Negli ultimi due anni, le aziende brasiliane hanno intensificato il loro processo di trasformazione digitale, adottando soluzioni come il cloud computing, l'Intelligenza Artificiale (IA) e l'automazione per ottenere efficienza e agilità. Il problema è che, integrando queste nuove tecnologie, le aziende devono affrontare anche nuove vulnerabilità. Negli ultimi trimestri, il Brasile ha assistito a un aumento significativo degli incidenti informatici. Un rapporto pubblicato da Check Point Research ha mostrato che nel terzo trimestre del 2024, le aziende brasiliane hanno subito in media 2.766 attacchi settimanali ciascuna – un aumento del 95% rispetto allo stesso periodo del 2023.
Questo scoppio di attacchi rivela la disparità tra innovazione e sicurezza. Molte aziende hanno accelerato i progetti digitali nel cloud durante la pandemia e il post-pandemia, ma non tutte hanno rafforzato le loro difese allo stesso ritmo. Come risultato, l'83% delle grandi aziende ha subito almeno un attacco informatico serio nel 2023, causando interruzioni non pianificate, perdite finanziarie e fughe di dati.
Oltre al rafforzamento delle difese aziendali, siamo ancora lontani dall'avere processi di governance maturi. I dati indicano che il numero di organizzazioni in Brasile senza governance dei dati può arrivare all'80%.
Innovazione versus sicurezza: stiamo aumentando la nostra vulnerabilità?
Anche se gli investimenti in cybersicurezza e strutturazione della governance continuano ad essere timidi, la corsa all'innovazione ha registrato un aumento dei budget IT nell'ultimo anno: dal 2023 al 2024, il mercato brasiliano dell'IT è cresciuto del 13,9%, superando la media globale e raggiungendo 58,6 miliardi di dollari. Le priorità di investimento hanno incluso la modernizzazione dell'infrastruttura cloud, la digitalizzazione dei processi aziendali e l'adozione di IA generativa.
Settori tradizionali, come quello bancario, guidano gli investimenti in innovazione – banche e fintech investono pesantemente in cloud e IA per offrire mobile banking e pagamenti digitali. In generale, le aziende brasiliane hanno destinato circa il 9,4% delle loro entrate nel 2023 e nel 2024 alla Tecnologia dell'Informazione e della Comunicazione (TIC). La Fundação Getúlio Vargas (FGV) stima che questa percentuale salga all'11% nei prossimi due o tre anni, a seconda che le organizzazioni continuino a investire in innovazione e modernizzazione.
D'altra parte, il paese è diventato il secondo paese più attaccato al mondo in crimini informatici, con oltre 700 milioni di attacchi in 12 mesi (1.379 attacchi al minuto!). Solo nel 2024, ci sono state 356 miliardi di tentativi di attacchi informatici sul territorio brasiliano, uno scenario allarmante, che si ripete in tutto il mondo.
A livello globale, si è registrato un record di attacchi – oltre il 75% di aumento nel 2024, fenomeno attribuito in parte all'uso dell'IA da parte dei cybercriminali per automatizzare e rendere le offensive più sofisticate. Phishing personalizzato di massa, malware adattivi e DDoS più potenti sono esempi di minacce potenziate dall'intelligenza artificiale maligna.
Le vulnerabilità crescono anche sotto nuove forme: uno studio indica che il 57% delle aziende brasiliane utilizza già l'IA per generare codice software, la terza più alta al mondo. Paradossalmente, il 44% di queste organizzazioni considera il codice generato dall'IA come principale preoccupazione di sicurezza, temendo guasti imprevisti o vulnerabilità introdotte dalla generazione autonoma del software. Le API – essenziali per integrare sistemi e applicazioni – sono un altro punto cieco: più della metà (52%) delle aziende in Brasile percepisce rischi elevati nelle API esposte. In sintesi, mentre amplificano l'innovazione, iniziative come DevOps agile, migrazione di massa al cloud, uso esteso di dispositivi connessi e sviluppo guidato dall'IA aumentano i vettori di attacco e la complessità di proteggere gli ambienti.
