Estudo fala sobre ataques virtuais sofisticados


A segurança da informação das empresas pode estar em perigo. Para 56% das organizações é improvável ou pouco provável que elas sejam capazes de detectar um ataque cibernético sofisticado. O resultado é do estudo anual Global Information Security Survey, realizado há 17 anos pela Ernst & Young (EY). A pesquisa foi realizada entre junho e agosto de 2014. Participaram 1.825 respondentes de 60 países — 54 no Brasil.


A pesquisa identificou três principais obstáculos enfrentados hoje pelas empresas: falta de agilidade, falta de orçamento e falta de capacitação em segurança cibernética.


No quesito falta de agilidade, a pesquisa mostrou que as empresas entendem que existe um perigo claro e presente, mas as organizações não estão se movimentando com velocidade suficiente para mitigar os riscos. Segundo o levantamento, 67% dos executivos de grandes companhias acreditam que há crescentes ameaças de ciberataques, mas mais de um terço (37%) não têm informações em tempo real necessárias.


A falta de orçamento também é ponto crítico. O orçamento total de segurança da informação das empresas será o mesmo nos próximos 12 meses para 43% dos respondentes. Sergio Kogan, sócio da EY, destaca que apenas 5% afirmaram que o orçamento atual diminuirá. “Embora haja maior atenção em relação aos crimes cibernéticos nas diretorias e entre diretores não executivos, parece que esse interesse não se traduz em recursos orçamentários adicionais. Ainda há a necessidade de mais dinheiro e maiores recursos para enfrentar de forma efetiva as ameaças crescentes”, afirma o sócio.


A falta de capacitação, outro obstáculo, também coloca as empresas em alerta. De acordo com a pesquisa da EY, 53% das empresas dizem que a falta de recursos humanos qualificados é um dos principais entraves para o programa de segurança da informação. Além disso, apenas 5% das organizações têm uma equipe de inteligência de ameaças com analistas dedicados e consultores externos que avaliam informações para credibilidade, relevância e exposição contra os autores das ameaças.


Para 38% dos entrevistados, “funcionários descuidados ou inconscientes” é a vulnerabilidade número um enfrentada pelas empresas. Os “controles de segurança da informação desatualizados” e o “uso de computação em nuvem” são segunda e terceira prioridades, respectivamente (35% e 17%).


Ciberataques para roubo de informações financeiras é a principal ameaça detectada pelas empresas (segundo 28% dos respondentes), e tema prioritário a ser solucionado. Em seguida, estão os ataques “para perturbar ou desfigurar a organização” (25%) e “para roubar propriedade intelectual ou dados” (20%).


Níveis de maturidade

O estudo identificou que as empresas devem passar por três diferentes estágios para atingir a maturidade em segurança cibernética: Ativar, Adaptar e Antecipar. Na primeira fase, é preciso dispor de uma base sólida de segurança cibernética, que compreende um abrangente conjunto de medidas de segurança da informação, que proporcionarão uma defesa básica — mas não ideal — contra os ataques cibernéticos. Nesse estágio, as organizações estabelecem as suas bases.


No estágio seguinte, as medidas de segurança das empresas devem se adaptar para manter o ritmo e atender às mudanças nas exigências e na dinâmica dos negócios, ou ao longo do tempo se tornarão cada vez menos efetivos. “Nesse estágio, as organizações trabalham para manter a sua segurança cibernética atualizada”, afirma Sergio Kogan.


Na fase posterior, as organizações precisam desenvolver táticas para detectar e diminuir potenciais ataques cibernéticos. Elas precisam saber exatamente o que deve ser protegido e ter respostas apropriadas para cenários de prováveis ataques. “Nesse estágio, são necessárias uma capacitação madura de inteligência para enfrentar as ameaças cibernéticas, uma metodologia sólida de avaliação de risco, um mecanismo de resposta a incidentes com experiência e uma organização informada”, explica o sócio da EY. Nesse estágio, as organizações previnem a ocorrência de ataques cibernéticos.

SXC
SXC