Site Search

Loading Results

Global Digital Trust Insights Survey 2022

Simplificar para reduzir riscos cibernéticos

As conexões digitais se multiplicam e formam teias cada vez mais emaranhadas de novas tecnologias. Isso faz com que os processos necessários para gerenciar e manter toda essa rede – inclusive a segurança cibernética – também se tornem mais e mais complicados.

Alguma complexidade é necessária e até desejável no atual contexto. Por exemplo, ter um telefone capaz de fazer muito mais do que chamadas simplifica a nossa vida, pois permite carregar vários dispositivos no bolso – gravador de voz, câmera, calendário, relógio, TV, uma biblioteca inteira de livros, entre outros.

Mas há uma complexidade desnecessária, nociva, e os altos executivos já perceberam isso. Para 77% dos líderes brasileiros que participaram da nossa pesquisa Digital Trust Insights 2022 (75% no mundo), as organizações se tornaram complexas demais para serem protegidas. Membros da diretoria, do conselho e líderes de TI e segurança estão preocupados que essa dificuldade desnecessária e evitável exponha suas organizações a riscos cibernéticos e de privacidade.

 

A boa notícia é: os investimentos continuam sendo direcionados para a segurança cibernética.

No Brasil, 83% das organizações preveem um aumento nos gastos cibernéticos em 2022, em comparação com 69% no mundo.
Em 2020, esses índices foram de 55% e 57% , respectivamente.
45% dos brasileiros (26% no mundo) preveem aumento de gastos cibernéticos acima de 10% – ano passado apenas 14% faziam essa previsão (8% no mundo).

 

 

Mudança no orçamento cibernético em 2022

Quanto do orçamento de TI as empresas destinaram para segurança cibernética em 2021

Fonte: Global Digital Trust Insights Survey 2022, setembro/2021. Respondido apenas por clientes da PwC.  Base: 243 participantes.

 

A simplificação pode ser impulsionada pelas tecnologias atuais, desde que haja uma estratégia e os executivos da alta liderança estejam dispostos a agir juntos.

O CEO pode fazer a diferença

Os CEOs das empresas com melhores resultados de segurança cibernética nos últimos dois anos têm 14 vezes mais probabilidade de fornecer suporte relevante ao CISO em todas as áreas que pesquisamos. Nessas mesmas empresas, os executivos por eles liderados têm 12 vezes mais probabilidade de dizer que seus CEOs oferecem esse apoio relevante.

Perguntamos então aos nossos entrevistados qual é o nível de envolvimento dos CEOs com os temas cibernéticos. No Brasil, a visão dos CEOs sobre seu papel coincide aproximadamente com a dos integrantes da sua equipe executiva: eles se veem como mais engajados na discussão de métricas e questões cibernéticas e de privacidade do que como estratégicos ou reativos a problemas nessa área.

Globalmente, no entanto, há uma “lacuna de expectativas” entre os líderes em relação ao envolvimento do CEO nos temas cibernéticos. Os CEOs se consideram engajados, enquanto os demais executivos de sua equipe o percebem como reativo. Eles dizem que o presidente-executivo tem maior probabilidade de participar de questões cibernéticas e de privacidade após uma violação da empresa ou quando contatado por reguladores – não antes.

O problema é que essa diferença de visão pode se tornar desastrosa se incutir uma falsa sensação de segurança em toda a empresa, dado o papel de liderança do CEO na definição da cultura de uma organização.

No Brasil, CEOs e demais membros de sua equipe têm visão semelhante sobre o envolvimento dele nos temas cibernéticos e de privacidade

Em qual dos seguintes temas cibernéticos e de privacidade, você (CEO)/seu CEO se envolveria pessoalmente? Classifique na ordem.

 

 

O risco da complexidade

Os executivos muitas vezes não usam dados e inteligência para tomar as melhores decisões de investimento e gerenciamento de riscos cibernéticos. Apenas cerca de 1/3 das organizações no mundo tem práticas avançadas de confiança de dados. No Brasil, os resultados são um pouco melhores.

77% dos executivos brasileiros (75% dos globais) relatam que há muita complexidade em suas organizações em relação a aspectos como tecnologia, dados e ambientes operacionais – quase a mesma proporção dos que acreditam que a complexidade eleva a níveis preocupantes os riscos cibernéticos e de privacidade.

Qual é a maturidade das práticas de confiança de dados da sua organização?


Empresas com processo formal totalmente implementado de confiança de dados

De modo geral, as organizações convivem com um sério ponto cego em relação a riscos de terceiros e da cadeia de suprimentos: cerca de 25% no mundo têm pouca ou nenhuma compreensão desses riscos. Para agravar o cenário, mais da metade das organizações no mundo não realizou nenhuma ação que promovesse um impacto mais duradouro na gestão de riscos de terceiros. No Brasil, os índices são melhores tanto para a compreensão dos riscos quanto para a realização de ações relacionadas.

Qual é o nível de compreensão da sua organização sobre os riscos cibernéticos e de privacidade decorrentes de terceiros ou fornecedores nas seguintes áreas?

