*Por Denis Riviello
Nos últimos anos, a preocupação com a segurança cibernética nas empresas deixou de ser uma opção e se tornou uma verdadeira necessidade, independente do segmento que a corporação pertença. Podemos ver esse movimento em uma pesquisa do Gartner, que revela que 88% dos conselhos de administração vêem o tópico como um risco de negócio. Além disso, dados da Global Digital Trust Insights Survey ainda revelam que 83% das companhias brasileiras estimam um crescimento nos gastos com esse tema em 2022, valor 14% maior do que a expectativa mundial.
Dentro desta seara de investimentos, há algumas vias de como estruturar uma estratégia de cibersegurança. Uma boa parte das marcas opta pela atuação de uma frente terceirizada, que é especializada no assunto. Definitivamente, é um movimento inteligente no que diz respeito a colher todas as vantagens que a proteção no meio digital pode oferecer para o cenário corporativo nos dias atuais, seja pela eficiência, custo-benefício ou facilidade de adaptação às atividades da organização.
É importante destacar que essa alternativa não é melhor ou pior do que investir em uma equipe interna para lidar com a segurança cibernética da empresa, especialmente dependendo do perfil e porte da companhia, do fator de exposição, do BIA (Business Impact Analisys) e dos prós e contras que a liderança está disposta a enfrentar. Por isso, é essencial que o grupo empresarial faça uma análise dos riscos a que está exposto, definindo depois disso qual e quanto de esforço deve dedicar ao tema.
Quando investe-se internamente nesse quesito, já é esperado que o time tenha uma atuação muito mais alinhada e direcionada ao tipo de negócio da marca; afinal, em teoria, possui total familiaridade e vivência tanto nos processos de cibersegurança, como no dia a dia da organização. Contudo, há alguns aspectos nessa escolha que podem trazer determinadas dificuldades extras, como: questões trabalhistas, a especialização necessária aos colaboradores, a escassez de mão de obra e o custo da operação.
Por outro lado, em um modelo terceirizado a expectativa é que esta capacitação esteja embutida no contrato, no qual o capital intelectual é repassado para profissionais já preparados e 100% focados em identificar e tratar as ameaças cibernéticas. Isso faz com que a empresa contratante esteja à frente da sua concorrência em relação à conscientização sobre a segurança cibernética, criando uma maturidade antecipada em como reagir a possíveis sinais de ataques no meio digital.
Em outras palavras, a companhia consegue adquirir rapidamente a visibilidade dos riscos a que está exposta e suas vulnerabilidades técnicas, uma vez que o trabalho preliminar à implementação de um programa de proteção é realizado de acordo com cada objetivo de negócio. Com isso, o investimento permite que marcas das mais diversas áreas se blindem de crimes cibernéticos dentro de políticas e normas de especificidades, sem precisarem se desdobrar em uma jornada longa de readaptação.
Ainda vale frisar que as empresas que contratam serviços terceirizados não só estão validando internamente todas as suas atividades, mas também possuem essa aprovação por uma organização externa e que está atualizada com os movimentos do mercado. Dessa maneira, a organização evita que falhas ocultas apareçam tanto nas suas ações habituais, como em momentos difíceis, a exemplo dos próprios incidentes de cibersegurança.
Portanto, a terceirização da proteção cibernética é uma via excelente para garantir uma equipe dedicada e especializada para o tópico sem surpresas. As empresas que prestam esses serviços são formadas por profissionais que vivem o ambiente corporativo real, tratando a segurança contra ameaças digitais como um assunto de extrema importância para cada cliente. Logo, é uma estratégia que mescla à perfeição a prevenção contra um problema muito atual ao crescimento ininterrupto no mercado.
*Denis Riviello é Head de Cibersegurança da Compugraf, provedora de soluções em Cyber Security, privacidade de dados e compliance das principais empresas brasileiras.
Aviso: A opinião apresentada neste artigo é de responsabilidade de seu autor e não da ABES – Associação Brasileira das Empresas de Software