Apesar do crescimento contínuo nos orçamentos corporativos de segurança cibernética, continuam sendo noticiadas massivas violações de dados que comprometem os cadastros de milhões de consumidores. Conforme a previsão feita pelo Gartner, é esperado que as empresas do mundo todo gastem em torno de USD$124 bilhões em tecnologia de segurança da informação em 2019, um aumento de 8,7% em comparação com 2018.
Por outro lado, também é possível notar que os criminosos cibernéticos ganham mais agilidade para se adaptar ao desenvolvimento de medidas de segurança mais sofisticadas e segundo a McAfee, o custo global dos crimes cibernéticos, que atualmente é calculado em torno USD$600 bilhões ao ano, tende a crescer.
Avanço dos investimentos baseados no conhecimento
Além do risco massivo que os ataques cibernéticos trazem à continuidade das operações e ao desempenho financeiro, os reguladores e as entidades de governo em muitas jurisdições estão exigindo a implementação e supervisão da segurança cibernética, começando no âmbito da alta direção. Para garantir a eficácia, deve ser implementada uma estratégia de gestão de riscos cibernéticos para a empresa como um todo e contar com os investimentos necessários na mitigação e transferência de riscos, além do planejamento da resiliência.
Um primeiro passo importante para as empresas é quantificar a exposição cibernética, levando em conta o possível impacto econômico em seu budget e na continuidade das operações. Isto permite uma tomada de decisões informada e a formulação de uma boa estratégia de investimento de risco cibernético que mede o seu rendimento em relação ao risco que procura mitigar. No entanto, uma pesquisa realizada durante um recente webcast da Marsh apontou que muitas organizações ainda não quantificam o seu risco cibernético.
O investimento em tecnologia é necessário, mas não suficiente
Apesar do crescente aumento da despesa em segurança cibernética, o investimento só em tecnologia não é suficiente. Ainda que seja importante mitigar o risco, não existe uma bala de prata de segurança cibernética que garanta a eliminação do risco cibernético. O erro humano é frequentemente citado como o fator mais frequente e influente que contribui para os eventos cibernéticos, tanto por ser a causa principal de um evento – por exemplo, o fato de não manter uma boa limpeza das senhas – como também por responder ao ataque com de maneira incorreta, o que leva a um maior impacto financeiro.
Isto significa que as organizações precisam desenvolver estratégias de gestão de riscos cibernéticos que incluam uma atualização contínua da resposta aos acidentes, bem como da tecnologia e das capacitações. E isso deve ser complementado com programas de seguros efetivos, que forneçam às organizações uma cobertura adequada baseada no impacto financeiro estimado decorrente de um potencial evento cibernético.
Apesar de a maioria das apólices cibernéticas conter uma gama de coberturas básicas, é importante que se adaptem ao perfil de risco único da organização, levando em conta o seguinte:
• O seu uso e dependência da tecnologia.
• Os seus compromissos e obrigações com terceiros, incluindo clientes, fornecedores e provedores.
• A forma como coleta, gerencia, armazena e transmite a informação pessoal e confidencial.
As empresas continuam aumentando o investimento em ativos intangíveis, que são mais suscetíveis aos ataques cibernéticos. À medida que estes ativos intangíveis aparecem em maior proporção no balanço da empresa, a sua destruição ou roubo se torna um fator ainda mais devastador financeiramente. Portanto, é papel dos líderes empresariais reconhecer as ameaças cibernéticas como um risco ao fazer negócios, entendendo que este risco pode ser administrado de modo efetivo por meio de uma estratégia conjunta de mitigação, transferência de riscos e planejamento da resiliência. Assim como a instalação de detectores de fumaça nos prédios não tira a necessidade de um seguro residencial, a tecnologia de segurança cibernética não deve substituir o seguro cibernético, mas ser aliado a ela.