Todos os dias surgem novas notícias sobre vazamento de dados em organizações de todos os tamanhos e variados segmentos de mercado. Segundo o relatório Accenture 2019 Cost of Cybercrime, o número de vazamentos aumentou 11% entre 2017 e 2018, e 67% nos últimos 05 anos. E a tendência é que este número continue aumentando, considerando a evolução não apenas na quantidade de dados disponíveis, mas também dos dispositivos conectados à infraestrutura das organizações, incluindo aparelhos móveis, de Indústria 4.0 e aqueles ligados à Internet das Coisas. 

Aspectos ligados a cibersegurança têm se tornado um desafio para as organizações, afetando inclusive a continuidade dos seus negócios. Além disto, os CISOs cada vez mais encaram cibersegurança como um risco de negócio a ser tratado, e os clientes exigem melhor postura das organizações em relação à proteção dos seus dados pessoais, inclusive considerando este aspecto em suas relações de consumo e de confiança. Finalmente, regulações como a GDPR (Europa), LGPD (Brasil) e A CACC (Estado da Califórnia, Estados Unidos) também vêm mostrando que os governos estão levando a sério o assunto segurança cibernética e privacidade.

Considerando o aumento dos riscos em cibersegurança, é um imperativo de negócio para os executivos em Segurança da Informação mitigar esses riscos, permitindo assim a continuidade dos negócios e o aumento da confiança de seus clientes, colaboradores, parceiros e fornecedores.  Neste cenário, mais de 15.000 organizações em mais de 100 países confiam no Gartner como consultor para a tomada de decisão estratégica não apenas em cibersegurança, mas em inúmeros outros temas como Recursos Humanos, Finanças e Risco e Auditoria. Mas afinal, quem é o que faz o Gartner?

O Gartner, Inc., ou simplesmente Gartner, foi fundado há exatos 40 anos por Gideon Gartner, na cidade norte-americana de Stamford, Connecticut. Seus números impressionam: um time de mais de 15.000 associados é responsável por trazer mais de 04 bilhões de dólares em receitas anuais, segundo o seu website. Os programas e serviços oferecidos pelo Gartner incluem pesquisa, consultoria e eventos. Suas ferramentas envolvem o ciclo de hype (Hype Cycle), além de Guias de Mercado (Market Guides) e Quadrantes Mágicos (Magic Quadrants), permitindo a organizações visualizar os resultados de análises de mercado e de uma série de soluções para a tomada de decisões estratégicas, inclusive aquelas ligadas a cibersegurança. Os eventos realizados pelo Gartner estão nos calendários da maioria dos executivos em todo o planeta, e são realizados durante todo o ano nos quatro continentes. No Brasil, o Gartner organiza anualmente as Conferências IT Symposium/Xpo e também de Segurança e Gestão de Risco. Nesta última, os CISOs têm a oportunidade de trocar experiências e também descobrir as últimas tendências em segurança para Cloud, Inteligência Artificial, Internet das Coisas, Blockchain, DevOps, além dos principais desafios em Segurança da Informação para os executivos e suas organizações.

Segundo o Gartner, até 2022 as classificações ligadas a cibersegurança se tornarão tão importantes quanto àquelas associadas a crédito, considerando a avaliação destes riscos para estabelecimento de relações de negócio. O grande desafio para as organizações nessa nova era digital é transformar a gestão de riscos de cibersegurança em vantagem competitiva para a alavancagem dos negócios. 

O Gartner também considera que as estratégias de TI estão cada vez mais alinhadas com objetivos de negócio. Neste cenário, tornam-se essenciais as habilidades de líderes de Segurança da Informação e Gestão de Risco em apresentar esses aspectos de maneira assertiva para embasar o processo de decisão estratégica nas empresas. Em suma, é necessário que as áreas de Tecnologia e Segurança da Informação estejam próximas da alta administração, devendo ser consideradas não apenas como meio de introduzir soluções de problemas técnicos, mas sim permitir que as organizações alcancem seus objetivos de negócio.

Considerando essa mudança de paradigma, o Gartner introduziu em 2017 uma abordagem estratégica para Gestão de Riscos em Cibersegurança, chamada de Continuous Adaptive Risk and Trust Assessment (CARTA). Essa abordagem é baseada em novos modelos de Confiança Zero, ou Zero Trust, que ao contrário dos antigos modelos relacionados ao conceito “trust, but verify”, eliminam os conceitos de perímetro de segurança que delimitam o ambiente em confiável e não confiável e tornam, tudo e todos, possíveis ameaças à organização.

Assim, acredito que é necessário aos CISOs reverem suas estratégias de detecção e resposta a ameaças. Essas estratégias exigem novos investimentos em seus Centros de Operações de Segurança (SOC) para que eles sejam capazes não apenas de prevenir, mas também de detectar e responder a ameaças. E esse não é um desafio fácil de superar, considerando que essas ameaças podem estar não apenas fora do seu ambiente, mas também dentro dele. O Gartner considera que, até 2022, 50% de todos os SOCs terão habilidades para a detecção e resposta adequada de incidentes de segurança, inclusive com a utilização de conceitos baseados em Inteligência Artificial e Machine Learning.  

Assim, é possível afirmar que a escala e escopo das ameaças cibernéticas está longe de diminuírem. À medida que novas tecnologias são introduzidas, trazem com elas novas ameaças para as organizações. Além disto – considerando os riscos de cibersegurança não apenas como aspectos técnicos, mas como essenciais à continuidade dos negócios – é essencial que os líderes de Tecnologia e Segurança da Informação estejam alinhados à alta administração e aos objetivos de seus negócios. Neste cenário, o Gartner surge como ator importante para auxiliar estes líderes a definir novas estratégias baseadas nas melhores práticas em cibersegurança, utilizando soluções que tratem adequadamente as ameaças e sejam aderentes aos seus negócios, além de promover a troca de experiência entre executivos de diferentes países e indústrias. Assim, acredito que será possível identificar e mitigar de maneira apropriada os riscos em Segurança da Informação, permitindo a estas organizações manter a satisfação dos seus clientes, colaboradores, parceiros e fornecedores, e assim garantir que alcancem seus objetivos de negócio.