在过去的两年里,巴西企业加快了数字化转型的步伐,采用云计算、人工智能(AI)和自动化等解决方案,以提高效率和敏捷性。 问题在于,随着这些新技术的引入,企业也开始应对新的漏洞。 在最近几个季度里,巴西经历了网络事件的显著增加。 Check Point Research发布的一份报告显示,2024年第三季度,巴西企业平均每周遭受2,766次攻击,比2023年同期增长了95%。
这波攻击的激增揭示了创新与安全之间的差距。 许多企业在疫情期间和后疫情时期加快了云端数字项目的推进,但并非所有企业都以相同的速度加强了其防御措施。 结果显示,2023年,83%的大型企业遭受过至少一次严重的网络攻击,导致非计划性停工、财务损失和数据泄露。
除了加强企业防御之外,我们仍然远未拥有成熟的治理流程。 数据显示,巴西没有数据治理的组织可能占到80%。
创新与安全:我们是否在扩大我们的脆弱性?
尽管在网络安全投资和治理结构方面仍然较为谨慎,但在创新方面的竞争导致IT预算在去年有所增加:从2023年到2024年,巴西IT市场增长了13.9%,超过了全球平均水平,达到586亿美元。 投资优先事项包括云基础设施的现代化、业务流程的数字化以及生成式人工智能的采用。
传统行业,如银行业,在创新投资方面处于领先地位——银行和金融科技公司在云计算和人工智能方面投入大量资金,以提供移动银行和数字支付服务。 一般而言,巴西企业在2023年和2024年将其收入的约9.4%用于信息技术与通信(ICT)。 盖图利奥·瓦尔加斯基金会(FGV)估计,这一比例将在未来两到三年内上升至11%,前提是各组织继续投资于创新和现代化。
另一方面,该国已成为世界第二个网络犯罪最频繁的国家,在12个月内遭受了超过7亿次攻击(每分钟1379次攻击!)。 仅在2024年,巴西境内就发生了3560亿次网络攻击尝试,这是一个令人担忧的局面,并且在全球范围内都在重复。
全球范围内,攻击事件创下新高——2024年增长超过75%,这一现象部分归因于网络犯罪分子利用人工智能自动化攻击并使其更为复杂。 大规模定制钓鱼、适应性恶意软件和更强大的DDoS攻击是由恶意人工智能增强的潜在威胁的例子。
漏洞也以新的形式增长:一项研究显示,57%的巴西企业已经使用人工智能生成软件代码,位居世界第三。 矛盾的是,44%的这些组织将由人工智能生成的代码作为主要的安全关注点,担心由自动软件生成引入的意外故障或漏洞。 作为集成系统和应用程序的关键工具,API 也是一个盲点:巴西超过一半(52%)的企业认为暴露的 API 存在较高风险。 总之,随着像敏捷DevOps、大规模云迁移、广泛使用连接设备和人工智能驱动开发等举措的推进,创新得以增强,但同时也扩大了攻击向量和保护环境的复杂性。
问题在于创新不一定与数字安全的增强同步进行。 虽然许多公司在网络安全方面更具创新性,并且在增加其防御解决方案的武器库,但仍处于初级阶段。 去年,市场、创新与技术研究所(MiTi)和安全设计实验室(SDL)发布了一份网络安全行业调查,评估了181家巴西企业的成熟度。 研究指出,尽管有所改善,网络安全的平均成熟度水平仍为53%,仍属中等——尽管比前一年的49%有所提高。
这个数字表明,许多公司仍然落后于推荐的最佳实践。 例如,53%的企业仅通过登录名和密码验证关键系统,这是一种过时的方法,而24%的企业没有专门的网络安全预算,27%的企业没有定期进行渗透测试。 这些数字显示,虽然投资在增长,但在政策、文化和治理方面仍存在重要的空白。
治理:结合创新,可以增强网络弹性
治理和合规的成熟度与企业抵御网络事件或成功推动创新的能力之间存在明确的相关性。 数据显示,具有良好GRC(治理、风险与合规)实践的组织受到的影响较少,在数字化转型项目中取得的成果也更佳。
例如,MiTi 和 SDL 进行的同一项调查还显示,38%的企业没有事件响应计划,46%的企业没有灾难恢复计划。 这些数字令人担忧,因为缺乏有效的应急计划往往会延长和加重攻击发生时的损失。
相比之下,提前识别风险并投资于安全的企业会获得切实的利益。 普华永道的一项全球研究指出,只有5%的企业真正将安全放在创新的核心,将首席信息安全官(CISO)的工作从项目一开始就融入其中。 正是这些公司记录的数据泄露较少,即使受到攻击,造成的损失也较低。
也就是说,从新IT项目的设计阶段就引入治理和安全措施,可以增加新项目顺利投入运营的可能性,同时不会扩大数字攻击面,也不会让企业变得更加脆弱。 没有治理,大数据、人工智能或数字化转型的举措可能会失败或产生不良后果(如信息滥用或系统脆弱)。
具有更成熟治理结构的企业更容易满足客户和监管机构的要求,从而能够进入新市场并建立创新合作伙伴关系。 另一方面,缺乏合规可能会阻碍项目——想象一下开发一个处理个人数据的创新解决方案,却没有遵守LGPD:该项目将面临法律和声誉方面的阻碍。 因此,坚实的合规和安全结构增强了利益相关者的信任,并使创新能够以负责任和有韧性的方式蓬勃发展。
总之,治理和安全并不与创新对立——恰恰相反,它们是可持续创新的基础。 建立委员会、政策和应对计划的企业在应对网络突发事件方面受到的影响较少,能够专注于业务增长。 那些忽视这些战略要素的企业更容易受到中断、财务损失和紧急补救措施的影响,这些通常会延迟或转移本可用于创新的投资。 数字证明:治理、合规和安全的成熟与在技术项目中更高的韧性和成功密不可分。 能够协调这些方面的企业不仅能更好地防范事件,还能通过在日益数字化的巴西市场中自信且可持续地创新,赢得竞争优势。
