A economia digital sob ameaça

Em um cassino na América do Norte, um aquário criou uma conexão de internet para alimentar os peixes automaticamente e também para monitorar a qualidade da água. Um dia, os hackers conseguiram utilizar essa solução de internet das coisas (IoT), algo aparentemente insignificante, como um ponto de entrada para os sistemas da empresa. Resultado: enviaram 10 gigabytes de dados do cassino para um dispositivo na Finlândia.

CEOs do mundo inteiro já aumentaram seus investimentos em cibersegurança – na última projeção, a Gartner aponta que esses investimentos já superavam US$ 123 bilhões globalmente em 2018 e devem crescer 10,8% por ano até 2020; a área é tão promissora que os investidores de capital de risco vêm seguidamente privilegiando startups que atuam nela. Os CEOs até têm obtido sucesso no combate a ameaças específicas. Mas o principal problema permanece: a internet é frágil, e o será cada vez mais – com a IoT, como vimos, a superfície de ataque das redes corporativas evoluiu, de milhares de dispositivos para milhões. Os hackers só precisam dar sorte uma vez; já as empresas têm de estar sempre em guarda. 

Nesse quadro, a economia digital está ameaçada. Como podemos torná-la mais resiliente e confiável? A Accenture realizou uma pesquisa de opinião com 1,7 mil executivos C-level em 13 países, incluindo o Brasil, além de longas entrevistas qualitativas com dezenas de especialistas, que aponta medidas concretas que os CEOs podem tomar para dar início a essa missão crucial. Para fazer uma analogia com as plataformas de exploração de petróleo e gás, fica claro que a resolução dos problemas “no subsolo”, em geral soluções de engenharia e tecnologia (relativas, por exemplo, à atualização de dispositivos, cabos, redes e outros) é condição necessária, mas insuficiente.  Os CEOs começam a entender que devem tomar a iniciativa também “na superfície”, enfrentando os diversos desafios referentes a modelos comerciais e operacionais, estratégia, política e economia. 

E o que os executivos brasileiros pensam disso? Em nosso País, 56% dos executivos entrevistados reconhecem que a internet está se tornando cada vez mais instável do ponto de vista da cibersegurança e admitem não saber ao certo como reagir a isso. Algumas empresas não estão investindo o suficiente. Outras parecem gastar além do necessário. E há as que gastam em áreas erradas e não reduzem o risco. 

Aumentar o orçamento em cibersegurança pode não ser a solução para 58% dos executivos brasileiros. Eles creem que a economia digital tem questões grandes demais para sua organização abordar sozinha. Um número impressionante, 85%, afirma que um salto de qualidade na resiliência de suas empresas requer uma visão nova e ambiciosa para toda a economia da internet. Mas qual? 

A Accenture tem uma proposta pragmática, que combina ações de superfície e de subsolo.

A PERGUNTA É:

Como os CEOs das empresas podem reduzir a fragilidade da internet e proteger a economia digital?

Eis os achados:

* Eles devem se unir a outros CEOs, líderes do setor público e reguladores. 

* Eles devem guiar suas empresas em “ações na superfície”, tais como incluir a superação das fragilidades da internet em suas estratégias de negócios; melhorar a governança; e aumentar a segurança em tudo que chamamos de arquitetura de negócios – do modelo de negócio à cadeia de valor.

* Eles também devem influir nas “ações do subsolo”, mais técnicas, relativas e infraestrutura, protocolos básicos de internet, edge computing, maior uso de redes SDN e preparação para a computação quântica. 

NA SUPERFÍCIE: GOVERNANÇA

Junte forças com outras empresas para criar uma governança global efetiva. Noventa por cento dos executivos brasileiros entrevistados concordam que transações mais seguras beneficiarão não só empresas como também consumidores, governo e outros stakeholders. Mas, para alcançar esse objetivo, os CEOs precisam colaborar com executivos de outras empresas e, quando possível, com governos e reguladores.

Como? Um local que já se dedica a fazer essas conexões é o Centro para a Cibersegurança do Fórum Econômico Mundial. Lançado em 2018, o Centro busca atrair empresas, governos, organizações internacionais, academia e sociedade civil como parceiros “para melhorar e consolidar a segurança internacional”. Agora, nossa pesquisa aponta que empresas nas quais os ataques indiretos – direcionados a elas, mas iniciados pelos ha­ckers em organizações parceiras – representaram metade ou mais de todos os ataques bem-sucedidos tendem a ser mais abertas a participar de esforços coletivos para a criação de uma economia digital confiável. No entanto, nenhuma organização deveria precisar passar por um baque desse calibre para participar de um esforço conjunto. 

