Negli ultimi due anni le aziende brasiliane hanno intensificato il loro processo di trasformazione digitale, adottando soluzioni come il cloud computing, l'Intelligenza Artificiale (AI) e l'automazione per ottenere efficienza e agilità Il problema è che, incorporando queste nuove tecnologie, anche le aziende iniziano a confrontarsi con nuove vulnerabilità Negli ultimi trimestri, il Brasile ha assistito a un significativo aumento degli incidenti informatici Un rapporto pubblicato da Check Point Research ha mostrato che, nel 3° trimestre del 2024, le aziende brasiliane hanno subito in media 2.766 attacchi settimanali ogni salto di 95% nello stesso periodo del 2023.

Molte aziende hanno accelerato i progetti di cloud digitale durante la pandemia e dopo la pandemia, ma non tutte hanno rafforzato le loro difese allo stesso ritmo Di conseguenza, 83% di grandi aziende ha subito almeno un grave attacco informatico nel 2023, causando tempi di inattività non pianificati, perdite finanziarie e fuga di dati.

Oltre a rafforzare le difese aziendali, siamo ancora lontani dall'avere processi di governance maturi. I dati indicano che il numero di organizzazioni in Brasile senza governance dei dati può raggiungere 80%.

Innovazione contro sicurezza: stiamo espandendo la nostra vulnerabilità?

Anche se gli investimenti nella cybersecurity e nella strutturazione della governance rimangono timidi, la corsa all'innovazione ha visto un aumento dei budget IT nell'ultimo anno: dal 2023 al 2024, il mercato IT brasiliano è cresciuto di 13,9%, superando la media globale e raggiungendo US$ 58,6 miliardi Le priorità di investimento hanno incluso la modernizzazione dell'infrastruttura cloud, la digitalizzazione dei processi aziendali e l'adozione dell'IA generativa.

Settori tradizionali, come quello bancario, guidano gli investimenti nell'innovazione 2023 e 2024 banche e fintech investono molto nel cloud e nell'IA per offrire mobile banking e pagamenti digitali In generale, le aziende brasiliane hanno stanziato circa 9,4% delle loro entrate nel 2023 e nel 2024 per le tecnologie dell'informazione e della comunicazione (ICT) La Fondazione Getulio Vargas (FGV) stima che questa percentuale salirà a 11% nei prossimi due o tre anni, poiché le organizzazioni continuano a investire in innovazione e modernizzazione.

D'altra parte, il paese è diventato il secondo paese più attaccato al mondo per criminalità informatica, con più di 700 milioni di attacchi in 12 mesi (1.379 attacchi al minuto!) Solo nel 2024, ci sono stati 356 miliardi di tentativi di attacchi informatici nel territorio brasiliano, uno scenario allarmante, e che si ripete in tutto il mondo.

A livello globale, nel 2024 si è registrato un aumento record di 75%, un fenomeno attribuito in parte all'uso dell'IA da parte dei criminali informatici per automatizzare e rendere gli attacchi più sofisticati Il phishing personalizzato di massa, il malware adattivo e i DDoS più potenti sono esempi di minacce alimentate da intelligenza artificiale dannosa.

Le vulnerabilità crescono anche in modi nuovi: uno studio sottolinea che 57% delle aziende brasiliane utilizzano già l'AI per generare codice software, il terzo tasso più alto al mondo Paradossalmente, 44% di queste organizzazioni hanno il codice generato dall'AI come principale preoccupazione per la sicurezza, temendo fallimenti o scappatoie inaspettate introdotte dalla generazione autonoma di API: essenziale per integrare sistemi e applicazioni (44%) di queste organizzazioni hanno codice generato dall'AI in Brasile vede alti rischi nelle API esposte In breve, allo stesso tempo amplificano l'innovazione, iniziative come i DevOps agili, la migrazione e amplificano l'uso dell'AI per estendere gli ambienti a vettori estesi, per estendere l'uso dell'AI.

Il problema è che l'innovazione non va necessariamente di pari passo con l'aumento della sicurezza digitale, anche se molte aziende sono più innovative nella sicurezza informatica, e aumentando il loro arsenale di soluzioni per la difesa, il palcoscenico è ancora iniziale Lo scorso anno, il Markets, Innovation & Technology Institute (MiTi) e il Security Design Lab (SDL) hanno pubblicato un sondaggio settoriale sulla sicurezza informatica, che ha valutato la maturità di 181 aziende brasiliane Lo studio ha sottolineato che, nonostante i miglioramenti, il livello medio di maturità nella sicurezza informatica è stato di 53%, ancora medio (TP3T sebbene sia un progresso rispetto all'anno precedente 4913.

Questo numero indica che la maggior parte delle aziende è ancora al di sotto delle best practice, ad esempio, 53% delle aziende autentica i sistemi critici solo con login e password, un metodo obsoleto, mentre 24% non ha un budget dedicato alla sicurezza informatica e 27% non esegue regolarmente penetration test Questi numeri mostrano che sebbene gli investimenti siano in crescita, ci sono ancora importanti lacune da colmare in termini di politica, cultura e governance.

Governance: insieme all'innovazione, può aumentare la resilienza informatica

Esiste una chiara correlazione tra governance e maturità della conformità e la capacità dell'azienda di resistere agli incidenti informatici o di guidare le innovazioni con successo I dati suggeriscono che le organizzazioni con buone pratiche GRC (Governance, Risk e Compliance) subiscono meno impatti e ottengono risultati migliori nei loro progetti di trasformazione digitale.

