What happened West Virginia approved legislation that gives the state’s chief information security officer greater authority to lead and standardize cybersecurity efforts across state government. Gov. Patrick Morrisey signed the measure on Thursday. The law directs the state’s Cybersecurity Office, led by Leroy Amos within the Office of Technology, to develop statewide cybersecurity policies and […]
Narrow “shift left” has failed at AI scale. Move from developer-led fixes to AppSec-managed automation that triages findings and delivers tested pull-request fixes so teams can safely manage AI-generated code.
Smaller organizations are increasingly under attack, with ransomware emerging as the dominant threat. According to the Verizon 2025 Data Breach Investigations Report, ransomware was involved in 88% of breaches affecting small and medium-sized enterprises (SMEs), compared to 39% among large enterprises. Such incidents can disrupt operations, expose sensitive information, and drive up recovery costs. Despite […]
Para implementar programas eficazes de cibersegurança e manter a equipe de segurança profundamente integrada a todos os processos de negócios, o CISO precisa demonstrar regularmente o valor desse trabalho para a alta administração. Isso requer fluência na linguagem dos negócios, porém, uma armadilha perigosa espreita os mais desavisados. Profissionais de segurança e executivos geralmente usam as mesmas palavras, mas para coisas totalmente diferentes. Às vezes, vários termos semelhantes são usados de forma intercambiável. Assim, talvez não fique muito claro para a alta administração quais são as ameaças que a equipe de segurança está tentando mitigar, qual é o nível real de ciber-resiliência da empresa ou onde o orçamento e os recursos estão sendo alocados. Portanto, antes de apresentar painéis elegantes ou calcular o ROI dos programas de segurança, vale a pena esclarecer essas importantes nuances terminológicas.
Ao esclarecer esses termos e construir um vocabulário compartilhado, o CISO e o conselho de administração podem melhorar significativamente a comunicação e, em última análise, fortalecer a postura de segurança geral da organização.
Por que o vocabulário de cibersegurança é importante para a gestão
As interpretações variadas dos termos representam mais do que uma simples inconveniência, e as consequências podem ser bastante significativas. A falta de clareza em relação aos detalhes pode levar a:
Investimentos mal alocados. A administração pode aprovar a compra de uma solução de confiança zero sem perceber que, na prática, isso é apenas parte de um programa mais abrangente, de longo prazo e com um orçamento significativamente maior. O dinheiro é gasto, mas os resultados esperados pela equipe gestora nunca são alcançados. Da mesma forma, em relação à migração para a nuvem, a equipe gestora pode supor, num primeiro momento, que essa solução transfere automaticamente toda a responsabilidade de segurança ao provedor e, então, num segundo momento, o orçamento de segurança da nuvem é rejeitado.
Aceitação cega do risco. As lideranças das unidades de negócios podem aceitar os riscos de cibersegurança sem ter uma compreensão completa do impacto potencial.
Falta de governança. Sem entender a terminologia, a administração não pode fazer as perguntas certas, ou mesmo as mais difíceis, ou ainda, atribuir as áreas de responsabilidade de forma eficaz. Quando ocorre um incidente, muitas vezes os proprietários de negócios acreditam que a segurança estava inteiramente sob responsabilidade do CISO, enquanto o CISO, na verdade, não tinha autoridade para influenciar os processos de negócios.
Os riscos de segurança da informação geralmente são tratados de maneira conjunta com as preocupações de TI, como tempo de atividade e disponibilidade do serviço. Na realidade, o ciber-risco é um risco estratégico de negócios, ligado à continuidade, às perdas financeiras e aos danos à reputação.
Por outro lado, os riscos de TI geralmente são de natureza operacional, afetando a eficiência, a confiabilidade e o gerenciamento de custos. Em linhas gerais, a resposta a incidentes de TI é tratada inteiramente pela equipe de TI. Os principais incidentes de cibersegurança, no entanto, têm um escopo muito mais amplo: exigem o envolvimento de quase todos os departamentos e têm um impacto de longo prazo na organização sob vários aspectos, inclusive no que diz respeito à reputação, conformidade regulatória, relacionamento com o cliente e saúde financeira geral.
Conformidade x segurança
A cibersegurança está integrada aos requisitos regulatórios em todos os níveis, isto é, desde as diretivas internacionais, como NIS2 e GDPR, até as diretrizes do setor para transferência de dados além das fronteiras, como PCI DSS, além de imposições departamentais específicas. Assim, a equipe gestora da empresa geralmente percebe as medidas de cibersegurança como caixas de seleção de conformidade, acreditando que, uma vez que os requisitos regulatórios sejam atendidos, os problemas de cibersegurança poderão ser considerados resolvidos. Essa mentalidade pode ser fruto de um esforço consciente para minimizar os gastos com segurança (a administração acredita que não precisa fazer mais do que o necessário) ou advir de um mal-entendido sincero (a empresa está passando por uma auditoria ISO 27001, por isso não acredita que haja possibilidade de ser hackeada).
Na realidade, a conformidade está atendendo aos requisitos mínimos de auditores e reguladores governamentais em um momento específico. Infelizmente, o histórico de ciberataques em larga escala em grandes organizações prova que os requisitos “mínimos” são chamados assim por um motivo. Para uma proteção real contra ciberameaças modernas, as empresas devem melhorar continuamente suas estratégias e medidas de segurança de acordo com as necessidades específicas de um determinado setor.
