IoT, nuvem em escala, Inteligência Artificial e Machine Learning são principais fontes de riscos para as empresas nos próximos cinco anos, aponta estudo

Internet das Coisas (IoT), nuvem em escala e Inteligência Artificial/Machine Learning estão no top 3 de tecnologias que representam os maiores riscos para as empresas para os próximos cinco anos. É o que aponta o EY 2023 Global Cybersecurity Leadership Insights, pesquisa realizada pela EY, uma das maiores consultorias e auditorias do mundo, que ouviu 500 empresas de diferentes regiões do mundo com faturamento maior de US＄1 bilhão ao ano, por meio de seus tomadores de decisão, como C-levels, principalmente CISOs.

No recorte Latam, que inclui Brasil, Argentina, Chile e México e representa 115 companhias (23%) dos respondentes, IoT representa 32% das respostas dos quatro países. “Para o território local, nuvem em escala também está no topo do ranking com 33% e IA/ML tem 26%. Essas preocupações estão equilibradas com os outros países da região ouvidos no estudo”, completa Demetrio Carrión, sócio-líder de Cybersecurity da EY para LAS & Brasil.

Esses três pontos também estão entre os mais citados nas regiões da Ásia-Pacífico, que incluem países como Japão e Austrália e EMEIA (Europa, Oriente Médio e África), representando países como França e Emirados Árabes Unidos. IoT representa respectivamente 33% e 32%, nuvem em escala 32% e 31% e IA/ML fecha o top 3 dessas regiões com 24% e 26% respectivamente. “Esses dados mostram que o Brasil e a América Latina estão com preocupações alinhadas com o restante do mundo. Isso pode ajudar no desenvolvimento de soluções para suprir esses gaps, tendo países que são mais avançados como referência”, indica o executivo.

A pesquisa também questionou “quais são os maiores desafios internos para a abordagem de segurança cibernética da sua organização hoje?”. E, para os respondentes brasileiros, os principais tópicos foram: dificuldade em equilibrar inovação e segurança (59%), muitas superfícies de potenciais ataques (54%) e força de trabalho não pertencente a TI que não segue as melhores práticas (49%). Já para os argentinos, os principais são: dificuldade em equilibrar inovação e segurança (60%), orçamento inadequado para cibersegurança (50%), além de força de trabalho não pertencente a TI que não segue as melhores práticas, muitas superfícies de potenciais ataques e a integração da tecnologia emergente que não é priorizada, todas com 40%.

Já no Chile, os três pontos mais citados foram: muitas superfícies de potenciais ataques (63%), dificuldade em equilibrar inovação e segurança (53%) e a integração da tecnologia emergente que não é priorizada (43%). Por fim, no México, muitas superfícies de potenciais ataques lideram com 81%, seguido por dificuldade em equilibrar inovação e segurança (50%) e força de trabalho não pertencente a TI que não segue as melhores práticas (42%).

Outro aspecto abordado é que, segundo o estudo, 32% dos respondentes indicaram que sofreram 50 incidentes ou mais em 2022. Isso representa uma alta de 75% no aumento ataques cibernéticos conhecidos nos últimos cinco anos. Para o executivo, “um dado bastante relevante que a pesquisa traz é que 76% dos entrevistados globais levam seis meses ou mais para detectar e responder a um incidente. Isso indica que, independentemente da região geográfica, o mercado ainda tem muito a evoluir para conseguir mitigar esses problemas”.

Por fim, o risco dos setores dependentes de infraestruturas industriais, especialmente o de Energia, acompanha o forte crescimento percebido pela pesquisa associado à utilização de dispositivos IoT (Internet das Coisas) que, por contexto, recebe o nome de IIoT (Industrial Internet of Things). “Isso acontece em função da forte pressão global pela transição energética que busca eficiência operacional, redução de emissões e inteligência”, completa Marcos Sêmola, sócio-líder de Cybersecurity da EY para o setor de Energia LATAM.

A tendência de convergência entre os ambientes de IT (Information Technology) e de OT (Operational Technology) já é um caminho sem volta, porém, o benefício vem acompanhado da geração de novos riscos resultantes da mistura entre ambientes, pessoas, processos e tecnologias tipicamente muito distintos. É, portanto, primordial para toda empresa do setor, identificar os novos riscos e definir uma estratégia de mitigação que equilibre o atendimento aos requerimentos operacionais do ambiente industrial, e o apetite ao risco do próprio negócio. “Visão integrada de riscos que agora convergem é essencial para pavimentar a transformação digital que está viabilizando a transição energética”, explica Sêmola.