Sua organização realizou alguma das seguintes ações nos últimos 12 meses para minimizar os riscos de terceiros ou fornecedores em seu ecossistema?

Questões que empresas e seus líderes devem priorizar

Como o CEO pode fazer diferença para a segurança cibernética de sua organização?

Adote o mantra "simples e seguro" para o seu negócio.

CEOs:

  • Defina a segurança cibernética como um aspecto importante para o crescimento dos negócios e da confiança do cliente – não apenas para defesa e controles. O objetivo é criar uma mentalidade de segurança em toda a organização. Enfrente os problemas e riscos de seus modelos de negócios e mude o que é necessário.

CISOs:

  • Familiarize-se com a estratégia de negócios da sua organização. Ajude seu CEO a abrir caminho para práticas “simples e seguras”. Adquira as habilidades necessárias para acompanhar a evolução e a expansão da função cibernética nos negócios. E reoriente suas equipes para construir confiança e apoiar o crescimento da empresa.

Sua organização é muito complexa para ser protegida?

Adote uma abordagem clara de simplicidade e simplificação.

COOs e líderes de transformação:

  • Pergunte qual é o plano cibernético para chegar a esse equilíbrio. Você pode desencadear grandes mudanças – operacionais e culturais – simplesmente fazendo essa pergunta a cada executivo de negócios responsável por uma transformação ou nova iniciativa de negócio. Ao priorizar a segurança cibernética, você evitará as complexidades desnecessárias e caras que talvez veja hoje, quando ela é apenas uma questão secundária.
  • Inclua o CISO e as equipes de segurança desde o primeiro momento em iniciativas organizacionais como migração e adoção da nuvem e processos de fusão e aquisição. Dessa forma, cada executivo que estiver no comando de uma grande iniciativa de negócios será capaz de responder prontamente à pergunta sobre o plano cibernético.

CISOs e CIOs:

  • Ouse subtrair. Deixados à própria sorte, tecnologia e dados tendem a se multiplicar, dividir e reduzir a eficiência e a segurança. Elimine excessos tendo objetivos de segurança em mente: avalie seus armazenamentos de dados e corte tudo que você não precisa ter agora. Mova seus aplicativos e soluções dispersos para um ambiente de nuvem e facilite seu gerenciamento. Consolide, elimine e automatize o que puder.
  • Repense também seus processos de investimento em tecnologia e cibernética. Concentre-se primeiro em simplificar o que traz benefícios maiores para toda a organização.

Como você sabe se está protegendo sua organização contra os riscos mais importantes para o negócio?

Avalie riscos usando dados em que possa confiar para concretizar oportunidades.

CFOs:

  • Trabalhe com o CISO para usar uma abordagem de orçamento cibernético baseada em riscos e orientada para o crescimento.

CISOs:

  • Construa uma base sólida de confiança de dados: uma abordagem corporativa para governança, descoberta, proteção e minimização de dados.
  • Crie um roteiro de quantificação de riscos cibernéticos para relatórios de risco cibernético em tempo real.
  • Não fique apenas nos riscos cibernéticos. Vincule-os aos riscos corporativos gerais e, em última instância, aos efeitos sobre os negócios.
  • Com um levantamento mais completo dos riscos cibernéticos, identifique o que funciona em seu modelo de negócios e onde você pode precisar simplificá-lo.

Você conhece bem os riscos impostos por terceiros e pela cadeia de suprimentos?

Reduza os pontos cegos em suas relações comerciais para eliminar possíveis riscos.

COOs e executivos da cadeia de suprimentos:

  • Mapeie seu sistema, especialmente seus relacionamentos mais críticos, e use um rastreador de terceiros para encontrar os elos mais fracos de sua cadeia de suprimentos.
  • Analise seus fornecedores de software. O software e os aplicativos usados pela sua empresa devem passar pelo mesmo nível de verificação e teste que os dispositivos e usuários de sua rede.

CROs e CISOs:

  • Desenvolva sua capacidade tecnológica e organizacional para detectar ataques cibernéticos avançados, resistir e responder a eles.
  • Utilize um Risk Management Office para coordenar as atividades de todas as funções que gerenciam áreas de risco de terceiros.
  • Fortaleça sua base de confiança de dados. Os dados são o alvo da maioria dos ataques à cadeia de suprimentos. A confiança nos dados e o bom gerenciamento de riscos de terceiros andam de mãos dadas.
  • Eduque seu conselho de administração sobre os riscos cibernéticos e comerciais impostos por terceiros e pela cadeia de suprimentos.

As organizações mais bem preparadas em segurança cibernética têm muito em comum

Apesar de não formarem um grupo inteiramente homogêneo, as empresas que estão mais avançadas e têm melhor desempenho em segurança cibernética compartilham algumas características.

Quem são?

Tendem a ser empresas da área de tecnologia/segurança.

De onde são?