Ad esempio, lo stesso sondaggio condotto da MiTi e SDL ha portato anche i dati che 38% delle aziende non hanno un piano di risposta agli incidenti e 46% non hanno un piano di disaster recovery Questi numeri sono preoccupanti, in quanto l'assenza di piani di emergenza efficaci tende a prolungare e aggravare il danno quando si verifica un attacco.

Al contrario, le aziende che anticipano i rischi e investono in sicurezza raccolgono benefici tangibili Uno studio globale di PwC evidenzia che solo 5% di aziende mettono effettivamente la sicurezza al centro della propria innovazione, integrando il lavoro del CISO fin dall'inizio dei progetti.

Inserire cioè governance e sicurezza fin dalla concezione di nuove iniziative IT aumenta la probabilità che nuovi progetti vengano messi in opera senza aumentare la superficie di attacco digitale e senza lasciare le aziende ancora più vulnerabili Senza governance, le iniziative di big data, intelligenza artificiale o trasformazione digitale sono a rischio di fallimento o di generare conseguenze indesiderate (come l'uso improprio di informazioni o sistemi fragili).

Le aziende con una governance più matura hanno più facilità a soddisfare i requisiti dei clienti e delle normative, il che consente la partecipazione a nuovi mercati e partnership per l'innovazione D'altra parte, la mancanza di conformità può ostacolare i progetti IMAGINE che sviluppa una soluzione innovativa che si occupa di dati personali senza soddisfare la LGPD: il progetto dovrà affrontare ostacoli legali e reputazionali Pertanto, solide strutture di conformità e sicurezza aumentano la fiducia degli stakeholder e consentono all'innovazione di prosperare in modo responsabile e resiliente.

Insomma, governance e sicurezza non sono antagoniste all'innovazione ‘al contrario, funzionano come fondamento per l’ innovazione sostenibile Le aziende che strutturano comitati, politiche e piani di risposta soffrono meno di cyber imprevisti e possono concentrarsi sulla crescita del business Quelle che trascurano questi elementi strategici finiscono più esposte alle interruzioni, alle perdite finanziarie e alla necessità di una bonifica di emergenza, che ritarda o reindirizza invariabilmente gli investimenti che potrebbero andare all'innovazione I numeri confermano: maturità nella governance, conformità e sicurezza vanno di pari passo con una maggiore resilienza e successo nelle iniziative tecnologiche Le aziende che possono allineare questi fronti non dovrebbero solo raggiungere la sostenibilità contro la sostenibilità ma anche proteggersi meglio contro l'innovazione e la fiducia.

A incorporação de critérios ESG (Environmental, Social and Governance) nas etapas de due diligence – investigação e análise aprofundada feita antes da concretização de fusões, aquisições, parcerias ou investimentos – é uma prática relativamente recente. Porém, tem ganhado espaço de forma ligeira nos últimos anos, refletindo a crescente preocupação do mercado com riscos não financeiros que impactam diretamente reputação, sustentabilidade e valor de longo prazo das empresas.

le due diligence ESG surgiu como uma evolução da tradicional due diligence jurídica, contábil, trabalhista, fiscal e financeira. Ela tem como base as pressões exercidas por investidores, consumidores e órgãos reguladores, que consideram fatores ambientais, sociais e de governança como critérios essenciais na avaliação de riscos e oportunidades. Assim, a adoção da prática reflete uma mudança de paradigma: o desempenho ESG passou a ser entendido não apenas como vantagem competitiva, mas como exigência para a perpetuidade dos negócios.

Na prática, o processo inclui avaliar se a empresa respeita leis ambientais e adota práticas sustentáveis; verificar condições de trabalho, diversidade e direitos humanos na cadeia produtiva; e analisar estruturas de governança, transparência, ética e combate à corrupção. O objetivo é garantir que o negócio seja responsável e resiliente, protegendo o investidor contra passivos ocultos.

O primeiro passo para realização de due diligence ESG é planejamento e definição de escopo. Isto significa identificar os objetivos da due diligence; definir critérios ESG relevantes conforme o setor, região e porte da empresa; e estabelecer quem são os integrantes da equipe responsável pela realização do trabalho. Esta pode ser composta por colaboradores internos e também por profissionais ligados à uma consultoria especializada.

Posteriormente, deve-se fazer uma coleta de informações, sendo solicitados documentos e relatórios relacionados a políticas ambientais (licenças, uso de recursos, emissões, resíduos, gestão de riscos ambientais, etc), sociais (práticas trabalhistas, diversidade, saúde, segurança e relacionamento com comunidades) e de governança (estrutura de controle, ética, conformità, transparência e anticorrupção). Com tudo isso em mãos, é importante conversar com as lideranças da empresa que sejam responsáveis por ESG e áreas de risco e, se possível, realizar visitas técnicas in loco para verificação de práticas e estruturas físicas.

Após avaliação da conformidade com leis e regulamentos, alinhamento com padrões internacionais (como GRI, SASB, TCFD e OCDE) e identificação de riscos potenciais (baixo, médio, alto) – assim como de oportunidades de melhorias – deve-se dar início à elaboração de um relatório detalhado. Nele, além de todas as informações coletadas, devem ser sugeridas recomendações, como possíveis medidas corretivas; e indicadas cláusulas contratuais ou garantias (se for o caso de uma operação societária).

Para concluir, pode-se estabelecer mecanismos de monitoramento e acompanhamento da evolução ESG dentro da empresa, com possível realização de auditorias periódicas ou KPIs (sigla para Key Performance Indicators o Indicadores-Chave de Desempenho) sustentáveis. Todo o processo contribui para que as decisões tomadas seja mais informadas, assertivas e sustentáveis, com mitigação de riscos legais, financeiros e reputacionais.