Cibersegurança: IoT, nuvem e IA correm mais risco, aponta relatório global
Pesquisa global da EY mostra que avanço tecnológico multiplica exposição das empresas a ataques digitais
Por Victória Ribeiro
Cresce a inovação, aceleram-se os problemas. Nessa espécie de ‘via de mão dupla’, internet das coisas (IoT), nuvem em escala e inteligência artificial/machine learning são os maiores meios de riscos para empresas nos próximos cinco anos. É o que aponta a EY 2023 Global Cybersecurity Leadership Insights, pesquisa que ouviu 500 empresas de diferentes regiões do mundo com faturamento maior de US$ 1 bilhão ao ano, por meio de seus tomadores de decisão — os C-levels e diretores de segurança da informação (CISOs, na sigla em inglês).
O estudo da EY entrevistou profissionais que, mesmo inseridos em modelos de negócios e contextos socioeconômicos diferentes, tiveram opiniões unânimes sobre as novas tecnologias com maiores potenciais para ataques cibernéticos, como invasão de sistemas e vazamento de dados.
“Quando falamos sobre novas tecnologias, estamos falando de ‘novidade’ e tudo que é novo é passível de risco”, afirmou Marcos Sêmola, sócio-líder de Cybersecurity da EY para a América Latina. “Ou porque os usuários não sabem fazer bom uso dessas tecnologias ou porque, justamente por serem muito novas, carregam riscos com elas mesmas.”
Internet das coisas, a nuvem e inteligência artificial/machine learning foram os três campos mais citados por todos os países. Há uma boa notícia nessa conjunção de preocupações. Para Sêmola, os dados mostram que esse alinhamento ajuda no desenvolvimento de soluções para suprir esses problemas.
Apesar disso, as divergências socioeconômicas e culturais impactam na forma com que cada empresa lida com os possíveis ataques à segurança cibernética. “A América Latina, por exemplo, não tem um histórico de desenvolvimento da maturidade preventiva”, afirmou Sêmola. Segundo ele, outras camadas se somam a esse cenário, como o aspecto socioeconômico, a insegurança jurídica e os juros altos. “Tudo faz com que o desenvolvimento do negócio fique em primeiro plano e a segurança em segundo.”
Desafios
Além das novas tecnologias com maior propensão de riscos, a pesquisa também questionou quais são os maiores desafios internos para a abordagem da segurança cibernética nas organizações.
No caso das empresas brasileiras, a dificuldade para equilibrar inovação e segurança foi mencionada como o principal obstáculo (59%). As empresas também citaram as muitas superfícies para potenciais ataques (54%) e a ausência de boas práticas de segurança por parte dos próprios colaboradores (49%) — com exceção dos times de tecnologia da informação.
Para Sêmola, este último fator mostra que certas noções de cibersegurança não devem ser responsabilidade apenas daqueles que trabalham diretamente com as novas tecnologias. “Toda empresa tem uma circulação de dados muito grande e cada funcionário representa uma porta de acesso à informação”, disse. “Se esse profissional não percebe o risco, como é que ele vai se proteger de algo que não conhece ou não identifica?”
59%
Seis a cada dez empresas brasileiras afirmam que maior dificuldade é equilibrar Inovação com Segurança
Em meio a esse contexto, onde há muito a ser explorado, 32% dos participantes da pesquisa indicaram que sofreram 50 incidentes de segurança ou mais em 2022, alta de 75% com relação aos últimos cinco anos.
De cada dez empresas, quatro foram reconhecidas pela pesquisa como “criadoras seguras” e seis como “propensas a ataques de segurança”. No caso das organizações da América Latina, dois terços foram consideradas propensas a ataques. A distância entre os dois grupos de corporações pode ser medida.
Enquanto o tempo médio para uma empresa ‘criadora segura’ detectar e responder a um incidente cibernético é de cinco meses, a empresa propensa leva mais que o dobro: 11 meses. Demetrio Carrión, sócio-líder de Cybersecurity da EY para América Latina & Brasil, mesmo cinco meses já é tempo demais. “Podemos identificar sim uma evolução do mercado, mas ainda não chegamos a um estágio ideal”, afirmou Carrión.
Um cenário que ganha complexidade com o avanço em especial da inteligência artificial. Tema da vez no mundo da tecnologia, a IA carrega uma dualidade, já que pode tanto embutir ainda mais complexidade aos ataques quanto ‘ser treinada’ como barreira a eles.
Para Sêmola, a IA pode permitir que as empresas automatizem certas atividades de proteção que hoje consomem muitas horas de trabalho.
Com isso, as equipes dedicadas ficam livres para resolver problemas maiores ou que requerem maior criatividade humana. “Coisa que as máquinas não conseguiram substituir ainda.”
Tudo isso, claro, contornando a escassez de profissionais. “No mundo todo, a deficiência é de mais de 4 milhões. Se formos considerar a cibersegurança como intrínseca à saúde da empresa, esse gap profissional como uma das urgências da cibersegurança”, disse Sêmola.