A cloud tem sido constantemente mencionada dentro e fora das empresas, já que ela ajuda a aumentar a produtividade e agilizar os negócios. Ainda que se acompanhe o rápido ritmo da transformação digital, as empresas também precisam estar prontas para os desafios de segurança que são exigidos a partir deste processo. Apesar de muitas companhias terem iniciado a migração para a nuvem, uma grande parte apenas questiona se deve fazer o processo ou não, esquecendo do ponto mais importante: como fazê-lo, principalmente em relação à cibersegurança.
Primeiramente, precisamos ter em mente que o comportamento do executivo não se distingue do comportamento do usuário doméstico. Muitos profissionais pensam da mesma forma que na vida pessoal: não priorizam a segurança, pois acreditam que ela já vem embutida no produto ou serviço. Vemos esse comportamento quando quatro em cinco (81%) funcionários acreditam que os líderes de negócios e a equipe de TI ou de segurança devem ser responsáveis por garantir que os e-mails, arquivos e documentos tenham os direitos de acesso apropriados. Temos que conscientizar as pessoas do seu papel. Acredito que muitos vazamentos poderiam ter sido evitados, já que 86% dos funcionários de uma empresa armazenam documentos no trabalho que contêm informações confidenciais ou pessoais que podem identificar seu proprietário – e, se expostos, causariam danos de reputação e financeiros para a empresa.
O fator humano é um ponto crucial na estratégia de segurança corporativa: cerca de 90% das violações de dados corporativos na nuvem (88% em PMEs e 91% grandes corporações) acontecem devido a técnicas de engenharia social contra funcionários da empresa-cliente e não por problemas causados pelo provedor. Ainda vale mencionar o fato de que, seja acidentalmente ou intencionalmente, os funcionários podem compartilhar suas credenciais com colegas ou pessoas de fora da empresa ou simplesmente enganar as políticas de acesso usando ferramentas de colaboração. Dentro deste novo cenário de criação e trabalho colaborativo em tempo real, todas as pessoas devem assumir a responsabilidade por suas ações. Até porque, estamos caminhando fortemente em direção a controles mais rígidos e que envolvem a responsabilidade de cada um pelas informações pessoais: a Lei Geral de Proteção de Dados, que entrará em vigor a partir de 2020.
Como se fosse pouco, destaco outro ponto comum no qual a segurança é negligenciada: com a dificuldade de demonstrar um retorno sobre o investimento (ROI) claro ou oferecer garantias de proteção3, a segurança é constantemente removida dos projetos de negócio, pois as empresas buscam sempre a otimização dos investimentos (opções mais baratas ou descontos). As empresas precisam reavaliar esta postura a partir de agora. Com a LGPD, fica claro as responsabilidades de cada parte quando há um vazamento. Ou seja, caso fique claro que houve negligência da empresa, o fornecedor de nuvem não é penalizado e o cliente responderá integralmente pelo caso – e será que a opção mais barata valerá o risco?
Para mitigar os riscos da transformação digital dos negócios, a melhor estratégia é desenvolver a segurança desde o início do projeto. Imagine que estamos construindo uma casa, qual das opções seguintes você acredita que protegerá melhor sua família: um projeto de câmeras de segurança após a construção da casa ou um projeto desenvolvido em conjunto com a obra, que identifique possíveis pontos cegos e que permita adicionar proteção para mitigar qualquer risco de invasão?
Para finalizar, deixo uma última reflexão. Se um ladrão fosse roubar uma das casas acima, qual dela traria o melhor custo-benefício para ele? Obviamente aquela que exigirá menor investimento dele para obter sucesso. O mundo do cibercrime segue a mesma lógica: quanto maior a dificuldade de obter sucesso em um ciberataque, menor a atenção que a empresa receberá dos cibercriminosos. Chamamos isso de ciber-imunidade.