Ameaça, vulnerabilidade e risco
Esses três termos são frequentemente usados como sinônimos, o que leva a conclusões errôneas feitas pela equipe gestora. Eis o raciocínio: “Há uma vulnerabilidade crítica no nosso servidor? Isso significa que se trata de um risco crítico!” Para evitar o pânico ou, inversamente, a inércia, é essencial usar esses termos com precisão e entender como eles se relacionam entre si.
Uma vulnerabilidade é uma fraqueza, ou seja, uma “porta aberta”. Isso significa que pode haver uma falha no código do software, um servidor configurado incorretamente, uma sala de servidores desbloqueada ou um funcionário que abre todos os anexos de e-mail.
Uma ameaça é algo que pode causar um incidente. A causa pode ser um agente malicioso, um malware ou até mesmo um desastre natural. Uma ameaça é o fator que pode “atravessar aquela porta aberta”.
O risco é a possível perda. É a avaliação cumulativa da probabilidade de um ataque bem-sucedido e o que a organização pode perder como resultado disso (o impacto).
As conexões entre esses elementos são melhor explicadas por meio de uma fórmula simples:
Risco = (ameaça × vulnerabilidade) × impacto
Isso pode ser ilustrado da seguinte forma. Imagine que uma vulnerabilidade crítica com uma classificação de gravidade máxima seja descoberta em um sistema desatualizado. No entanto, esse sistema está desconectado de todas as redes, fica em uma sala isolada e está sendo gerenciado por apenas três profissionais competentes. A probabilidade de um invasor alcançar o sistema é próxima de zero. Por outro lado, a falta de autenticação de dois fatores nos sistemas de contabilidade cria um risco real e elevado, resultante de uma alta probabilidade de ataque e de um possível dano significativo.
Resposta a incidentes, recuperação de desastres e continuidade dos negócios
A percepção da equipe gestora sobre as crises de segurança muitas vezes é simplista. Eis o raciocínio: “Se formos atingidos por um ransomware, bastará ativar o plano de recuperação de desastres de TI e fazer a restauração por meio do backup”. No entanto, combinar esses conceitos e também os processos é extremamente perigoso.
A resposta a incidentes (IR) é de responsabilidade da equipe de segurança ou de contratados especializados. O trabalho dessas equipes é localizar a ameaça, expulsar o invasor da rede e impedir que o ataque se espalhe.
A recuperação de desastres (DR) é uma tarefa de engenharia de TI. É o processo de restauração de servidores e dados de backups após a conclusão da resposta ao incidente.
A continuidade dos negócios (BC) é uma tarefa estratégica para a alta administração. Ela consiste em um plano, ou seja, a maneira como a empresa continuará atendendo clientes, enviando mercadorias, pagando compensações e mantendo o diálogo com a imprensa enquanto os sistemas principais ainda estiverem off-line.
Se a equipe gestora se concentrar apenas na recuperação, a empresa não terá um plano de ação para o período mais crítico de tempo de inatividade.
Conscientização sobre segurança x cultura de segurança
As lideranças em todos os níveis supõem algumas vezes que a simples realização de treinamentos de segurança garante resultados. Eis o raciocínio: “Os funcionários passaram no teste anual, então, agora, eles não clicarão em um link de phishing”. Infelizmente, contar apenas com treinamentos organizados pelas equipes de RH e de TI não será o suficiente. A eficácia requer a mudança de comportamento da equipe, o que é impossível sem o envolvimento da equipe gestora do negócio.
Conscientização é conhecimento. Um profissional sabe o que é phishing e entende a importância de senhas complexas.
A cultura de segurança tem a ver com padrões comportamentais. É aquilo que um funcionário faz em uma situação estressante ou quando ninguém está olhando. A cultura não é moldada por testes, mas por um ambiente onde o relato de erros é seguro, e a identificação e a prevenção de situações possivelmente perigosas são práticas comuns. Se um profissional teme a punição, ele ocultará um incidente. Em uma cultura saudável, um e-mail suspeito será encaminhado para o SOC, ou ainda, alguém que esquece de bloquear o computador receberá um toque do colega, o que acaba gerando um vínculo ativo na cadeia de defesa.
Detecção x prevenção
As lideranças empresariais muitas vezes pensam de forma ultrapassada, como uma “muralha da fortaleza”: “Compramos sistemas de proteção caros, portanto, não deve haver nenhuma maneira de sermos hackeados. Se ocorrer um incidente, isso significa que o CISO falhou”. Na prática, impedir 100% dos ataques é tecnicamente impossível e inviável do ponto de vista econômico. A estratégia moderna é construída sobre um equilíbrio entre a cibersegurança e a eficácia dos negócios. Em um sistema equilibrado, os componentes focados na detecção e prevenção de ameaças funcionam em conjunto.
A prevenção desvia ataques automatizados em massa.
O Detection and Response ajuda a identificar e neutralizar ataques mais profissionais e direcionados que conseguem contornar as ferramentas de prevenção ou explorar vulnerabilidades.
Atualmente, o principal objetivo da equipe de cibersegurança não é garantir a invulnerabilidade total, mas detectar um ataque em um estágio inicial e minimizar o impacto nos negócios. Para mensurar o sucesso aqui, o setor normalmente usa métricas, como tempo médio de detecção (MTTD) e tempo médio de resposta (MTTR).
