência como no confronto dos desafios crescentes, num ambiente tecnológico em constante transformação, e no supply chain.

Outras descobertas apontam para a dissonância entre as preocupações do alto risco cibernético e o enfoque tático dado a isso.

As decisões de investimentos não se baseiam a partir da medição quantitativa do risco, mas são, na maior parte das vezes, medidas reativas:

  • Somente 33% das organizações latino-americanas implementaram métodos quantitativos para medir e expressar suas exposições cibernéticas. Apesar de quase ser o quádruplo do que havia em 2017, isso significa que 7 em cada 10 empresas continuam usando métodos vagos e descritivos para avaliar suas exposições cibernéticas. Além disso, 29% dizem que sequer possuem algum método avaliativo.
  • 62% das organizações disserem que o principal impulsionador nos aumentos de investimentos sobre riscos cibernéticos seria um ciberataque à sua empresa, ou seja, dando enfoque reativo em vez de dar a devida importância a avaliação, planejamento e utilização de medidas proativas para otimizar a atribuição de capital cibernético.

As ações tomadas pela maioria das organizações se concentram em tecnologia e na prevenção descuidada de outras medidas de fortalecimento da resiliência.

Ainda que 81% e 71% disseram ter melhorado sua segurança de hardware e a proteção de dados, respectivamente, nos últimos 12 a 24 meses, aproximadamente apenas 30% simularam cenários de perda cibernética, capacitando pessoal para a gestão do risco ou avaliando o risco da cadeia de suprimentos. Menos da metade disse que revisou ou atualizou seu plano de resposta a um ciberincidente.

Mesmo que a faixa e o tipo de ações necessários para uma gestão eficaz do ciberrisco variem de empresa para empresa, a melhor prática para todas as organizações, independentemente da indústria ou tamanho, é aplicar um marco rigoroso de gestão de riscos ao risco cibernético como fazem com outros riscos estratégicos.

Focar de forma integral, incorporando planejamento, capacitação, transferência de riscos e simulação de resposta, assim como prevenção, é o melhor caminho para desenvolver a resiliência cibernética.