Por: Helder Ferrão
Com a crescente demanda em melhorar as defesas das organizações contra os ataques cibernéticos e criar um ambiente mais preparado para as crescentes ameaças, não tem sido fácil a vida de CISOs, CIOs ou de outros executivos de tecnologia das organizações. A necessidade de novas soluções e a demanda por profissionais com maior conhecimento em cibersegurança são apenas alguns dos pontos que influenciam o crescimento dos custos para lidar com esta situação.
O Gartner apresentou dados que demonstram que, em média, as empresas terão gastos 11% maiores em 2023, se comparado com 2022, para lidar com a necessidade de evoluir em suas defesas e atuar no gerenciamento de riscos.
Isto é um desafio para as organizações, pois, se os gastos permanecerem inalterados – não aumentar as despesas com cibersegurança – os ambientes de TI tendem a não estar preparados para a evolução das técnicas de invasão e ataque e, consequentemente, aumentar seu fator de risco. Se os orçamentos de segurança aumentarem, pode ser que haja necessidade de restringir os mesmos para outros projetos. A consequência para os executivos de tecnologia e segurança é que será necessário equilibrar os “pratos chineses” com muita habilidade, criatividade e diligência.
Por que os custos estão aumentando?
Existem muitas razões distintas que influenciam no aumento dos custos. As técnicas utilizadas pelos agentes maliciosos evoluem e, para proteger os ambientes é necessário também evoluir nas soluções de proteção, efetuar atualizações constantes, modificar regras de proteção e várias outras atividades relacionadas a melhoria da proteção do ambiente.
Por outro lado, é preciso atenção aos aspectos regulatórios, e como eles afetam as características e preocupações com a operação da organização. Como exemplo, podemos mencionar a LGPD (Lei Geral de Proteção de Dados) e a necessidade de todas as organizações protegerem os dados de seus clientes, parceiros, fornecedores e etc., pois no caso de um vazamento, elas estão sujeitas, inicialmente, às multas que podem chegar a 2% do faturamento anual, além dos aspectos negativos de imagem que irão impactar sua credibilidade frente ao mercado onde atua.
Diferentes indústrias criam suas recomendações e termos de conduta para que as organizações melhorem seus ambientes tecnológicos em termos de segurança, buscando proteger os dados que cada um possui, além de proteger a reputação do setor frente a sociedade e entidades governamentais, agências reguladoras etc.
Como exemplo, podemos mencionar o ONS – Operador Nacional do Sistema Elétrico que, em suas recomendações sobre governança estabelece o compromisso com a proteção de dados de acordo com as definições da LGPD e cria diretrizes para as empresas ligadas ao ONS na classificação de dados pessoais e sua proteção.
O uso de sistemas legados também traz níveis de riscos maiores, pois estes provavelmente foram desenvolvidos em tempos em que as preocupações com cibersegurança eram menores e hoje, a adaptação para este novo cenário é difícil e custosa.
Empresas privadas enfrentam o mesmo problema por força do mercado e exigência dos seus clientes. Uma pesquisa publicada no site TechRepublic, em 2022, já apontava que 64% dos clientes das organizações não acreditavam que as estas possuem técnicas efetivas para proteção de seus dados, e ainda 45% dos entrevistados disseram que não fariam mais negócios com uma empresa que tivesse um problema com cibersegurança comprovado.
Portanto, seja para cumprir exigências regulatórias ou atender as expectativas e exigências dos clientes as empresas necessitam investir mais em proteção cibernética e estruturas proativas de monitoração e mitigação de impactos em casos envolvendo cibersegurança.
A escassez de mão-de-obra na área de cibersegurança é outro ponto que preocupa muito as organizações. A demanda cresce de modo acelerado e o mercado não consegue formar profissionais suficientes para atender esta necessidade. Isso faz com que os salários deste setor cresçam devido à “disputa” dos profissionais pelas empresas contratantes.
Diferentes fontes de pesquisa mencionam que hoje já existem no Brasil aproximadamente 250 mil vagas em tecnologia que não se pode preencher por falta de profissionais qualificados – este número nos EUA seria de aproximadamente 1 milhão. A demanda brasileira de formação por novos profissionais, anualmente, seria de aproximadamente 350 mil novos colaboradores, mas não temos esta capacidade de formação. Estes números mostram mais uma das características que traz como consequência a tendência de aumento dos custos nesta área.
Como as empresas podem lidar com estas despesas?
A realidade é que os custos estão subindo e, para que os níveis de proteção, no mínimo, acompanhem a evolução das ameaças, é preciso pagar. Isso não é algo que um executivo queira ouvir. Porém, existem alternativas que podem permitir alguma compensação e até um processo de avaliação adequado de custo-benefício que precisa ser identificado, esclarecido e absorvido pelos executivos.