Filosofia de confiança zero x produtos de confiança zero
O conceito de confiança zero, que implica “nunca confiar, sempre verificar” para todos os componentes da infraestrutura de TI, há muito tempo é reconhecido como relevante e eficaz para a segurança corporativa. Ele requer a verificação constante de identidade (contas de usuário, dispositivos e serviços) e contexto para cada solicitação de acesso de acordo com a suposição de que a rede já foi comprometida.
No entanto, a presença de “confiança zero” no nome de uma solução de segurança não significa que uma organização pode adotar essa abordagem da noite para o dia simplesmente comprando o produto.
A confiança zero não é um produto que se pode “ativar”, mas sim uma estratégia arquitetônica e uma jornada de transformação de longo prazo. A implementação da confiança zero requer a reestruturação dos processos de acesso e o refinamento dos sistemas de TI para garantir a verificação contínua da identidade e dos dispositivos. Comprar software sem alterar os processos não terá um efeito significativo.
Segurança da nuvem x segurança na nuvem
Ao migrar os serviços de TI para a infraestrutura em nuvem, como AWS ou Azure, muitas vezes existe a ilusão de que ocorrerá uma transferência de risco total. Eis o raciocínio: “Pagamos ao provedor, então, agora, a segurança será uma dor de cabeça para eles”. Esse raciocínio é equivocado e perigoso, pois se trata de uma interpretação errônea daquilo que é conhecido como o Modelo de responsabilidade compartilhada.
A segurança da nuvem é responsabilidade do provedor. Ele protege os data centers, os servidores físicos e o cabeamento.
A segurança na nuvem é responsabilidade do cliente.
As discussões sobre orçamentos para projetos em nuvem e seus aspectos de segurança devem ser acompanhadas por exemplos da vida real. O provedor protege o banco de dados contra acesso não autorizado de acordo com as configurações feitas pelos funcionários do cliente. Se os funcionários deixarem um banco de dados aberto ou usarem senhas fracas, ou ainda, se a autenticação de dois fatores não estiver ativada para o painel do administrador, o provedor não poderá impedir que indivíduos não autorizados baixem as informações: um tipo de notícia muito comum. Portanto, o orçamento para esses projetos deve levar em conta as ferramentas de segurança em nuvem e o gerenciamento de configuração feito pela empresa.
Verificação de vulnerabilidades x teste de penetração
As lideranças geralmente confundem as verificações automatizadas, que se enquadram na higiene cibernética, com a avaliação de ativos de TI quanto à resiliência contra ataques sofisticados. Eis o raciocínio: “Por que pagar aos hackers por um teste de penetração quando executamos o verificador toda semana?”
A verificação de vulnerabilidades analisa uma lista específica de ativos de TI com o objetivo de encontrar vulnerabilidades conhecidas. Para simplificar, é como se um segurança estivesse fazendo a ronda para verificar se as janelas e portas do escritório estão trancadas.
O teste de penetração (pentesting) é uma avaliação manual para avaliar a possibilidade de uma violação no mundo real, explorando vulnerabilidades. Para continuar a analogia, é como contratar um ladrão experiente para tentar invadir o escritório.
Um não substitui o outro, e para entender sua verdadeira postura de segurança, uma empresa precisa das duas ferramentas.
Ativos gerenciados x superfície de ataque
Um equívoco comum e perigoso diz respeito ao escopo da proteção e à visibilidade geral mantida pelas equipes de TI e de segurança. Eis um chavão comum nas reuniões: “A lista de inventário do nosso hardware é precisa. Estamos protegendo tudo o que possuímos”.
Os ativos gerenciados de TI são os itens que o departamento de TI comprou, configurou e consegue visualizar em seus relatórios.
Uma superfície de ataque é qualquer coisa acessível aos invasores: qualquer possível ponto de entrada na empresa. Isso inclui Shadow IT (serviços em nuvem, aplicativos de mensagens pessoais, servidores de teste, etc.), que, basicamente, é qualquer método que os funcionários usam para burlar os protocolos oficiais a fim de acelerar ou simplificar o trabalho. Muitas vezes, são esses os ativos “invisíveis” que se tornam o ponto de entrada para um ataque, pois a equipe de segurança não pode proteger aquilo que desconhece.
Milhões de sistemas de TI, sendo que alguns deles são industriais e outros de IoT, podem começar a se comportar de forma imprevisível em 19 de janeiro. As possíveis falhas incluem: falhas no processamento pagamentos com cartão; alarmes falsos de sistemas de segurança; operação incorreta de equipamentos médicos; falhas nos sistemas automatizados de iluminação, aquecimento e abastecimento de água; e muitos tipos de erros mais ou menos graves. O problema é que… isso acontecerá em 19 de janeiro de 2038. Não que isso seja motivo para relaxar, muito pelo contrário! O tempo restante para providenciar os preparativos talvez seja insuficiente. A causa dessa infinidade de problemas será um estouro nos números inteiros que armazenam data e hora. Embora a causa raiz do erro seja simples e clara, corrigi-lo exigirá esforços extensos e sistemáticos em todos os níveis : de governos e organismos internacionais a organizações e indivíduos.
O padrão informal da Época Unix
A Época Unix é o sistema de cronometragem adotado pelos sistemas operacionais Unix que se tornou popular em todo o setor de TI. Ele conta os segundos de 00:00:00 UTC em 1º de janeiro de 1970, considerado o ponto zero. Qualquer momento no tempo é representado como o número de segundos que se passaram desde aquela data. Para datas anteriores a 1970, são usados valores negativos. Essa abordagem foi escolhida pelos desenvolvedores do Unix por sua simplicidade, em vez de armazenar o ano, mês, dia e hora separadamente, apenas um único número é necessário. Isso facilita operações como classificar ou calcular o intervalo entre datas. Hoje, a Época Unix é usada muito além dos sistemas Unix: em bancos de dados, linguagens de programação, protocolos de rede e em smartphones executando iOS e Android.
