A avassaladora onda de ataques cibernéticos contra as empresas brasileiras está acelerando a transformação das organizações. O mais recente relatório de ameaças cibernéticas SonicWall revelou que, com mais de 33 milhões de tentativas de invasão, o Brasil é o quarto maior alvo de ransomware no mundo. Essa realidade tem trazido novos desafios de negócios e de gestão para o C-Level das empresas. Fica cada vez mais claro que a jornada em direção ao modelo ESG (Environment, Social e Corporate Governance, isto é, Governança ambiental, social e corporativa) exige um novo olhar sobre a questão da segurança digital. O próprio crescimento das empresas está em jogo.

Relatório divulgado pela Merrill Lynch Global Research, em setembro de 2019, mostra que a rentabilidade das ações de organizações ESG nos EUA superou a média de mercado em 3 pontos percentuais no período entre 2014 e 2019. Por traz de resultados como estes está um novo perfil de investidor. Pesquisa da consultoria State Street Global Advisors, realizada em 2018, a partir de entrevistas com 475 grandes empresas de investimento de todo o mundo, mostra que 80% desse universo prioriza empresas alinhadas às normas ESG.

Especialmente nos últimos dois anos, cresceu a consciência de que a bandeira ESG passa, também, por uma nova cultura de segurança digital. Estudo sobre a maturidade ESG dos mercados norte-americanos e europeu – relatório preparado pela empresa global de investimentos RBC e divulgado em janeiro de 2022 – mapeou o grau de preocupação dos gestores com os desafios de segurança. Os 800 gestores entrevistados colocaram os riscos de segurança digital como sua segunda maior preocupação. A primeira preocupação era com corrupção.

A responsabilidade pela defesa cibernética é de todos

No Brasil, a cultura ESG ainda está sendo construída nas empresas. O quadro atual de ataques é, porém, tão preocupante, que um avanço essencial está acontecendo nesse exato momento: a organização de comitês de segurança digital. Equipes multidisciplinares e com diferentes níveis hierárquicos têm como missão disseminar as melhores práticas em cybersecurity para além dos limites da TI e da Segurança. A luta pela proteção dos dados exige que cada pessoa da organização saiba seu papel nessa guerra. A responsabilidade pela defesa cibernética é de todos.

Estudo divulgado pelo Gartner em fevereiro de 2021 indica que, até 2025, 40% dos conselhos de administração contarão com um time dedicado à segurança cibernética. Por reunir profissionais de universos variados e falar as mais diversas linguagens de negócios e de tecnologia, o comitê de segurança digital é um elemento crítico na conformidade da organização ao modelo ESG. Em geral, as ações do comitê de segurança são organizadas por período (semanas, meses, trimestres) e visam aumentar a conscientização e a aderência de todo o universo corporativo – do mais alto executivo ao mais recente estagiário – às melhores práticas de segurança digital.

Nessa jornada, cabe ao comitê de cybersecurity reforçar uma mensagem crítica e urgente: que a organização tem vulnerabilidades, está sob ataque e provavelmente já sofreu perda de dados.

A era Zero Trust chegou

Essa compreensão acelera a adoção, dentro das empresas, de soluções de segurança ZTNA (Zero Trust Network Access). Partindo da premissa de que a rede não é segura, essa tecnologia provê acesso remoto seguro a todo tipo de usuário, tanto os localizados dentro do perímetro tradicional de rede, como os que estão fora do perímetro. O ambiente Zero Trust exige uma visão consultiva em que os direitos de acesso de cada usuário são configurados a partir de claras regras de negócios e de segurança.

A crescente adoção da computação em nuvem no Brasil – guarda-chuva que inclui sites de computação na borda, home office etc. – valoriza essa nova visão de segurança digital.

A era Zero Trust traz para a organização um novo domínio sobre as camadas de segurança virtualizadas, ressaltando a importância de recursos zero-touch. O modelo zero-touch maximiza a automação do ambiente digital. Com auxílio de recursos de inteligência artificial e machine learning, a própria rede se autoconfigura e se auto protege. Isso é essencial num momento em que os times de ICT Security estão muito reduzidos. A meta é simplificar a detecção e a resposta a ameaças, unificando eventos e análises de segurança em um único painel de controle. Fica mais fácil gerenciar alertas de alto risco.

A organização ESG opera na nuvem, seja em ambientes privados, públicos ou híbridos. Essa realidade aumenta a complexidade da tarefa de defender dados e aplicações rodando em ambientes distribuídos. É parte da missão do comitê de segurança digital aprofundar a compreensão sobre esse novo universo e disseminar, entre todos os colaboradores da empresa, o papel de cada um na jornada de segurança digital.

Em termos de riscos, nada tem superado os prejuízos trazidos à empresa pelas ações das gangues digitais. É essencial aumentar a consciência de que não existe empresa ESG sem uma nova cultura de segurança digital. Quem utilizar as corretas tecnologias e metodologias de segurança conseguirá provar, com métricas sólidas, a resiliência e a sustentabilidade da organização.