Enquanto parecia ser coisa do futuro, as máquinas começaram cada vez mais a fazer parte do nosso cotidiano, desde os simples celulares que ganharam potência de grandes computadores, com milhares de aplicativos disponíveis, capacidade de geração e armazenagem de fotos ilimitada graças aos serviços de clouds, entre outras capacidades ainda não exploradas, até mesmo o IoT (internet das coisas) embarcadas em nossos simples eletrodomésticos, sem falar na produção imensurável de dados que as empresas geram e trafegam diariamente pela rede.
Por óbvio, a sociedade é transformada pela ação do homem, mas principalmente pela ação da natureza. E agora não foi diferente. A pandemia do COVID-19, forçou a todos que acelerássemos a utilização do digital em escala exponencial e, assim, as organizações também foram obrigadas a realizar uma mudança acelerada para levar suas operações para o mundo digital. Resultado disto? Uma desenfreada corrida para digitalizar seus principais ativos, desde seus dados estratégicos de negócio, que hoje são considerados ouro virtual no mundo do Big Data e encontram-se em algum cloud por aí, até mesmo seus ativos tangíveis e intangíveis, a exemplo das NFT's, Blockchain, Metaverso, entre outras novidades.
Apesar deste desafiante momento, a pergunta que não quer calar é: se estes ativos corporativos digitais estão tão bem protegidos, quanto estiveram seus segredos industriais e informações estratégicas num passado recente, guardados a sete chaves. Isto se deve ao fato de que cada dia mais, o mundo cibernético com todas as suas vantagens, nos conduz a um mundo ainda desconhecido, um verdadeiro deserto de desafios incalculáveis. E este mundo é o mesmo, tanto para as grandes corporações, quanto para as startups que iniciam suas vidas já neste momento de transformação.
Recentemente assistimos as notícias de ciberataques ocorridos em diversas partes do mundo, tanto em empresas globais, que investem milhões de dólares em sua estrutura de tecnologia, até mesmo em entidades governamentais, que do mesmo modo contam com excelentes recursos tecnológicos, quer seja nos países desenvolvidos ou em desenvolvimento. Estes ataques não têm poupado nem mesmo as Bigtechs, ou as entidades militares e de inteligência que teriam a missão de combater esta criminalidade, principalmente neste "velho oeste digital" que estamos começando a descobrir.
Hoje não existem mais fronteiras, nem mesmo barreiras tecnológicas ou firewalls resistentes integralmente aos ciberataques. A questão em discussão pelas grandes corporações ao redor do mundo não é se elas sofrerão uma invasão cibernética, mas quando isto ocorrerá, e assim, se estariam preparadas para remediar os efeitos nocivos e até destrutivos destas operações.
Isto provocou na sociedade em geral, e nos especialistas de tecnologia da segurança uma verdadeira corrida em direção a um mundo mais seguro. Mas será que ele existe? O World Economic Fórum de Davos, em sua última, edição constatou que cibercrime é uma das grandes pautas e um dos 5 riscos globais que desafiará o mundo nos próximos anos. E foi além ao afirmar que esta questão deixou de ser um tema restrito a área de tecnologia da informação das empresas, e passou a ser uma questão estratégica de negócio.
Há quem diga que cibersegurança deve ser tratado como um importante item do tão aclamado lema ESG, uma vez que esta questão se relaciona a sustentabilidade do negócio e de sua capacidade de manter sua contribuição para a cadeia de stakeholders, até mesmo porque, está ligada com governança que são as regras fundamentais de desenvolvimento do negócio.
Com tudo isto, as empresas entraram na Era dos Dados (data driven) não por escolha, mas por uma questão de sobrevivência. A partir de agora surgirão vários desafios, como o de manter em segurança os dados estratégicos da empresa, como utilizá-los para obter vantagem competitiva e ainda como engajar os gestores e colaboradores para a produção mais assertiva dos dados e como aproveitar as informações e insights gerados para alocar mais conhecimento no negócio ou em seu modelo de venda.
O grande objetivo ainda é o de realizar uma leitura muito mais apurada do comportamento de seu consumidor, pois atravessamos a transição da produção em massa, para a produção customizada de produtos e serviços. E entender o que o seu cliente pensa e deseja, se torna um diferencial competitivo de grande relevância. Atualmente, possuir CRM não é mais um luxo, mas uma obrigação, apesar de não ser suficiente. Há de se promover um aculturamento de todos os colaboradores de como utilizar os inúmeros dados produzidos por seus relatórios. E isto não é uma tarefa fácil.
Uma pesquisa realizada pela MarketWatch mostrou que, até 2024, o mercado de ERP atingirá aproximadamente os 50 bilhões de dólares, demonstrando, assim, a grande perspectiva de crescimento desse setor. Já dizia Paul J. Meyer: "Produtividade nunca é um acidente. É sempre o resultado de um compromisso com a excelência, planejamento inteligente e esforço concentrado". Apesar disto, as empresas ainda enfrentam um grande desafio: o de motivar e incentivar que seus funcionários extraiam mais insights e informações estratégicas para o negócio. Não é raro encontrar grandes empresas que investem milhões de dólares em implantação de ERP, sem que seus colaboradores efetivamente otimizem seu uso para todas as suas rotinas. Isto acarreta desperdício de recursos, ineficiência e obsolescência prematura de produtos, serviços e, às vezes, do próprio negócio.
