Canalys Cybersecurity Forum 2019

Na sequência do Canalys Forum, o maior encontro europeu de Canal IT, a organização ampliou o número de dias do evento para se centrar e debater a área de maior crescimento nos Parceiros de Canal IT, os serviços de cibersegurança.

As pessoas são o mais vulnerável

Apesar de todos os avanços a que estamos a assistir em segurança, as pessoas mantêm-se a parte mais vulnerável de qualquer organização. E porquê?

Em primeiro lugar, a segurança é complexa. Num mundo em que os ataques se estão a tornar cada vez mais sofisticados, pode ser incrivelmente difícil para a maioria das pessoas – ou mesmo profissionais treinados – saber que tipo de atividade é genuína e quais são maliciosas.

A segurança é também frustrante. Quando queremos ser rápidos, abertos e colaborativos, a segurança pode parecer lenta, contraditória ou até mesmo paranóica.

A realidade é que vão sempre existir agentes maliciosos e estes têm muito a ganhar se conseguirem enganar as pessoas para ter acesso a dados e sistemas empresariais.

Infelizmente, existem demasiadas empresas que falham consistentemente na resposta a estes desafios. Algumas falham com erros tão básicos que é verdadeiramente inaceitável, considerando as consequências que estão a arriscar.

Porque muitas falhas de segurança fizeram notícias em todo o mundo, a Canalys criou o Canalys Cyber Stupidity Index, que é uma forma inovadora de olhar para algumas das piores falhas de segurança mundiais e entender que muitas não são mérito dos criminosos, mas negligência dos ‘guardiões’ dos dados.

Em cada um dos anos desde 2015, vimos pelo menos uma “mega-breach”, que a Canalys define como uma única falha que compromete mais de 600 milhões de registos. Mas mesmo descontando estes eventos, o número total de registos perdidos em 2018 subiu 400%, o que mostra que os hackers estão cada vez mais a atacar empresas menores, onde a estratégia de segurança é mais relaxada – sendo alvos mais fáceis e sujeitos a menor ou nenhuma cobertura mediática, diminuindo a probabilidade de serem apanhados.

Os talentos são a chave e o problema

A indústria sonha com sistemas automáticos de deteção e resposta, o que os ajudaria a remediar todos os problemas atuais sem intervenção humana. As pessoas querem uma ferramenta de implementação escalável, uma plataforma personalizada de subscrição e renovação para terem a certeza que veem todos os seus fabricantes. Mas, antes deste sonho se tornar realidade, precisamos de endereçar a questão da escassez de talentos.

Há duas palavras que queremos eliminar desta indústria, e não é “transformação” e “digital” – é “escassez” e “talentos”. Só em cibersegurança, existem à volta de três milhões de posições por ocupar e o problema só se vai continuar a agravar.

Estamos a olhar para as pessoas certas que vamos de facto precisar no futuro?

O problema é que estas pessoas requerem um grande investimento de tempo e dinheiro e são, na verdade, dois grupos distintos: profissionais altamente qualificados que podem começar a trabalhar hoje, e recém- -licenciados que querem começar a trabalhar, mas que requerem um grande investimento em formação. E isto comporta um risco, porque se as empresas investirem em formar pessoas com pouca experiência, podem mais tarde perdê-las para outras empresas que não tenham os meios para contratar profissionais altamente especializados ou treinar recém-licenciados, mas possam oferecer-lhes posições vantajosas nesse meio-termo.

Outro problema é que isto cria um conflito entre fabricantes e Parceiros, porque a maioria dos fabricantes podem fazer este investimento. Sem dúvida que os maiores estão a escoar o talento todo da indústria, o que deixa para os Parceiros as opções mais arriscadas.

Isto, contudo, é apenas metade do problema

Muitas pessoas veem a automação como a “bala de prata” para este problema. Ironicamente, contudo, a automação requer talentos específicos – assim, o que é que fazemos se não temos os talentos para criar a automação?

O problema não é só a escassez de talentos: é também a escassez de coragem. É a incapacidade de arriscar fazer o salto: não têm o dinheiro, não têm o tempo; talvez não tenham a estratégia ou a visibilidade para o fazer.

Parceiros e fabricantes estão a investir nisto; ouvimo-lo a toda a hora, investimentos em universidades e cursos vocacionais. Estamos a ver mais dinheiro e pessoas na indústria, mas a equação é a mesma, as mesmas pessoas com os mesmos papéis, os mesmos papéis muito limitados. A ameaça que estamos a enfrentar não é o problema: é a que vamos enfrentar amanhã, pelo que temos de aceitar o risco e fazer esse salto.

Precisamos de encarar a tecnologia e as pessoas não como forças opostas, não como mutuamente exclusivas, mas como uma colaboração. Assim, como é que olhamos para investimentos tecnológicos em cibersegurança como complemento ao investimento em pessoas? Como é que comparamos as vantagens dos dois e os juntamos?

Vamos precisar de novas regras e novos papéis a representar e novas normas de atuação. As ameaças estratégicas tomam partido de fraquezas humanas, e precisamos de muitas áreas de atuação. Vamos precisar de engenheiros, de analistas – os investimentos que estão a fazer hoje em cibersegurança são muito úteis. Mas, numa guerra em que a generalização não pode ser aplicada às máquinas, também precisamos de pessoas com habilitações em sociologia, psicologia e história da estratégia para alargar a equação. Diferentes pessoas, diferentes papéis, diferentes versões de sucesso - todas aplicadas em conjunto.

Um mercado em convulsão permanente

Esta é a posição do vendors no mercado EMEA de cibersegurança em termos de quota de mercado por vendas endereçadas pelo Canal no primeiro semestre de 2019.

Face ao passado, existem várias alterações neste mercado, derivadas de fusões e aquisições, e fabricantes em rápida ascenção. A Canalys tem toda a confiança de que em 2022 haverá cinco novos nomes nesta lista.

O setor da saúde tem sido um dos mais atingidos e a Canalys prevê que esta tendência continue. É um setor especializado que requer um grande nível de competências especializadas para o suportar, e vai ser um setor tão importante que, nos próximos cinco anos, 10% do Canal de segurança estará focado exclusivamente nos cuidados de saúde, pelo que é uma grande oportunidade para muitos dos Parceiros. À medida que mais criminosos se focam em setores como os cuidados de saúde, e que mais indústrias levam os seus sistemas físicos para a infraestrutura digital, os erros tornam-se mais graves e a Canalys prevê que a primeira perda de vida humana diretamente ligada a um ciberataque ocorra durante o próximo ano.

A indústria europeia perdeu muito de inovação tecnológica, que vem agora dos Estados Unidos e da Ásia. Mas as coisas são diferentes no setor da cibersegurança – do ponto de vista regulamentar, no espaço do Canal e também por parte dos fabricantes.

A Canalys espera que esta segurança híbrida seja o mercado de tecnologia com maior crescimento na Europa ao longo da próxima década.

No mega-ataque à Target em 2014, os criminosos acederam aos servidores através do ar condicionado. É impossível oferecer uma solução de cibersegurança completa sem salvaguardar a infraestrutura física. E esperamos que 50% dos Parceiros vão convergir a segurança digital e física dentro dos próximos cinco anos. No entanto, para alguns dos Parceiros que servem indústrias, saber como abater drones talvez venha a ser importante.

A segurança não se limita à proteção dos clientes contra hacks; inclui também a mitigação do que acontece depois do facto. Assim, a Canalys deixa uma recomendação: incluam seguros no vosso portfólio de cibersegurança. Cerca de um quarto dos Parceiros europeus já o fazem, de acordo com estudos de mercado.