Vivemos em mundo pautado pela facilidade. As empresas, em um movimento de padronização e até de terceirização das suas responsabilidades com a segurança da informação, muitas vezes recorrem a alternativas que, inicialmente, se mostram mais baratas e simples. No entanto, com o decorrer do tempo, das entregas e das demandas, se revelam complexas e bem mais caras. Como diz o ditado: "soluções simples para problemas complexos".
Logicamente que internalizar toda uma arquitetura de cibersegurança é um grande desafio. A começar pelas pessoas, já que existe um baixo nível de formação de profissionais no Brasil. Não me refiro apenas à qualidade, mas, sim, também à quantidade. Um estudo da Vanson Bourne, research especializada em tecnologia, com aproximadamente mil profissionais de cibersegurança, publicado em maio revela que 30% deles querem mudar de profissão: especialistas da Austrália, Brasil, Canadá, França, Alemanha, Índia, Japão, Reino Unido e EUA que trabalham em diversos setores fizeram essa declaração em suas entrevistas. Um total de 85% acreditam que a escassez de mão de obra afeta as habilidades de suas organizações para proteger sistemas e redes de informação cada vez mais complexos.
É o que reforça o relatório Global Cybersecurity Outlook 2022, produzido pelo Fórum Econômico Mundial, indica que até 2030, o setor global de tecnologia terá uma escassez de mão de obra de 4,3 milhões de profissionais. Quando o levantamento questionou os quase 1.000 membros sobre as estratégias de defesa da empresa para responder e se recuperar de um ataque cibernético, 50% dos entrevistados acham difícil devido à escassez de habilidades dentro das equipes.
As empresas, com a falta de profissionais para comandar e suportar sua arquitetura de segurança, acabam por recorrer à terceirização completa de seus nichos e nem sempre têm a noção objetiva do que isso acarreta. É tudo uma questão de time to market. Projetos rápidos, de baixo custo e processos atropelados. Quem sofre com isso? A área de segurança. Esta que tem investimento ligada à TI que, normalmente, prefere terceizirar esta infraestrutura do que fazer treinamentos, buscar soluções, montar uma estrutura em casa. Claro, são escolhas. Decisões complexas.
É nesta complexidade que se fomentam dúvidas. E aí que se criou a situação perfeita para os cibercriminosos. Um ambiente desprotegido, um usuário final sem conhecimento e uma equipe de segurança sobrecarregada – o resultado é inevitável. Uma violação de dados ou incidente de ransomware, um vazamento de dados…é quase certo. O prejuízo? Altíssimo. E isto afetou drasticamente a postura de segurança das organizações.
É preciso fazer a lição de casa. O treinamento e a experiência fornecem aos gerentes de segurança cibernética as informações de que precisam para saber o que estão enfrentando para que possam agir de acordo. Devemos focar no aprendizado, no que estamos aprendendo hoje versus o que ainda não sabemos. Buscar parceiros no mercado que, de fato, auxiliem na construção de uma sólida camada de segurança para a empresa em vez tomar atitudes simplistas. Lembre-se: facilidades não combinam com cibersegurança.
Thiago Marques, especialista em cibersegurança e sócio da Add Value Security.