COMENTÁRIO
O Médio Oriente está a passar por uma transformação digital tão rápida quanto notável. As multinacionais tecnológicas estão a investir fortemente na região, à medida que Dubai, Riade e Abu Dhabi se esforçam para se estabelecerem como centros globais de inovação.
Mas esta maior digitalização acarreta um risco acrescido de ataques cibernéticos – e as empresas em todo o Médio Oriente correm o risco de serem apanhadas desprotegidas.
O ritmo do crescimento digital em países de todo o Médio Oriente ultrapassou largamente os talentos em segurança cibernética na região, deixando as organizações fatalmente expostas. Embora algumas empresas recorram à externalização das suas medidas de segurança cibernética para gigantes da tecnologia e para as suas ferramentas, esta abordagem não intervencionista é propensa a riscos.
O Médio Oriente está agora directamente na linha de fogo. Com os ataques cibernéticos encorajados pela IA, as defesas robustas de segurança cibernética são mais cruciais do que nunca. As empresas devem abandonar a terceirização e concentrar-se na construção de defesas internas fortes, investindo em abordagens baseadas em ferramentas e aproveitando fortemente a contratação interna, a qualificação e as práticas de retenção de talentos.
Vítimas do seu próprio sucesso?
O sucesso comercial de locais como Dubai, Abu Dhabi e Arábia Saudita transformou-os em focos potenciais para o crime cibernético. Os ataques distribuídos de negação de serviço (DDoS) em países do Médio Oriente aumentaram 75% no ano passado, com os Emirados Árabes Unidos e a Arábia Saudita a sofrerem o impacto do golpe.
Só os Emirados Árabes Unidos são vítimas de cerca de 50.000 ataques cibernéticos por dia. E isso tem um custo: em 2023, os ataques cibernéticos custarão empresas, organizações e órgãos públicos mais de US$ 8 milhões por incidente.
O aumento dos ataques cibernéticos só é exacerbado pelas mudanças nos padrões do cenário do crime cibernético. A ascensão da IA reduziu a barreira de entrada para possíveis hackers, permitindo que mesmo aqueles com as habilidades mais novatas realizassem um ataque em grande escala. Enquanto isso, a proliferação do crime cibernético como serviço (CaaS), que oferece serviços como DDoS de aluguel, significa que os atores da ameaça agora precisam de pouco mais do que uma intenção para lançar um ataque cibernético. Nesta nova era do crime cibernético, onde há vontade, há um caminho.
A actual lacuna de competências em cibersegurança observada em todo o Médio Oriente está a deixar as empresas expostas e vulneráveis a maus actores. Mais de metade das empresas da região EMEA atribuíram as violações da segurança cibernética à falta de competências e formação, enquanto 70% dos líderes empresariais acreditam que a escassez de competências criar uma série de riscos adicionais de segurança cibernética que as empresas deverão enfrentar.
AI confunde equação de segurança terceirizada
Muitas empresas tentam remediar esta falta de talento terceirizando sua segurança cibernética a terceiros. Embora isto possa ter sido eficaz quando países como os EUA eram o principal alvo dos agentes de ameaças, esse já não é o caso.
O aumento dos ataques cibernéticos aprimorados por IA apresenta uma nova série de ameaças que as empresas que terceirizam a segurança cibernética não serão necessariamente capazes de enfrentar. A IA não apenas tornou mais fácil para os agentes de ameaças realizarem ataques cibernéticos, mas também tornou os próprios ataques mais sofisticados e maliciosos.
O malware aprimorado por IA é mais furtivo, tornando mais difícil detectar uma violação da infraestrutura de TI. Os ataques automatizados de phishing permitem que agentes mal-intencionados atinjam um número maior de vítimas potenciais, enquanto os próprios ataques de phishing são altamente adaptados aos seus alvos.
É crucial que as empresas do Médio Oriente – especialmente as dos EAU e da Arábia Saudita – estejam em dia com as suas medidas de segurança cibernética. Eles não podem relaxar e terceirizar a segurança cibernética presumindo que o risco também será transferido. Em vez disso, devem adotar uma abordagem ativa às suas medidas de cibersegurança, criando uma forte equipa interna de cibersegurança que possa identificar, responder e lidar com ameaças de forma eficaz e atempada.
