notícia

BT e KPMG advertem as empresas contra armadilhas de segurança cibernética

DC17-291 (10 de julho de 2017)

Investir apenas em produtos de segurança de TI não é uma solução absoluta na batalha contra os crimes cibernéticos

Na sequência de consideráveis ataques globais de ransomware, como WannaCry e Petya, a BT e a KPMG publicaram hoje um novo relatório de segurança cibernética que oferece conselhos práticos a empresas de todos os portes sobre a melhor forma de gerenciar sua jornada de segurança e transformá-la em uma oportunidade de negócios.

O novo relatório, “A jornada de segurança cibernética – da negação à oportunidade”, adverte as empresas para que não caiam em armadilhas perigosas enquanto lidam com a complexidade de garantir uma empresa digital. Isso inclui ficar preso nas fases de “Negação” e “Preocupação”, em uma extremidade do espectro, e nas fases de “Falsa Confiança” e “Duras Lições”, na outra extremidade.

Enquanto o relatório enfatiza que o investimento em tecnologia, como firewalls e proteção antivírus, é uma prática essencial de “boa manutenção” no início da jornada de segurança, as empresas devem evitar desperdiçar dinheiro em produtos de segurança de TI como uma reação automática. Esta afirmação é particularmente verdadeira para as empresas que amadureceram do estágio de “negação” para o estágio de “preocupação” constante, na qual investir na tecnologia mais recente pode ser visto como a solução absoluta para o problema. Este erro comum pode tornar as empresas alvo, não apenas de criminosos cibernéticos, mas também de vendedores de TI excessivamente zelosos.

As empresas devem primeiro avaliar seus controles atuais em relação às melhores práticas, como as orientações formuladas pelo National Cyber Security Center (NCSC) do Reino Unido, para ajudar a identificar lacunas e priorizar áreas essenciais para investir. Além disso, todos na organização, do conselho para baixo, devem assumir a responsabilidade de manter altos padrões de segurança cibernética, enquanto as empresas devem investir em treinamento e conscientizar o seu pessoal. Isso pode ajudar a transformar os funcionários, do ponto mais fraco de qualquer cadeia de segurança no maior recurso da empresa na luta para a proteção dos dados.

Mark Hughes, CEO da BT Security

A escala global dos recentes ataques de ransomware mostrou a velocidade surpreendente em que mesmo os ataques mais sofisticados podem se espalhar pelo mundo. Muitas organizações poderiam ter evitado esses ataques, mantendo melhores padrões de segurança cibernética e acertando as questões básicas. Esses incidentes globais nos lembram que todas as empresas hoje em dia, do menor comerciante às PMEs e grandes corporações multinacionais, precisam lidar com o gerenciamento da segurança de sua propriedade de TI, bem como suas pessoas e processos. Este relatório tem como objetivo ajudar a assegurar a iniciativa digital, orientando as empresas em sua jornada de segurança cibernética”.
- Mark Hughes, CEO da BT Security

David Ferbrache, diretor técnico de prática de segurança cibernética da KPMG

A recente onda de ataques cibernéticos mantém o risco cibernético no topo da agenda de negócios e, desse modo, os investimentos estão sendo feitos. A comunidade empresarial precisa evitar reações automáticas, pois a segurança cibernética é uma jornada, não é uma questão única, então, é importante entender bem os conceitos básicos, como aplicações de patch e back-ups. É importante construir uma cultura de segurança, aumentar a conscientização entre os funcionários e lembrar que a segurança precisa facilitar os negócios, não impossibilitá-los.

“As ameaças cibernéticas estão evoluindo e as empresas enfrentam empreendedores criminosos implacáveis. A resposta não são soluções tecnológicas aboslutas, cheias de jargão, mas uma que envolva um esforço comunitário em um mundo onde as fronteiras para as empresas estão desaparecendo. Com os criminosos cada vez mais criativos em encontrar o elo mais fraco, os CISOs do futuro precisam se preocupar com o risco digital, ajudar a empresa a aproveitar as oportunidades e a desenvolver a capacidade de resiliência cibernética.”

- David Ferbrache, diretor técnico de prática de segurança cibernética da KPMG

Embora hoje os problemas de segurança cibernética sejam cada vez mais discutidos no nível do conselho, o relatório afirma que essas discussões não são muito frequentes e são tratadas como uma questão separada e desvinculada do risco operacional mais amplo. Muitas vezes, a questão da segurança cibernética não está incorporada na estratégia comercial global.

O relatório também argumenta que uma arquitetura de TI excessivamente complexa pode piorar as lacunas de segurança. Este é o caso especialmente se a tecnologia implantada for muito difícil de usar ou se houver falta de integração.

Para enfrentar esses riscos e ganhar verdadeira liderança em segurança cibernética, o relatório apela às empresas para que se concentrem em processos de boa governança, na integração adequada das tecnologias e considerem terceirizar alguns aspectos menos críticos de sua segurança para um parceiro confiável. Isso, combinado com o compartilhamento de inteligência, boas práticas e lições conquistadas, em uma rede de colegas e mais além, colocaria a empresa em posição de pensar sobre segurança cibernética de forma diferente. Ou seja, não como um risco que é discutido pelo conselho, talvez duas vezes por ano, mas como uma oportunidade de negócio e um facilitador da transformação digital.

O relatório está disponível para download.

Mais informações para a imprensa:

Victoria Harres PR & Corporate Relations in the Americas