Este artigo foi publicado originalmente em inglês no site da revista Newsweek
Por Charles Finlay
É um passeio acidentado no setor de tecnologia nos dias de hoje.
Empresas de tecnologia de todos os tipos estão se redimensionando agressivamente, respondendo às realidades de altas taxas de juros, desaceleração do crescimento econômico geral e orçamentos de publicidade menores. Os cortes nas fileiras dos trabalhadores são profundos. O Layoffs.fyi, um site que rastreia as rescisões do setor de tecnologia, estima que em 2022 quase 800 empresas de tecnologia enviaram para casa mais de 120 mil trabalhadores.
O custo humano dessas demissões é devastador, mesmo que os cortes sejam necessários. Famílias reais estão sofrendo. O trauma de uma demissão pode levar um trabalhador demitido ao desespero.
Mas essas rescisões do setor de tecnologia em massa aumentam seriamente outro risco que precisa de nossa atenção urgente. O caos corporativo causado por esse downsizing abre as portas para grandes ataques de segurança cibernética que podem causar estragos nas empresas-alvo, seus funcionários restantes, seus clientes, suas cadeias de suprimentos e nossa sociedade e economia como um todo.
E, quando as empresas em caos mantêm as informações pessoais altamente confidenciais de bilhões de usuários, os riscos são muito mais sérios.
Como pode confirmar quem já viveu um downsizing corporativo, as demissões de um número significativo de trabalhadores causam impactos negativos que vão muito além dos funcionários que são desligados. Os funcionários restantes geralmente precisam navegar abruptamente por novas linhas de relatórios para gerentes desconhecidos, processos operacionais alterados, incluindo aprovações financeiras e interrupções nos mandatos e responsabilidades do trabalho. Sobreviventes abalados de demissões corporativas geralmente ficam desmoralizados e distraídos. A produtividade cai à medida que os trabalhadores se perguntam quem será o próximo.
Os criminosos cibernéticos prosperam nessas condições. É um fato estabelecido na segurança cibernética que as interrupções nos processos corporativos estabelecidos aumentam o risco cibernético. Mudanças nas linhas de relatórios de pessoal ou aprovações financeiras abrem oportunidades para os hackers usarem ataques de phishing de engenharia social para penetrar nas defesas da empresa e roubar dados, dinheiro ou ambos.
Funcionários distraídos esquecem rapidamente o que aprenderam em seu treinamento corporativo de conscientização cibernética e clicam em links que não deveriam. Novas linhas de relatórios significam que os funcionários têm menos probabilidade de verificar com os gerentes para garantir que a solicitação de transferência de fundos que acabaram de receber seja legítima.
A ligação entre disrupção corporativa e ataques cibernéticos está bem estabelecida – e vimos isso acontecer mais recentemente na pandemia de Covid-19. A pandemia trouxe interrupções nos processos e práticas corporativas que aumentaram diretamente as vulnerabilidades cibernéticas. Os ataques de phishing dispararam à medida que os trabalhadores se adaptavam ao trabalho em casa, longe das conversas fáceis com colegas e gerentes. Os cibercriminosos exploraram o medo e a ansiedade gerais criados pela Covid-19 para roubar dinheiro de segmentos vulneráveis da população. Os hackers encontraram novas vulnerabilidades quando os trabalhadores começaram a usar tecnologias domésticas inseguras para trabalhar.
Onde antes um vírus causava transtornos e criava riscos cibernéticos, agora a culpa é de um abalo econômico. Mas o resultado é o mesmo. As oportunidades para os criminosos cibernéticos aumentaram e as defesas diminuíram.
Com a pandemia de Covid-19, no entanto, pelo menos o pessoal de privacidade e segurança ainda estava em suas funções. Não é assim com o atual redimensionamento do setor de tecnologia. Dados os níveis de corte em muitas empresas de tecnologia, é provável que os grupos de privacidade e segurança da informação estejam sendo cortados junto com todo o resto. Esse é um problema sério. O investimento corporativo em segurança cibernética já é menor do que deveria, e muitas funções de segurança cibernética permanecem não preenchidas devido à escassez global do mercado de trabalho no setor. Diminuir ainda mais os recursos disponíveis para defender empresas de ataques cibernéticos é cortejar o desastre.
Uma cultura de segurança cibernética eficaz requer pessoal consciente e diligente, treinado para reconhecer riscos e processos estabelecidos para garantir que as violações sejam gerenciadas de forma eficaz quando elas acontecerem, com soluções de tecnologia atualizadas e bem implementadas. Tudo isso é ameaçado quando uma empresa reduz o tamanho.
Então, como podemos mitigar esse ambiente de risco desafiador?
Primeiro, os líderes corporativos seniores precisam prestar atenção aos impactos de segurança cibernética e privacidade de seus esforços de redimensionamento. Os conselhos de administração precisam garantir que os CEOs e CTOs estejam observando os impactos cuidadosamente e trabalhando duro para garantir interrupções mínimas nos processos, especialmente em grupos que trabalham com dinheiro e dados confidenciais.
Em segundo lugar, nenhuma empresa deve cortar recursos para grupos de privacidade e segurança sem pensar seriamente. Isso é especialmente verdadeiro para empresas que lidam com dados confidenciais do usuário. O atual ambiente de ameaças internacionais é muito sério e os ataques estão crescendo. Não é hora de cortar recursos para essas funções essenciais.
Por fim, reguladores e líderes governamentais precisam articular claramente que as expectativas de segurança e privacidade para empresas de tecnologia permanecem altas. O clima econômico atual, por mais difícil que seja, não pode ser usado pelas empresas como desculpa para cortes corporativos irresponsáveis que expõem os dados do usuário ao risco de divulgação e nossa economia e sociedade a ataques cibernéticos potencialmente devastadores.
O setor de tecnologia está sendo testado agora. Mas, quando se trata de cibersegurança, falhar não é uma opção.