Promova a criação de um código de conduta ética para cibersegurança por setor. Uma vulnerabilidade em um marca-passo ou em um sistema usado na aviação pode ter consequências muito graves. Entretanto, os profissionais de software que os desenvolvem não são obrigados a obter uma acreditação profissional similar às requeridas, por exemplo, de cirurgiões e pilotos. A adoção de padrões éticos formais e acreditações nessa área são uma medida urgente. Isso requer um sistema educacional formal por meio do qual desenvolvedores de software, arquitetos de soluções e engenheiros de computação permaneçam a par de suas responsabilidades, que evoluem de maneira permanente. E, como primeiro passo, os CEOs devem promover códigos de conduta ética para os profissionais de software de seu setor. 

Seja proativo com padrões baseados em princípios. Os CEOs não devem esperar que outros produzam um guia ético ou criem padrões baseados em princípios, mas agir proativamente.Por exemplo, a autenticação de dois fatores para acessar serviços bancários já havia se tornado o padrão do setor em diferentes mercados antes de os reguladores europeus a exigirem.

Apoie o controle, pelos consumidores, de suas identidades digitais. A defesa do controle individual sobre os dados é mais que uma boa iniciativa de relações públicas. Se 85% dos entrevistados brasileiros dizem que o acesso de suas empresas a identidades digitais é importante para inovar, 87% reconhecem que os consumidores devem poder decidir sobre como protegê-las. Os CEOs não podem se dar ao luxo de ficar fora dos debates que já começam a acontecer sobre o tema. Com a Lei Geral de Proteção de Dados (LGPD), que entra em vigor em 2020, o Brasil se une aos países com leis sobre a privacidade de dados e segurança na internet e é preciso decidir entre dois modelos influentes de identidade digital. 

No modelo centralizado, uma única organização estabelece e gerencia o sistema de identidade. Um exemplo disso é o governo. Já o modelo alternativo é descentralizado e requer a contribuição de diversas entidades. Sua governança é mais desafiadora, a menos que haja regras claras e as identidades possam ser verificadas – por exemplo, por meio da tecnologia blockchain.

Ajude a reduzir o estigma, compartilhando informações sobre ciberataques. A transparência é fundamental para construir, no longo prazo, a confiança de todos os stakeholders. As empresas que optam por uma abordagem menos clara correm o risco de enfrentar “incidentes de confiança”, que, segundo o Índice de Agilidade Competitiva da Accenture Research, podem afetar seus resultados financeiros. Ao não esconder que foi vítima de um ataque, a empresa não só constrói confiança como consegue de fato trabalhar com outras organizações e especialistas externos para melhorar sua capacidade de resistir a novos ataques. 

NA SUPERFÍCIE: ARQUITETURA DE NEGÓCIOS

Proteja-se com um modelo de negócio baseado na confiança digital. Os CEOs podem adotar o conceito de uma economia digital confiável como parte explícita do modelo de negócio de sua organização, que precisa alcançar toda a sua cadeia de valor – parceiros, fornecedores e clientes. Para isso, deve haver várias camadas de controle, em que o acesso seja dado só a pessoas que precisam dele, onde quer que elas estejam.

Os primeiros passos na direção de uma cadeia de valor segura e baseada na confiança ocorrem dentro da organização e cobrem o básico – treinamento de pessoas, proteção contra phishing, senhas, aplicação de patches como prioridade. Mas as empresas precisam de medidas extras: 

• Priorizar a cibersegurança “by design”. Segundo essa visão, a cibersegurança não é algo adicionado a produtos e serviços após sua fase de desenvolvimento; está lá desde os primeiros estágios de desenvolvimento de um produto ou serviço, mesmo com as pressões de tempo ou com os requisitos de resultados financeiros no curto prazo – 83% dos executivos brasileiros concordam que as organizações precisam reconhecer o trade-off existente entre o tempo de comercialização e o crescimento seguro e sustentável por meio da tecnologia, e que devem escolher a segunda opção. Na companhia aérea Latam, por exemplo, a cada etapa de criação de um novo software, o desenvolvedor submete seu trabalho a uma verificação de vulnerabilidades (verificação automática, feita por uma plataforma de revisão de código e vulnerabilidades aplicativas). E o executivo-chefe de informação e segurança (CISO) da empresa, André Pires, adotou um dashboard baseado em quatro pilares da cibersegurança – antecipação, detecção, proteção e resposta a incidentes–, que geram 44 indicadores operacionais. 

