A cibersegurança é cara... comparada com quê?
Durante o ano 2020 e o que levamos de 2021 assistimos como, cada vez mais, a cibersegurança é uma das pedras angulares da continuidade dos negócios. Independentemente do setor da organização e de que seja pública ou privada, o uso de sistemas informáticos está tão integrado com os restantes processos, que prescindir deles afeta de maneira estrutural a produtividade podendo chegar, por vezes, a causar problemas de fornecimento em setores críticos.
Costuma dizer-se muitas vezes que a cibersegurança é cara, mas, ainda que nos possa parecer que tem um custo elevado, para poder opinar se alguma coisa é cara ou barata temos de ter algo com a qual comparar. Para muitos produtos e serviços esta comparação é razoavelmente direta, porque podemos ver o benefício direto que nos proporciona: um serviço pode custar 15 000 euros ao ano mas, se calculamos que o benefício que vamos obter do mesmo são 30 000 euros ao ano, pode ser barato. No entanto, calcular o retorno de investimento em cibersegurança não é nada trivial, uma vez que o seu benefício não se vê em ganhos, mas em evitar perdas.
Se tomarmos como exemplo o ataque à empresa norte-americana Colonial, conhecemos que o ransomware sofrido em 2021 custou, como mínimo, o pagamento de 5 milhões de dólares em bitcoins (dos quais o FBI recuperou bitcoins por um valor aproximado de 2,3 milhões de dólares). A isto é preciso somar a perda de negócio entre 6 e 9 de maio de 2021, para além do impacto a nível nacional ao tratar-se de uma infraestrutura crítica. E, não devemos esquecer os efeitos da crise de reputação (a investigação do ataque chegou ao Congresso dos Estados Unidos da América).
Encontramos um exemplo similar no ataque que a multinacional cárnica JBS sofreu, pelo qual pagou um resgate estimado em 11 milhões de dólares de bitcoin. De novo, a esta quantidade deve somar-se o custo ocasionado pela perda de negócio ou de bens. Recordemos que a carne é um produto perecedouro, e o impacto à reputação.
Também temos o caso da Electronic Arts. No passado dia 10 de junho, comunicaram um incidente de segurança nos seus sistemas informáticos no qual, segundo a informação proporcionada pela imprensa, os atacantes roubaram o código fonte do FIFA21 e do motor de jogos de computador Frostbite, entre mais de 780 GB de dados. Ambas as peças de software são produtos chave para o seu negócio: um como sucesso de vendas e o outro como ferramenta de desenvolvimento. Isto faz com que a perda potencial de vendas pela pirataria do seu software, tanto presente como futuro, seja muito difícil de quantificar.
Por isso, o papel de todos os ramos da cibersegurança (desenho e arquitetura de aplicações e sistemas, consultadoria, cumprimento, resposta a incidentes, monitorização, informática forense e auditoria) é chave para tentar reduzir ao máximo a exposição das organizações, isto é, conseguir que um ataque não seja rentável para os atacantes, uma vez que o custo/benefício é muito baixo.
Além disso, é preciso ter em conta que todas estas atividades são cíclicas. A tecnologia, como bem sabemos, evolui a toda a velocidade. O que faz com que as medidas tomadas hoje possam ser as mesmas que as que teríamos tomado há seis meses ou que as que poderíamos tomar dentro de seis meses. E, para poder proporcionar o máximo valor durante esses ciclos, deve optar-se por equipas com um grande conhecimento técnico e que, de maneira adicional, não percam de vista as necessidades das organizações.
Por todos estes motivos, na GMV recomendamos o desenho de programas específicos para os nossos clientes, focalizando-nos nas suas necessidades e no seu estado atual para os ajudar a adquirir maturidade no âmbito da cibersegurança e conseguir diminuir, tanto quanto possível, o rácio custo/benefício dos possíveis atacantes.
Estes programas deveriam começar sempre por um diagnóstico inicial para poder conhecer em que estado se encontra a organização e definir aquilo de que precisa. Haverá casos onde o foco deva ser colocado nas primeiras fases: redesenhar de arquiteturas e processos. Noutras ocasiões, aquilo de que se precisa é mais monitorização e serviços de ciberdefesa potentes. Outros, a validação periódica do seu nível de exposição. Mas, na maior parte dos casos, a resposta é uma combinação de todas as anteriores para melhorar aquelas onde a organização já investiu e implementar as que não existem.
Como dizia, é habitual ouvir que a cibersegurança é cara. Mas, realmente, quando se realiza esta afirmação o que se está a comparar é a despesa de a implementar face à despesa atual. O que resulta muito complicado de quantificar, frequentemente impossível até se ter sido vítima de um ataque, é o custo de implementar medidas face ao custo de ser atacado com êxito. Esta comparação é a que põe em perspetiva que a cibersegurança tem um preço elevado, mas é a diferença entre uma situação na qual se perdem milhões e uma em que se podem conter essas perdas.
Paula González
Chefe de secção de Auditoria de Secure e-Solutions da GMV