O efeito em cascata: por que sua resiliência cibernética deve ir além das fronteiras da sua empresa

O mundo está se tornando mais arriscado a cada dia. Desde ciberataques auxiliados por IA e a ameaça iminente da computação quântica, até tensões geopolíticas e volatilidade da cadeia de suprimentos, forças externas estão causando impactos em todos os setores. Para organizações que buscam continuidade e agilidade nos negócios, simplesmente reagir a esses distúrbios já não é suficiente. A resiliência deve evoluir de um mecanismo de defesa interno para um princípio de design voltado para o ambiente externo.

Para entender melhor como as organizações estão lidando com essas pressões externas, a Zscaler entrevistou 1.750 líderes de TI em 14 mercados globais. Embora o engajamento e o investimento em resiliência cibernética sejam altos, nossas descobertas revelam uma brecha crucial: a confiança empresarial muitas vezes reflete um controle percebido sobre os sistemas internos, em vez de uma verdadeira preparação para distúrbios externos. A maioria (61%) dos líderes de TI em todo o mundo admitem que suas estratégias de resiliência ainda são muito voltadas para o ambiente interno.

O relatório deste ano, O efeito em cascata: um elemento essencial da cibersegurança resiliente, argumenta que a verdadeira resiliência deve se propagar pelas camadas de dependência (como parceiros, plataformas e cadeias de suprimentos) para absorver e amortecer os impactos externos antes que eles desestabilizem as operações. Ao adotar uma abordagem resiliente desde a origem, que se estende além dos limites da empresa, as organizações podem incorporar a capacidade de resistir ao inevitável.

Brechas críticas: onde o foco interno falha

A segurança voltada para o ambiente interno expõe as organizações em quatro áreas principais. Em primeiro lugar, a dependência de terceiros é uma fonte significativa de vulnerabilidade: 68% dependem mais de terceiros, mas menos da metade atualizou sua estratégia de resiliência, e a adoção de controles de risco está abaixo de 50%. Essa discrepância significativa fez com que 60% das organizações sofressem uma falha grave causada por fornecedores no ano passado. E o que é mais alarmante: apenas metade das organizações (54%) estão cobertas contra comprometimento de terceiros por seguros cibernéticos. Em segundo lugar, a evolução da tecnologia representa um desafio: 52% dos líderes de TI acreditam que sua segurança atual não consegue se defender contra ameaças existentes ou emergentes, como IA agêntica e computação quântica. Embora 42% dos estrevistados estejam testando e 34% já tenham implementado IA agêntica, metade deles fez isso sem governança. Sete em cada dez entrevistados não têm visibilidade do uso da "IA paralela", e 56% temem a exposição de dados sensíveis. Além disso, 57% não incluíram a criptografia pós-quântica (PQC) em sua estratégia de segurança, apesar de 60% reconhecerem que os dados roubados hoje podem estar em risco nos próximos 3 a 5 anos. Em terceiro lugar, a pressão macroeconômica está impondo mudanças rápidas: 74% dos líderes de TI concordam que o ambiente macroeconômico força mudanças repentinas. Embora o planejamento tenha aumentado (71% de conformidade regulatória, 69% de localização de dados), grande parte dele ainda é reativo. 

A dependência de tecnologia estrangeira está impactando as discussões sobre políticas e regulamentações de soberania, além de promover mudanças proativas. Nossa pesquisa mostra que os líderes de TI estão mitigando ativamente esse risco: 79% estão avaliando sua dependência de tecnologia estrangeira, enquanto seis em cada dez atualizaram sua estratégia de resiliência cibernética no último ano para atender às novas ou crescentes demandas de soberania. No ano passado, 60% atualizaram suas estratégias de resiliência cibernética em resposta às mudanças nas regulamentações, como NIS2, DORA e GDPR. 

