Perguntamos a especialistas em segurança cibernética suas principais previsões para 2025

Ao chegarmos ao final de 2024, a indústria da segurança cibernética enfrenta muitos desafios . Para começar, as perdas devido ao crime cibernético quadruplicaram, atingindo 2,5 mil milhões de dólares desde 2017 , de acordo com um relatório.

Grandes empresas estão perdendo milhões com ransomware ou, no caso da T-Mobile, um acordo de US$ 30 milhões pela exposição de dados de clientes. Uma empresa de segurança cibernética dos EUA contratou acidentalmente um hacker norte-coreano.

À medida que completamos um quarto de século no novo milénio, o panorama da segurança online continuará a mudar sob os nossos pés colectivos. Como você pode garantir que estará ciente das últimas tendências? Dando uma olhada no guia abaixo - examinamos dezenas de previsões, advertências e previsões de especialistas em segurança cibernética para coletar a nata da colheita.

Aqui está o que esperar do mundo da segurança cibernética no novo ano.

As maiores previsões de segurança cibernética para 2025:

• Segurança reforçada para a Internet das Coisas
• A arquitetura Zero Trust se expande além dos dispositivos
• A quantificação de riscos se torna uma ferramenta essencial de segurança
• Foco nas lacunas de competências cibernéticas de nível médio
• As ferramentas de IA serão ainda mais integradas ao protocolo de segurança das empresas
• Tenha cuidado com ativos subgerenciados

Segurança reforçada para a Internet das Coisas

A “Internet das Coisas”, ou IoT, refere-se a quaisquer dispositivos tecnológicos conectados à Internet e que dependem de atualizações de software, desde geladeiras inteligentes a termostatos, campainhas e até marca-passos. Todos eles estão hoje melhor do que nunca, e isso causa medo nos corações de muitos especialistas em segurança cibernética – porque todos esses dispositivos estão agora vulneráveis ​​a ataques cibernéticos.

Daniel Pearson, CEO da KnownHost, observa que a IoT não é apenas para casas inteligentes. As empresas têm muitos dispositivos IoT em suas instalações: sensores, equipamentos de monitoramento, sistemas de gerenciamento de energia e itens de escritório do dia a dia, incluindo lâmpadas, fechaduras de portas e sistemas de CFTV.

Para lidar com o elevado número de vulnerabilidades potenciais, as empresas em 2025 devem “garantir que os seus dispositivos inteligentes estejam adequadamente protegidos através de autenticação multifator, criptografia regular e atualizações de firmware”, diz Pearson.

A arquitetura Zero Trust se expande além dos dispositivos

As arquiteturas Zero Trust exigem verificação contínua para mitigar riscos de ataques laterais, minimizando a confiança implícita. Em 2025, essas táticas irão além da segurança dos dispositivos e começarão a abranger todos os usuários, dispositivos, aplicativos e interações.

Ofer Regev, CTO da Faddom, prevê que o Zero Trust irá além dos dispositivos.

“O Zero Trust se expandirá além dos dispositivos e redes para incluir estruturas de verificação de identidade para todas as interações digitais. Com o aumento do trabalho remoto e dos sistemas descentralizados, os modelos de identidade tradicionais ficarão aquém. Isso exigirá ferramentas capazes de rastrear e validar comportamentos de usuários e sistemas em cenários dinâmicos de TI.” -Regev

A expansão Zero Trust surgirá porque os profissionais de segurança cibernética continuarão a procurar medidas adicionais para garantir a segurança nas suas empresas.

A quantificação de riscos se torna uma ferramenta essencial de segurança

Um relatório da Bitsight and Diligent descobriu que, apesar de as empresas ciberseguras apresentarem um desempenho financeiro quatro vezes superior ao dos seus pares, apenas 5% das empresas têm especialistas cibernéticos nos seus conselhos de administração.

Como os profissionais de TI podem se comunicar com seus conselhos? A quantificação de riscos, de acordo com a própria CISO da Diligent, Monica Landen, que afirma que ela emergirá como “a ferramenta mais forte e confiável para comunicar riscos cibernéticos à sua diretoria em 2025”. Landen compara a quantificação de riscos no setor de segurança com a avaliação de riscos no setor de seguros: em constante melhoria.

“2025 pode ser o ano de mais polinização entre organizações para comunicar adequadamente os riscos cibernéticos ao conselho. As equipes de segurança têm sido historicamente isoladas, mas se conseguirem vincular seus desafios e sucessos ao impacto no cliente, ao pipeline de vendas ou ao desenvolvimento de produtos, essas barreiras se deteriorarão e o impacto, positivo ou negativo, da falta de segurança terá repercussão adequada no conselho.” -Landen

As empresas precisarão de uma estrutura de GRC forte para garantir que a segurança cibernética continue a ser uma pedra angular da sua estratégia global de gestão de riscos para o novo ano. Em 2025, a segurança cibernética deve ser uma prioridade em todos os níveis de uma organização.

Foco nas lacunas de competências cibernéticas de nível médio

A melhoria e a requalificação são problemas constantes para os trabalhadores administrativos que lidam com segurança cibernética. As atualizações de software são lançadas constantemente, portanto, os trabalhadores devem sempre obter novos diplomas e certificações para se manterem atualizados.