Os impactos potenciais provocados por um incidente de segurança em ambientes industriais extrapolam a razoabilidade e invade espaço ainda pouco experimentados como a perda de vidas humanas; erosão ambiental; passando pela desaceleração das atividades produtivas; perda de receita e valor de mercado; roubo de propriedade intelectual e exposições gerais por não conformidade.

“A Internet Industrial das Coisas (IIoTs) está conduzindo as empresas a uma arquitetura totalmente integrada com sistemas de TI e TO funcionando como uma entidade unificada. Esse novo modelo operacional precisa estar cercado por novos controles e padrões de segurança que acompanhem os novos níveis de exposição e risco”, reitera Sêmola.

Seguras ou propensas a ataques: em que categoria estão a maioria das empresas?

Para identificar empresas com melhores resultados de segurança cibernética da pesquisa, os líderes avaliaram sua organização em relação a uma série de métricas de segurança cibernética objetivas e subjetivas. Dessa forma, elas foram divididas em dois grupos: criadores seguros (42%) e empresas propensas (58%).

Enquanto o tempo médio de uma empresa ‘criadora segura’ detectar e responder a um incidente cibernético é de cinco meses, a empresa propensa leva 11 meses. “Vale reforçar que cinco meses ainda é um tempo absurdamente longo para essa ação. Podemos identificar sim uma evolução do mercado, mas ainda não chegamos a um estágio ideal”, detalha Demetrio.

Além disso, a maioria dos ‘criadores seguros’ (70%) consideram-se os primeiros a adotar a tecnologia emergente, em vez de esperar até que a tecnologia seja experimentada e testada. “Eles utilizam soluções avançadas para simplificar seu ambiente, adotando tecnologias focadas em automação e simplificação, como Inteligência Artificial ou Machine Leaning e orquestração e automação em nuvem’, completa.

“Quando analisamos as 115 companhias da América Latina que responderam as perguntas para dividi-las nessas duas categorias de companhias, temos o seguinte recorte: 45 são ‘criadoras seguras’ e 70 são ‘empresas propensas’. Vendo o copo meio cheio, ainda temos muito caminho a percorrer para termos ambientes realmente seguros. Porém, ainda é necessário ter muita atenção e cautela, mantendo a cibersegurança como parte das estratégias e necessidades de negócio”, finaliza.

Sobre a EY

A EY existe para construir um mundo de negócios melhor, ajudando a criar valor no longo prazo para seus clientes, pessoas e sociedade e gerando confiança nos mercados de capitais. Tendo dados e tecnologia como viabilizadores, equipes diversas da EY em mais de 150 países oferecem confiança por meio da garantia da qualidade e contribuem para o crescimento, transformação e operação de seus clientes. Com atuação em assurance, consulting, strategy, tax e transactions, as equipes da EY fazem perguntas melhores a fim de encontrarem novas respostas para as questões complexas do mundo atual.

A EY tem também uma meta ambiciosa de impactar positivamente 1 bilhão de pessoas até 2030, através do seu programa de responsabilidade corporativa, EY Ripples, plataforma que permite que os colaboradores se envolvam em iniciativas comunitárias e sociais mais amplas. Para saber mais como a EY tem gerado valor no longo prazo para seus stakeholders, acesse o nosso relatório EY Value Realized, relatório integrado que apresenta nossos resultados nos pilares do ESG de acordo com as métricas do World Economic Forum – International Business Council Stakeholders Capitalism Metrics.

EY se refere à organização global e pode significar uma ou mais associadas da Ernst & Young Global Limited, cada uma delas uma pessoa jurídica independente. A Ernst & Young Global Limited, companhia britânica limitada por garantia, não presta serviços a clientes. Informações sobre como a EY coleta e utiliza dados pessoais, bem como uma descrição dos direitos individuais de acordo com a legislação de proteção de dados, estão disponíveis neste link. As afiliadas da EY não exercem o direito se essa prática for proibida pelas leis locais.