As ameaças cibernéticas estão a crescer a um ritmo exponencial a nível global. De acordo com o mais recente Inquérito Global de Segurança da Informação da EY (GISS), 77% dos inquiridos viram aumentar o número de ataques disruptivos nos últimos 12 meses.  Segundo a Cybersecurity Ventures, espera-se que os custos globais do cibercrime cresçam 15% ao ano nos próximos cinco anos, atingindo 10,5 biliões de dólares anuais até 2025.

Todos os dias são revelados novos ciberataques bem-sucedidos a entidades de todos os sectores de actividade, desde pequenas empresas até grandes instituições públicas e privadas. Ninguém está imune aos impactos financeiros, operacionais e reputacionais cada vez mais elevados dos ataques, e em particular aos que são realizados a infraestruturas críticas e operadores de serviços essenciais.  

No entanto, apesar deste clima de risco crescente, muitas entidades ainda estão a assumir que o mal só acontece aos outros e a protelar os investimentos necessários para se protegerem de forma mais robusta perante estes cenários. Os dados sugerem que o financiamento da cibersegurança não tem acompanhado o risco crescente. Metade dos inquiridos do  GISS diz que os orçamentos são inferiores ao necessário para lidar com os desafios existentes relacionados com a cibersegurança, e mais de 45% acham que é apenas uma questão de tempo até que ocorra uma violação que poderia ter sido evitada com o investimento adequado.

Esta falta de investimento e prioridade é particularmente notória quando vemos que alguns dos ciberataques deixam um completo rasto de destruição com fugas massivas de informação, perdas de dados irrecuperáveis e entidades que ficam completamente à mercê do pagamento de resgates a cibercriminosos.

Os dados sugerem que o financiamento da cibersegurança não tem acompanhado o risco crescente. Metade dos inquiridos do  GISS diz que os orçamentos são inferiores ao necessário para lidar com os desafios existentes relacionados com a cibersegurança

Já assistimos a alguns dos responsáveis de cibersegurança a partilhar que um dos poucos lados positivos de terem sido alvos de um ataque massivo, foi o de que a gestão ter finalmente assinalado a cibersegurança com uma prioridade para o negócio e avançado com a implementação das iniciativas que estavam previstas há anos, mas que nunca tinham tido orçamentação e mobilização de recursos para a sua prossecução.

Hoje em dia, qualquer organização pode ser um alvo de um ciberataque bem-sucedido. Com o tempo, os recursos e a motivação necessários os cibercriminosos conseguem muitas vezes contornar as defesas do alvo. Temos assistido a entidades de grande dimensão e com níveis de maturidade de cibersegurança elevados que têm sofrido ciberataques. Este parece ser o novo normal. Mas, o que distingue aqueles que estão mais bem preparados não é apenas a sua capacidade de defesa, mas sobretudo a sua capacidade de reação perante um incidente destes, nomeadamente a velocidade com que recuperam os seus dados e as suas operações e como comunicam com os seus colaboradores, clientes e parceiros.

As organizações precisam de aplicar bons princípios de gestão de riscos, que começam por tratar o risco cibernético, tal como um risco de negócio. Compreender o panorama da ameaça cibernética é um passo fundamental na mudança para melhorar a maturidade cibernética. Para resolver este problema, as empresas precisam de ter um plano claro que faça parte do seu roteiro de transformação digital e que inclua as seguintes considerações:

· Definir a cibersegurança como um imperativo estratégico para lidar com a potencial interrupção do negócio e impacto financeiro face ao aumento do cibercrime financeiro (ransomware como serviço), proteção de infraestruturas críticas (regulação emergente) e alterações nas formas de trabalhar.

· Adopção de uma framework de cibersegurança (ex: ISO 27001, NIST CSF, CIS) para a identificação consistente de vulnerabilidades, ameaças e controlo cibernético necessárias para atingir o perfil de risco alvo.

· Adopção de uma abordagem baseada no risco, que faça um equilíbrio entre "proteger" e "reagir", e satisfaça os requisitos operacionais de uma organização.

· Preparar-se para uma arquitetura de segurança "moderna" em toda a organização, uma vez que os próximos cinco anos verão inevitavelmente mudanças significativas na tecnologia e nos dados, em resultado da adoção acelerada de nuvem, análise e automação.

· Procurar oportunidades para repor as fundações de cibersegurança, como a gestão de identidade e acesso e a arquitectura de segurança zero trust, como parte de programas mais amplos de modernização e transformação digital das aplicações core.

‍