A falta de investimentos adequados em segurança da informação pode custar muito caro para uma empresa. A prova mais recente dessa constatação está no noticiário sobre a invasão do Uber: ocorrida um ano atrás, foi silenciada com um pagamento de US$ 100 mil aos hackers e só revelada na último dia 21.
Para infelicidade dos acionistas do SoftBank, nesse mesmo dia o banco publicava uma oferta de compra de ações da empresa. Horas após a invasão ter sido noticiada, um pedido de ação coletiva contra a companhia foi entregue numa corte federal de Los Angeles, nos Estados Unidos, enquanto o procurador-geral de Nova York abria uma investigação sobre o assunto.
Os hackers roubaram nomes, e-mails e telefones de 57 milhões de passageiros e de motoristas do Uber do mundo inteiro, mais os detalhes das carteiras de habilitação de 600 mil motoristas dos EUA.
Essa invasão foi grande, mas não está entre as maiores: Yahoo, Equifax, supermercados Target e muitas outras empresas já foram invadidas e o número de identidades expostas sobe à casa dos bilhões, ao menos no caso do Yahoo. O risco cibernético é tal que os especialistas já dizem que não se trata mais de saber 'se' uma empresa foi invadida. Mas falta apenas saber 'quando'.
Esse volume de violações vem crescendo no mundo inteiro de forma exponencial, conta Sérgio Muniz, diretor comercial para enterprise & cybersecurity da empresa de segurança digital Gemalto.
"Nos países europeus e nos Estados Unidos já existe bastante maturidade em relação a esse assunto, mas na América Latina parece que a 'ficha' ainda não caiu", comenta.
Por conta desses riscos, o mercado mundial para as soluções de cibersegurança já é gigantesco: está estimado em US$ 138 bilhões para este ano, uma cifra equivalente ao PIB da Hungria, segundo a consultoria inglesa Hampleton Partners.
Mesmo na América Latina em geral, e no Brasil em particular, haverá uma grande evolução na segurança, prevê o diretor da Gemalto: "Ainda precisamos acelerar os aspectos regulatórios sobre proteção de dados no Brasil, mas ganharemos impulso com a entrada em vigor da diretiva europeia GDPR (General Data Protection Regulation) na Europa, no ano que vem", diz ele.
A diretiva, que entra em vigor a partir de 25 de maio de 2018, redefine a abordagem das organizações em relação à proteção de dados - e estabelece multas para quem não atender a essa regulamentação.
O impulso, segundo Muniz, virá por meio das empresas europeias e também das americanas. "Elas exigirão que as filiais daqui cumpram as exigências, e isso naturalmente se propagará pelo ecossistema no qual elas atuam. Isso irá propagar compliance", acrescenta.
Yanis Stoyannis, gerente de pré-vendas de segurança da informação da Embratel, observa que as empresas brasileiras estão apenas começando a colocar o risco cibernético ao lado dos outros com os quais convivem. "Elas conhecem bem o risco financeiro, o das taxas de juros, mas agora estão reconhecendo o risco tecnológico", afirma. Esse reconhecimento, detalha o especialista da Embratel, traz um desafio que não é fácil de ser superado: "Segurança é uma especialidade com escassez de gente, e essas pessoas depois de contratadas precisam administrar uma grande quantidade de equipamentos e parâmetros".
As equipes de segurança, de acordo com ele, são em geral pequenas e nem sempre conseguem, ao mesmo tempo, dar conta da variedade de tarefas do dia-a-dia e manter-se atualizadas com a constante evolução das ameaças: "É por isso que muitas empresas têm optado por serviços gerenciados, como os que oferecemos", explica. As vendas desse tipo de serviço estão crescendo 14% ao ano no Brasil, segundo Stoyannis. "Com a sofisticação dos ataques, a tendência das empresas é optar por uma segurança trazida por esse tipo de serviço."
A última pesquisa da consultoria Frost & Sullivan relacionada ao assunto mostra números até melhores, diz Mauricio Chede, sócio de pesquisas da empresa para a América Latina. "O mercado de serviços de segurança gerenciados na América Latina fechou 2016 com vendas de US$ 455,9 milhões e está crescendo 15,5% ao ano. Desse modo, o faturamento em 2021 deve alcançar US$ 936,1 milhões", afirma Chede.
Como o Brasil representa 40% desse mercado, o faturamento desses serviços no país em 2016 foi da ordem de US$ 182 milhões, devendo evoluir para US$ 374 milhões em 2021, ou seja, mais do que o dobro em cinco anos. O faturamento de todos os produtos e serviços de segurança da informação, no entanto, é bem maior segundo pesquisas da IDC Brasil, com a expectativa de totalizar US$ 1,1 bilhão em 2017.
"A tendência dos investimentos em segurança é de crescimento firme", diz Chede, da Frost & Sullivan. "Cada vez mais as empresas estão percebendo que não podem mais ter uma segurança básica, mas sim a mais sofisticada, para barrar as novas ameaças. O orçamento para isso ainda é um desafio, mas nós acreditamos que as empresas vão se preocupar mais e mais com o assunto e adotar uma visão mais abrangente sobre a segurança", afirma.
Incidentes como o do Uber ou o ataque do ransomware WannaCry, em 12 de maio, têm ajudado a manter ou ampliar os orçamentos de segurança da informação, conta Luciano Ramos, gerente de pesquisa e consultoria de software e serviços da IDC Brasil. "Esses incidentes tornaram o cenário mais positivo para os orçamentos de segurança da informação em 2018: no total, 65% dos executivos indicam que os orçamentos serão mantidos ou ampliados. Para eles, os últimos incidentes ajudaram a demonstrar os riscos cibernéticos aos quais uma organização está exposta", diz.
De fato, os estudos da consultoria mostram que segurança já é a segunda maior prioridade em tecnologia da informação no Brasil. No entanto, na América Latina o tema está em primeiro lugar, diz Ramos: "É preciso observar, contudo, que ainda existem etapas a serem vencidas, já que 75% das empresas investem na segurança menos de 20% do seu orçamento de tecnologia".
Cláudio Neiva, vice-presidente de pesquisas do Gartner, explica que finalmente está crescendo também entre os executivos a percepção de que a segurança não pode ser apenas da informação: "Percebe-se a necessidade de segurança em tudo - na internet das coisas, no agronegócio, nos carros autônomos. Tudo isso está no campo da cibersegurança. Pelo fato de haver mais ameaças e sempre mais complexas, há também muitas soluções e ferramentas, e isso acaba causando nos profissionais até uma fadiga por volume de informação", diz ele.
As empresas brasileiras, acrescenta Neiva, precisam de agora em diante construir suas estratégias e cronogramas para dar conta dos desafios da cibersegurança, reconhecendo suas forças e fraquezas, e não fazer um simples roteiro de implantação de soluções.