Apesar da polêmica, uma alternativa é repassar parte dos custos para os preços pagos pelos clientes finais. Existem prós e contras para essa abordagem, mas não deixa de ser uma alternativa a ser avaliada. Uma pequena variação em toda cadeia de produtos pode ajudar no equilíbrio das contas, porém, por outro lado também pode afugentar os clientes que não absorvem o aumento dos preços. No entrando, como mencionado, é preciso avaliar.
Absorver o aumento de custos internamente é sempre o primeiro caminho para evitar impactos frente aos clientes. Apesar do impacto inicial, é necessário avaliar quais as consequências de um ataque bem-sucedido em seus diversos aspectos como: perda de receita direta, aumento de custos operacionais, impacto na imagem frente a clientes, fornecedores, parceiros e como isso influenciará no resultado da organização.
Segundo dados publicados pela da ABRANET – Associação Brasileira de Internet – o custo médio de uma violação de dados no Brasil caiu 4% entre 2022 e 2023, porém ainda atinge o montante de R$6.2 milhões de reais, o que obviamente não é um valor desprezível para nenhuma organização. O incremento de investimentos anuais em cibersegurança estaria longe deste valor. Novamente, uma avaliação de custo-benefício e risco se faz necessária.
Transformação digital como aliada na absorção de custos
O processo de transformação digital das organizações pode ajudar e alavancar a melhoria do ambiente de segurança. Mover parte ou todo o ambiente tecnológico de uma organização para a nuvem permite uma redução direta dos custos de infraestrutura (local físico, aluguel, energia, segurança, obsolescência, depreciações) e ainda possibilita utilizar as soluções de segurança disponibilizadas como serviços também em nuvem, e com serviços profissionais associados, absorvendo parte da necessidade de profissionais capacitados internamente.
Escalabilidade sob demanda ainda será um aliado para adequar os custos com o momento e volume atual dos negócios. Associar custos alinhados à demanda, sem necessidade de altos investimentos iniciais é sempre o caminho mais adequado.
Todas estas possibilidades de melhor gestão de custos do ambiente tecnológico das organizações podem ajudar ou até equilibrar totalmente a necessidade de aumentos de custos em cibersegurança.
Utilizar serviços gerenciados
Uma alternativa para empresas de pequeno e médio porte é a utilização de provedores de serviços de cibersegurança através de serviços gerenciados de bons parceiros. Esta opção pode ajudar no problema de falta de profissionais para compor a equipe de cibersegurança, pois o uso de parceiros confiáveis ajuda no mapeamento de riscos e reduz a probabilidade de incidentes, sem a necessidade de contratar, treinar e remunerar uma equipe interna em tempo integral.
Utilizar serviços de terceiros nesta área permite selecionar as soluções adequadas para as necessidades de negócio daquele momento, adaptar de acordo com a demanda e ajustar as soluções conforme o ambiente de negócios se altera.
Avaliação do impacto no seguro cibernético
De acordo com informações da Federação Nacional de Seguros Gerais (FenSeg) as contratações de seguro cibernético cresceram mais de 75% entre os anos de 2021 e 2022. Isto demonstra claramente a preocupação das empresas com este problema e como elas tentam se proteger em casos de violações bem-sucedidas. Porém, um outro aspecto precisa também ser avaliado.
Uma organização que passa por um “sinistro” deste tipo passará a ter seus custos de contratação dos seguros bastante impactados e onerados. As seguradoras avaliam o histórico das empresas do setor e da empresa contratante, além de analisar profundamente quais são as proteções implementadas pela organização para proteger seu ambiente de violações. Quanto mais frágil e desatualizado for o ambiente tecnológico de uma organização ou se a mesma já passou por um incidente de segurança, mais alto será o prêmio pago pelo seguro contratado.
Em outras palavras, até a contratação de seguros diretamente relacionados à cibersegurança, ou até outros que possam estar relacionados à capacidade de manutenção de suas atividades operacionais, podem ser afetados em função de eventuais deficiências na proteção contra um ciberataque.
Encare os gastos como investimento
Os custos com cibersegurança estão aumentando e são inevitáveis, pois, a tecnologia é usada massivamente para manutenção do ambiente de negócios e os volumes de ataques aumentam conforme as aplicações são desenvolvidas para suportar esta evolução da tecnologia.
As expectativas dos clientes e órgãos de regulação evoluem, o que demanda mais profissionais qualificados. O resultado é o aumento dos gastos para que as organizações se mantenham seguras, mas isso deve ser encarado como um investimento que reduz os riscos de ataques bem-sucedidos, reforça a confiança de clientes e de toda cadeia de parceiros e fornecedores. E, ainda permite que sua estrutura evolua, ganhe eficiência e otimize custos operacionais da organização.
O equilíbrio é o caminho para manter um ambiente protegido e saudável para a continuidade dos negócios e evolução da organização.