A alta administração unida para construir um futuro preparado para a realidade cibernética

Pesquisa Global Digital Trust Insights 2023

Um ambiente de negócios novo e arrojado

Impulsionados por eventos imprevistos, os líderes executivos e suas empresas saíram de suas zonas de conforto nos últimos anos. Passaram a trabalhar remotamente, na nuvem e com cadeias de abastecimento quase totalmente digitais. A cada nova empreitada, tiveram que lidar com novos riscos cibernéticos.

A boa notícia: os executivos de segurança da informação (CISOs) e as equipes cibernéticas estão se mostrando à altura do desafio. Mais de 70% dos entrevistados para a pesquisa Global Digital Trust Insights 2023 no Brasil e no mundo apontam melhorias na segurança cibernética de suas empresas em 2022 – graças a investimentos cumulativos e à colaboração da alta administração.

Diante de um cenário de riscos cibernéticos crescentes, os líderes terão muito trabalho pela frente – e num ambiente econômico instável:

  • Menos de 40% dos entrevistados no Brasil e no mundo dizem ter mitigado totalmente os riscos a que ficaram expostos durante a pandemia de covid-19.
  • Os CISOs veem a necessidade de avançar ainda mais em relação a cinco capacidades cibernéticas: identificar, proteger, detectar, responder e recuperar. 
  • Os altos executivos se preocupam com o fato de suas empresas não estarem totalmente preparadas para lidar com as ameaças crescentes. 
  • Em 2023, três desafios ganham mais corpo: divulgações obrigatórias, testes de resiliência e aumento da pressão para garantir a segurança e a privacidade dos dados.

A segurança cibernética se tornou um campo mais dinâmico, que se ajusta e muda rapidamente para acompanhar a inovação nos negócios.

Essa agilidade é necessária para lidar com os árduos desafios à frente. Como cada um pode continuar a fazer a diferença? Onde os CISOs e as equipes cibernéticas devem exercer influência para obter melhores resultados? 

O guia sobre cibersegurança e privacidade que apresentamos em nossa pesquisa avalia cenários esperados para 2023 e mostra como os executivos podem trabalhar juntos para encarar o futuro.

CISO

Cibersegurança no foco da liderança

O CISO está saindo de sua função de especialista cibernético independente para fazer parceria com toda a liderança. Essa colaboração entre os executivos nunca foi tão importante.

50%

dos CEOs no Brasil (46% no mundo) querem dar ao CISO mais autoridade para impulsionar a colaboração dos executivos em cibersegurança nos próximos 12 meses
CISO + CEO
CISO + CEO

“Onde eu, o CEO, posso fazer mais diferença na segurança cibernética?”

A digitização torna a segurança um assunto de todos, e essa mudança na cultura começa com o CEO. Os principais stakeholders de uma empresa – acionistas, clientes e funcionários – passaram a equiparar qualquer violação de segurança a uma violação de confiança. E construir e manter a confiança é o principal trabalho do CEO. Grandes mudanças podem ser a maneira mais eficaz de melhorar a postura de cibersegurança da organização – e somente o CEO pode fomentá-las.

61%

dos CEOs no Brasil (51% no mundo) exigirão um plano de gerenciamento de riscos cibernéticos para cada uma das principais mudanças comerciais ou operacionais nos próximos 12 meses

Chamada à ação:
Fale sobre seu compromisso com o ciberespaço. Use sua influência para inspirar mudanças estratégicas e remover as barreiras organizacionais que atrapalham o trabalho de coordenação da alta administração.

CISO + CIO/CTO
CISO + CIO/CTO

“Nosso plano de segurança na nuvem é tão ágil quanto o nosso negócio na nuvem?”

Os diretores de tecnologia da informação (CIOs) e suas equipes de DevOps geralmente definem o ritmo para a adoção da nuvem. Como CTO, porém, você precisará trabalhar mais próximo do seu CISO e das equipes de conformidade para tranquilizar a alta administração e o conselho em relação a seus temores de violações cibernéticas na nuvem. As ameaças na nuvem aumentaram em quase 40% das organizações participantes da pesquisa. Ainda assim, quase dois terços dos executivos dizem que seus riscos originados da nuvem não são totalmente mitigados.

19%

dos CIOs, CISOs e CTOs estão muito confiantes que a empresa tomou medidas para se proteger adequadamente contra quatro causas comuns de violações na nuvem

Chamada à ação:
Para proteger seu back-end, front-end, internet das coisas e tecnologias operacionais, trabalhe com o CISO para reforçar a segurança de seus ambientes na nuvem – desde o primeiro momento.

CISO + COO
CISO + COO

“Gastamos o suficiente e nas áreas certas? Estamos reduzindo o risco cibernético de nossos investimentos para o nível adequado?”

