Segundo estimativa do Gartner, o investimento global em Segurança da Informação em 2017 foi de aproximadamente US$ 85 bilhões, representando um valor recorde e um aumento de 7% sobre o investimento em 2016. Para 2018, a estimativa é que este investimento chegue em US$ 93 bilhões.
Esse mesmo ano de 2017 em que se investiu um valor recorde, foi o ano que testemunhou recordes em termos de perdas causadas por ciberataques. Algumas pesquisas até indicam que o número de incidentes foi reduzido, mas, por outro lado, o impacto aumentou significativamente. O exemplo que melhor retrata isso é o do ramsonware, que somente com os casos mais públicos como WannaCry e Petya/notPetya gerou perdas estimadas entre US$ 5 e US$10 bilhões. Houve casos marcantes, como empresas de navegação que perderam centenas de milhões de dólares e montadores de automóveis que tiveram suas fábricas paradas por dias. Analistas projetam as perdas totais em cibercrime e ciberfraude na casa dos trilhões de dólares por ano.
A pergunta que fica é: como, apesar de investimentos crescentes em segurança, os ataques seguem acontecendo e de forma mais agressiva?
Lamentavelmente, a resposta não é trivial, pois envolve diferentes enfoques. Mas, seguramente, um ponto importante é o de que o crime cibernético já se tornou um negócio – muito rentável – para criminosos de diferentes partes do mundo inteiro. Esqueça tráfico de armas e drogas; o negócio de melhor relação risco/recompensa para organizações criminosas atualmente é o cibercrime. Então, nesse aspecto, por mais que os investimentos em segurança sejam crescentes eles ainda rivalizam com alta capitalização e organização de quadrilhas mundiais que se especializaram no tema. Há algum tempo já se observa, inclusive, uma cadeia de valor – com produtores de software malicioso, distribuidores, atacantes; modelos de negócio com aluguel, como serviço, compra de licenças; enfim, níveis altos de sofisticação técnica e comercial.
Mas isso não quer dizer que nada por ser feito, pelo contrário. Se tomamos como exemplo justamente os ataques mais conhecidos e citados acima, percebe-se que as vulnerabilidades exploradas para causar danos eram conhecidas. As empresas foram vitimadas por falhar em tarefas simples como Gestão de Atualizações (Patch Management) de suas plataformas mais comuns (Windows). Assim como muitos ataques são sofisticados na tecnologia, mas simples na abordagem – como, por exemplo, um "simples" phishing.
Portanto, há outra importante lição a ser aprendida: segurança não é apenas sobre sofisticadas ferramentas criptográficas; biometria e outras técnicas de autenticação multifatorial; inteligência artificial e aprendizado por máquina, analytics, entre outros, para predição, detecção e resposta a incidentes; e outras poderosas ferramentas que temos à disposição hoje. Elas são essenciais, mas não suficientes se velhos controles como processos estruturados de gestão e pessoas qualificadas, não estiverem presentes.
Por isso, assegure-se que a segurança está sendo "operacionalizada" da forma como deveria ser. Caso não esteja, e lhe falte recursos para tal – ou mesmo não seja o foco tê-los – considere apoiar-se em um parceiro de segurança que o possa fazer. Empresas conceituadas não apenas no tema de segurança, mas éticas em cada aspecto do negócio, comprometidas com o desenvolvimento das carreiras de seus profissionais, e com capacidade de entrega provada durante trajetórias de anos de boa prestação de serviços tornam-se parceiros ideais nesses tempos. Felizmente, temos visto um movimento crescente de busca por excelência operacional no mercado, o que, sem dúvida, vai contribuir para um maior amadurecimento do mercado como um todo para o tema de segurança.
Leonardo Carissimi, diretor de Soluções de Segurança da Unisys na América Latina.