E aí que entra em cena o Data Literacy ou alfabetização de dados, que consiste no desafio de preparar os profissionais a lidar com dados para coletar informações, entender os seus contextos e saber validar as fontes para classificá-las e transformá-las em argumentos ou insights úteis as organizações para uma melhor tomada decisões. Esses aspectos são essenciais para construir estratégias data driven para os negócios, ou seja, uma cultura que valorize decisões com base em informações confiáveis e não em expectativas.
Atualmente, torna-se imprescindível aos negócios e à sociedade como um todo preocupar-se com a qualidade dos dados a que têm acesso e saber analisá-los, já que nos encontramos em um mundo cada vez mais conectado, no qual o fluxo de informações geradas cresce a cada segundo.
Enquanto o data driven direciona os negócios das empresas de modo crescente, não menos importante deveria ser a preocupação de como estes sistemas são criados, armazenados e protegidos. Cibersegurança é a área da tecnologia que maneja a segurança destes dados. Ao mesmo tempo, pode-se dizer que é a segurança da tecnologia da informação ou segurança de informações eletrônicas.
Segundo a Karspesky, um relatório da RiskBased Security revelou um número impressionante de 7,9 bilhões de registros que foram expostos por violações de dados somente nos primeiros nove meses de 2019. Este número é mais que o dobro (112%) do número de registros expostos no mesmo período em 2018. International Data Corporation prevê que os gastos mundiais com soluções de cibersegurança chegarão a 133,7 bilhões de dólares até 2022.
Os países têm investido grandes volumes de recursos para criar uma estrutura de cibersegurança. Os EUA, criou o National Institute of Standards and Technology (NIST), que tem como missão o combate a proliferação de códigos maliciosos e apoio na detecção precoce de ameaças. O governo do Reino Unido instituiu o Centro Nacional de Cibersegurança que tem se proposto a se tornar um constante órgão de informação sobre o assunto. Recentemente divulgou um interessante trabalho chamado "10 passos para a cibersegurança". Na Austrália, o Centro de Cibersegurança Australiano (ACSC) publica regularmente orientações sobre como as organizações podem combater as ameaças mais recentes à cibersegurança.
Podemos dizer atualmente por observação, que a maioria dos ataques cibernéticos são de natureza não direcionada e oportunista. Nestes casos, o invasor espera tirar proveito de uma vulnerabilidade do sistema, sem qualquer consideração sobre quem é o titular desse sistema. Estes podem ser tão prejudiciais quanto os ataques direcionados; o impacto do WannaCry em organizações globais – do envio ao NHS – é um bom exemplo. Se você estiver conectado à Internet, estará exposto a esse risco. É improvável que essa tendência de ataques não direcionados mude. Isto porque, muitas organizações têm se rendido ao pedido de resgate para recuperar seus dados, de ataque de ransomware.
Novas vulnerabilidades estão sendo descobertas todos os dias e o número de atores que buscam usar meios cibernéticos para atingir seus objetivos está aumentando. E por isto, é que 'boas práticas' de gerenciamento de risco devem ser adotadas pelas empresas, com maior preocupação até do que mapeamento de outros riscos organizacionais conhecidos.
Por esta razão é que a alta gestão das empresas deve atentar-se ao fato de que as soluções e tecnologias em segurança cibernética estão avançando tão rapidamente que se deve produzir avaliações periódicas quanto a atualização das versões dos sistemas de proteção de riscos cibernéticos. Portanto, pode ser necessário revisar os riscos de segurança cibernética com mais regularidade do que outros riscos.
Por outro lado, como a segurança cibernética ainda é um campo relativamente novo, a organização não terá uma compreensão tão intuitiva destes, como se poderia esperar de outros riscos corporativos. À medida que surgem novas tecnologias, pode não haver uma enorme base de evidências para formar uma avaliação de risco. Especialistas tem constatado que em muitas organizações, a cibersegurança segue subestimada pelo alto escalão. Algumas empresas, mesmo aquelas com elevado risco cibernético, podem deixar de adotar as melhores práticas de governança de tecnologia, por absoluta falta de comprometimento da alta gestão.
Por assim dizer, adotar melhores critérios de governança tem sido essencial, como estabelecer e desenvolver estratégias considerando a experiência e as boas ideias de CIO, CSO e integrantes do conselho da organização. Integrar os órgãos de gestão da empresa com os especialistas em tecnologia nos parece ser uma acertada decisão estratégica de desenvolvimento e preservação do negócio. Essa união pode representar em aumento da maturidade digital, alta capacidade de respostas a incidentes, do alinhamento das ações estratégicas do negócio, além do incremento de investimentos para os projetos de cibersegurança. Por isto, não basta simplesmente a empresa dizer que atende a LGPD, se esta cultura de dados e de segurança não faz parte de sua consciência empresarial.
Por fim, fica o alerta para que as empresas envolvam seus executivos e seus conselhos em temas relacionados à segurança e riscos tecnológicos, visando mitigar riscos de ameaças e ataques, otimizar a alocação de recursos, elevar o status de segurança, identificar vulnerabilidades em seus sistemas e processos. Como resultado deste exercício, pode-se obter importantes insights sobre aperfeiçoamento da operação, melhor gestão e utilização de dados, além da adoção de boas práticas de governança da empresa. Já estamos no futuro, embarquem e aproveite a viagem.
Eduardo Guerra, advogado corporativo, sócio do Escritório GuerraBatista Advogados.
[…] FONTE: TI INSIDE […]