Como as organizações de todos os setores estão lidando com a crise do COVID-19, se estavam preparadas, quão vulneráveis são e impactos no longo prazo
No início de março, enquanto eu me preparava para voltar para casa de uma viagem de negócios a Seattle, começamos a ouvir histórias de empresas americanas enviando seus trabalhadores para casa com a expectativa de que eles trabalhassem em casa por semanas, se não meses.
Os CISOs começaram a compartilhar histórias de funcionários saindo de seus escritórios com monitores sob um braço e sistemas de computadores sob o outro.
Com as restrições sociais e de trabalho impostas por governos e empresas em resposta ao novo coronavírus, COVID-19, as organizações nos EUA estavam prestes a se deparar com “o novo normal”, e tudo seria qualquer coisa, menos normal. Desde o início, ficou claro que as regras que operamos por décadas estavam prestes a mudar.
Para entender melhor a situação em questão, a CSO entrevistou 150 líderes de segurança de algumas das maiores organizações do país.
Parte do que aprendemos era esperada (por exemplo, um grande número de funcionários trabalhando em casa); algumas informações foram perturbadores (26% estão vendo um aumento de ataques cibernéticos após a pandemia); e algumas foram profundas (nossa percepção e compreensão de riscos serão alteradas nos próximos anos).
Uma situação que seria inimaginável seis meses atrás é a realidade hoje. Empresas de todos os tipos nos EUA são fechadas temporariamente. Governadores da Califórnia, Nova York e outros lugares aconselharam, se não ordenaram, que seus cidadãos ficassem em casa. Bilhões e bilhões de dólares em valor econômico foram apagados em questão de dias.
Até onde isso vai dar? Quão preparadas estavam as empresas? Como a segurança é afetada? Essas foram todas as questões que exploramos na pesquisa, na esperança de entender melhor de onde viemos, de onde estamos e para onde estamos indo.
Metodologia
Esta pesquisa foi realizada de 19 a 23 de março de 2020 com 150 líderes de segurança e tecnologia dos EUA. Oitenta e sete por cento dos entrevistados eram executivos seniores de segurança, representando um tamanho médio de empresa de quase 24 mil funcionários.
Os principais setores representados foram: serviços financeiros, incluindo bancos, seguros e corretagem (27%); saúde, incluindo fornecedores e produtos farmacêuticos (17%); alta tecnologia (14%); e varejo, atacado e distribuição (8%).
Estamos nisso por um tempo
Pedimos aos líderes de segurança e TI que estimassem quanto tempo eles esperam que as restrições sociais e de trabalho, resultantes da pandemia, permaneçam em vigor.
Em geral, as respostas tiveram uma média de 7,7 semanas, com os respondentes do setor de varejo sendo mais esperançosos (6,5 semanas) e os respondentes da área de saúde, como se poderia imaginar, esperando um período mais longo, 9,1 semanas.
Basicamente, estamos analisando um intervalo em que as restrições sociais e de trabalho permaneçam em vigor até algum dia entre 7 de maio e 25 de maio.
O trabalho de casa explodiu
Não surpreende que a pesquisa tenha encontrado mudanças significativas nos níveis de trabalho dos funcionários em casa (Working From Home – WFH).
Há três meses, 16,5% dos funcionários dos entrevistados trabalhavam em casa pelo menos 60% das vezes. Em 23 de março, esse número havia subido para 77,7%, um aumento de 4,7 vezes.
As empresas de alta tecnologia tinham o nível mais alto de WFH antes do impacto da pandemia, com 31,9%, e continuam a ter o maior nível hoje, com 90,2%. As organizações de varejo/atacado/distribuição sofreram a mudança mais drástica nos níveis de WFH, passando de 3,7%, antes da pandemia, para 66,4% hoje, um aumento de quase 18 vezes.
Enquanto 81% dos entrevistados expressaram confiança de que sua infraestrutura de segurança existente poderia lidar com seus funcionários trabalhando em casa, 61% estavam mais preocupados com os riscos de segurança direcionados aos funcionários que trabalham em casa hoje do que há três meses.
Surpreendentemente, as pequenas e médias empresas (PMEs) – aquelas com menos de 1.000 funcionários – expressaram a menor preocupação (29%) sobre os ataques focados na força de trabalho remoto.
