As empresas de serviços financeiros há muito tempo são um alvo recorrente para os cibercriminosos. Não sem uma boa razão, pois além de trabalhar com dinheiro, as empresas financeiras lidam com uma grande quantidade de dados confidenciais de clientes que os criminosos usam em vários esquemas de fraude ou vendem em mercados da dark web. De acordo com o Data Breach Report 2020 produzido pela Verizon, só no ano passado o setor financeiro sofreu mais de 1.500 incidentes de segurança, com 448 casos confirmados de divulgações de dados.
Além das ameaças de longa data, a maioria das empresas recentemente tiveram que lidar com a rápida transição para o trabalho remoto. A mudança ocorreu de forma repentina, deixando as empresas com pouco tempo para implementar as medidas de segurança adequadas ou preparar os funcionários para as ameaças cibernéticas que viriam. E embora a pandemia acabe, o trabalho remoto veio para ficar, aumentando a lista de desafios que as empresas devem enfrentar ao criar seus planos e políticas de segurança.
A seguir estão alguns dos desafios mais comuns com os quais as organizações muitas vezes lutam devido a vários fatores:
Falta de profissionais
Embora muitas empresas possam estar recrutando profissionais de segurança cibernética experientes (ou potenciais) para que façam parte de suas equipes de segurança e que possam ajudá-las a estabelecer um perímetro defensivo contra várias ameaças, simplesmente não há profissionais suficientes para todos. Na verdade, embora a lacuna da força de trabalho em segurança cibernética tenha diminuído pela primeira vez em anos, ainda há uma escassez global de 3,12 milhões de trabalhadores. Na realidade, para compensar a escassez global de talentos, os níveis de empregabilidade teriam de crescer 89% em todo o mundo. Portanto, para atrair as mentes mais brilhantes desse setor, as empresas terão de oferecer salários competitivos e oportunidades de trabalho atraentes.
Orçamentos insuficientes
Um fator-chave que impede as empresas de enfrentarem as ameaças cibernéticas de forma adequada é que elas não têm orçamentos suficientes alocados para a área de segurança cibernética. De acordo com uma pesquisa realizada pela consultoria Ernst and Young, 87% das organizações participantes afirmaram não ter orçamento suficiente para atingir os níveis de segurança cibernética e resiliência que buscavam. A falta de recursos significa que as empresas não podem contratar talentos suficientes para a segurança cibernética ou não podem implementar as medidas técnicas de que precisam para combater os ataques.
Superestimar suas próprias medidas de segurança
Um erro comum que muitas empresas cometem é que superestimam a qualidade de suas medidas de segurança cibernética. Embora possam acreditar que estão no topo das coisas, as empresas podem não ter as melhores políticas de atualização de segurança em vigor. Um bom exemplo, mas ao mesmo tempo infeliz, é a vulnerabilidade BlueKeep no Windows. O patch foi lançado em maio de 2019, e a Microsoft pediu que todos fizessem atualizassem o sistema operacional o mais rápido possível. Um mês depois, a Agência de Segurança Nacional dos Estados Unidos emitiu seu próprio alerta. Apesar disso, em julho ainda havia mais de 805.000 máquinas suscetíveis ao BlueKeep. A história continuou com os primeiros ataques explorando o BlueKeep em novembro. Nem é preciso dizer que corrigir uma vulnerabilidade tão séria não deve levar seis meses, em nenhuma circunstância.
Falta de treinamento e conscientização sobre questões de segurança
Outro fato que geralmente prejudica a segurança cibernética de uma empresa é que os funcionários não recebem treinamento suficiente sobre tópicos de conscientização sobre segurança cibernética. Indiscutivelmente, os riscos de os funcionários serem induzidos em erro a baixar malware ou compartilhar suas credenciais foram ampliados pela mudança para o trabalho remoto que a Covid-19 promoveu. De acordo com um estudo do Ponemon Institute, embora as empresas tenham visto um aumento nas tentativas de ataque durante a pandemia (incluindo ataques de phishing e engenharia social), 24% dos entrevistados acham que suas organizações não forneceram treinamento suficiente sobre os riscos associados ao trabalho remoto. Na América Latina, uma pesquisa com usuários realizada em meados de 2020 pela ESET mostrou que mais de 40% dos entrevistados consideravam que a empresa para a qual trabalhavam não estava preparada em termos de dispositivos e conhecimentos de segurança para se adaptar ao teletrabalho. Também é preocupante que o estudo Ponemon tenha constatado que mais da metade das empresas não possuía uma política de segurança que atendesse aos requisitos para o teletrabalho.
Subestimando o valor da segurança cibernética
Algumas organizações subestimam o valor da segurança cibernética para seus negócios e, portanto, optam por investir em outros aspectos que consideram mais valiosos. Alguns podem argumentar que os custos superam os benefícios ou que o custo das medidas de segurança cibernética supera as perdas econômicas potenciais de um vazamento de dados. No entanto, embora as penalidades e perdas potenciais possam ser menores no curto prazo, os danos à reputação podem levar a consequências maiores, incluindo a perda de confiança do cliente, o que pode impactar a receita. Alternativamente, os cibercriminosos podem obter acesso à propriedade intelectual e vender essas informações junto com os dados do cliente na dark web. Portanto, a segurança cibernética não deve ser deixada de lado, pois serve para proteger a empresa e seus clientes.
Conclusão
Qualquer combinação dos pontos mencionados acima pode significar uma tempestade perfeita para a maioria das organizações, caso enfrentem um ataque cibernético. Do lado positivo, as empresas de serviços financeiros nos níveis mais altos começaram a levar a sério as preocupações com a segurança cibernética. A McKinsey, empresa global de consultoria de gestão sênior, descobriu que 95% dos comitês do conselho pesquisados dizem que discutem riscos cibernéticos e riscos de tecnologia pelo menos quatro vezes por ano. No entanto, é importante notar que a conscientização da alta administração deve ser acompanhada por um investimento adequado em soluções de segurança cibernética e no treinamento de funcionários com os melhores padrões possíveis.
