O playbook do C-Level: posicionando a segurança no epicentro da inovação

Notamos que 5% parecem estar fazendo justamente isso. Esses executivos (os top 5%) — nossos guardiões da confiança digital — estão colhendo benefícios que outros estão perdendo. Eles experimentam menos violações e os ataques que sofrem não são de alto custo.

Para esses 5%, gerenciar riscos é também mais fácil porque eles simplificaram suas soluções de segurança. Além disso, eles se posicionaram para ser mais produtivos e crescer mais rapidamente, superando a concorrência à medida que mergulham em novas tecnologias com a confiança de que estão bem protegidos.

As equipes de cibersegurança que  "normalmente" (80% a 100% do tempo) praticam uma defesa forte e têm disposição para o crescimento.

Salvaguardar a tecnologia e os processos, que estão no centro do negócio, é o mesmo que proteger a empresa. Por essa razão, em 2023, a PwC criou um playbook voltado a executivos C-Level para ajudá-los a focar nas perguntas que precisam responder junto com seu CISO.

Atualizamos o playbook para 2024. Este ano provavelmente será um divisor de águas, porque a segurança cibernética enfrenta quatro grandes transformações, cada uma das quais potencialmente disruptiva por si só.

Reduzir riscos cibernéticos é a prioridade máxima de 2024. Após ter caído para a quarta posição na lista dos riscos priorizados do C-Level em nossa 26ª Pesquisa Global Anual de CEOs de 2023, essa questão ocupa, em 2024, a segunda posição – atrás apenas dos riscos tecnológicos. Aliás, para os CEOs, os riscos digitais e tecnológicos são inseparáveis dos cibernéticos.

No ambiente de negócio atual, não dá mais para falar de transformação digital ou reinvenção sem mencionar, ao mesmo tempo, a segurança cibernética. Ataques à nuvem e a dispositivos conectados – duas tecnologias que estão no centro da transformação empresarial hoje – são as ameaças cibernéticas que mais preocupam.

Grandes violações estão crescendo em número, escala e custo. A porcentagem dos que relataram custos de US$ 1 milhão ou mais em sua pior violação nos últimos três anos passou dos 27%, em 2023, para 36%, este ano.

O ritmo da inovação e reinvenção dos negócios com o uso de tecnologia não está desacelerando. No total, 40% dos CEOs acham que suas empresas podem não ser mais viáveis economicamente em uma década se seguirem o caminho atual.

O desafio do C-Level é este: a gestão de riscos cibernéticos da sua organização acompanha as transformações?

As violações estão ficando mais caras

Custos estimados das violações de dados mais prejudiciais às organizações nos últimos três anos

Modernização e otimização lideram as prioridades de investimento em cibersegurança para 2024. Quase metade (49%) dos líderes apontou como prioritária a modernização da tecnologia, incluindo a infraestrutura cibernética, e 45% citaram a otimização das tecnologias e dos investimentos existentes.

Os orçamentos de cibersegurança para 2024 visam aproveitar ao máximo as ferramentas existentes

Em 2022, descobrimos que os CEOs estavam muito preocupados que suas organizações se tornassem muito complexas para garantir sua segurança. No total, 32% declararam ter fortalecido seus fornecedores de tecnologia para simplificar e realinhar sua combinação de serviços internos e os serviços que gerenciam externamente.

Em 2024, 44% relatam o uso de um conjunto integrado de soluções de tecnologia cibernética e 39% planejam migrar para um nos próximos dois anos. Quase um quinto (19%) diz que tem à sua disposição muitas soluções cibernéticas e precisa consolidá-las.

O uso de serviços na nuvem sempre esteve relacionado à inovação – permitindo aos desenvolvedores colaborarem não importa onde estejam, adotando formas novas e mais flexíveis de trabalho, criando novos modelos de negócios, conectando tecnologias para ajudar a gerenciar melhor as empresas, fornecendo um serviço superior aos clientes e por aí vai. 

Muitos dos entrevistados – 42% – usam mais de uma nuvem, e as preocupações com a segurança aumentam entre usuários de múltiplas (híbridas) nuvens. No total, 54% citam o serviço de nuvem como seu risco de cibersegurança mais urgente. Os usuários do modelo híbrido são também os mais propensos a destacar a nuvem entre suas três prioridades de investimento em segurança este ano (36% contra 33% no geral).

Porém, quase todas as organizações (97%) têm lacunas em seus planos de gestão de risco na nuvem. Somente 3% mantêm planos atualizados que abordam todas as nove áreas de segurança. Além disso, 42% ainda não trataram dos riscos de uma regulação fragmentada, 41% não têm plano para lidar com o risco de concentração e 36% ainda não endereçaram o risco na nuvem de terceiros.

