É inegável que o papel do Chief Information Security Officer (CISO) nas empresas vem tomando cada vez mais importância na discussão estratégica do negócio. A transformação digital exigida durante a pandemia da Covid-19 por meio da disponibilização de serviços remotos, aceleração no desenvolvimento de novos produtos, necessidade de inovação, soluções totalmente digitais, dentre outros fatores, aumentou consideravelmente o risco cibernético do negócio, ampliando a discussão no board da companhia sobre suas consequências e o que seria necessário para redução desses riscos.
Diante deste cenário, surgem diversos estudos que retratam as principais preocupações dos CISOS no Brasil e no mundo e quais as perspectivas para o futuro nas companhias. A Global Survey Research – uma empresa de pesquisas independente – realizou um levantamento online, com empresas de 500 funcionários ou mais, de diversos setores nos EUA, Reino Unido, Europa Ocidental (França, Holanda) e Brasil.
Os dados desse levantamento foram disponibilizados no relatório State of the CISO Brazil 23, da Salt Security – empresa que oferece soluções de segurança para APIs – com um recorte da análise realizada, e dele destaco alguns pontos importantes:
A transformação digital adiciona riscos de segurança não previstos
O levantamento aponta que, para 90% dos CISOS, a adoção acelerada de novos serviços para atender a demanda exigente dos clientes adiciona riscos nunca antes vistos ao ambiente, muito além do que estava mapeado.
Consequentemente, nem todos conseguem ser mitigados e só serão conhecidos quando explorados. Isso tem trazido uma grande preocupação aos CISOS e alertado para um outro ponto nunca antes visto: no Brasil, 35% desses profissionais têm mostrado preocupação com a responsabilização pessoal pelos incidentes ocorridos; nos outros países, essa dor aparece em 48% dos entrevistados.
Por esse motivo as seguradoras têm ampliado a esses executivos os seguros de D&O (Directors and Officers), antes restrito principalmente aos CEOs e CFOs, posições normalmente mais ligadas às questões financeiras da companhia.

Necessidade de maior controle de APIs
A falta de controle com a adoção de APIs se mostra o maior risco para 40% dos CISOS no Brasil e 37% no resto do mundo. Na visão dos brasileiros, os outros riscos que mais impactam são na cadeia de suprimentos (38%), gerenciamento de vulnerabilidades (35%), hardware e software desatualizados (35%) e adoção da nuvem (33%).
Esses riscos ocorrem justamente pela necessidade de liberar novos produtos rapidamente, movimento que tende a deixar de lado uma análise mais ampla dos riscos e segurança e aumentam as chances de vulnerabilidades no ambiente.
Contudo, está nos planos de 92% dos entrevistados privilegiar a implantação de soluções de segurança em APIs nos próximos dois anos, tema que para 60% deles é de alta prioridade.
Fazendo um paralelo com outros desafios de desenvolvimento, quando os requisitos de segurança são deixados de lado no início de um projeto, a correção demanda muito mais esforço e custo nas etapas seguintes de produção.
Mercado incerto e falta de talentos
A falta de talentos em tecnologia e segurança não é um assunto novo e, provavelmente, ainda vai se estender. Com a alta demanda mencionada pelas empresas para digitalização de seus serviços a fim de atender a tal transformação digital, o risco inerente a cada negócio atrelado aos constantes ataques de cibercriminosos faz com que a formação de novos profissionais não supra a necessidade do mercado, e isso gera um gap importante entre demanda e oferta.
A falta de recursos qualificados para atender essa demanda complexa é uma preocupação de 38% dos CISOS, pois, mesmo com tecnologias como IA, automações respostas automáticas, o fator humano é essencial para atuar no controle e resposta a incidentes de segurança, bem como gerir todo o ecossistema de cibersegurança.
Alinhado à falta de talentos, o aumento da responsabilização em incidentes e otimização das atividades operacionais com a adoção de soluções de IA faz com que 97% dos executivos esperem o crescimento de demissões no setor, mesmo com todo um cenário favorável à continuidade da transformação digital e aumento dos riscos cibernéticos.

O investimento contínuo
Outro dado relevante da pesquisa aponta que 100% dos conselhos administrativos das empresas possuem conhecimento sobre questões de segurança cibernética, um número elevado se comparado à quantidade de incidentes sofridos pelas empresas.
É contradizente ter um conselho com alto conhecimento em cibersegurança e, ao mesmo tempo, não tomar as devidas providências para evitar incidentes graves. É muito provável que o estudo não tenha olhado para os riscos e perdas financeiras com incidentes.
Ainda tratando-se de conselho administrativo, 25% dos respondentes declaram se reunir com os conselheiros trimestralmente. Essa é uma informação positiva, porém resta saber se as reuniões geram de fato ações efetivas de mitigação dos riscos.
Outro dado relevante é que os investimentos em segurança estão crescendo ano a ano segundo 82% dos entrevistados, porém 95% das empresas declararam aumento da receita e os orçamentos de segurança não acompanham o mesmo nível (13%).
De maneira geral, as preocupações dos CISOS são semelhantes, o que demonstra que nossos executivos estão alinhados com as tendências globais. O diferencial é a maturidade do mercado americano se comparado aos outros, que puxa a régua para cima.
O ponto bom é que podemos usar essa visão externa e aplicá-la como tendência interna, ou seja, já sabemos para onde ir, só não podemos esquecer de nossos desafios locais e atuar com os pés no chão junto à empresa.