Como CEOs podem melhor justificar os investimentos em cibersegurança?

Ciberameaças pressionam. Ao mesmo tempo, orçamentos se mantêm os mesmos. Afinal, qual a saída para quantificar financeiramente os riscos cibernéticos?

A maior preocupação dos executivos que tenho encontrado em eventos e congressos gira ao redor de um ponto em comum: como justificar os investimentos nas melhores tecnologias de defesa para suas necessidades? Afinal, são crescentes as ameaças diárias - vide os recentes ataques às operadoras de telecomunicações (Operação Soft-Cell), à empresa de bancos de dados de crédito Equifax e do Banco Americano Capital One.

No entanto, há uma disparidade. Um recente relatório publicado pela seguradora americana Marsh & McLennan e a FireEye indica que o volume total dos custos destes crimes aumentaram 33% desde 2016. Em contrapartida, registrou-se um aumento de apenas 10% das aquisições em sistemas de defesas cibernéticas. Em outras palavras, nunca o tema esteve tão em pauta nas preocupações dos executivos e da mídia em geral, porém os números apontam para uma aparente retração orçamentária para defendê-los.

À primeira vista uma clara contradição, já que todo o setor expandiu-se criando um número muito granular de diversas tecnologias para questões específicas das defesas. Seriam, de acordo com as empresas de pesquisas de mercado, superior a 30 formando um mosaico complexo de opções que os CISOs têm a sua disposição para estruturar suas linhas de defesas e projetos.

Do ponto de vista das empresas fornecedoras há uma frenética e positiva busca por aumentar rapidamente as capacidades das suas soluções e posicionamento de mercado. Grandes marcas de tecnologia passaram a adquirir empresas inovadoras e mesmo estabelecidas, bem como estruturar equipes especializadas para atender seus clientes numa dinâmica crescente e cíclica.

As pressões competitivas do ambiente de negócios forçam as empresas a acelerarem seus processos de transformação digital. E é em meio a estas intensas jornadas que CEOs e os conselhos de administração se deparam com o desafio de entender a complexa linguagem do valor das múltiplas tecnologias de defesas para alocar mais orçamentos para seus respectivos projetos.

Como priorizar a segurança

Com o vertiginoso crescimento do mercado, em função da dinâmica das ameaças, surgiram os modelos de segmentação dos ativos mais críticos em diagramas qualitativos. O que se busca aqui é apontar quais destes são de alta, média e baixa criticidade e, portanto, numa lógica racional, dirigir os limitados recursos proporcionalmente a partir dos mais críticos.

Entretanto, o que aprendemos é que os fatos reais nos mostraram que estes modelos são altamente subjetivos de julgamento e análise. Assim, não transmitem às área de negócios quais são os riscos em termos de números, ou melhor, em valores financeiros. Muitos dos casos que descrevi nos artigos anteriores nasceram a partir da exploração de pequenas falhas que contrariam qualquer sequência linear ou mesmo simplista.

Temos um claro desalinhamento entre a visão puramente tecnológica do porquê de uma determinada solução ser adquirida e seu respectivo custo com sua contrapartida de redução de riscos que irá proporcionar. São ainda dois mundos que não se comunicam de forma objetiva, portanto surgem as análises de riscos quantitativas como uma solução tangível para a questão. O que vemos é que este conflito de interesses atingiu um ponto de saturação no momento que os orçamentos passaram a ser questionados e/ou mesmo reduzidos.

Onde buscar o 'TechQuilibrium'?

Voltamos a questão central: Como provar ser necessário não apenas manter, mas expandir substancialmente os recursos para projetos de segurança cibernética nas jornadas de transformação digital das organizações?

Emerge por empresas de pesquisas de tendências o termo “Techquilibrium”, que vem a ser o ponto de equilíbrio ideal que a empresa deve atingir entre a combinação do seu componente tradicional com o digital, visando na sua somatória fortalecer o modelo de negócios e competir com mais eficiência para manter-se no mercado ou mesmo superar seus concorrentes que não conseguem acompanhar a revolução digital com a mesma competência e velocidade.

Esse novo estado de equilíbrio técnico dinâmico exige um entendimento dos elementos quantitativos e qualitativos do risco digital para apoiar as decisões relacionadas às estratégias de otimização e evolução da transformação digital.

É claro que não é esperado que as áreas de tecnologia impeçam 100% os ataques ou exploração de falhas, mas responder de forma inteligente e adequada quando vierem a ocorrer. Também não lhe cabe definir os níveis de riscos que serão aceitos (postura ou apetite de riscos da organização), mas sim mitigar, enfrentar e remediar aqueles que os níveis executivos decidiram por enfrentar.

Cibersegurança: uma questão de mapear riscos

O mapeamento de riscos num formato quantitativo cria um parâmetro comum de entendimento por apresentá-los em valores econômicos. Alguns CEOs e conselhos, a partir desta informação econômica, podem, portanto, definir quanto será aceito (magnitude das perdas diretas e indiretas, impactos e exposições caso os eventos previstos vierem a ocorrer num determinado período), quanto será enfrentado (tecnologias e serviços) e qual quantidade dos riscos será transferida para apólices de seguros.

Estas zonas de riscos podem e devem se movimentar num ciclo de projetos dependendo das condições de criticidade, dinâmica de mercado e balanceamento da distribuição dos recursos. Alguns conselhos podem decidir serem aceitáveis conviver com riscos associados a uma porcentagem do faturamento ou lucro anual; outras podem ter uma postura mais agressiva, outras mais conservadoras. Enfim, caberá ao conselho de administração e ao CEO tomar essa decisão e ser responsável por ela caso incidentes ocorram dentro desta faixa de riscos e, portanto, sem proteção.

Pela minha experiência, este número (após o choque inicial da sua descoberta e comunicação) tende a ser reduzido gradualmente à medida que a faixa de enfrentar/remediar tenha sucesso e reduza a exposição a perdas e assim, sucessivamente, numa dinâmica constante as atuais onerosas transferências aos seguros sejam também reduzidas.

Como brilhantemente Albert Einstein nos ensinou: “insanidade é continuar fazendo sempre a mesma coisa e esperar resultados diferentes”.

*Leonardo Scudere é diretor executivo e fundador da Cyberbric Solutions. Possui ampla experiência em segurança cibernética e gestão de riscos, tendo atuado como executivo líder em grandes empresas como Oracle, IBM Latin América (ISS-IBM) e Computer Associates (CA)