Por fim, a arquitetura legada continua sendo um obstáculo significativo, com 81% ainda dependendo de forma crítica ou moderada de sistemas legados. 64% dos entrevistados também admitiram que sua infraestrutura atual dificulta uma resposta eficaz a falhas, e 59% afirmam que sua arquitetura não consegue acompanhar as mudanças nos negócios. Para que as organizações se tornem verdadeiramente resilientes, elas devem realizar testes de estresse externos, como simulações de disrupção quântica, inovação em IA e interdependência de fornecedores, a fim de descobrir riscos ocultos.

Ampliando sua resiliência desde a origem: três ações

Para eliminar as falhas de segurança e desencadear o "efeito em cascata" protetor, as organizações devem expandir seu pensamento de resiliência para o ambiente externo. Isso envolve priorizar a visibilidade e incorporar a identificação proativa de riscos em toda a organização, indo além dos sistemas internos para considerar as forças externas que moldam o risco operacional e acompanhar os dados em sistemas internos, parceiros externos e em toda a cadeia de suprimentos. Alcançar esse objetivo exige três mudanças estratégicas:

• Amplie a perspectiva e torne as mudanças arquiteturais gerenciáveis: a agilidade é fundamental, exigindo arquiteturas flexíveis que possam se adaptar em resposta a ameaças externas em constante evolução. O design da plataforma simplifica essa adaptação; a complexidade é inimiga da agilidade, e separar a segurança da infraestrutura de rede é essencial para obter velocidade sem restrições.
• Priorize a visibilidade e incorpore a identificação de riscos proativa em todos os lugares: passe da identificação de ameaças reativa para a identificação de riscos proativa, acompanhando seus dados em todos os lugares: sistemas internos, parceiros externos e em toda a cadeia de suprimentos.
• Desenvolva aos poucos, porque a preparação para o futuro é uma evolução, não um salto: com uma arquitetura de plataforma robusta e interoperável, a preparação para o futuro se torna uma evolução. Por exemplo, a segurança da IA agêntica se baseia na proteção contra perda de dados (DLP) existente, e o preparo para a criptografia pós-quântica é um processo gerenciável de visibilidade e atualizações incrementais.

Promovendo uma resiliência que se propaga

A Zscaler Zero Trust Exchange foi projetada para oferecer essa resiliência estendida e voltada para o ambiente externo. Como uma plataforma de segurança nativa da nuvem, ela permite que as organizações:

1. Priorizem a visibilidade: com uma única plataforma de segurança integrada que abrange segurança de dados, segurança de IA e segurança de terceiros, proporcionando controle completo em toda a superfície de risco, incluindo prestadores de serviço e cadeias de suprimentos.
2. Simplifiquem com uma abordagem de plataforma. ela desvincula a segurança da infraestrutura de rede, oferecendo conexões seguras baseadas em identidade e possibilitando que as organizações reconfigurem mercados ou fluxos de dados rapidamente conforme as condições mudam, atendendo inclusive aos requisitos de soberania de dados com 25 data centers em toda a Europa.
3. Proporcionem capacidade de adaptação rápida com base no conceito de Zero Trust: isso oferece um caminho evolutivo, no qual a segurança de GenAI e a visibilidade da criptografia pós-quântica são simplesmente funcionalidades ativadas a partir de um único painel, construídas sobre controles unificados para garantir a prontidão a longo prazo.

Na atual economia terceirizada, a resiliência de uma organização é tão robusta quanto o ecossistema do qual ela depende. Se uma organização não projetar e validar continuamente os controles entre fornecedores, prestadores de serviço e plataformas compartilhadas, o incidente de um parceiro se torna sua indisponibilidade.

Para prosperar em meio à incerteza, as organizações devem desenvolver a resiliência de dentro para fora e passar de medidas reativas para ações proativas e deliberadas.

Construa sua resiliência sobre bases sólidas para que a proteção oferecida se propague, reduzindo o impacto das ondas de choque externas que estão além do seu controle.

Precisa de orientação? Entre em contato com a Zscaler para ampliar o efeito em cascata na sua organização e confira o relatório completo aqui.