Os executivos seniores devem se preparar melhor para futuros ataques cibernéticos quase inevitáveis e não podem confiar apenas no governo para proteção, alertou o governo do Reino Unido.
O ministro da Segurança do Reino Unido, Dan Jarvis, alertou hoje que a segurança cibernética continua sendo uma preocupação para a gerência intermediária “por muito tempo” e “só é escalada para os idosos em uma crise”.
“O governo do Reino Unido está criando uma forte parceria em segurança cibernética, como mostramos por meio de nosso trabalho na Jaguar Land Rover, mas estou claro que as empresas não podem ser protegidas apenas pelo governo”, disse ele, falando na sede do National Cyber Security Center (NCSC) em Londres em 14 de outubro.
Richard Horne, diretor do NCSC, enfatizou: “Pergunte a qualquer organização que esteja passando por uma crise, como um ataque de ransomware: em última análise, o CEO, o comitê executivo e outros membros do conselho terão que administrar o gerenciamento da crise”.
“A hora de agir é agora. Todo líder, seja você uma pessoa na mesa da cozinha ou o chefe de milhares de pessoas, você deve ter um plano para se defender contra ataques cibernéticos criminosos e deve ter um plano de continuidade. Você deve saber como continuar sem seus sistemas de TI caso um ataque cibernético seja aprovado”, continuou Horne.
Esses avisos vieram como o NCSC 2025 Revisão Anual, publicado em 14 de outubro, mostrou Números recordes de incidentes cibernéticos “nacionalmente significativos”, com 204 eventos de tal impacto entre setembro de 2024 e agosto de 2025, dos quais 18 foram “altamente significativos”.
Para levar os executivos seniores a se prepararem melhor para ameaças cibernéticas, o preâmbulo do NCSC Revisão Anual incluiu uma carta de um CEO cuja empresa sofreu um ataque cibernético de alto perfil no início deste ano.
Nesta carta, Shirine Khoury-Haq, CEO da Grupo Cooperativo, disse: “A responsabilidade é nossa como líderes seniores. Continue a considerar o melhor caminho para proteger sua empresa, mas também os melhores meios para se defender contra um ataque, incluindo o suporte a clientes e colegas, em todos os estágios possíveis.”
Governo do Reino Unido pede aos CEOs do FTSE 350 que fortaleçam as defesas cibernéticas
O ministro da Segurança do Reino Unido também anunciou que uma carta foi enviada a todos os CEOs das empresas FTSE 350, implorando-lhes que reconheçam melhor as ameaças cibernéticas.
A mensagem recomenda fortemente que as organizações mantenham cópias físicas de seus planos de resposta a incidentes cibernéticos prontas, alertando que os preparativos apenas digitais podem falhar em uma crise.
Esta carta foi assinada por Jarvis ao lado de outros ministros do governo, incluindo a Chanceler do Tesouro, Rachel Reeves; Secretário de Negócios, Peter Kyle; Secretária de Tecnologia, Liz Kendall; bem como os chefes do NCSC e da National Crime Agency (NCA).
Falando com Segurança da informação, Jonathan Ellison, diretor de resiliência nacional do NCSC, acrescentou que a carta também se refere à necessidade de os CEOs pensarem em sua cadeia de suprimentos. Ele apontou o Cyber Essentials como uma das maneiras pelas quais os CEOs podem garantir que as empresas em sua cadeia de suprimentos tenham segurança cibernética suficiente.
Introduzido em 2014, o Cyber Essentials é um esquema de certificação voluntário apoiado pelo governo do Reino Unido que visa fornecer às organizações controles básicos que devem implementar para mitigar o risco de ameaças comuns baseadas na Internet.
A aceitação do Cyber Essentials ainda é muito lenta
Apesar de Ellison implorar às empresas que considerem o Cyber Essentials, a aceitação do esquema tem sido relativamente lenta. Isso já foi destacado pelo NCSC como um marcador da relutância dos líderes empresariais do Reino Unido em investir em proteções fundamentais de segurança cibernética.
Em maio de 2025, no CYBERUK em Manchester, Ellison alertou que, embora 35.000 organizações do Reino Unido possuam a certificação Cyber Essentials, isso foi ainda muito poucos. Ele observou que existem 5,5 milhões de empresas no Reino Unido, então o número daquelas que concluíram o Cyber Essentials “não está nem perto de onde precisamos estar”.
Hoje, o NCSC 2025 Revisão Anual observou que esse número atingiu 39.790 empresas.
Falando com Segurança da informação, Ellison destacou que 2025 “marcará nosso maior ano em termos de novas certificações Cyber Essential atribuídas às empresas”. No entanto, ele reiterou que ainda “não é suficiente”.
Ele éUgsugeriu duas razões principais para a lenta aceitação: “Primeiro, para algumas empresas, a segurança cibernética parece esmagadora. Precisamos ajudá-los a tomar medidas gerenciáveis que lhes permitam iniciar essa jornada. Depois, há a questão do apoio às organizações, por isso temos aumentado o número de organismos de certificação e consultores cibernéticos em todo o país.”
NCSC lança kit de ferramentas de ação cibernética
Dois novos serviços do NCSC podem ajudar a acelerar a adoção do Cyber Essentials, destacou Ellison.
Primeiro, em abril de 2025, a agência lançou um Código de Prática de Governança Cibernética e um programa de Treinamento de Governança Cibernética projetado para ajudar executivos seniores e membros do conselho a entender melhor os riscos cibernéticos para sua organização e sua cadeia de suprimentos.
Em seguida, o NCSC lançou o Cyber Action Toolkit em 14 de outubro, juntamente com a publicação de seu Revisão Anual de 2025.
Este novo conjunto de ferramentas de solução de segurança cibernética gratuita e personalizada visa transformar a proteção cibernética em etapas simples e alcançáveis, projetado principalmente para comerciantes individuais, microempresas e pequenas organizações.
No entanto, Ellison acredita que a ferramenta também pode ser “um caminho para o Cyber Essentials”, ajudando as empresas a dar passos mais facilmente alcançáveis em direção ao “padrão mínimo de segurança cibernética que achamos que as empresas devem fazer”.