A bomba-relógio Y2K38
Inicialmente, quando o Unix foi desenvolvido, foi tomada a decisão de armazenar o tempo como um inteiro com sinal de 32 bits. Isso permitia representar um intervalo de datas de aproximadamente 1901 a 2038. O problema é que, em 19 de janeiro de 2038, às 03:14:07 UTC, esse número atingirá seu valor máximo (2.147.483.647 segundos) e sofrerá um estouro, tornando-se negativo, fazendo com que os computadores se “teletransportem” de janeiro de 2038 para 13 de dezembro de 1901. Em alguns casos, no entanto, uma “viagem no tempo” mais curta pode acontecer, até o ponto zero, que é o ano de 1970.
Esse evento, conhecido como “problema do ano 2038”, “Epochalypse” ou “Y2K38”, poderá ocasionar falhas em sistemas que ainda usam a representação de tempo de 32 bits, como terminais POS, de sistemas integrados e roteadores, passando por automóveis, até equipamentos industriais. Os sistemas modernos resolvem esse problema usando 64 bits para armazenar o tempo. Isso estende o intervalo de datas para centenas de bilhões de anos no futuro. No entanto, milhões de dispositivos com datas de 32 bits ainda estão em operação e precisarão ser atualizados ou substituídos antes da chegada do “dia Y”.
Neste contexto, 32 e 64 bits se referem especificamente ao formato de armazenamento de data. Só porque um sistema operacional ou processador é de 32 bits ou 64 bits, isso não significa automaticamente que ele armazene a data em seu formato de bits “nativo”. Além disso, muitos aplicativos armazenam datas de maneiras completamente diferentes e podem ser imunes ao problema Y2K38, independentemente de sua quantidade de bits.
Nos casos em que não há necessidade de tratar datas anteriores a 1970, a data é armazenada como um número inteiro não assinado de 32 bits. Esse tipo de número pode representar datas de 1970 a 2106, portanto, o problema chegará em um futuro mais distante.
Diferenças do problema do ano 2000
O infame problema do ano 2000 (Y2K) do final do século 20 era semelhante. Naquelas circunstâncias, os sistemas que armazenavam o ano como dois dígitos poderiam confundir a nova data com o ano 1900. Tanto os especialistas quanto a mídia temiam um apocalipse digital, mas, no fim, houve apenas numerosas manifestações isoladas que não resultaram falhas catastróficas globais.
A principal diferença entre Y2K38 e Y2K é a escala da digitalização em nossas vidas. O número de sistemas que precisarão de atualização é muito maior do que o número de computadores no século 20, e a contagem de tarefas e processos diários gerenciados por computadores está além do cálculo. Enquanto isso, o problema Y2K38 já foi, ou será muito em breve, corrigido em computadores e sistemas operacionais comuns com atualizações de software simples. No entanto, os microcomputadores que gerenciam aparelhos de ar-condicionado, elevadores, bombas, fechaduras eletrônicas e linhas de montagem industriais podem muito bem continuar operando pela próxima década com versões de software desatualizadas e vulneráveis ao Y2K38.
Possíveis problemas do Epochalypse
A passagem da data para 1901 ou 1970 afetará sistemas diferentes, de maneiras diferentes. Em alguns casos, como em um sistema de iluminação programado para ligar todos os dias às 19h, a programação poderá passar completamente despercebida. Em outros sistemas que dependem de carimbos de data/hora completos e precisos, uma falha completa poderá ocorrer – por exemplo, no ano 2000, terminais de pagamento e catracas de transporte público pararam de funcionar. Casos cômicos também são possíveis, como a emissão de uma certidão de nascimento com uma data em 1901. Muito pior seria a falha de sistemas críticos, como o desligamento completo de um sistema de aquecimento ou a falha de um sistema de análise de medula óssea em um hospital.
A criptografia ocupa um lugar especial no Epochalypse. Outra diferença fundamental entre 2038 e 2000 é o uso generalizado de criptografia e assinaturas digitais para proteger todas as comunicações. Os certificados de segurança geralmente falham na verificação se a data do dispositivo estiver incorreta. Isso significa que um dispositivo vulnerável seria eliminado da maioria das comunicações, mesmo que seus aplicativos de negócios principais não tenham nenhum código que manipule incorretamente a data.
Infelizmente, o espectro completo de consequências só poderá ser determinado por meio de testes controlados de todos os sistemas, com a análise separada de uma potencial cascata de falhas.
A exploração maliciosa do Y2K38
As equipes de TI e InfoSec devem tratar o Y2K38 não como um simples bug de software, mas como uma vulnerabilidade que poderá ocasionar várias falhas, inclusive a negação de serviço. Em alguns casos, ela poderá até mesmo ser explorada por agentes maliciosos. Para fazer isso, eles precisarão ter a capacidade de manipular a hora no sistema de destino. Isso é possível em pelo menos dois cenários:
Interferência nos dados do protocolo NTP ao fornecer ao sistema invadido um servidor de tempo falso
Falsificação do sinal de GPS, caso o sistema dependa da hora via satélite
A exploração desse erro é mais provável em sistemas OT e IoT, onde as vulnerabilidades são tradicionalmente lentas para serem corrigidas e as consequências de uma falha podem ser muito mais substanciais.
