Um cenário de ameaças em evolução, mudanças nos requisitos regulatórios e aumentos no seguro cibernético estão entre os principais fatores que afetarão o orçamento de segurança cibernética em 2023. Então, confira a seguir itens que não podem ficar de fora em sua etapa de planejamento.
À medida que os CISOs procuram preparar seu orçamento de segurança cibernética para 2023, alguns podem estar se perguntando: “por onde começo?” Existem facetas tão variadas e em rápida mudança na defesa das organizações contra ameaças cibernéticas que a tarefa de identificar quais riscos precisam de mais atenção pode parecer esmagadora. No entanto, os líderes de segurança precisam começar a pensar em quanto financiamento precisarão e como alocarão seu orçamento de segurança cibernética.
“Em um nível macro, ao definir metas estratégicas e desenvolver orçamentos para segurança, os CISOs devem saber que o status quo provavelmente deixará os líderes de segurança com uma missão impossível pela frente – limitados a manter operações e novas iniciativas”, diz David Chaddock, diretor de segurança cibernética. para consultoria West Monroe.
Afinal, algumas organizações com maturidade elevada ou aquelas que foram atingidas por um ataque cibernético aprenderam o valor da mudança e podem estar preparadas. Contudo, o fato lamentável é que a maioria ainda luta para atender à demanda com orçamentos tradicionais, e a necessidade de segurança está apenas aumentando.
Os principais fatores que podem determinar o financiamento para o próximo ano provavelmente se enquadram nessas cinco categorias:
- O cenário de ameaças em mudança
- Tendências econômicas e seu efeito no comportamento do ator de ameaças
- Eventos geopolíticos como a guerra Rússia-Ucrânia
- Alterar regulamentos e orientações governamentais e outros
- Alterando os requisitos de seguro cibernético
Portanto, os CISOs precisam ter isso em mente enquanto descobrem as melhores maneiras de manter suas organizações seguras.
Mudando o cenário de ameaças
O cenário de ameaças à segurança cibernética está mudando constantemente. E, não obstante, o ritmo da mudança parece ter aumentado com o surgimento de novos tipos de ameaças de ransomware, a mudança contínua em direção à nuvem e a mudança dos modelos de força de trabalho. Depois, há o objetivo entre muitas empresas de se tornarem negócios digitais.
“As iniciativas de transformação digital estão impulsionando a expansão da superfície de ataque que os agentes mal-intencionados devem visar”, diz Ruggero Contu, diretor de pesquisa sênior do Gartner. “Os orçamentos do CISO terão que atender a novos requisitos provenientes da exposição externa do que era um foco tradicional de concentração em infraestruturas internas.”
São exemplos de áreas que serão cada vez mais visadas nos próximos anos:
- Vulnerabilidades expostas, como servidores não corrigidos e portas abertas em dispositivos conectados à Internet;
- Configurações incorretas de sistemas em nuvem;
- Informações críticas vazadas, como credenciais;
- Ativos comprometidos, como domínios falsificados e aplicativos móveis corporativos.
Entretanto, o rápido aumento de dispositivos endpoint, incluindo o crescimento da Internet das Coisas (IoT), e os riscos de segurança inerentes também afetarão os gastos e, consequentemente, o orçamento de segurança cibernética para os próximos anos..
“Os orçamentos de segurança em manufatura, energia, transporte e saúde terão que se concentrar em proteger ambientes e sistemas industriais impactados pelas vulnerabilidades introduzidas pela IoT”, bem como a convergência de TI e tecnologia operacional (OT), diz Contu.
Recursos de segurança cibernética escassos devido às tendências econômicas
As tendências econômicas, entre as quais a inflação, podem ter um grande impacto nos gastos com segurança cibernética, bem como no comportamento dos atores de ameaças. Afinal, a escassez de recursos cibernéticos combinada com a inflação será o fator mais significativo para maiores orçamentos e gastos de segurança cibernética nos próximos 12 a 18 meses, diz Raj Patel, sócio e líder de prática de segurança cibernética da consultoria Plante Moran.
“Basicamente, o que todo mundo ouve é que os orçamentos cibernéticos estão subindo”, diz ele. “A questão é quais categorias estão subindo?” A resposta é a equipe de segurança e as ferramentas de segurança.
“O talento cibernético é difícil de encontrar e as empresas estão dispostas a pagar por isso”, diz Patel. “Isso aumentou o custo salarial em pelo menos 10% a 15%. Funcionários com oito a 12 anos estão vendo um aumento maior devido à escassez de recursos.”
Quanto aos produtos e serviços de segurança, “nos últimos quatro anos, as ferramentas e a tecnologia para melhor gerenciar o risco cibernético aumentaram significativamente”, diz ele.