Segurança da nuvem: principal ameaça e investimento – mas a gestão deixa a desejar

Quase 70% dizem que sua empresa usará a GenAI na defesa cibernética. Essas ferramentas podem ajudar a reduzir a desvantagem das equipes de cibersegurança sobrecarregadas pelo grande número e pela complexidade dos ataques cibernéticos liderados por pessoas – ambos em constante elevação.

As plataformas estão licenciando seus grandes modelos de linguagem (LLMs) junto com suas soluções tecnológicas cibernéticas. O Microsoft Security Copilot, por exemplo, pretende fornecer recursos de GenAI para a gestão da postura de segurança, resposta a incidentes e elaboração de relatórios. Já o Google anunciou o Security AI Workbench para uso semelhante.

Muitos fornecedores estão forçando os limites da GenAI, testando tudo o que é possível. Pode levar algum tempo até vermos o uso em larga escala desses defenceGPTs. Enquanto isso, confira as três áreas mais promissoras para o uso dessa tecnologia na defesa cibernética: detecção e análise de ameaças; elaboração de relatórios de risco e incidentes cibernéticos; e controles adaptativos.

O senso comum diz que novas regras e regulamentações prejudicam as receitas. No entanto, pelo menos um terço dos líderes da área de cibersegurança acredita que “as proteções que os reguladores estabelecem podem conferir às empresas mais confiança para explorar, experimentar, inventar e competir”. Lidar com as exigências regulatórias pode se tornar uma vantagem competitiva.

Cerca de um terço dos respondentes concorda que quatro tipos de regulamentação serão mais importantes para garantir o crescimento futuro de suas empresas: a da IA (37%); a harmonização das leis de proteção de dados e cibersegurança (36%); a que trata da elaboração de relatórios obrigatórios para gestão, estratégia e governança dos riscos cibernéticos (35%); e os requisitos de resiliência operacional (32%).

A transparência é a demanda regulatória que continuará a aumentar mundialmente. As novas regras da Securities and Exchange Commission (SEC) já determinam a divulgação pública das violações de segurança cibernética. No Brasil, a Lei Geral de Proteção de Dados (LGPD) exige a comunicação de incidentes envolvendo dados pessoais, que tenham potencial efeito material sobre as operações e os investidores. As empresas também precisam estar preparadas para as exigências impostas pelos reguladores setoriais, como Banco Central, Susep, ONS, Aneel e outros.

Cerca de três quartos dos entrevistados esperam que o compliance dessas regulamentações exigirá gastos significativos com tempo e dinheiro. Por outro lado, os altos custos e impactos nas receitas podem ser evitados se as organizações se envolverem desde cedo e com frequência nos processos regulatórios — reunindo-se com as autoridades locais, participando de audiências públicas e até ajudando os reguladores a elaborar ou influenciar diretrizes.

Diretrizes regulatórias que poderiam mudar a segurança cibernética

Objetivos e princípios regulatórios com maior impacto para o crescimento futuro da receita da empresa (ranking dos 3 principais)

Não se trata mais do business-as-usual na sua empresa. A maioria das organizações está presa ao cyber-as-usual, como esta pesquisa demonstra bem.

São muitas iniciativas fragmentadas e complexidades tecnológicas sempre em expansão. Um programa de gestão de risco que, com seus gaps, é arriscado por si só. Transformações e projetos que não produzem os resultados esperados. Todos esses obstáculos permanecem no caminho de uma segurança cibernética verdadeiramente confiável.

Seu programa de segurança cibernética é focado em cyber ou no negócio?

As iniciativas na parte de cima do gráfico são focadas na cibersegurança; na parte inferior, no negócio

No playbook de 2023, identificamos desafios críticos e ainda relevantes que o C-Level deveria tratar em conjunto.

Em 2024, os desafios são: como líder, você promove a consolidação das tecnologias e gera convergência com a ampliação da eficiência da defesa, visibilidade total dos riscos, adoção das novas capacidades de proteção e o aproveitamento das oportunidades de redução dos atuais custos? Você dá saltos criativos para finalmente superar os obstáculos que bloqueiam sua empresa de atingir seus objetivos?

Estar no epicentro da inovação significa se reunir com suas equipes de liderança onde elas estão para ajudá-las a superar a intimidação que eventualmente possam sentir em relação ao que você faz. 

O uso dos jargões da sua área, como paisagem cibernética, superfície de ataque ou mesmo confiança-zero, apenas amplia o mistério para as pessoas de fora. 

