[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/10/A-mudança-de-paradigma-dos-CISOs-1-1030×516-1-845×321.jpg’ attachment=’6174′ attachment_size=’entry_with_sidebar’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

A mudança de paradigma dos CISOs

Um relatório da Verizon publicado em 2015 avalia que 89% das brechas de segurança exploradas em 2015 tiveram como motivação roubo financeiro ou espionagem.

Qualquer relatório de vulnerabilidades expõe o fato de que a maioria dos criminosos é paga para cometer o ataque, sendo roubando diretamente da instituição, pedindo resgate por dados roubados, ou roubando informações para vender a outras pessoas.

E apesar das estatísticas negativas, e das informações que podem deixar qualquer gestor preocupado, os especialistas em Segurança da Informação sentem-se plenamente confiantes – pelo menos é o que revela um estudo da Cisco sobre o tema.

Realizado no ano de 2014 em 12 países –incluindo Austrália, Brasil, China, França, Alemanha, Índia, Itália, Japão, Méximo, Rússia, Inglaterra e Estados Unidos, o estudo abordou mais de 2400 profissionais de Segurança da Informação, incluindo o C-Level.

Em 2014, ao menos 66% dos profissionais de TI disseram que os sistemas que possuíam na empresa para detecção de anomalias na rede e defesa contra ameaças eram altamente efetivas.

Em 2015, esse número subiu para 76%. Em 2104, os entrevistados disseram que as ferramentas de segurança para determinar o escopo do grau de comprometimento de um possível ataque era altamente efetivo; esse número em 2015 aumentou para 74%.

O problema é que esses números contrastam, e muito, com o comportamento dos profissionais de Segurança.

O mais intrigante é o dado que vem a seguir: as instituições financeiras estão, na verdade, diminuindo o uso de ferramentas e controles de segurança. Na pesquisa da Cisco, a diferença entre 2014 e 2015 foi de 11%.

Mudança de paradigma

Os números revelam um aspecto da Segurança da Informação que, à primeira vista, não fica tão evidente: é o fato de que os CISOs entenderam que eles não podem confiar somente em ferramentas ou no talento de seus times para defender a organização na qual trabalham contra ataques.

É preciso mais que isso: é necessário desenvolver uma estratégia.

E não é a primeira vez que falamos sobre isso. Nosso whitepaper sobre o papel dos CIOs e CISOs aborda este tema. A segurança da informação já deixou de ser uma questão de tecnologia e passou  a ser uma questão de negócios.

Ou seja, a atuação central do gestor deve residir, então, na gestão dos riscos empresariais, e não nas vulnerabilidades ou incidentes.

Segundo dados da PwC, o número de incidentes de segurança cresce a uma taxa de 40% ao ano.

Com isso, a mentalidade nos departamentos de TI não é mais a de bloquear o ambiente contra ataques, mas o de que a empresa certamente será hackeada, independente do quanto suas defesas sejam fortes ou do quanto sua estratégia de segurança da informação seja efetiva.

Usuários, o calcanhar de Aquiles

Um número cada vez maior de campanhas de phishing tem sido preparado e tem como alvo principalmente as empresas. Ou seja, a estratégia é criada e a isca é dirigida ao funcionário.

A falta de conhecimento do usuário interno sobre os perigos que corre no meio online acaba facilitando a ação dos criminosos.

O famoso LeakedSource já concentra 2 bilhões de registros.

Exemplos recentes desse tipo de problema não faltam.

Um caso bem ilustrativo ocorreu agora, após as Olímpiadas, quando hackers entraram no ambiente da Agência Mundial Antidoping para roubar os arquivos dos atletas norte-americanos.

O ataque começou com um email. Um e-mail de phishing enviado para um dos usuários internos, com a engenharia social suficiente que fez um deles clicar no link ou no arquivo anexado, dando controle à máquina do usuário e permitindo que os criminosos roubassem suas credenciais e as utilizassem, de forma não-autorizada, para obter as informações.

Outro aspecto importante é que esses gestores têm consultados profissionais externos para avaliar suas defesas quanto a possíveis ataques.

O que pensam os C-Levels?

E ao menos 37% dos CSOs no segmento financeiro disseram consultar empresas externas justamente porque o conhecimento que tinham internamente não era suficiente para coibir as possíveis ameaças. 

No eBook O novo papel dos CISOs e CIOs no mercado de segurança, você vê um relatório completo sobre a mudança desse cenário.

Esses profissionais passaram a compreender – e também a demonstrar- que segurança não é uma questão restrita somente aos profissionais da área.

É um problema de toda a empresa. O C-Level até recentemente via a Segurança como um custo, e não como um investimento.

Isso não mudou inteiramente no Brasil ainda: as empresas nacionais, e principalmente aquelas que contam com estrutura familiar talvez sejam as menos protegidas.

Entretanto, o setor financeiro talvez entenda –melhor que nenhum outro—que a Segurança está diretamente relacionada à reputação empresarial, e sim, à lucratividade dessas empresas.

Em nível global, o estudo da Cisco demonstrou que gestores de outras têm tomado a responsabilidade pela área de Segurança da Informação.

Entre os anos de 2014 e 2015, esse número foi de 46% para 59%.

Um mapa dos riscos

Além da mudança de visão, os gestores de segurança da informação cada vez mais buscam saídas para estruturar um planejamento e um roadmap de implementação de soluções que não necessariamente sirvam apenas para “apagar o incêndio”.

A análise de risco da empresa é um bom começo para definição de qual a estratégia a ser adotada. Quais os pontos mais críticos dentro da estrutura atual?

Quais são as ações necessárias para remediação? Qual é o impacto nos negócios?

Essas são as questões que alguns gestores devem tentar equacionar agora para elaborar o planejamento do próximo ano.

E isso não poderá ficar para depois. Dados divulgados recentemente pela CyberSecurity Ventures, revela que até 2021 o custo do cibercrime vai passar de US$ 3 trilhões para US$ 6 trilhões.

Isso inclui ações para destruição de dados, roubo financeiro ou de propriedade intelectual, fraude e desfalque, investigação forense e pagamento de resgate de dados.

Os investimentos das empresas em cibersegurança devem alcançar US$ 1 trilhão nos próximos cinco anos, de acordo com a mesma pesquisa.

E até 2020, o volume de dados que vão trafegar digitalmente aumentará 50 vezes, com cada vez mais pessoas conectadas.

Essa é uma informação importante para o segmento bancário, que cada vez mais se aproxima do digital, e se afasta do atendimento físico.

Conclusão

Na América Latina, o mercado de segurança da informação vai movimentar US$ 11,91 bilhões em 2019, segundo a MMM. 

Isso representaria uma taxa composta de crescimento anual de 17,6% no período de 2013-2019. Hoje a região representa apenas 5,18% do mercado global e, em 2019, passará para 7,65%.

Ou seja, cada vez mais o impacto da Segurança é real para nós no Brasil.

Embora o país seja reconhecido no relatório da Cisco como um dos mais avançados no que tange à Segurança da Informação, ainda há muito trabalho pela frente.

Iniciativas envolvendo Business Analytics e um controle mais inteligente a fraudes talvez sejam os próximos passos da indústria para 2017.
[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_blog blog_type=’taxonomy’ categories=’35’ link=’post_tag,122′ blog_style=’blog-grid’ columns=’3′ contents=’title’ content_length=’content’ preview_mode=’custom’ image_size=’entry_without_sidebar’ items=’3′ offset=’0′ paginate=’no’ conditional=”]

[av_social_share title=” style=” buttons=”]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_comments_list]