conselho administrativo de empresas brasileiras vê a IA generativa como risco à segurança
Membros do conselho estão despreparados para ataques, apesar de priorizarem e investirem em segurança cibernética.
Membros dos conselhos têm aproximadamente o mesmo nível de preocupação com o risco de ataques do ano passado. (Foto: Unsplash)
A Proofpoint, Inc., empresa líder em segurança cibernética e conformidade, lançou hoje seu segundo relatório anual Cybersecurity: Board of Perspective de 2023, que explora as opiniões do conselho de administração de empresas globais sobre o cenário de ameaças, prioridades de segurança cibernética e relacionamentos com CISOs (Chief Information Security Officer). As descobertas revelam que mais da metade (57%) dos conselheiros brasileiros entrevistados, se sentem em risco de um ataque material e, mais de um terço (37%), se sentem despreparados para lidar com um ataque direcionado.
A comparação anual mostra que os membros dos conselhos administrativos têm aproximadamente o mesmo nível de preocupação com o risco de ataques do ano passado. O surgimento de ferramentas de inteligência artificial (IA), como o ChatGPT, no entanto, chamou a atenção: 43% dos membros de conselhos administrativos acreditam que a IA generativa é um risco de segurança para a sua organização, em comparação com 59% globalmente.
Os executivos brasileiros têm essas preocupações, apesar dos executivos brasileiros terem demonstrado confiança em sua postura de segurança, com 81% considerando a cibersegurança como prioridade, 76% acreditando que seu conselho compreende claramente os riscos cibernéticos que enfrentam, e 83% acreditando que investiram adequadamente em cibersegurança. E, apesar da confiança em sua postura de segurança, quatro em cada cinco (81%) diretores de conselhos brasileiros expressaram preocupação com a responsabilidade pessoal diante de um incidente de cibersegurança em sua própria organização.
O relatório Cibersegurança: Board of Perspective 2023 analisa as respostas de uma pesquisa global realizada por terceiros, que contou com a participação de 659 membros do conselho de organizações com 5.000 ou mais funcionários em diferentes setores. Em junho de 2023, mais de 50 diretores de conselhos foram entrevistados em cada mercado de 12 países: EUA, Canadá, Reino Unido, França, Alemanha, Itália, Espanha, Austrália, Singapura, Japão, Brasil e México.
O relatório explora três principais áreas: as ameaças e os riscos cibernéticos enfrentados pelos conselhos de administração, o nível de preparação das empresas para se defenderem contra essas ameaças e o seu alinhamento com os CISOs, com base nos dados que a Proofpoint descobriu no relatório Voice of the CISO de 2023. A empresa encontrou um aumento semelhante, ano após ano, no número de CISOs que se sentem em risco e despreparados, e um alinhamento mais próximo do que antes entre os diretores do conselho e os líderes de segurança.
“O novo alinhamento entre os membros do conselho e os seus CISOs sobre o risco cibernético e a preparação deles é um sinal positivo de que ambos estão trabalhando de forma mais próxima e fazendo progressos nessa questão. No entanto, a sincronia crescente ainda não proporcionou mudanças significativas em relação à segurança cibernética, apesar dos conselhos se sentirem satisfeitos com o tempo e os recursos que estão investindo para combater esse risco”, disse Rogério Morais, vice-presidente para América Latina e Caribe da Proofpoint. “As nossas descobertas mostram que trazer uma maior conscientização em estratégias eficazes de segurança continua sendo um desafio. O desenvolvimento de relações ainda mais fortes entre o conselho e o CISO será fundamental nos próximos meses para que os diretores e líderes do setor possam ter conversas mais significativas e garantir que estão investindo nas prioridades certas.”
As principais conclusões globais do relatório Cybersecurity: The 2023 Board Perspective da Proofpoint incluem:
• A IA generativa chama a atenção da diretoria: com ferramentas, como o ChatGPT, recebendo grande destaque nos últimos meses, 43% dos diretores de conselhos brasileiros entrevistados veem essa tecnologia como um risco de segurança para suas organizações.
• A comparação anual mostra que os membros dos conselhos brasileiros têm praticamente o mesmo nível de preocupação em relação ao ano passado: 57% dos entrevistados sentem que sua organização corre o risco de um ataque cibernético material, em comparação com 58% em 2022.
• Conscientização e financiamento não significam preparação: 81% dos diretores brasileiros concordam que a segurança é uma prioridade para seu conselho, 76% acreditam que seu conselho entende claramente os riscos cibernéticos que enfrentam, 83% acham que investiram adequadamente em segurança e 79% acreditam que o seu orçamento para a questão aumentará nos próximos 12 meses; no entanto, estes esforços não conduzem uma melhor preparação: 37% ainda consideram que a sua empresa não está preparada para lidar com um ataque nos próximos 12 meses.
• Os membros do conselho e os CISOs têm preocupações diferentes sobre suas maiores ameaças: os membros de conselho de empresas brasileiros classificaram malware (43%), comprometimento de contas na nuvem (39%) e ransomware (39%) como suas principais preocupações. Enquanto isso, para os CISOs, as principais preocupações são os ataques DDoS (43%), o comprometimento de contas na nuvem (38%) e as ameaças internas (36%).
• Os diretores não estão alinhados com os CISOs nas áreas de risco pessoal e proteção de dados: embora muito mais CISOs brasileiros (73%) do que diretores (57%) concordem que o erro humano é o seu maior risco, os membros do conselho estão muito mais confiantes na capacidade de sua organização para proteger os dados – 85% dos diretores compartilham essa visão, em comparação com 71% dos CISOs.
• Orçamentos maiores, recursos adicionais e melhor inteligência contra ameaças estão no topo das listas de desejos das diretorias: 46% dos diretores brasileiros disseram que a cibersegurança de suas organizações se beneficiaria de um orçamento maior, 41% gostariam de ter mais recursos para cibersegurança e 39% gostariam de uma inteligência de ameaças melhor.
• As interações e relacionamentos entre diretoria e CISO precisam ser melhoradas: 48% dos diretores brasileiros dizem que interagem regularmente com líderes de segurança, uma redução em relação aos 53% do ano passado. Isso deixa quase metade de todos os conselhos sem relacionamentos sólidos entre CISO e a alta administração. No entanto, os membros do conselho e os CISOs estão alinhados quando interagem, com 70% dos membros do conselho afirmando que concordam com o seu CISO e 80% dos CISOs concordando com o seu conselho de administração
• A responsabilidade pessoal é uma preocupação tanto para os conselhos como para os CISOs: 81% dos diretores brasileiros expressaram preocupação com a responsabilidade pessoal no caso de um incidente de segurança na sua própria organização – e 69% dos CISOs concordam.
“Os membros do conselho estão levando a sério as questões de segurança, demonstrando que são realistas em relação ao risco humano e o impacto que as ameaças representam para os resultados financeiros de uma empresa. Eles estão fazendo progressos em seus relacionamentos com os líderes de segurança, entendendo que parcerias fortes entre o conselho e o CISO são mais importantes do que nunca”, disse Morais. “Mas este não é um momento para ficar complacente. Os conselhos devem continuar investindo em melhorar a preparação e a resiliência organizacional. Isso significa promover conversas mais profundas e produtivas com os CISOs para garantir que os diretores estejam tomando decisões estratégicas que gerem resultados positivos