Um exemplo de uma vulnerabilidade facilmente explorável relacionada à contagem de tempo é CVE-2025-55068 (CVSSv3 8.2, CVSSv4 base 8.8) nos consoles de medidor de tanque de combustível Dover ProGauge MagLink LX4. A manipulação do tempo pode causar uma negação de serviço no posto de gasolina e bloquear o acesso ao painel de gerenciamento da Web do dispositivo. Esse defeito ganhou seu próprio alerta da CISA.
O status atual da atenuação do Y2K38
Os parâmetros de resolução para o problema do Y2K38 foram estabelecidos com êxito nos principais sistemas operacionais. O kernel do Linux adicionou suporte para o tempo de 64 bits, mesmo em arquiteturas de 32 bits, a partir da versão 5.6, em 2020, e o Linux de 64 bits sempre foi protegido desse problema. A família BSD, macOS e iOS usam o tempo de 64 bits em todos os dispositivos modernos. Todas as versões do Windows lançadas no século 21 não são suscetíveis ao Y2K38.
A situação no armazenamento de dados e no nível do aplicativo é muito mais complexa. Sistemas de arquivos modernos, como ZFS, F2FS, NTFS e ReFS foram desenvolvidos com carimbos de data/hora de 64 bits, enquanto sistemas mais antigos como ext2 e ext3 permanecem vulneráveis. O Ext4 e o XFS exigem que sinalizadores específicos sejam ativados (inode estendido para ext4 e bigtime para XFS), além disso, eles podem necessitar da conversão off-line de sistemas de arquivos existentes. Nos protocolos NFSv2 e NFSv3, o formato de armazenamento de tempo desatualizado persiste. O cenário é igualmente fragmentado nos bancos de dados, o tipo TIMESTAMP do MySQL é intrinsecamente limitado ao ano de 2038 e exige migração para DATETIME, enquanto os tipos de carimbo de data/hora padrão do PostgreSQL são seguros. Para aplicativos escritos em C, os caminhos foram criados para usar o tempo de 64 bits em arquiteturas de 32 bits, mas todos os projetos precisam de recompilação. Linguagens como Java, Python e Go normalmente usam tipos que evitam o estouro, mas a segurança dos projetos compilados depende da possibilidade de interação com bibliotecas vulneráveis escritas em C.
Um grande número de sistemas de 32 bits, dispositivos integrados e aplicativos permanecem vulneráveis até que eles sejam reconstruídos e testados e, em seguida, tenham as atualizações instaladas por todos os usuários.
Várias organizações e entusiastas estão tentando sistematizar informações sobre isso, mas os esforços estão fragmentados. Consequentemente, não há um “banco de dados de vulnerabilidades Y2K38 comum” disponível (1, 2, 3, 4, 5).
Abordagens para correção do Y2K38
As metodologias criadas para priorizar e corrigir vulnerabilidades são diretamente aplicáveis ao problema do ano de 2038. O principal desafio consiste no fato de que nenhuma ferramenta contemporânea pode criar uma lista exaustiva de software e hardware vulneráveis. Portanto, é essencial atualizar o inventário de ativos de TI corporativos, garantir que ele seja enriquecido com informações detalhadas sobre firmware e software instalado e, em seguida, investigar sistematicamente a questão da vulnerabilidade.
A lista pode ser priorizada de acordo com a criticidade dos sistemas de negócios e com os dados na pilha de tecnologia na qual cada sistema está construído. As próximas etapas são: estudar o portal de suporte do fornecedor, fazer perguntas diretas aos fabricantes de hardware e software sobre seu status Y2K38 e, como último recurso, fazer a verificação por meio de testes.
Ao testar sistemas corporativos, é fundamental tomar precauções especiais:
Nunca teste os sistemas que estão em produção.
Crie um backup de dados imediatamente antes do teste.
Isole o sistema em teste das comunicações, para que ele não interfira em outros sistemas da organização.
Caso a alteração da data use NTP ou GPS, verifique e confirme se os sinais de teste do 2038 não podem alcançar outros sistemas.
Após o teste, defina os horários de volta para a hora correta nos sistemas e documente minuciosamente todos os seus comportamentos observados.
Caso um sistema seja considerado vulnerável ao Y2K38, uma linha do tempo de correção deverá ser solicitada ao fornecedor. Caso uma correção seja impossível, planeje uma migração; felizmente, o tempo que nos resta ainda permite a atualização de sistemas bastante complexos e caros.
A coisa mais importante para enfrentar o Y2K38 é não pensar nele como um problema futuro distante cuja solução pode facilmente esperar mais cinco a oito anos. É altamente provável que já não tenhamos tempo suficiente para erradicar completamente o defeito. No entanto, dentro de uma organização com seu parque tecnológico, o planejamento cuidadoso e a abordagem sistemática para resolver o problema permitirão realmente fazer tudo isso em tempo hábil.
The modern corporate landscape is marked by rapid digital change, heightened cybersecurity threats and an evolving regulatory environment. At the nexus of these pressures sits the chief information security officer (CISO), a role that has gained newfound influence and responsibility.
