As Implicações Financeiras da Cibersegurança: Como as “Taxas de Captura” afetam o Risco Empresarial

As Implicações Financeiras da Cibersegurança: Como as “Taxas de Captura” afetam o Risco Empresarial

· A taxa de captura de uma solução de segurança oferece uma medida quantificável da sua capacidade para detetar e lidar com vários ciberataques.

Apesar dos inúmeros benefícios, a Internet pode ser um local hostil para as empresas. À medida que as organizações continuam a expandir as suas pegadas digitais, transferindo cargas de trabalho para a cloud e aumentando a sua rede de dispositivos, tornam-se vulneráveis a um cenário de ciberameaças em rápida evolução.

A tendência mais importante de cibersegurança identificada pela Gartner em 2022 foi a "expansão da superfície de ataque" - organizações que aumentam a sua presença digital para alavancar novas tecnologias e facilitar o trabalho remoto e híbrido. A partir de 2023, quase 13% dos funcionários a tempo inteiro trabalham a partir de casa, com mais de 28% a trabalhar num modelo híbrido. Ao mesmo tempo, a Check Point Software Technologies, fornecedor líder em soluções de cibersegurança para empresas e governos a nível mundial, registou um aumento de 38% nos ciberataques globais só em 2022, pelo que as organizações têm de ter cuidado.

Neste mundo conectado, a inovação gera risco - e para capitalizar a inovação de uma forma financeiramente responsável, este risco precisa de ser cuidadosamente gerido. O problema é que as ciberameaças são alvos móveis, com inúmeras variáveis que podem ser difíceis de quantificar. Isto significa que a eficácia de quaisquer soluções de cibersegurança é difícil de medir. Uma das métricas fundamentais que surgiu nos últimos anos é a "taxa de captura" das soluções de segurança. Mas o que significa exatamente esta taxa e como é que se traduz no panorama financeiro mais amplo de uma organização?

Desmistificar as Taxas de Captura

Na sua essência, a taxa de captura de uma solução de segurança oferece uma medida quantificável da sua capacidade para detetar e lidar com vários ciberataques. Estas taxas são normalmente atribuídas por laboratórios de teste independentes, fornecendo uma avaliação imparcial do desempenho de uma solução. Por exemplo, se uma solução de segurança apresenta uma taxa de captura de 95%, isso significa que é eficaz na deteção e neutralização de 95% de todas as ciberameaças durante a fase de teste. No entanto, isto também deixa um risco residual de 5%, do qual as organizações precisam de estar conscientes.

Esta "exposição" de 5% pode não parecer significativa à primeira vista, mas as ramificações financeiras podem ser profundas. Ao combinar dados de várias fontes, como o relatório “IBM 2023 Cost of a Data Breach Report” e as informações da Check Point Research, o custo do risco residual torna-se mais claro.

Medição da Exposição ao Risco

Consideremos o phishing como exemplo. O número de ataques de phishing aumentou 47% só em 2023, sendo os EUA e o Reino Unido os dois países mais visados, e a investigação sugere que 90% das violações de dados bem-sucedidas começam com um ataque de spear phishing. O spear phishing é uma campanha direcionada em que o atacante personaliza a mensagem enganosa para refletir um indivíduo ou uma organização específica, utilizando frequentemente dados pessoais para tornar o ataque mais convincente. Enquanto o phishing lança uma rede alargada para apanhar qualquer vítima desprevenida, o spear phishing é dirigido diretamente a um alvo escolhido com um esquema personalizado.

Agora, consideremos uma organização que enfrenta 1.258 tentativas de phishing todas as semanas. Com uma frequência de ataque de 16%, isto equivale a 201 potenciais violações. O custo médio de um ataque bem-sucedido, conforme relatado pela IBM, é atualmente de 4,76 milhões de dólares. Se tivermos em conta a probabilidade de clique, que atualmente é de 18% para os funcionários com formação e de 35% para os funcionários sem formação, as implicações financeiras do risco residual são enormes.