Keatron Evans, vice-presidente de estratégia de IA do Infosec Institute, prevê que as lacunas de competências — e a aprendizagem necessária para colmatá-las — serão mais importantes do que nunca em 2025. E não são apenas os trabalhadores iniciantes que precisarão de atingir os livros.

“Quando falamos sobre lacunas de competências em segurança cibernética, uma das declarações erradas que as pessoas costumam fazer é que atribuirão essa lacuna a todas as funções de nível inicial. No entanto, em todo o setor, percebemos que algumas das maiores lacunas se enquadram na necessidade de talentos experientes com alguns anos de trabalho em seu currículo [...]” -Evans

A indústria provavelmente verá um aumento nas habilidades práticas ou verificáveis, bem como na aprendizagem imersiva necessária para ensiná-las, diz Evans, que acrescenta que “parte do desafio é o nível de diplomas e certificações exigidos na indústria”. Os trabalhadores terão de equilibrar o risco de esgotamento com a necessidade de continuar a adicionar novas certificações.

Ofer Regev leva a discussão sobre a lacuna de competências um passo adiante, prevendo que isso acelerará ferramentas de automação leves: “A escassez global de profissionais de TI qualificados piorará em 2025”, diz Regev, “levando as empresas a adotar ferramentas automatizadas mais leves. Soluções complexas que exigem amplo conhecimento perderão terreno para tecnologias sem agente que simplificam rapidamente a implantação e agregam valor.”

É claro que essa está longe de ser a única previsão relacionada ao uso da tecnologia de IA.

As ferramentas de IA serão ainda mais integradas aos protocolos de segurança das empresas

Os especialistas em segurança cibernética que consultamos para este artigo tinham muitas previsões diferentes relacionadas à IA, mas a tendência geral pode ser resumida como: a IA continuará a encontrar um lugar na indústria como um todo. A IA tem sido uma solução na busca de um problema e, em 2025, poderá começar a encontrar esses problemas.

Isso pode parecer um entendimento ascendente crescente sobre a tecnologia, como argumenta Keatron Evans:

“As pessoas que levam a sério a manutenção de uma vantagem cibernética precisam se aproximar da tecnologia, e não apenas do uso que ela faz pelo consumidor. O próximo ano será o ano da verdadeira defesa da compreensão da tecnologia subjacente e de como ela funciona – isso tornará os funcionários exponencialmente mais valiosos.” -Evans

Pode parecer um reforço dos riscos de segurança de dados que a dependência da IA ​​no treinamento de dados irá trazer, de acordo com o relatório de previsão de 2025 da empresa de privacidade de dados Kiteworks.

“Em 2025, regulamentações globais mais rigorosas exigirão transparência e responsabilidade no tratamento de dados de IA, com as organizações enfrentando penalidades pelo tratamento indevido de conteúdo sensível. Para combater estas ameaças, as empresas devem implementar estruturas robustas de governança de IA, priorizar tecnologias que preservem a privacidade e adotar práticas seguras de desenvolvimento de modelos para garantir a conformidade e salvaguardar a confiança.” -Kiteworks

A IA também impulsionará a automação de backup, diz Sebastian Straub, arquiteto principal de soluções da N2W.

“2025 verá o início de sistemas de backup com intervenção administrativa quase nula. A IA aprenderá os intrincados padrões de uso de dados, requisitos de conformidade e necessidades organizacionais, tornando-se um especialista proativo em gerenciamento de dados, determinando de forma autônoma o que precisa ser feito backup e quando, incluindo a adesão a padrões de conformidade como GDPR, HIPAA ou PCI DSS.” -Straub

No entanto, a adaptação da IA ​​é uma batalha difícil. Staub também alerta que a IA “não é uma solução mágica” e ainda veremos muitas “infelizes violações de confiança e violações de conformidade” à medida que as empresas lutam para incorporar a IA em seus sistemas em 2025 e além.

Tenha cuidado com ativos subgerenciados

Tim Matthews, CMO da CyCognito, argumenta que veremos um aumento nas violações de dados devido a “ativos desconhecidos e subgerenciados”. Matthews prevê que 70% das violações em 2025 serão atribuídas a estes activos, marcando um aumento em relação aos 60% que muitos analistas estimam hoje.

“Isso será alimentado por superfícies de ataque cada vez mais complexas e em expansão, migrações para nuvem, dependências de terceiros e infraestrutura de trabalho remoto. As organizações serão forçadas a mudar de uma segurança reativa e específica de ativos para uma abordagem de descoberta que se concentra em itens fora do inventário conhecido.” -Mateus

Isto está de acordo com as previsões mais amplas de tendências tecnológicas que recolhemos de profissionais de tecnologia de muitos outros setores: serão necessárias medidas mais proativas em 2025, e não apenas medidas reativas.

No final, a história permanece a mesma para o negócio de segurança online. Quer as ferramentas e os protocolos sejam funções de IA, arquitetura de risco zero ou quantificação de riscos, tudo isso marca uma corrida armamentista constante de aprimoramento de habilidades entre maus atores e profissionais de segurança cibernética, sem nenhum fim genuíno à vista.