A segurança cibernética é, sem dúvida, um dos tópicos mais urgentes na agenda empresarial. O número de ataques maliciosos está em constante crescimento, impulsionado pela digitalização das operações. De acordo com o FMI, ele dobrou desde a pandemia. Em 2023, o número de violações de dados aumentou 20% em comparação a 2022.
Todos esses ataques podem comprometer informações confidenciais de empresas e seus clientes, interromper operações comerciais e resultar em perdas financeiras significativas para entidades. De acordo com um relatório da IBM, o custo médio de uma violação de dados para um empreendimento foi de US$ 4,45 milhões em 2023. Este é um recorde histórico, representando um aumento de 2,3% em relação ao ano passado e um aumento de 15% em relação a 2020. Algumas empresas enfrentam um fardo financeiro ainda maior. Por exemplo, a agência de relatórios de crédito dos EUA Equifax pagou mais de US$ 1 bilhão em multas após uma grande violação de dados em 2017 que afetou cerca de 150 milhões de consumidores.
Além disso, atividades maliciosas não só causam perdas financeiras imediatas para as empresas, mas também afetam seu desempenho a longo prazo. Uma consequência significativa é que elas prejudicam a reputação de uma empresa. Isso, por sua vez, pode diminuir as chances de uma empresa obter financiamento futuro ou comprometer o crescimento de sua base de clientes. Além disso, as organizações geralmente precisam corrigir uma violação a um custo significativo. Por exemplo, um dos principais mercados globais de produtos para jogos perdeu 11 milhões de dólares em produtos. Este incidente alterou seu aumento de receita e repeliu uma parcela significativa de seu público. Isso aconteceu porque a empresa teve que interromper as operações e fortalecer a segurança da plataforma.
Duas forças
Na tentativa de evitar esses problemas, as empresas tentam colocar barreiras cada vez mais sofisticadas para hackers em potencial. Isso fica evidente pela quantidade de gastos em várias ferramentas de segurança cibernética. De acordo com dados recentes, em 2023, atingiu cerca de US$ 80 bilhões. Em comparação, o gasto total foi de US$ 71,1 bilhões em 2022. Além disso, espera-se que o número seja de US$ 87 bilhões este ano.
As empresas investem em uma ampla gama de soluções, incluindo criptografia avançada , autenticação multifator e sistemas de detecção de ameaças em tempo real. Mas é aqui que surge o problema irônico: a cada avanço na segurança cibernética, os agentes maliciosos inovam e aumentam suas táticas. Eles analisam tecnologias implantadas por entidades para proteger seus ativos e encontram pontos fracos para violar a proteção.
Por exemplo, a ascensão da computação quântica promete métodos de criptografia mais fortes. No entanto, também representa uma ameaça potencial, pois os cibercriminosos podem aproveitar as capacidades quânticas para quebrar os padrões de criptografia atuais. Da mesma forma, a arquitetura multi-nuvem, ao mesmo tempo em que oferece maior resiliência ao risco ao espalhar dados em várias plataformas, também apresenta uma superfície de ataque expandida. O perímetro de rede mais amplo introduz mais pontos de vulnerabilidade. Não é surpresa que, de acordo com a Microsoft , proteger todos os aplicativos e infraestrutura nativos da nuvem ao longo de seu ciclo de vida seja um desafio para muitas empresas. O relatório mostra que, em 2023, a organização média tinha 351 caminhos de ataque exploráveis que os agentes de ameaças poderiam usar para acessar ativos de alto valor.
Esse jogo de gato e rato, no entanto, é evidente entre empresas maiores. O que vemos como outra tendência crescente é que, enquanto as grandes empresas estão aumentando as camadas de proteção, os hackers estão cada vez mais mudando seu foco para pequenas e médias empresas. Estas últimas geralmente têm menos recursos para investir em segurança cibernética. Isso as torna um alvo fácil para atores maliciosos. Em 2023, 31% das pequenas e médias empresas sofreram uma violação de segurança cibernética apenas nos últimos 12 meses.
Outro paradoxo é que essas organizações maliciosas geralmente são entidades de pequena escala, ao contrário da crença popular. Portanto, esses chamados atores ofensivos do setor privado geralmente têm recursos limitados, em comparação aos da Microsoft ou de qualquer outra grande empresa. Eles, no entanto, não precisam realmente de grandes orçamentos, porque procurar vulnerabilidades em um software é um processo muito menos complicado e mais barato do que criá-lo. Pense desta forma: é muito mais fácil verificar 30 deveres de casa para um único professor do que preparar a mesma quantidade de trabalhos do zero por um aluno. Embora não haja dúvida de que grandes atores mal-intencionados estão de fato presentes no campo, sua influência real na segurança cibernética é muito menor do que o impacto de milhares ou mesmo dezenas de milhares de hackers independentes.
Continuando a jornada
Dado esse paradoxo, as empresas devem adotar uma abordagem holística e proativa à segurança cibernética. As organizações devem investir em estruturas de segurança abrangentes que abranjam prevenção, detecção e resposta rápida a quaisquer atividades suspeitas.
O treinamento de funcionários também é primordial. O erro humano continua sendo um dos elos mais fracos na segurança cibernética. Na verdade, 95% das violações modernas de segurança cibernética são causadas por erros de pessoas, como definir senhas fracas . Além disso, apenas um terço das violações identificadas em 2023 foram detectadas pela própria equipe de segurança da empresa. Isso significa que as organizações devem treinar seus funcionários para reconhecer e responder a ameaças potenciais, o que ajudará a reduzir o número de ataques bem-sucedidos.
Além disso, a colaboração é essencial. Os setores público e privado devem trabalhar juntos para compartilhar inteligência e desenvolver estratégias unificadas para combater ameaças cibernéticas. O compartilhamento de informações pode levar a defesas mais robustas e a um entendimento coletivo de ameaças emergentes.
É importante que tudo isso seja feito continuamente. As empresas devem monitorar regularmente o campo da segurança cibernética, adaptar e modernizar — ou até mesmo mudar radicalmente — soluções, fazendo isso mais rápido do que atores maliciosos. Parafraseando levemente as famosas palavras do especialista em segurança cibernética Bruce Schneier, a segurança é um processo, não um produto único.