The recent Deloitte Global Future of Cyber Survey underscores this shift, revealing that “being more cyber mature does not make organizations immune to threats; it makes them more resilient when they occur, enabling critical business continuity.” High-cyber-maturity organizations increasingly integrate cybersecurity risk strategies, security practices and trust-building approaches into their business and technology transformations. And it’s all enabled by a cyber-savvy C-suite and influential CISOs.
Let’s explore how cyber maturity enhances resilience, why cyber is now being integrated into broader business budgets and what organizations can do to bolster their business continuity.
The expanding role of CISOs in corporate strategy
Historically, CISOs were typically siloed within the IT department, focusing on technical and operational aspects of cybersecurity. However, as threats have evolved, so has the role of the CISO. According to Deloitte’s report, about one-third of organizations have seen a significant increase in CISO involvement in strategic conversations about business-critical technology decisions. Furthermore, approximately one in five CISOs now report directly to the CEO, marking a shift toward greater business alignment and visibility. This expanded role places CISOs alongside other senior leaders to guide decisions on digital transformation, cloud security, and supply chain resilience.
Emily Mossburg, Deloitte’s global cyber leader, notes that “many boards and C-suites now require or need further knowledge into potential threats, security vulnerabilities, risk scenarios and actions needed for greater resilience.” CISOs are increasingly tasked with not only understanding these complex cyber landscapes but also translating them into language that senior leadership and boards can act upon.
Cybersecurity as an integral business strategy
In high-cyber-maturity organizations, cybersecurity is embedded across operations, facilitating a seamless alignment between risk management and business goals. According to Deloitte, these organizations are more resilient when incidents occur, enabling critical business continuity by preparing for and swiftly responding to cyber threats. This proactive integration is not limited to IT. It extends into every function that touches digital infrastructure — from operations and finance to customer experience and product innovation.
In modern digitally interconnected ecosystems, a cyber incident affecting one partner could impact the entire supply chain. High-cyber-maturity organizations anticipate these risks by establishing protocols and response measures that enable them to recover quickly, ensuring continuity across all critical operations. Companies with lower cyber maturity, on the other hand, face longer recovery times and can suffer more severe impacts on their revenue, brand reputation and operational capabilities.
This integration of cybersecurity into broader strategic goals reflects a more nuanced understanding of cyber resilience. Instead of viewing cybersecurity solely as a cost center, leaders increasingly recognize it as a foundational element of business value and continuity. This understanding translates into better allocation of resources and a more balanced approach to cyber risk management.
As cybersecurity gains prominence within business strategy, budget allocations are changing to reflect its importance across multiple areas. Deloitte’s findings indicate that many organizations are beginning to integrate cybersecurity spending with other budgets, such as digital transformation, IT programs and cloud investments. This shift acknowledges the cross-functional impact of cybersecurity, particularly in organizations with complex, interconnected digital ecosystems.
The trend is mirrored by a recent IANS and Artico Search survey, which reported an 8% increase in cybersecurity spending this year, up from 6% in 2023. While modest, this increase suggests that organizations recognize the need for sustained investment in cyber resilience to keep pace with emerging threats, especially as AI and automation reshape the cyber landscape.
Integrating cybersecurity with broader budgets also aligns with the CISO’s role in risk quantification and value communication. Techniques such as the FAIR (Factor Analysis of Information Risk) model allow CISOs to translate cybersecurity risks into financial metrics, making it easier to justify investments and demonstrate ROI to the C-suite.
Navigating regulatory mandates and disclosure requirements
Regulatory mandates are also shaping the evolving role of the CISO and cybersecurity’s integration into corporate strategy. With the U.S. Securities and Exchange Commission (SEC) now requiring companies to disclose material cyber incidents and provide insights into their cyber strategy, CISOs are under pressure to ensure regulatory compliance. This disclosure requirement applies to both U.S.-based and foreign companies trading on U.S. markets, reinforcing cybersecurity’s critical role across global business operations.
The SEC’s regulatory emphasis on transparency has heightened the importance of cybersecurity within boardrooms, leading senior executives to turn to CISOs for guidance on managing risks and compliance. Beyond U.S. markets, regulatory authorities worldwide are implementing frameworks and standards that require companies to report cyber incidents, particularly as ransomware and other cyberattacks have grown more prevalent. In addition to regulatory compliance, the reputation and operational continuity tied to regulatory adherence have pushed CISOs to develop comprehensive cybersecurity strategies that align with overall business goals.
Steps to building a cyber-resilient organization
High-cyber-maturity organizations demonstrate that integrating cybersecurity into business strategy requires more than technical defenses; it demands a multi-dimensional approach encompassing governance, culture and operational resilience. Here are several key areas where organizations can focus to build a cyber-resilient structure:
Leadership and governance: Effective cybersecurity governance starts at the top. Organizations should establish clear reporting structures where CISOs communicate directly with the CEO or board. This positioning emphasizes cybersecurity’s strategic importance and enables informed decision-making at the highest levels.
Risk management practices: Proactive risk management means identifying, assessing and mitigating cyber risks in line with business objectives. High-cyber-maturity organizations use both quantitative and qualitative methods to understand and prioritize risks, creating a structured approach to vulnerability management that could impact operations.
Incident response and recovery: Resilient organizations are not just prepared for incidents; they are equipped to recover swiftly and minimize impact. Robust incident response plans, regularly tested and updated, are essential for ensuring that organizations can maintain continuity even amid significant cyber events. These plans should involve cross-functional teams and clear communication channels to coordinate an efficient response.