Il problema è che l'innovazione non sempre va di pari passo con l'aumento della sicurezza digitale. Anche se molte aziende sono più innovative nella cybersicurezza e stanno aumentando il loro arsenale di soluzioni difensive, la fase è ancora iniziale. Lo scorso anno, il Markets, Innovation & Technology Institute (MiTi) e la Security Design Lab (SDL) hanno pubblicato una ricerca settoriale sulla cybersicurezza, che ha valutato la maturità di 181 aziende brasiliane. Lo studio ha rilevato che, nonostante i miglioramenti, il livello medio di maturità in cybersicurezza si è attestato al 53%, ancora nella media – anche se rappresenta un progresso rispetto al 49% dell'anno precedente.
Questo numero indica che buona parte delle aziende è ancora al di sotto delle migliori pratiche raccomandate. Ad esempio, il 53% delle aziende autentica i sistemi critici solo con login e password, un metodo superato, mentre il 24% non dispone di un budget dedicato alla sicurezza informatica e il 27% non esegue regolarmente test di penetrazione. Questi numeri mostrano che, sebbene gli investimenti siano in crescita, ci sono ancora lacune importanti da colmare in termini di politica, cultura e governance.
Governance: insieme all'innovazione, può aumentare la resilienza cibernetica
Esiste una correlazione chiara tra la maturità di governance e compliance e la capacità dell'azienda di resistere a incidenti informatici o di condurre con successo innovazioni. I dati suggeriscono che le organizzazioni con buone pratiche di GRC (Governance, Rischi e Conformità) subiscono meno impatti e ottengono risultati migliori nei loro progetti di trasformazione digitale.
Ad esempio, la stessa ricerca condotta da MiTi e SDL ha anche evidenziato che il 38% delle aziende non ha un piano di risposta agli incidenti e il 46% non ha un piano di recupero dei disastri. Questi numeri sono preoccupanti, poiché l'assenza di piani di contingenza efficaci tende a prolungare e aggravare i danni quando si verifica un attacco.
Al contrario, le aziende che anticipano i rischi e investono in sicurezza ottengono benefici tangibili. Uno studio globale di PwC evidenzia che solo il 5% delle aziende mette davvero la sicurezza al centro della propria innovazione, integrando il lavoro del CISO fin dall'inizio dei progetti. E proprio queste aziende hanno registrato meno violazioni dei dati e, anche quando sono state attaccate, hanno subito incidenti di costo inferiore.
Cioè, integrare governance e sicurezza fin dalla progettazione di nuove iniziative IT aumenta la probabilità che i nuovi progetti vengano messi in funzione senza aumentare la superficie di attacco digitale e senza rendere le aziende ancora più vulnerabili. Senza governance, iniziative di big data, intelligenza artificiale o trasformazione digitale rischiano di fallire o di generare conseguenze indesiderate (come uso improprio delle informazioni o sistemi fragili).
Le aziende con una governance più matura hanno maggior facilità nel rispettare i requisiti dei clienti e dei regolatori, il che consente la partecipazione a nuovi mercati e partnership di innovazione. D'altra parte, la mancanza di conformità può bloccare i progetti – immagina sviluppare una soluzione innovativa che gestisce dati personali senza rispettare il GDPR: il progetto incontrerà ostacoli legali e reputazionali. Pertanto, strutture solide di conformità e sicurezza aumentano la fiducia degli stakeholder e consentono all'innovazione di prosperare in modo responsabile e resiliente.
In definitiva, governance e sicurezza non sono antagonisti all'innovazione – al contrario, funzionano come fondamenta per un'innovazione sostenibile. Le aziende che strutturano comitati, politiche e piani di risposta soffrono meno di imprevisti informatici e riescono a concentrarsi sulla crescita del business. Quelle che trascurano questi elementi strategici finiscono per essere più esposte a interruzioni, perdite finanziarie e necessità di interventi di emergenza, il che invariabilmente ritarda o reindirizza gli investimenti che potrebbero essere destinati all'innovazione. I numeri confermano: maturità in governance, compliance e sicurezza sono strettamente legati a una maggiore resilienza e successo nelle imprese tecnologiche. Le aziende che riusciranno ad allineare queste fronti non solo si proteggeranno meglio dagli incidenti, ma conquisteranno anche un vantaggio competitivo innovando con fiducia e sostenibilità nel mercato brasiliano sempre più digitale.