Quão preparadas estavam as empresas?
Em 2006/2007, a revista CSO dedicou ampla cobertura ao planejamento de pandemia da gripe aviária. Embora, felizmente, essa pandemia nunca tenha se materializado, e apesar da SARS, MERS e os surtos de outras doenças infecciosas, não ouvimos a mesma quantidade de “zumbido pandêmico” nos anos seguintes.
Parece que as empresas aprenderam a lição e muitas mantiveram seus planos de resiliência atualizados nos anos seguintes. Enquanto apenas 54% dos entrevistados indicaram que seus planos de pandemia/resiliência os tinham preparado para a situação atual, 67% indicaram que sua infraestrutura de segurança estava totalmente preparada para a gama de riscos associados ao novo ambiente operacional.
Hora de ir às compras?
Apesar dos altos níveis de confiança de que suas infraestruturas de segurança estão à altura da tarefa em questão, 22% das organizações identificaram que estavam comprando novas soluções/serviços de segurança para lidar com a nova dinâmica de trabalho.
Como seria de esperar, as empresas com menor probabilidade de investir em novas tecnologias ou serviços estão em setores identificados como mais preparados: serviços financeiros (12%) e assistência médica (14%).
Surpreendentemente, apenas 7% das organizações de pequenas e médias empresas indicaram que precisavam fazer aquisições de segurança em resposta às condições atuais, o que pode indicar falta de visibilidade em seus ambientes de risco, falta de orçamento disponível para apoiar novos investimentos ou uma combinação de ambos.
Ataques terminaram
Quando a mudança para um novo ambiente de trabalho ficou definido pela pandemia, foi amplamente especulado que haveria um aumento nos ataques projetados para tirar vantagem da incerteza causada pela crise e seu impacto na estrutura do trabalho, bem como buracos que poderiam se abrir com a força de trabalho em transição.
Infelizmente, essa especulação provou ser precisa: mais de 26% dos participantes da pesquisa afirmaram que suas organizações viram um aumento no volume, na gravidade e/ou no escopo dos ataques cibernéticos desde 12 de março.
Embora o aumento de ataques tenha sido bastante consistente em empresas de todo o tamanho, com PMEs vendo números apenas um pouco mais altos do que as grandes corporações, o setor de serviços financeiros foi especialmente impactado, com 37% observando um aumento.
O impacto será sentido por anos
Em todos os setores verticais e empresas de todos os tamanhos, 73% dos participantes da pesquisa dizem acreditar que o impacto dessa pandemia alterará a maneira como seus negócios avaliam os riscos, por pelo menos, nos próximos cinco anos.
Em algumas indústrias, como no varejo, esse número chegou a 83%. Essa é uma questão que passará dos reguladores financeiros para os conselhos de administração e assim por diante na cadeia alimentar institucional.Riscos que, até então, se pensava ter uma baixa probabilidade de ocorrência, agora estão recebendo uma segunda olhada.
Uma análise mais detalhada de alguns grupos selecionados
PMEs: Uma história de excesso de confiança e desconexões
- Os entrevistados de PMEs estavam relativamente despreocupados com os riscos dos funcionários que trabalham em casa, apesar do fato de 9 em cada 10 funcionários já atuarem sob esse formato (29% dos entrevistados de pequenas e médias empresas relataram estar preocupados com os riscos do trabalho remoto versus uma média de 61% entre todos os entrevistados).
- Embora as pequenas e médias empresas tenham a menor probabilidade de dizer que seu planejamento de pandemia as preparou para a situação atual (43%), elas têm o nível mais alto de confiança de que sua infraestrutura de segurança pode lidar com a gama de riscos associados ao novo ambiente operacional (79%).
- Um terço delas está propensa a adquirir novas soluções de segurança/serviços, a fim de abordar a nova dinâmica de trabalho. A pesquisa não forneceu informações sobre o motivo: pode indicar falta de visibilidade em seus ambientes de risco, falta de orçamento disponível para apoiar novos investimentos ou uma combinação de ambos.
- Eles também são menos propensos a dizer que a pandemia alterará a maneira como seus negócios avaliam riscos no futuro (57% versus 73% em relação a todos os entrevistados).