Muitos CISOs e diretores financeiros (CFOs) mudaram a forma como investem em cibersegurança: eles estão usando dados para tomar decisões de financiamento tendo em mente metas de negócios e seus principais riscos. À medida que as soluções tecnológicas proliferam, você, como CFO, precisará trabalhar com o CISO na elaboração de um plano geral para proteger sua organização em vários níveis, além de simplificar e otimizar todo o software de sua empresa.

39%

dos CFOs dizem que ter mais soluções de tecnologia cibernética ajudará a melhorar a postura cibernética

Chamada à ação:
No processo de modernização da TI, é importante levar em conta como cada investimento adicional pode mitigar o risco cibernético. A compreensão dos custos associados ao risco ajuda a priorizar a segurança desde a concepção da solução, e isso gera economia.

CISO + COO
CISO + COO

“O que devemos fazer para tornar nossa cadeia de suprimentos e nossas operações menos vulneráveis e mais resilientes a ataques cibernéticos?”

A cadeia de suprimentos é um ponto focal para ameaças como ataques cibernéticos, pressões competitivas e macroeconômicas e preocupações ESG. Como diretor de operações (COO), você começa a enfrentar os desafios de segurança ao treinar seus funcionários de operações, investir em tecnologia e gerenciar melhor os riscos de terceiros. Mas a crescente atração dos agentes de ameaças cibernéticas pela tecnologia operacional significa que você deve prestar atenção especial à proteção contra ataques.

56%

dos diretores de receita (CROs) e de operações estão extremamente ou muito preocupados com a capacidade de sua empresa de resistir a ataques à cadeia de suprimentos

Chamada à ação:
Planeje com o CISO e o CIO como avançar na maneira de proteger sua tecnologia operacional junto com a TI.

CISO + Conselho
CISO + Conselho

“A administração está fazendo o suficiente? Como nós, o conselho, podemos exercer uma melhor governança sobre a segurança cibernética da organização?”

Os conselhos estão mais engajados com a cibersegurança, pois suas empresas enfrentam riscos crescentes. E você sabe que é um desafio manter em dia a cibersegurança. Mas o futuro da supervisão cibernética pode ser diferente. Os diretores corporativos estão dispostos a aprender e dedicar mais tempo para entender os riscos cibernéticos relacionados à estratégia de negócios. Você está empenhado em obter relatórios aprimorados sobre cibersegurança.

59%

dos membros do conselho dizem que o órgão não é muito eficaz em compreender os fatores impulsionadores e os impactos dos riscos cibernéticos em sua organização

Chamada à ação:
Incentive o CISO a falar seu idioma. Peça para participar de exercícios que ajudem você a entender a resiliência cibernética de sua organização.

CISO + CDO
CISO + CDO

“Como podemos garantir a governança e segurança dos dados de nossos clientes, para mantê-los privados e ao mesmo tempo seguros para uso comercial?”

Os diretores de dados (CDOs) enfrentam muitos desafios, pois os dados se tornaram um ativo central para o bem e para o mal. Metade dos líderes não se sente confiante o suficiente na governança e segurança de dados de sua organização para tomar decisões com base em dados. A boa notícia: o CDO é visto cada vez mais como alguém importante para tratar da segurança e privacidade dos dados. A parceria com seu CISO pode ajudá-lo a proteger melhor os dados e a privacidade.

31%

dos CDOs, diretores de produto (CPOs) e de marketing (CMOs) dizem ter relações de trabalho “muito eficazes” com os CISOs e avaliam a privacidade e a segurança no marketing

Chamada à ação:
Trabalhe com seu CISO para atender às diferentes expectativas dos stakeholders, analisando todos os ângulos importantes de segurança e privacidade de dados, incluindo governança, acessibilidade e precisão.

CISO + CRO
CISO + CRO

“Como o perfil de risco cibernético afeta a tolerância ao risco de nossa organização? Até que ponto os líderes das unidades de negócios estão engajados no gerenciamento de riscos cibernéticos?”

CISOs e CROs têm trabalhado em conjunto para incluir riscos cibernéticos nos programas de gerenciamento de riscos corporativos de suas organizações. Mas ainda há muitas lacunas. Buscar a digitização pode significar mais riscos do que o apetite da sua organização comporta. Para ajudar a se fortalecer contra ataques cibernéticos cada vez mais sofisticados, você deve criar, testar e implementar planos e controles operacionais e de resiliência tecnológica robustos.

46%

dos CROs e COOs dizem que têm controles em uso em toda a organização para evitar sérias disrupções cibernéticas

Chamada à ação:
Adote uma abordagem que envolva “todos os riscos” para identificar fontes de disrupção e crie um programa de resiliência para a empresa que integre as principais competências de gerenciamento de crise, continuidade de negócios, recuperação de desastres e resposta a incidentes, para responder de maneira coesa e consistente.