Ouse conversar sobre segurança cibernética em uma linguagem corporativa, de tecnologia, financeira ou do dia a dia. Fale com seus clientes, investidores e parceiros de negócio, nos relatórios anuais de segurança, de forma informativa e engajadora. O uso de um vocabulário mais simples pode ajudar os executivos a lidar com os trade-offs, as tensões e o caos que podem acontecer no epicentro da inovação.

Adote abordagens mais sofisticadas na modelagem dos riscos cibernéticos, como varreduras de potenciais ameaças, usando fórmulas específicas para o setor, a visão e a estratégia de sua empresa. Crie um incentivo de performance atrelada ao risco para todos os funcionários elegíveis a bônus na organização, de modo a construir uma cultura de riscos.

Invente novos jeitos de identificar e fortalecer suas fraquezas, talvez com um programa moderno de recompensa para detecção de erros, que incentive uma investigação de segurança independente. Por fim, adquira e comece a usar uma solução de identidade cloudfirst, gerenciada de forma centralizada, para proteger suas metas de expansão empresarial.

Fale a linguagem da confiança e não apenas a do compliance regulatório. Envolva-se cedo e com frequência para ter uma chance maior de influenciar quaisquer regras novas e assegurar que elas vão impulsionar, e não atrapalhar, o sucesso do negócio.

Inteligência artificial, metaverso, criptomoedas e privacidade – esses tópicos regulatórios urgentes podem se beneficiar de sua experiência e seus insights.

Ter olhos 24 horas por dia é um dos benefícios da automação, da GenAI e dos serviços gerenciados. Outra vantagem é liberar seus times da execução de tarefas rotineiras. 

Liberados de atividades tediosas, seus colaboradores podem encontrar tempo e espaço para refletir sobre as novas ameaças cibernéticas em constante evolução e criar formas inovadoras de neutralizá-las

A segurança cibernética encabeça os registros de risco da maioria das organizações e em muitas pesquisas corporativas. No entanto, é um assunto recorrente nas reuniões de diretoria? Você recebe informações de qualidade, não apenas sobre riscos e controles cibernéticos, mas também sobre como as principais iniciativas estratégicas impulsionam o crescimento do negócio e da receita?

A segurança fornece a base para tudo o que sua empresa faz – finanças, desenvolvimento, recursos humanos, tecnologia e outras áreas que você provavelmente discute toda vez que acontece uma reunião. Encarar de frente o seu programa de segurança cibernética pode ser um movimento ousado.

A transformação do negócio é uma coisa, mas a transformação cibernética não é outra. São a mesma coisa. O CISO e o CEO juntos precisam abraçar a cibersegurança como uma iniciativa de toda a empresa, colocando-se no lugar do dono do negócio.

Não gostariam que todos os aspectos — registros financeiros, pesquisas proprietárias, desenvolvimento de aplicativos, dados de clientes e assim por diante — fossem protegidos da visualização ou do uso não autorizado? Não gostariam de proteger a sua marca? A segurança cibernética não poderia impulsionar inovações que economizem os recursos financeiros e ajudem o negócio a crescer? Essa é a razão de ser da cibersegurança.

A Global Digital Trust Insights Survey 2024 da PwC foi realizada com 3.876 executivos de negócios, tecnologia e segurança (CEOs, diretores corporativos, CFOs, CISOs, CIOs e líderes C-Level) entre maio e julho de 2023. 

Quatro em cada dez executivos pertencem a empresas com receitas de US$ 5 bilhões ou mais e 30% estão em organizações com receitas de US$ 10 bilhões ou mais. 

Os entrevistados atuam em vários setores: manufatura industrial (20%); serviços financeiros (20%); tecnologia, mídia e telecomunicações (19%); varejo e consumo (17%); energia, serviços públicos e recursos naturais (11%); saúde (9%) e serviços estatais e governamentais (3%). 

Estão baseados em várias regiões: Europa Ocidental (32%), América do Norte (28%), Ásia-Pacífico (18%), América Latina (10%), Leste Europeu (5%), África (4%) e Oriente Médio (3%). 

A Global Digital Trust Insights Survey era conhecida como Global State of Information Security Survey (GSISS). Em seu 26º ano, é a pesquisa anual mais antiga sobre tendências de cibersegurança. É também a maior pesquisa do setor e a única que atrai a participação de vários executivos de negócios, não apenas os de segurança e tecnologia.

A PwC Research, o centro de excelência global da PwC para pesquisa e insights de mercado, realizou este estudo.