Varejo: mais atingido e talvez menos preparado
- Com o maior aumento de funcionários trabalhando em casa (3,7% antes, versus 66,4% hoje, um aumento de 17,9 vezes), os varejistas indicaram o nível mais alto de confiança em todos os setores de que sua infraestrutura de segurança pode lidar com todos os funcionários que trabalham em casa.
- Apesar dessa confiança na preparação, 25% das organizações de varejo tiveram que comprar novas soluções/serviços de segurança para lidar com a nova dinâmica de trabalho.
- Apenas 42% (o menor entre todos os setores) indicaram que seus planos de pandemia/resiliência os deixaram preparados para a situação atual.
- A maioria dos varejistas (83%) acredita que a pandemia alterará a maneira como seus negócios avaliam o risco pelos próximos cinco anos.
- Apenas 17% dos varejistas relatam um aumento no volume, gravidade e/ou escopo de ataques cibernéticos desde 12 de março, o menor de todos os setores.
Saúde: bem preparado, mas sob pressão e ataque
- Com 9,1 semanas, as empresas da área de saúde têm a expectativa mais longa de restrições sociais e de trabalho que ainda existem.
- Com 59,3% de seus funcionários trabalhando em casa (conversas paralelas que tive indicaram que a maioria deles são funcionários administrativos), 88% dos entrevistados da saúde expressaram confiança de que sua infraestrutura de segurança pode atender adequadamente aos funcionários que trabalham em casa.
- Eles expressaram o nível mais alto de preocupação com os riscos à segurança, visando especificamente os funcionários remotos (73%).
- Vinte e sete por cento (o mais alto de todos os setores) das organizações de saúde tiveram que adquirir novas soluções/serviços de segurança para lidar com a nova dinâmica de trabalho.
- Tudo isso dito, 19% das organizações do setor relataram um aumento no volume, gravidade e/ou escopo dos ataques cibernéticos desde 12 de março.
Alta tecnologia: percepção versus realidade
- Para um setor que possuía a maior participação de funcionários WFH (Trabalhando em Casa, na sigla em inglês) antes da crise do COVID-19 (31,9%) e a maior participação desde 12 de março (90,2%), os entrevistados de alta tecnologia são os menos confiantes de que sua infraestrutura de segurança possa atender adequadamente funcionários que trabalham em casa (67% de alta tecnologia versus 81% em todos os entrevistados).
- Eles também têm o nível mais baixo de confiança de que sua infraestrutura foi totalmente preparada para a gama de riscos associada ao novo ambiente operacional (57%).
- Sessenta e dois por cento dos entrevistados em alta tecnologia dizem que acreditam que essa pandemia alterará a maneira como seus negócios avaliam o risco pelos próximos cinco anos. Esse número, embora alto, é o mais baixo entre os setores pesquisados.
Serviços financeiros: liderando o grupo - Apesar de ver um aumento de 6,3 vezes no número de funcionários que trabalham em casa (13,6% antes / 85,7% hoje), 88% das empresas de serviços financeiros estavam mais propensas a dizer que estavam preparadas para o WFH, 70% acreditavam estar preparadas para novo ambiente de trabalho; e 12% eram menos propensas a adquirir novas soluções/serviços de segurança para lidar com a nova dinâmica de trabalho. E 37% das empresas de serviços financeiros pesquisadas relataram uma aceleração no volume, gravidade e/ou escopo de ataques cibernéticos desde 12 de março, a maior entre as indústrias pesquisadas.
Avançando
Há anos que falamos sobre a importância da resiliência corporativa – a capacidade da empresa de dar um soco e continuar a operar. O papel da segurança na resiliência foi percebido mais amplamente quando o ransomware chegou com força total, prejudicando algumas das principais empresas, ainda que temporariamente. Mas agora essa capacidade de dar um soco ecoará nas salas de diretoria em todo o mundo.
Está claro que, seja qual for o novo normal, ainda está para ser determinado, e a segurança terá que se adaptar para enfrentar os riscos que virão. Também está claro que essas circunstâncias infelizes iluminarão ainda mais a organização da segurança, já que o gerenciamento de riscos não será mais considerado agradável de se ter, mas será visto como obrigatório.
Fonte: CIO