setembro 16, 2015

[Segurança] Segurança em tempos de crise

No final do Global Risk Meeting (GRM) eu participei de um painel aonde discutimos, entre outras coisas, o impacto da crise econômica na área de segurança. Na ocasião eu comentei pouco sobre o assunto, pois fui pego de surpresa pelo tema, mas desde então comecei a pensar melhor nos vários aspectos em que somos afetados.

Para pensar nos impactos que uma crise econômica podem causar na área de segurança, gostaria de basear a minha linha de raciocínio nos impactos que ela causa no negócio e na sociedade, a partir daí, como isto se reflete na área de segurança.

Durante períodos de crise, como a crise político e econômica que vivemos atualmente no Brasil, qual é a reação das empresas (riscos internos) e qual é o potencial impacto na sociedade (riscos externos)?

  • Câmbio desfavorável e redução de investimento em TI e SI: devido a nossa grande dependência tecnológica, a grande maioria dos equipamentos e soluções de TI e de segurança são importadas. Desta forma, a desvalorização do real pode causar grande impacto na capacidade de investimento das empresas em tecnologia. Afinal, o custo de aquisição de novos equipamentos (hardware e software) tende a crescer proporcionalmente ao Câmbio. Uma empresa que fez a sua estimativa de orçamento para 2015 no ano passado, quando o dólar estava a R$ 2,35, enfrentou uma redução inesperada na sua capacidade de investimento, agora que o dólar está a R$3.81 (seria como se o budget tivesse sofrido um corte de quase 30%). Além disso, um mês que a empresa postergue uma decisão de compra pode fazer com que um projeto seja cancelado pelo aumento no valor do produtoimportado, a ponto de não caber mais no budget. Ou seja: menos investimento, projetos parados, equipamentos e infra-estrutura desatualizadas, não conseguindo acompanhar a necessidade de negócio;
  • Incertreza econômica, desaceleração nas vendas e redução de despesas: uma crise pode causar forte impacto nas vendas das empresas, obrigando a redução de custos e cortes nas empresas, o que pode causar paralisação nos investimentos e adiamento de novos projetos. Além disto, diante da incerteza as empresas tendem a tomar uma postura mais conservadora, preventiva, evitando gastos e cortando custos. Novos projetos podem ser engavetados, a espera de tempos melhores. Isso se aplica, principalmente, para as áreas não voltadas diretamente ao core business da empresa - ou seja, áreas administrativas e de infra-estrutura de TI podem ser as primeiras a sofrer cortes de orçamento. Você queria atualizar o seu Firewall? Xi, talvez só no ano que vem...
  • Redução de pessoal e aumento no risco do fator humano: demissão é uma das ações mais comuns para redução dos custos, uma vez que parte significativa das despesas de qualquer empresa vai para a folha de pagamento. Nestas horas,as empresas que tem "gordura" aproveitam para demitir os empregados que tem pior performance. Outras podem ser obrigadas a cortar bons funcionários, além de congelar qualquer processo de contratação que não seja essencial ao negócio. O impacto na redução do quadro de pessoal pode ser facilmente sentido com colaboradores mais sobrecarregados e desmotivados (o que potencializa problemas e incidentes causados por falha humana em função de fadiga e stress), ou empregados menos comprometidos com a empresa (o que, no extremo, pode estimular alguns empregados a agirem de forma desonesta, fraudando a empresa - nem que seja para compensar a redução no contra-cheque causada pelo congelamento das horas extras, por exemplo);
  • Aumento do desemprego e da criminalidade: um súbito aumento do desemprego pode forçar uma parcela desempregada a partir para o crime, como forma extrema de garantir sua subsistência - crimes de pequeno (como roubar um pacote de macarrão no mercado) ou grande porte. Além do aumento de roubos e fraudes, profissionais desempregados com formação em tecnologia podem optar por participar de esquemas de fraudes online, uma vez que esta é uma modalidade de fácil acesso para uma pessoa capacitada em TI e que pode representar grandes ganhos financeiros a curto prazo com um risco muito menor do que comparado com o crime tradicional. Crimes cibernéticos como phishing, fraude em Internet Banking e e-commerce, roubo de dados e esquemas de ciber extorsão podem aumentar;
  • Problemas econômicos e sociais causando aumento de protestos: Atualmente, um aumento de protestos contra os governos é facilmente acompanhado de ações hacktivistas. Desta forma, a insatisfação popular quanto ao governo vigente e com crise econômica pode causar um aumento de ataques de DDoS e roubo de dados contra empresas e órgãos de governo - principalmente contra empresas que podem ser associadas de alguma forma ao grupo governante (por exemplo, empresas que participaram de esquemas de financiamento de campanha ou empresas associadas a projetos governamentais, tais como a patrocinadoras dos Jogos Olímpicos). Em todo o mundo, empresas do setor financeiro são normalmente associadas aos problemas econômicos e vistos como causadores e beneficiadas pela crise, o que as tornam alvo constantes de protestos (isto aconteceu no auge da crise financeira Européia).

Os exemplos acima mostram como um cenário de crise pode causar diversos impactos nas empresas e podem influenciar o cenário de riscos. Não podemos negar que uma crise econômica pode influenciar negativamente a área de segurança em vários aspectos, principalmente na sua capacidade de investimento e no aumento dos riscos internos e externos.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.