A complacência é um risco oculto que pode se manifestar em várias dimensões dentro de uma organização. Seja em operações, finanças ou outras decisões de liderança, posturas imprudentes ou negligentes podem levar à perda de oportunidades ou a prejuízos graves, com implicações significativas na prosperidade. Com a intensificação recente das transformações digitais e das normas de proteção de dados em todas as áreas do governo e da economia, as consequências da complacência, especialmente na cibersegurança, são ainda mais graves, deixando as instituições vulneráveis a uma ampla gama de ameaças cruciais.

Complacência nas Organizações

Não é por acaso portanto, que, segundo Chris Ruisi para a American Express, “A complacência pode ser a ameaça mais perigosa para qualquer negócio” (Fonte: American Express). Diversos fatores contribuem para sua ocorrência nas organizações, aumentando os riscos e prejuízos frente a uma era digital tão integrada, que exige reações mais rápidas. Esses fatores muitas vezes se entrelaçam, levando a uma cultura organizacional onde as vulnerabilidades críticas são negligenciadas, e mudanças necessárias são adiadas:

  • Excesso de Confiança – Em organizações bem-sucedidas, muitas vezes há a sensação de invencibilidade, especialmente quando os processos “sempre funcionaram bem”. Isso pode criar uma cultura onde os riscos e as oportunidades são subestimados ou minimizados.
  • Falsa Realidade – Muitas organizações não têm uma compreensão precisa e abrangente das ameaças que enfrentam sobre diferentes perspectivas que afetam sua atuação. Essa falta de consciência situacional geralmente leva à tomada de decisões erradas e à subestimação dos riscos.
  • Efeito Espectador – Fenômeno psicológico onde um colega tende a não agir perante situações que exigem ação, assumindo que outras pessoas o farão. Quanto mais pessoas envolvidas, menor é a probabilidade de qualquer uma delas assumir voluntariamente a responsabilidade, o que pode levar à inação coletiva, mesmo diante de situações críticas.
  • Desculpas e Subterfúgios – Uma cultura que tolera a inação ou que encobre falhas permite que a complacência se fortaleça. Quando os indivíduos evitam assumir responsabilidade pelas mudanças necessárias, ou a alta gestão fica inerte perante recomendações das equipes técnicas, perpetua-se a complacência.

Esses são fatores que bloqueiam o progresso e a resiliência organizacional, mesmo que, de quando em quando, surjam momentos de insight ou ideação nas equipes. A complacência, se não combatida, pode trazer ceticismo às boas idéias e estagnação às ações necessárias para a mitigação de risco e o aproveitamento de oportunidades – o que é especialmente perigoso em uma era onde as ameaças evoluem de forma rápida e imprevisível.

Complacência na Cibersegurança: Uma Preocupação Crescente

Mais que um risco teórico, a complacência é uma preocupação concreta em vários setores, desde instituições governamentais até empresas privadas. Na dimensão da Cibersegurança, a enorme frequência de ataques cibernéticos e a demanda por resgates devem servir como lembretes contundentes de que a inação já não é uma opção. A crescente sofisticação das ameaças cibernéticas e a aceleração das transformações digitais, aceleradas por adventos recentes como os da Inteligência Artificial (IA) e da Computação Quântica, deixam claro: deixar de agir ou presumir que sucessos passados protegerão as instituições de futuros perigos coloca tudo em risco.

WEF AI in Cybersecurity

Notemos, por exemplo, os impactos transformadores da IA na Cibersegurança previstos pelo World Economic Forum em seu recente documento “Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards“:

  1. Ciberataques mais Potentes – aumento da toxicidade do ciberespaço, com mais efetividade na seleção de vítimas;
  2. Ampliação das superfícies de ataque e dos danos cibernéticos às organizações – novas superfícies de ataque e propagação de riscos através das empresas;
  3. Melhores ferramentas de defesa cibernética – melhoria na prevenção e na detecção de ataques, e mais efetividade na resposta a incidentes.

Casos Reais das Consequências da Complacência

A complacência em cibersegurança pode resultar em danos financeiros, operacionais e reputacionais severos, e suas consequências são evidenciadas em milhares de casos reais planeta afora. Vejamos, entre diversos outros recentes, os seguintes exemplos:

Datasus (Ministério da Saúde, Brasil)

Em maio de 2022, as plataformas digitais do Ministério da Saúde, incluindo Conecte SUS e e-SUS Notifica, que oferecem suporte a serviços de saúde para os mais de 200 milhões de brasileiros, foram retiradas do ar após um ataque cibernético. Embora os sistemas tenham sido rapidamente desligados pela equipe responsável para evitar danos maiores, esse não havia sido o primeiro ataque ao órgão. Poucos meses antes, em dezembro de 2021, um ataque já havia comprometido os sistemas do Ministério, impactando dados críticos da COVID-19, o que exigiu grandes esforços de recuperação (Fonte: CNN Brasil). Esses eventos sequenciais denotam um eventual, e perigoso, nível de procrastinação em um serviço público essencial, ressaltando a necessidade de investimentos contínuos e ações evolutivas em cibersegurança em tais infraestruturas críticas.