• Fazer os líderes das áreas de negócios responderem pela segurança. Um ajuste no sistema de remuneração pode destacar, aos olhos de líderes acostumados a ser avaliados por resultados financeiros de curto prazo, o nível de preocupação da empresa com a cibersegurança. É o que fez em um banco multinacional, que obteve excelentes resultados ao incluir os interesses corporativos de longo prazo na área de cibersegurança como fator no cálculo dos bônus dos líderes de todas as áreas de negócios.

• Colocar o CISO no conselho. A responsabilidade dos CISOs tornou-se importante demais para ficar confinada ao departamento do CIO. Um banco norte-americano já incluiu um CISO aposentado em seu board, e outros deveriam seguir o exemplo. Ele oferece aos demais conselheiros a oportunidade de aprender a lidar melhor com riscos à cibersegurança e uma perspectiva mais ampla sobre a organização, levando-a a melhores decisões.

• Proteger toda a cadeia de valor. Estimamos que, se todos os líderes empresariais do mundo colaborassem para impor altos padrões de cibersegurança a organizações parceiras, economizariam até US$ 2,6 trilhões. No Brasil, o Itaú é uma das organizações que fazem isso. “Nossos mecanismos vão de previsões contratuais a auditorias. O fundamental é garantir que os parceiros tenham o mesmo rigor que o próprio banco”, explica Estevão Lazanha, diretor de engenharia de dados do banco.

NO SUBSOLO

As ações de engenharia e tecnologia, tratadas brevemente aqui, começam por proteger a infraestrutura de internet. Todos os CEOs têm um papel a desempenhar na criação da tecnologia para ter uma internet segura. Os CEOs de empresas não-tech, por exemplo, devem influenciar as empresas de tecnologia das quais são clientes.

O segundo é resolver as vulnerabilidades nos protocolos básicos da internet; essa é a principal linha de defesa contra ataques cibernéticos, muito mais do que proteger laptops, smartphones, tablets e objetos ligados à IoT. Vale a pena, por exemplo, resolver as vulnerabilidades do DNS. Vale a pena criar uma alternativa ao protocolo TCP, mais ameaçado  com o avanço da IoT. 

Também se deve fortalecer a segurança da edge computing – incluindo servidores, smartphones, dispositivos IoT e outros –, e isso cabe sobretudo aos CEOs de empresas de tecnologia. É possível ainda aproveitar mais as vantagens das Redes Definidas por Software (SDN), cuja curta duração torna difícil para um invasor identificar os dispositivos que integram cada rede. Por fim, há que se preparar para a computação quântica, que deve tornar mais fácil a quebra dos atuais métodos de criptografia.

RUMO À ECONOMIA DIGITAL CONFIÁVEL

Quando uma pessoa cria uma conta online, faz uma compra em um site ou baixa um aplicativo, a transação vai além da troca de dados, bens ou serviços. Trata-se de uma transação na mais fundamental das moedas: a confiança. Infelizmente, existe um risco real de que a confiança esteja sofrendo um processo de erosão e que possa levar consigo a economia digital, como vimos neste artigo. Notícias sobre incidentes que vão da exposição de informações pessoais ao uso indevido de dados tornam-se recorrentes e estão minando a confiança das pessoas. 

Enquanto isso, em grande medida, as estratégias de segurança de hoje das empresas ainda respondem aos desafios de ontem. 

Muitos CEOs talvez só entendam mesmo o valor da confiança quando ela estiver perdida, embora recuperar confiança exija muito esforço. A boa notícia, mostrada por nossa pesquisa, é que já é possível quantificar o impacto de uma economia digital confiável nos resultados financeiros. 

As ações dos CEOs, ao guiar suas empresas “na superfície” e ao exercer influência positiva “no subsolo”, são cruciais. Juntando forças com outros CEOs, líderes do setor público e reguladores, eles podem realmente ajudar a desenvolver os tão necessários mecanismos de supervisão e diretrizes.

Leia aqui a íntegra deste paper – exclusivo para assinantes.