Trazer a segurança cibernética internamente mitiga os riscos que podem surgir quando se depende de defesas terceirizadas, como tempos de resposta lentos. Em vez disso, as equipes internas de segurança cibernética terão controle sobre a estrutura de segurança do negócio, bem como uma compreensão completa das especificidades do negócio, permitindo-lhes reagir rapidamente às ameaças.
Mas, para conseguir isto, as empresas devem investir fortemente em talentos de TI novos e pré-existentes para colmatar a lacuna de competências do Médio Oriente – e isto deve ser feito com especial atenção nas práticas de contratação e retenção.
A retenção é difícil em grupos menores de talentos
Mais da metade das organizações em todo o mundo afirmam que luta para recrutar candidatos com experiência em segurança cibernética. As dificuldades na contratação de talentos em segurança cibernética são agravadas pela dificuldade em reter o pessoal de segurança cibernética, colocando os empregadores num ciclo vicioso de contratação e recontratação. No Médio Oriente, onde a economia digital ainda é jovem, isto é particularmente preocupante — a reserva de talentos é finita e as empresas não podem dar-se ao luxo de perder funcionários promissores.
Para combater esta situação, as empresas do Médio Oriente deveriam voltar a sua atenção para os novos talentos provenientes das universidades de todo o Médio Oriente e de todo o mundo. Ao formar parcerias com universidades e oferecer programas de pós-graduação atraentes, as empresas podem explorar densos conjuntos de talentos repletos de talentos promissores em segurança cibernética.
Os graduados estão ansiosos para aprender e dispostos a se moldar ao espírito da empresa, o que os torna a escolha ideal para empresas que buscam formar uma equipe interna dedicada de segurança cibernética.
Investir em programas de aprendizagem é outra opção para as empresas. Embora sejam mais práticas, as empresas poderão treinar os candidatos desde o início, garantindo que as competências e conhecimentos do candidato estejam fortemente alinhados com as necessidades de segurança cibernética do negócio.
A aprendizagem e o desenvolvimento devem ser promovidos
Reter esse talento é tão crucial quanto trazê-lo a bordo. Juntamente com as habituais tácticas de retenção, tais como pacotes de remuneração competitivos e benefícios desejáveis, as empresas devem investir fortemente em oportunidades contínuas de aprendizagem e desenvolvimento (T&D) ao longo da carreira do funcionário.
A má formação – ou a total falta de formação – é uma forma infalível de perder funcionários. Por outro lado, 94% dos funcionários dizem que ficariam mais tempo com um empregador que investisse em T&D. Em um setor em rápida mudança e em constante desenvolvimento como o da segurança cibernética, o T&D é especialmente vital.
Investir em sessões de treinamento e cursos de desenvolvimento para funcionários de segurança cibernética garantirá que eles se mantenham atualizados com quaisquer mudanças no cenário de ameaças e segurança. E, no processo, os colaboradores sentirão como se a empresa lhes estivesse a dar oportunidades para desenvolverem as suas competências e habilidades, transformando-os em profissionais de segurança cibernética altamente experientes.
Investir na equipe como tática de segurança cibernética não deve começar e terminar com a equipe de segurança cibernética. A implementação de um programa de melhoria de competências em segurança cibernética em toda a empresa é um primeiro passo vital — e uma forma simples de descartar uma das maiores causas por detrás das violações de segurança cibernética: erro humano. Negligência, falta de consciência ou erros simples podem levar a vulnerabilidades e violações, mesmo nos sistemas mais robustos. A melhoria de competências é um passo vital que as empresas devem tomar para mitigar este risco.
Com a taxa crescente de ataques cibernéticos no Médio Oriente, as empresas não podem dar-se ao luxo de ficar sentadas e esperar até se tornarem a próxima grande vítima de uma violação de dados ou de um ataque DDoS.
As empresas não podem confiar apenas em medidas de cibersegurança de terceiros – devem construir defesas internas abrangentes. As empresas precisam de agir agora e duplicar os seus investimentos em talentos de segurança cibernética, prestando especial atenção aos talentos emergentes emergentes.