Nossa pesquisa revela que 57% dos executivos de TI e segurança brasileiros e 55% dos globais planejam aumentar seus orçamentos de segurança cibernética, sendo que 60% (51% no mundo) pretendem adicionar equipe cibernética em tempo integral em 2021 – mesmo com a maioria dos executivos afirmando esperar que as receitas de negócios diminuam (62% no Brasil e 64% no mundo). Claramente, a segurança cibernética é mais crítica para os negócios do que nunca.
Apenas 2% dos brasileiros permanecerão com orçamentos estáticos (muito menos que os 13% globais) e 34% precisarão fazer mais com menos (26% no mundo).
“As circunstâncias econômicas estão colocando muita pressão para que as organizações de segurança garantam que os investimentos que estamos fazendo sejam eficientes e de alto valor”, afirma Katie Jenkins, CISO, Liberty Mutual.
Extrair o máximo valor de cada centavo gasto em segurança cibernética torna-se mais essencial à medida que as entidades se digitalizam: cada novo processo e ativo digital é uma nova vulnerabilidade para ataques cibernéticos.
Uma parcela maior dos entrevistados está expandido seus orçamentos cibernéticos em 2021
Fonte: PwC, Global Digital Trust Insights 2021, outubro/2020. Base: 3.249 (Global)/ 109 (Brasil)
P: Como seu orçamento cibernético mudará em 2021?
Mais da metade (55%) dos executivos de negócios e tecnologia/segurança no mundo não tem confiança no alinhamento dos gastos cibernéticos com os riscos mais importantes. Ou que seu orçamento custeie remediação, mitigação de risco e/ou técnicas de resposta para fornecer o melhor ROI (55%). Ou que forneça os recursos necessários para combater um evento cibernético grave (55%). Ou que o processo monitore a eficácia do programa cibernético em relação aos gastos realizados (54%).
Os orçamentos cibernéticos podem – e devem – vincular-se aos orçamentos gerais da empresa ou da unidade de negócios de maneira estratégica, alinhada ao risco e baseada em dados, mas 53% não confiam que seu processo de orçamento atual faça isso.
E com relação à preparação para riscos futuros, os executivos não estão confiantes de que os orçamentos cibernéticos forneçam controles adequados sobre tecnologias emergentes (58%).
Sem confiança no processo usado para financiar a segurança cibernética, os executivos dizem que é hora de uma reformulação. Do total, 56% dos brasileiros (44% no mundo dizem que estão tentando novos processos de orçamento e 49% (43% no mundo) avaliam a melhor forma de convencer o CEO e o conselho a fornecer os recursos necessários. No entanto, a esmagadora maioria (85% no Brasil e 73% no mundo) concorda/concorda fortemente que as organizações podem fortalecer sua postura cibernética e conter custos ao mesmo tempo – graças à automação e racionalização da tecnologia.
Fonte: PwC, Global Digital Trust Insights 2021, outubro/2020. Base: 3.249 (Global)/ 109 (Brasil)
P: Sobre o orçamento e os processos cibernéticos atuais da sua organização, qual seu nível de confiança em relação aos seguintes aspectos?
Os gestores cibernéticos podem fazer mais com menos, mas para isso eles precisam quantificar o risco cibernético e usar as informações para fazer escolhas inteligentes que protejam a segurança, a privacidade e o fluxo de caixa da empresa.
Segundo nossa pesquisa, 27% dos executivos brasileiros (17% dos globais) quantificaram os riscos cibernéticos e estão percebendo os benefícios de fazê-lo. Por exemplo, uma empresa que faz muitas aquisições e quantifica os riscos cibernéticos pode avaliar as oportunidades de negócios de forma mais rápida e sistemática. Uma instituição financeira que lida com milhões de transações por dia pode fazer avaliações diárias e semanais de ameaças e vulnerabilidades – ficando atenta ao desempenho dos controles subjacentes e a qualquer necessidade de realocar recursos.
A quantificação de riscos cibernéticos não é para os fracos, há muitos obstáculos no caminho: falta de um modelo amplamente aceito, falta de pessoas que entendam de questões cibernéticas e riscos do ponto de vista do negócio e falta de escalabilidade. No entanto, quase 53% (57% no mundo) estão começando a quantificar os riscos ou o fizeram em larga escala. Outra parte importante (14% no Brasil;18% no mundo) planeja começar a quantificação de risco nos próximos dois anos.
A economia da cibersegurança há muito se concentra no aspecto dos custos (conformidade, recursos de atualização e assim por diante). Isso deve mudar. Redefinir a estratégia cibernética – considerando a segurança cibernética em todas as decisões de negócios – significa conectar os orçamentos cibernéticos aos orçamentos gerais da empresa ou da unidade de negócios de maneira estratégica, alinhada ao risco e orientada por dados.
Investir dinheiro no valor de um projeto cibernético, em termos de redução de risco ou de conformidade menos onerosa, permite comparar os custos e o valor dos investimentos cibernéticos, para que se possa estabelecer prioridades. A quantificação também torna mais fácil medir o valor do portfólio geral de investimentos cibernéticos em relação aos objetivos de negócios. Esse tipo de rigor e sofisticação será cada vez mais exigido – especialmente porque os mercados e reguladores responsabilizam os CEOs e membros do conselho pela segurança cibernética e a privacidade.
“As circunstâncias econômicas estão colocando muita pressão para que as organizações de segurança garantam que os investimentos que estamos fazendo sejam eficientes e de alto valor.”