Além disso, a lacuna entre ricos e pobres e a incerteza econômica que ela introduz “levará inevitavelmente a um aumento no hacktivismo e outros incidentes de segurança cibernética potencialmente desestabilizadores”, diz Chaddock. “Isso agora é agravado pelo influxo de iniciativas à medida que as empresas se tornam mais digitais e estão cada vez mais vulneráveis a violações de segurança.”
Eventos geopolíticos que aumentam os riscos de segurança
Eventos em todo o mundo, talvez mais notavelmente a guerra entre a Rússia e a Ucrânia, provavelmente continuarão tendo um impacto significativo na segurança e nos riscos cibernéticos. Isso é especialmente verdadeiro para certos setores, como o governo e outros considerados de apoio a infraestruturas críticas nacionais, diz Contu.
“Os eventos geopolíticos atuais mudam o perfil dos invasores para hackers patrocinados pelo Estado que possuem habilidades técnicas profundas e [os] recursos necessários para atacar infraestruturas críticas e empresas nos Estados Unidos e na Europa”, diz Patel
A última pesquisa trimestral de executivos da West Monroe, que reúne resultados trimestrais de 250 executivos de nível C em empresas com mais de US$ 500 milhões em receita, perguntou quais ações a empresa dos executivos estava pensando em tomar este ano devido à instabilidade geopolítica e da cadeia de suprimentos. A maioria dos executivos (60%) disse que está considerando aumentar os gastos ou focar no orçamento de segurança cibernética, já que a guerra cibernética se torna uma ferramenta cada vez mais usada para obter vantagem competitiva.
As ferramentas de ataque patrocinadas pelo Estado-nação usadas contra a Ucrânia agora estão prontamente disponíveis para um público mais amplo, diz Chaddock. “A maioria das organizações não está adequadamente protegida contra uma exploração patrocinada pelo Estado-nação”, diz ele. “Isso significa que a maioria dos programas de segurança já está atrasada e precisa de investimentos significativos acima e além do financiamento operacional para ‘manter as luzes acesas’.”
Alteração dos requisitos regulamentares
A mudança tem sido uma constante com os requisitos regulatórios nos últimos anos, incluindo leis que tratam da privacidade de dados. O custo de cumprir vários regulamentos de privacidade e obrigações de segurança em contratos está subindo, diz Patel. “Alguns contratos podem exigir testes independentes por auditores terceirizados. Auditores e consultores também estão aumentando os honorários devido à inflação e ao aumento dos salários”, diz ele.
Portanto, as organizações devem se concentrar na construção de uma segurança forte, não especificamente na conformidade regulatória, diz Chaddock. “Quando uma organização é realmente segura, o custo para alcançar e manter a conformidade deve ser reduzido”, diz ele.
A evolução dos requisitos de conformidade regulatória, especialmente para as organizações que suportam infraestrutura crítica, exige um suporte significativo, diz Chaddock. “Mesmo o esforço para determinar o que precisa acontecer pode ser caro e prejudicar as operações diárias, portanto, planeje um esforço maior para apoiar as obrigações regulatórias, se aplicável”, diz ele.
Alteração dos requisitos de seguro cibernético e aumento dos custos
Mais organizações estão comprando, ou pelo menos considerando, planos de seguro cibernético após ataques altamente divulgados, como ransomware. No entanto, se o pagamento de tais políticas sair do orçamento de segurança cibernética, os CISOs precisarão levar em consideração os custos crescentes de cobertura e outros fatores.
“Os verdadeiros custos de seguro cibernético estão subindo de 20% a 25%”, diz Patel. “As empresas podem reduzir o custo reduzindo os níveis de cobertura ou aumentando os valores dedutíveis. Isso significaria correr mais riscos. Algumas seguradoras avaliarão seus controles cibernéticos para avaliar seus prêmios. Com melhores controles, você pode reduzir seu prêmio.”
Então, as empresas devem incluir o custo do seguro cibernético ao longo do tempo. Contudo, mais importante do que isso, os custos associados à manutenção de recursos de backup/restauração eficazes e seguros devem ser priorizados.
“A mudança para combinar ransomware com extorsão para não divulgar publicamente informações confidenciais colocou muitas organizações em uma situação financeira delicada, se forem um alvo”, diz Chaddock.
“Organizações com recursos de backup e restauração seguros e resilientes têm muito menos probabilidade de serem materialmente impactadas por um evento cibernético. Portanto, são capazes de avançar em novas iniciativas e ficar à frente de seus concorrentes, independentemente de sua cobertura de seguro cibernético ser um fator limitante.”
Se você não tem um orçamento específico para segurança cibernética, considere a terceirização do seu suporte de TI. Afinal, uma empresa experiente pode encontrar as melhores ferramentas para proteger a sua rede, além de otimizar sua produção.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.