Podemos calcular o custo provável do risco utilizando as seguintes contas:

- Custo do risco do cliente por violação: Custo médio por violação x Risco restante

- Número de eventos de phishing por semana: (Ataques por semana x Frequência do ataque) x Risco restante

- Probabilidade de um funcionário treinado clicar num evento de phishing: Número de eventos de phishing x Probabilidade de clique

- Custo do risco restante por semana: Custo do risco para o cliente por violação x Probabilidade de o funcionário clicar numa ligação

Se aplicarmos estes cálculos ao cenário típico acima descrito, a diferença no "custo semanal do risco residual" para uma taxa de captura de 5% em relação a uma taxa de captura de 10% é gritante: 431 000 dólares contra 1,72 milhões de dólares. Isto significa que os 5% extra podem custar mais 1,3 milhões de dólares em termos de risco.

A Importância das Taxas de Captura

Considerando o custo do "risco", as organizações precisam de avaliar cuidadosamente as taxas de captura ao escolherem soluções e parceiros de cibersegurança. Tal como acontece com qualquer investimento financeiro, precisam de medir a sua exposição ao mercado. Por outras palavras, qual a probabilidade de a sua solução de cibersegurança falhar, qual o seu custo e se esses custos podem ser suportados.

O problema é que as taxas de captura têm sido normalmente menosprezadas. Talvez isso se deva ao facto de não serem compreendidas pelos CIOs ou CTOs, ou talvez se deva ao facto de não ser do interesse dos fornecedores de cibersegurança divulgá-las. Atualmente, não existe legislação que obrigue os fornecedores a serem sinceros sobre as taxas de captura das suas soluções, mas as organizações podem sempre perguntar e ouvir atentamente a resposta.

Para além das Taxas de Captura

Embora as taxas de captura possam ser uma métrica crucial, a gestão do risco cibernético é, obviamente, um esforço multifacetado. Requer uma comunicação estreita entre várias partes interessadas, incluindo funcionários, parceiros da cadeia de fornecimento, bancos, companhias de seguros e até governos. Cada entidade neste ecossistema tem um papel a desempenhar e as suas ações ou inações podem ter efeitos em cascata.

Algumas destas partes interessadas e variáveis estão fora do controlo das organizações. Podem formar as suas equipas, escolher sabiamente os seus parceiros de cibersegurança (tendo em conta a taxa de captura) e ter as opções de seguro corretas, mas não podem controlar tudo.

Outras medidas que as organizações podem tomar para fortalecer as suas defesas cibernéticas incluem:

- Adoção de uma Arquitetura de Confiança Zero: Esta abordagem funciona com base no princípio da "desconfiança por defeito", garantindo uma verificação rigorosa de todos os pedidos de acesso, independentemente da sua origem.

- Otimização dos Processos Empresariais: Ao integrar medidas de segurança nos seus processos principais, as organizações podem minimizar as vulnerabilidades.

- Envolvimento com MSSPs: Os Managed Security Service Providers (MSSPs) trazem a discussão conhecimentos e recursos especializados que podem reforçar a estrutura de segurança de uma organização.

- Dar prioridade à formação: Os funcionários podem ser uma primeira linha de defesa excelente se receberem formação adequada. O reconhecimento de ameaças, especialmente em domínios como o phishing, pode reduzir drasticamente os riscos.

A cibersegurança pode parecer um jogo de xadrez com inúmeras variáveis. Métricas como as taxas de captura são importantes e oferecem informações valiosas sobre a eficácia de uma solução, mas são apenas uma peça de um puzzle muito maior. Ao utilizar esta taxa como parte de uma abordagem holística à gestão do risco cibernético, as organizações podem não só salvaguardar os seus ativos digitais, mas também garantir a sua estabilidade financeira face às ameaças cibernéticas em constante evolução.