CISO + CHRO
CISO + CHRO

“Como podemos preencher nossas posições cibernéticas mais rapidamente e reter nossos talentos?”

CISOs e diretores de recursos humanos (CHROs) estão rompendo com velhos modelos e ampliando os parâmetros de recrutamento. Ao reconhecer que algumas características – como habilidades de resolução de problemas – são, no mínimo, tão importantes como certificações e diplomas técnicos, você está ampliando seu grupo de candidatos. Ao mesmo tempo, você também está treinando os funcionários existentes e começando a usar serviços gerenciados para ajudar a manter a segurança cibernética de sua empresa.

39%

dos CISOs, CIOs e CTOs dizem que a perda de talentos é um problema crescente. Para outros 15%, ele atrapalha o progresso das metas cibernéticas

Chamada à ação:
Pergunte quais habilidades você realmente precisa ter em seu programa cibernético, atualize sua forma de recrutamento, dê incentivos aos talentos e ofereça trilhas de crescimento que os estimulem a ficar na empresa.

Um ataque cibernético catastrófico é o principal cenário nos planos de resiliência de 2023. Um ataque assim certamente colocaria as alianças da alta administração à prova.

Dois terços dos executivos no Brasil e no mundo consideram o cibercriminoso o agente de ameaças mais importante para sua organização no próximo ano. Ferramentas de cibercrime como serviço e prontas para uso permitem que criminosos executem uma variedade de ataques lucrativos com mais facilidade.

Ataques que exploram a nuvem

36% no Brasil (38% no mundo) esperam ataques mais sérios via nuvem em 2023


A violação: os invasores exploram uma configuração incorreta no aplicativo hospedado na nuvem de uma empresa e roubam dados de usuários para vender no mercado negro.

Consequências: notificações dispendiosas para os titulares dos dados. Uma possível ação coletiva contra a empresa. Danos à reputação da empresa.

O que deu errado: segurança inadequada, nenhuma defesa em profundidade, erros de codificação, testes inadequados de código escrito e de biblioteca, dados criptografados incorretamente.

Quem deve trabalhar em conjunto: CIO, CISO, CTO, CDO

infografico 1

 

 

 

 

Ataques à tecnologia operacional

39% das grandes organizações no Brasil (29%  no mundo) esperam um aumento de ataques à tecnologia operacional


A violação: um sistema de produção é afetado por um evento de ransomware devido a vulnerabilidades em sistemas operacionais legados.

Consequências: a produção é interrompida quando os sistemas afetados são desligados para evitar que os danos se espalhem. Os impactos se disseminam pela cadeia de suprimentos.

O que deu errado: hackers exploram vulnerabilidades não corrigidas para injetar ransomware. As vulnerabilidades exploradas já haviam sido corrigidas em sistemas corporativos, mas, devido à falta de recursos de gerenciamento, monitoramento e detecção de patches para os sistemas legados, as vulnerabilidades permaneceram não detectadas.

Quem deve trabalhar em conjunto: CIO, CISO, CTO, CRO, COO

infografico 1

 

 

 

 

Ransomware

45% dos executivos de segurança e TI esperam que os ataques de ransomware continuem aumentando


A violação: um funcionário médico abre um documento em um e-mail de phishing, ativando um malware.

Consequências: interrupção do serviço e desligamento quase total das redes.

O que deu errado: o software antivírus executou regras desatualizadas que não detectaram o malware incorporado no anexo malicioso. A falta de autenticação multifator permitiu que os invasores obtivessem acesso inicial. Sem serem notados na rede corporativa por semanas, os cibercriminosos realizaram o reconhecimento da rede e acabaram comprometendo uma conta de administrador de domínio, adquirindo privilégios elevados para lançar o malware, que desligou grande parte da infraestrutura principal de TI e comprometeu os backups.

Quem deve trabalhar em conjunto: CEO, CIO, CTO, COO, CISO, CDO, CRO, CFO, Conselho

infografico 1

Sobre a pesquisa

A pesquisa Global Digital Trust Insights 2023 foi realizada com 3.522 executivos de negócios, tecnologia e segurança de diversas regiões do mundo em julho e agosto de 2022. O estudo foi feito pela PwC Research, o centro de excelência global da PwC para pesquisa e insights de mercado.

Contact us

Eduardo  Batista

Eduardo Batista

Sócio e líder de Cibersegurança e Privacidade, PwC Brasil

Tel: 4004 8000

Fernando Mitre

Fernando Mitre

Sócio, PwC Brasil

Tel: 4004 8000

Maressa Juricic

Maressa Juricic

Sócia, PwC Brasil

Rafael Cortes

Rafael Cortes

Sócio, PwC Brasil

Siga a PwC Brasil nas redes sociais