Cerca de 50% dos líderes que responderam à pesquisa são da América do Norte e da Europa. Há uma proporção maior de líderes da América Latina em relação ao total. Isso se deve ao fato de haver muitas organizações de grande porte e empresas do setor de tecnologia, mídia e telecomunicações na região.

A que setor pertencem?

Existe uma probabilidade maior de serem empresas do setor de tecnologia, mídia e telecomunicações .

Qual é o tamanho da organização?

É muito mais provável que seja uma organização de grande porte (US$ 5 bilhões de receita ou mais).

Como lidam com seu orçamento cibernético?

Essas empresas são mais propensas a aumentar seu orçamento cibernético em 2022.

O caminho para a simplificação

O caminho para eliminar a complexidade desnecessária é simplificar, mas é preciso fazer esse processo de forma consciente e deliberada, preservando o que a complexidade traz de bom. Caso contrário, ataques cibernéticos mais devastadores do que os ocorridos nos últimos 10 meses – que deverão fazer de 2021 o pior ano de segurança cibernética já registrado – podem se multiplicar.

Simplificação significa romper com maus hábitos que surgiram nos últimos anos em nome da velocidade ou com práticas que resistem à mudança. Os exemplos são muitos: implementar produtos sem considerar a segurança; permitir que unidades de negócio tomem decisões autônomas e não verificadas de compra de tecnologia ou contratação de terceiros; gerenciar a área cibernética e a privacidade separadamente do gerenciamento de riscos corporativos; não coordenar o trabalho das diversas funções envolvidas na continuidade do negócio e na gestão de crises; não ter uma estrutura única para governar os dados; não falar em linguagem de negócios ao abordar questões do ciberespaço; centralizar demais ou dar muita autonomia à unidade de negócios.

Eliminar esses comportamentos requer uma abordagem de simplificação gerenciável, direta e centrada nas seguintes ações:

Estabeleça um princípio

Uma iniciativa poderosa é o CEO fazer uma declaração explícita de que o zelo com a segurança e a privacidade é um imperativo, um princípio a ser seguido em toda a organização.

Promova a interação entre equipes

Projetar segurança e privacidade em suas operações é um trabalho complexo e contínuo. Para simplificar, é preciso deixar o CISO e as equipes de segurança trabalharem com as equipes de negócios.

Priorize o uso de dados

Os riscos cibernéticos e de privacidade evoluem continuamente, sobretudo à medida que atores sofisticados miram o próximo ataque lucrativo. Para simplificar, use dados confiáveis para avaliar continuamente os riscos.

Enxergue os riscos

Você não pode se proteger do que você não consegue ver. Descubra os pontos cegos em seus relacionamentos e na cadeia de suprimentos. Crie uma plataforma de dados confiável e precisa para apoiar sua inteligência de negócios, a tomada de decisões e os novos modelos de negócios com uso intensivo de dados.

Sobre a pesquisa 

A Global Digital Trust Insights Survey 2022 foi realizada entre julho e agosto de 2021, com 3.602 executivos de negócios, tecnologia e segurança (CEOs, diretores corporativos, CFOs, CISOs, CIOs e outros altos executivos) – 124 deles no Brasil. Do total, 62% dos entrevistados são executivos de grandes empresas (receita de US$ 1 bilhão ou mais) e 33% estão em empresas com receitas de US$ 10 bilhões ou mais. As executivas representam 33% da mostra.

Os entrevistados atuam em vários setores: tecnologia, mídia, telecomunicações (23%), produção industrial (22%), serviços financeiros (20%), varejo e mercados de consumo (16%), energia, serviços públicos e recursos naturais (8% ), saúde (7%) e governo e serviços públicos (3%).

Os entrevistados estão localizados em diversas regiões: Europa Ocidental (33%), América do Norte (26%), Ásia-Pacífico (18%), América Latina (10%), Europa Oriental (4%), Oriente Médio (4%) e África (4%).

A PwC Research, o centro de excelência global da PwC para insights e pesquisas de mercado, conduziu a pesquisa Global Digital Trust Insights, antes conhecida como Global State of Information Security Survey (GSISS).

 

Contatos

Eduardo Batista

Eduardo Batista

Sócio e líder de Cibersegurança e Privacidade, PwC Brasil

Tel: 4004 8000

Linkedin Follow Email
Edgar D'Andrea

Edgar D'Andrea

Sócio, PwC Brasil

Tel: 4004 8000

Linkedin Follow Email
Fernando Mitre

Fernando Mitre

Sócio, PwC Brasil

Tel: 4004 8000

Linkedin Follow Email
Magnus Santos

Magnus Santos

Sócio, PwC Brasil

Tel: 4004 8000

Linkedin Follow Email
Siga a PwC Brasil nas redes sociais
Canal de Ética Escritórios PwC no mundo Fale Conosco PwC Alumni

© 2019 - 2024 PwC. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Brasil Ltda., firma membro do network da PricewaterhouseCoopers, ou conforme o contexto sugerir, ao próprio network. Cada firma membro da rede PwC constitui uma pessoa jurídica separada e independente. Para mais detalhes acerca do network PwC, acesse: www.pwc.com/structure.