CDK Global

Em junho de 2024, a CDK Global, um importante fornecedor de soluções de software para concessionárias de automóveis na América do Norte, foi atacada pelo grupo de ransomware BlackSuit. O ataque interrompeu as operações de mais de 15.000 concessionárias nos Estados Unidos e no Canadá por semanas. A mídia informou que a empresa pode ter pago um resgate de US$ 25 milhões para recuperar seus dados (Fonte: CNN). Este incidente destaca os crescentes riscos financeiros e operacionais associados aos ataques de ransomware e o papel da complacência em permitir que essas vulnerabilidades se perpetuem, mesmo em cadeias produtivas envolvendo milhares de empresas e milhões de consumidores afetados conjuntamente em um único incidente.

Esses casos mostram que ninguém está imune aos riscos de ciberataques, especialmente quando dados críticos ou informações valiosas estão em jogo.

O Custo da Complacência

Os danos causados pela complacência podem ser catastróficos, especialmente quando os dados corporativos e pessoais, a reputação e a continuidade operacional de uma organização estão em jogo. Algumas das consequências mais graves incluem:

  • Perdas financeiras: Os ciberataques e vazamentos de dados podem resultar em elevados prejuízos ou mesmo em pagamentos de resgates, multas (por não conformidade com regulamentações como o GDPR) e custos de recuperação.
  • Danos à reputação: Organizações que falham em proteger seus dados e os dos seus usuários enfrentam danos à sua reputação, o que pode resultar em perda de clientes, parceiros de negócios e confiança pública.
  • Parada operacional: Ciberataques frequentemente causam longos períodos de inatividade operacional, interrompendo a continuidade dos negócios e potencialmente paralisando serviços essenciais, com danos diretos e indiretos.
  • Consequências regulatórias: A falha em cumprir as regulamentações de proteção de dados pode levar a multas substanciais, além de questões jurídicas e de conformidade que podem paralisar uma organização por falta de compliance.

Prontidão: Uma Solução Prática

Nos anos recentes, uma nova e eficaz ajuda contra a complacência em cibersegurança tem crescido em adoção por parte de organizações em todo o mundo: os diagnósticos de Prontidão Cibernética.

Uma rotina vigilante, conduzida por instituição especializada e isenta, pode ser o referencial imparcial e rotineiro que faltava para quebrar o ciclo da complacência cibernética interno. Por meio de diagnósticos externos de vulnerabilidades as organizações ganham visão crítica e objetiva das vulnerabilidades e ameaças digitais que incidem sobre si, podendo agir de forma preemptiva na solução de fragilidades antes que essas possam ser exploradas por agressores maliciosos. As principais características de diagnósticos eficazes de prontidão cibernética incluem:

  • Isenção e Imparcialidade: Realizados por especialistas confiáveis, sem comprometimento ou conflito de interesse com o aparato do seu Cliente, garantindo um feedback preciso, objetivo e acionável, sem influências externas que possam mascarar falhas encontradas.
  • Teste de Desempenho Funcional: Superam os checklist tradicionais ou os pentests pontuais de cibersegurança, pois implementam protocolos que testam ativamente todo o perímetro digital da organização, verificando e monitorando suas capacidades reais de resistência a técnicas reais de ataque cibernético.
  • Não Intrusivos: Avaliam de fora para dentro toda a superfície digital da organização, incluindo suas redes de parceiros e terceiras partes relacionadas, sem interromper as operações, e sem demandar instalação de hardware ou software ou abertura de portas lógicas, sem impacto na continuidade dos negócios, mas oferecendo insights sobre os riscos presentes na cadeia de suprimentos, inclusive vasculhando por ameaças ao Cliente na deep web e dark web.
  • Inteligência Acionável: Oferecem relatórios tempestivos e de conteúdo direcionado aos diferentes públicos interessados na organização. Proporcionam insights estratégicos para a alta gestão, com informações gerenciais concisas, e laudos práticos e detalhados para as equipes técnicas, tanto de governança quanto de tecnologia, com foco em melhorias específicas e oportunidades para aumentar a maturidade cibernética e a resiliência organizacional de forma sustentável.

O Caminho a Seguir: Uma Cultura de Preempção

A complacência é uma armadilha perigosa na cibersegurança, assim como na gestão organizacional como um todo, e seus riscos estão crescendo na era digital atual. À medida que as organizações enfrentam ameaças cibernéticas cada vez mais sofisticadas, manter uma rotina educacional e de promoção de uma cultura proativa de prevenção já não é uma opção – é essencial. Ao romper com o ciclo de complacência e adotar medidas de defesa ativa, como diagnósticos externos de prontidão cibernética, e responsabilidades segregadas entre camadas distintas da arquitetura de segurança, as instituições podem fortalecer sua resiliência face aos riscos digitais em constante evolução.

Como sabemos, a cibersegurança não é responsabilidade apenas dos DPOs ou das equipes de TI, mas sim um esforço coletivo que exige o envolvimento de experts externos e o alinhamento responsivo das equipes técnicas com a mais alta gestão em relação aos ativos essenciais de qualquer organização: pessoas, dados, processos, cadeias de suprimentos e reputação. Somente por meio de investimentos consistentes em cibersegurança, juntamente com educação de usuários e uma mentalidade geral de melhoria e vigilância contínuas, as organizações podem realmente proteger seus ativos digitais e salvaguardar seu futuro em uma sociedade globalmente interconectada.

1 Comentário

Deixe seu comentário

Por favor inclua seu comentário
Digite seu nome aqui