Continuous improvement and innovation: Cybersecurity is a dynamic field where continuous improvement is critical. Organizations should prioritize regular evaluations and updates to their cybersecurity measures, allowing them to stay ahead of evolving threats. As AI, automation and other technologies emerge, adopting them to enhance cybersecurity capabilities—such as anomaly detection and automated incident response — can further boost resilience.
CISOs take the lead
In the evolving landscape of cyber threats, the role of the CISO is becoming more integral to organizational resilience and business continuity. High-cyber-maturity organizations are leading the way, integrating cybersecurity into their strategic goals and recognizing that it is not merely an IT function but a business-critical priority. By aligning cybersecurity spending with broader business budgets, they can enhance resilience and drive long-term value.
Ask CISOs why they think there is a cyber skills shortage in their organization, what keeps them up at night or what the most important issue facing the industry is — at some point, even if not the first response, they will bring up budgets.
For example, at RSA Conference 2024, a roundtable discussion about issues facing the cybersecurity industry, one CISO stated bluntly that budgets — or lack thereof — are the biggest problem. At a time when everything is getting more expensive, the CISO said, security budgets are being slashed.
As for the cybersecurity talent shortage, the 2024 ISC2 Cybersecurity Workforce Study noted that “39% said a lack of budget was the top reason for cyber shortages, replacing a shortage of talent as the previous top reason for staff shortages.” According to Forrester’s 2024 Cybersecurity Benchmarks Global Report, the cybersecurity budget is just 5.7% of the entire IT budget, making it very difficult for CISOs to bring in the right personnel or upgrade tools and solutions.
However, it might not be the dollar amount that is the problem as much as where the budget is coming from. CEOs think about cybersecurity differently when it is tied to IT and when the CISO reports directly to the CIO versus when the CISO can present cybersecurity as a vital cog in overall business operations and tie it directly to business risk, the Forrester report found.
“CISOs who can articulate the business value of cybersecurity, demonstrating how it can drive revenue and support strategic goals, are more likely to secure the necessary funding. This shift also reflects a growing recognition of cybersecurity’s strategic importance beyond mere IT operations,” Louis Columbus wrote.
Key issues in cybersecurity funding
Once cybersecurity is approached as a key factor in business operations rather than as a function of IT, CEOs and CISOs are more likely to be on the same page when it comes to budget.
“Security funding and oversight is a top priority for both the management team and the Board of Directors,” said Dave Gerry, CEO of Bugcrowd.
“Cybersecurity investment uplift is prioritized against the cyber threats we face as a business; the IT risks that we have identified and need to remediate or the customer and compliance obligations that we need to ensure,” Gerry added. “Thematically, however, it all points back to ensuring that the confidentiality, integrity and availability of our data we reside over is protected — whether it’s that of customers, employees or critical business partners, whilst enabling our business in-turn.”
Risk prioritization and business continuity are two key areas that George Jones, CISO at Critical Start, focuses on. Along with emerging threats and vulnerability management, Jones says these four items are the pillars of security for the enterprise as they are aligned with overall business goals and objectives.
“After recent SEC guidelines were announced, Boards are more focused than ever on cyber risk reduction and ensuring adequate funding is critical, especially as organization’s attack surfaces continue to rapidly expand,” said Gerry.
While CISOs and CEOs (and, in many cases, in conjunction with the CFO) have to build an ongoing dialogue about cybersecurity investments, they are coming to the table with two different interests.
“The CEO lens will be focused on obtaining satisfaction that the security initiatives deliver value with tolerable impacts on productivity, but more importantly looking for the potential of competitive advantage,” said Gareth Lindahl-Wise, CISO at Ontinue. The CISO’s approach, on the other hand, focuses on risk prevention, mitigation and solutions to meet all of the organization’s legal, regulatory and contractual obligations.
The overall goal should be to create a security posture advantageous in gaining or retaining customers or attracting investment. Ultimately, said Lindahl-Wise, these decisions lie with the CEO and board.
“When it comes to funding and risk acceptance, CISO is, largely, an expert advisor — if an informed and conscious decision has been made by a CEO, then one should argue the CISO has discharged their responsibilities,” Lindahl-Wise added.
CEO Gerry, however, said the final decision on funding allocation is made by the Board of Directors, and it is up to both the CEO and the CISO to get their buy-in on where and what security investments should be made.
“This is a key reason that the CISO should report to the CEO and have direct access to the Board of Directors,” said Gerry. “While oftentimes security can be viewed as a cost center, the new reality is that a robust security program should be a competitive differentiator and a revenue enabler, in addition to simply being the cost of doing business in an ever-expanding threat environment.”
The Future is AI
CISOs have long understood the role AI plays in cybersecurity, particularly handling some of the most mundane tasks that free up time for overworked security teams to handle issues that require hands-on management. As generative AI becomes ubiquitous in the workplace, CEOs have become increasingly aware of AI’s impact on business and security risks. Some companies are turning to adding Chief AI Officers to their IT and security teams, but even when they aren’t CEOs still recognize the need to include AI in future security budgets.
“As threats become more sophisticated, leveraging AI tools enables us to enhance our threat detection, automate responses and improve incident management,” said Darren Guccione, CEO at Keeper Security. “Skilled professionals are needed to navigate the rapidly evolving threat landscape and ensure that our AI-driven strategies remain effective and secure and must be a budget consideration.”
How it is defined within the cybersecurity budget will depend on how it is used. Will it be a fringe use of AI in commercial tools for productivity gains or an embedded use of AI in the organization’s core offerings?
