De de siste to årene har brasilianske selskaper intensifisert sin digitale transformasjonsprosess ved å ta i bruk løsninger som skybasert databehandling, kunstig intelligens (KI) og automatisering for å oppnå større effektivitet og smidighet. Spørsmålet er at, ved å innføre disse nye teknologiene, må bedrifter også håndtere nye sårbarheter. De siste kvartalene har Brasil opplevd en betydelig økning i cybersikkerhetshendelser. En rapport publisert av Check Point Research viste at i tredje kvartal 2024 ble brasilianske selskaper utsatt for i gjennomsnitt 2 766 angrep per uke – en økning på 95 % sammenlignet med samme periode i 2023.
Denne økningen i angrep avslører forskjellen mellom innovasjon og sikkerhet. Mange bedrifter har akselerert digitale skyprosjekter under pandemien og etter pandemien, men ikke alle har styrket sitt forsvar i samme tempo. Som resultat har 83 % av store bedrifter opplevd minst ett alvorlig cyberangrep i 2023, noe som har ført til uplanlagte stopp, økonomiske tap og datalekkasjer.
Utover styrkingen av de bedriftsbeskyttende tiltakene, er vi fortsatt langt unna å ha modne styringsprosesser. Data antyder at op til 80 % af organisationerne i Brasilien mangler datastyring.
Innovasjon versus sikkerhet: utvider vi vår sårbarhet?
Selv om investeringene i cybersikkerhet og strukturering av styring fortsatt er beskjedne, har konkurransen om innovasjon ført til en økning i IT-budsjettene det siste året: Fra 2023 til 2024 vokste det brasilianske IT-markedet med 13,9 %, noe som overgår den globale gjennomsnittet og nådde 58,6 milliarder dollar. Investeringprioriteringene inkluderte modernisering av skyinfrastruktur, digitalisering av forretningsprosesser og adopsjon av generativ AI.
Tradisjonelle sektorer, som bankvesenet, leder investeringene i innovasjon – banker og fintechs investerer tungt i sky og AI for å tilby mobilbank og digitale betalinger. Generelt har brasilianske selskaper brukt omtrent 9,4 % av inntekten sin på Informasjonsteknologi og kommunikasjon (ITK) i 2023 og 2024. Fondation Getúlio Vargas (FGV) anslår at denne prosentandelen vil øke til 11 % i løpet av de neste to eller tre årene, avhengig av at organisasjonene fortsetter å investere i innovasjon og modernisering.
På den annen side har landet blitt det nest mest angrepne landet i verden når det gjelder cyberkriminalitet, med over 700 millioner angrep på 12 måneder (1.379 angrep per minutt!). Bare i 2024, var det 356 milliarder forsøk på cyberangrep i det brasilianske territoriet, et alarmerende scenario som gjentar seg over hele verden.
Globalt sett var det en rekordhøyde av angrep – over 75 % økning i 2024, et fenomen som delvis tilskrives bruk av AI av cyberkriminelle for å automatisere og gjøre angrepene mer sofistikerte. Massiv personlig phishing, adaptive malware og kraftigere DDoS er eksempler på trusler forsterket av ondsinnet kunstig intelligens.
Sårbarhetene øker også i nye former: en studie viser at 57 % av brasilianske selskaper allerede bruker AI til å generere programvarekode, den tredje høyeste andelen i verden. Paradoksalt, 44 % av disse organisasjonene har AI-generert kode som hovedsikkerhetsbekymring, og frykter uventede feil eller sikkerhetshull som følge av autonom programvaregenerering. API-ene – essensielt for å integrere systemer og applikasjoner – er et annet blinde punkt: mer enn halvparten (52%) av bedriftene i Brasil ser høye risikoer i eksponerte API-er. Kort sagt, samtidig som de øker innovasjonen, øker initiativer som smidig DevOps, massiv migrasjon til skyen, omfattende bruk av tilkoblede enheter og AI-drevet utvikling angrepsvektorene og kompleksiteten i å beskytte miljøene.
