Identificação das deficiências de segurança cibernética, alinhamento dos objetivos de negócios às necessidades de segurança, acompanhamento das novidades sobre regulamentação e a transformação da computação em nuvem. Esses são as quatro ações prioritárias que as empresas devem levar em consideração para mitigar riscos cibernéticos no cenário atual, segundo o estudo “Todo cuidado é pouco: principais considerações cibernéticas para uma nova realidade” (em inglês, All hands on deck: Key cyber considerations for a new reality), produzido pela KPMG.
Conforme aponta a pesquisa, a pandemia gerou uma transformação no modelo de trabalho da maioria das empresas, e devido à corrida para acelerar a transformação digital, as verificações usuais dos controles de segurança e privacidade precisaram ser colocadas em segundo plano em benefício da continuidade dos negócios. Por esses motivos o estudo mostra que, nos próximos meses, as empresas precisarão endereçar os déficits de segurança para estabelecer o controle do ambiente tecnológico que será feito através de ferramentas de detecção de novos softwares utilizados durante a pandemia, analisar os controles da nova e antiga infraestrutura para entender se estão aderentes ao apetite do riscos da empresa e refletir sobre os processos padrão de monitoramento de segurança e privacidade.
“Com empresas e funcionários mais adaptados à nova realidade, começa-se entender algumas das características mais permanentes da mudança. Cabe à equipe de segurança restabelecer o controle sobre o novo conjunto de tecnologias e processos que foi implementando durante a pandemia e adaptar domínios ao novo modelo de trabalho”, explica o sócio-líder em segurança cibernética da KPMG, Leandro Augusto.
O levantamento indica que diversas organizações realizaram grandes investimentos em segurança cibernética. Entretanto, conforme as empresas sentiram os impactos econômicos da pandemia, o esforço para reduzir esses custos aumentaram. Diante deste cenário, a pesquisa aponta que as organizações precisam realizar um alinhamento dos objetivos dos negócios atrelados às necessidades de segurança. Isso pode ser feito através de uma reflexão holística sobre onde precisa-se investir, priorização da segurança de ponta a ponta e por fim, implementação de uma abordagem de engenharia que visa introduzir a segurança na mentalidade da equipe que cria novas aplicações e serviços, inclusive sobre os aspectos regulatórios que muitas empresas estão sujeitas.
Outro fator que o estudo identificou está relacionado à próxima onda de regulação. De acordo com a análise, existe uma tendência de que as regulamentações baseadas em questões cibernéticas passem a ter uma abordagem mais holística com foco nas prioridades e responsabilidades dos negócios e também dos executivos. Diante disso, acredita-se que devido às novas normatizações as empresas precisam seguir três ações de defesa que estão associadas a questões como: incorporar as responsabilidades de segurança cibernética de forma estrutural e vincular essas tarefas a metas de desempenho anuais; apoiar políticas e normas de qualidade e resiliência, e reportá-las de volta à administração e ao conselho de administração; e instituir testes contínuos do programa de conformidade para identificar melhorias, integrando as três linhas de defesa das empresas em prol da otimização de custos e esforços em testes.
“A regulação cibernética está focada em garantir que os controles-chave estão funcionais, além de apontar a capacidade da empresa em detectar, responder e se recuperar de ataques cibernéticos, inclusive com o envolvimento dos executivos, e não somente isso, de trazer conhecimento aos riscos da cadeia de fornecedores e o envolvimento de equipes regulatórias nesses processos”, complementa o sócio.
O estudo também aponta que, devido à pandemia, as empresas aceleraram a aplicação da transformação digital e com consequentemente a adoção da computação em nuvem num processo que poderia levar mais de um ano, mas que foi concluído em questão de semanas.
“A implementação de segurança em ambientes em nuvem é diferente do que se vivenciou até aqui. O universo de ameaças, tecnologias e controles internos são bastantes distintos dos habituais e conhecidos pelas empresas, e essa característica exige um conhecimento profundo no mapeamento e testes destes ambientes para aferir a segurança de sua implementação”, finaliza o sócio.