“If it is the latter, the CEO must satisfy themselves that the organization has the right experience to manage the opportunities and risks,” Lindahl-Wise said. As for the security side of things, “My hunch is we will see AI responsibilities feature heavily in CIO/CTO roles before standalone CAIOs become the norm.”
AI might be the most current technology and security disrupter, but it won’t be the last. Where it is similar is that it creates risk, both to the business and to cybersecurity, and risk is where CEOs and CISOs will focus on investments as a team.
December is a month of numbers, from holiday countdowns to RSVPs for parties. But for business leaders, the most important numbers this month are the budget numbers for 2025. With cybersecurity a top focus for many businesses in 2025, it is likely to be a top-line item on many budgets heading into the New Year.
Gartner expects that cybersecurity spending is expected to increase 15% in 2025, from $183.9 billion to $212 billion. Security services lead the way for the segment expecting the most spending growth, with security software coming in second and network security as the third area of growth.
“The continued heightened threat environment, cloud movement and talent crunch are pushing security to the top of the priorities list and pressing chief information security officers (CISOs) to increase their organization’s security spend,” said Shailendra Upadhyay, Senior Research Principal at Gartner in a recent press release. “Furthermore, organizations are currently assessing their endpoint protection platform (EPP) and endpoint detection and response (EDR) needs and making adjustments to boost their operational resilience and incident response following the CrowdStrike outage.”
Factors contributing to the increase in spending
While spending decisions and increases are likely due to many different reasons, Gartner points to two main reasons for the predicted increase.
Generative AI: Garter said that because of organizations using Generative AI, they will need to take additional steps to secure their environment. The IBM Framework for Securing Generative AI lays out five steps: Securing the data, securing the model, securing the usage, securing AI model infrastructure and establishing sound AI governance. Many organizations will need to purchase additional software, such as application security, data security and privacy and infrastructure protection, due to the increased use of generative AI.
The global skills shortage: Many organizations are facing a skills shortage where they do not have the in-house talent to manage their cybersecurity needs. As a solution, many are hiring help to reduce their risks, such as security consulting services, security professional services and managed security services. Gartner points to the costs of these services as a driving factor in high predicted spending, making services a high-growth area of cybersecurity.
Instead of simply making a single line item on your organization’s budget that encompasses cybersecurity, accurate budgeting starts with breaking out all of the components of an effective cybersecurity program.
Consider the following in your budget:
Labor costs: Besides salaries for all full-time employees, consider any additional services you need to purchase. For example, outsourcing penetration testing falls into this line item. Additionally, consider if you need to hire managed services for any portion of your cybersecurity.
Technology: Think about all types of software needed, which includes antivirus, encryption tools and firewalls. Consider if you will be using generative AI for cybersecurity as well as additional tools needed to protect the organization from attacks on generative AI tools used for daily business tasks. Be sure to also include hardware costs, such as any infrastructure upgrades needed to run any new technological tools, especially generative AI.
Training: Many organizations only consider the budget for training and certifications for their cybersecurity staff. However, be sure to allocate funds for cybersecurity training for the entire organization. By thinking outside the box and setting aside sufficient funds, you can make a big impact in reducing cyberattacks caused by employee errors.
Incident Response: After a breach or attack happens, organizations need funds to contain the breach and manage the response. Costs that often occur include legal fees, PR firms, overtime, data breach notification, identity theft protection and loss of revenue.
Budget can affect employee stress
While many organizations consider business disruption and potential risk when creating their cybersecurity budget, many overlook how the budget impacts the cybersecurity team.
The ISACA State of Cybersecurity 2024 and Beyond found that 66% of cybersecurity professionals stated their role is more stressful. Not surprisingly, the top reason (81%) stated was that the threat landscape is increasingly complex. However, the budget being too low (45%) tied for second with worsened hiring retention challenges and staff not being skilled/trained.
The report found that more than half (51%) felt that their budgets were underfunded, an increase from 47% sharing that sentiment in 2023. Additionally, only 37% expect that their budgets will increase in 2025. Adding to the stress, only 40% had a high confidence that their team was prepared to handle a cyberattack. While at the same time, 47% expect a cyberattack on their organizations.
Reducing employee stress while budgeting for 2025
As business leaders are working on budgets, here are some ways to reduce employee stress related to the 2025 budget.
Include your hands-on cybersecurity team members in the budget discussions. When employees feel that their perspectives and ideas are heard, they are less likely to be resentful. Additionally, they can see first-hand the tradeoffs involved in budgeting as well as the impact of each decision on other line items.
Ask employees to share their current challenges. By starting with understanding their problems, you can then use these issues to drive the budget decisions. If team members jump to the technology solutions, steer them back to first discussing the problems.
Have your cybersecurity team research and get estimates. Once you move to the solution portion of budgeting, ask cybersecurity team members to research tools and get estimates. Since they will be the ones using the tools on a daily basis, getting their buy-in on specific solutions can help increase satisfaction as well as improve the accuracy of the budget.
Show team members the draft budget. Budgeting often means making hard decisions. By showing the team the draft budget and asking for their input, they feel heard and also can see the tradeoffs that are necessary as part of the budgeting process.
While the increase in cybersecurity spending is a positive trend overall, the most important thing is how companies use their higher investments. By making the right choices for your specific organization, you can reduce risk while also improving employee satisfaction.
Entrar