Problemet er at innovasjon ikke nødvendigvis går hånd i hånd med økt digital sikkerhet. Selv om mange selskaper er mer innovative innen cybersikkerhet og utvider sitt arsenal av forsvarsløsninger, er stadiet fortsatt i startfasen. I fjor offentliggjorde Markets, Innovation & Technology Institute (MiTi) og Security Design Lab (SDL) en bransjeundersøkelse om cybersikkerhet, som vurderte modenheten til 181 brasilianske selskaper. Studien viste at, til tross for forbedringer, det gjennomsnittlige modenhetsnivået innen cybersikkerhet var på 53 %, fortsatt middels – selv om det er en fremgang fra 49 % året før.
Dette tallet indikerer at en stor del av selskapene fortsatt ligger under de anbefalte beste praksisene. For eksempel autentiserer 53 % av selskapene kritiske systemer bare med brukernavn og passord, en utdatert metode, mens 24 % ikke har budsjett dedikert til cybersikkerhet, og 27 % gjennomfører ikke penetrasjonstester regelmessig. Disse tallene viser at, selv om investeringene øker, er det fortsatt viktige hull som må fylles når det gjelder politikk, kultur og styring.
Styring: sammen med innovasjon kan det øke cybersikkerhetsmotstandskraft
Det er en klar sammenheng mellom modenheten i styring og etterlevelse og bedriftens evne til å motstå cyberhendelser eller lykkes med innovasjon. Dataene antyder at organisasjoner med gode praksiser innen GRC (Styring, Risiko og Samsvar) opplever mindre påvirkning og oppnår bedre resultater i sine digitaliseringsprosjekter.
For eksempel viste samme undersøkelse utført av MiTi og SDL også at 38 % av bedriftene ikke har en hendelsesresponsplan, og 46 % har ikke en katastrofegjenopprettingsplan. Disse tallene er bekymringsfulle, fordi mangelen på effektive beredskapsplaner har en tendens til å forlenge og forverre skadene når et angrep inntreffer.
I motsetning til, selskaper som forutser risiko og investerer i sikkerhet, høster konkrete fordeler. En global studie fra PwC fremhever at bare 5 % av selskapene virkelig setter sikkerhet i sentrum av sin innovasjon, og integrerer CISO-arbeidet fra starten av prosjektene. Og akkurat disse selskapene registrerte færre databrudd, og selv når de ble angrepet, opplevde de mindre kostbare hendelser.
Det vil si at å innføre styring og sikkerhet fra starten av nye IT-initiativ øker sannsynligheten for at nye prosjekter blir satt i drift uten å øke den digitale angrepsflaten og uten å gjøre selskapene enda mer sårbare. Uten styring, står initiativer innen big data, kunstig intelligens eller digital transformasjon i fare for å mislykkes eller for å forårsake uønskede konsekvenser (som misbruk av informasjon eller sårbare systemer).
Bedrifter med mer moden styring har lettere for å oppfylle krav fra kunder og reguleringsmyndigheter, noe som muliggjør deltakelse i nye markeder og innovasjonspartnerskap. På den annen side kan mangel på samsvar stoppe prosjekter – tenk deg å utvikle en innovativ løsning som håndterer personopplysninger uten å overholde LGPD: prosjektet vil møte juridiske og omdømmemessige hindringer. Derfor øker solide strukturer for etterlevelse og sikkerhet tilliten blant interessenter og gjør det mulig for innovasjon å blomstre på en ansvarlig og motstandsdyktig måte.
Kort sagt, er styring og sikkerhet ikke motstridende med innovasjon – tvert imot, de fungerer som et fundament for bærekraftig innovasjon. Selskaper som strukturerer komiteer, policyer og handlingsplaner, lider mindre av uforutsette cyberhendelser og klarer å fokusere på å vokse virksomheten. De de andre som ignorerer disse strategiske elementer, blir de mer utsatt for avbrudd, økonomiske tap og behov for nødrettelser, noe som uunngåelig forsinker eller omdirigerer investeringer som kunne ha gått til innovasjon. Tallene bekrefter: modenhet innen styring, compliance og sikkerhet går hånd i hånd med større motstandskraft og suksess i teknologiske prosjekter. De selskapene som klarer å tilpasse disse områdene, vil ikke bare beskytte seg bedre mot hendelser, men også oppnå konkurransefordeler ved å innovere med tillit og bærekraft i det stadig mer digitale brasilianske markedet.
