Sabe quem é o maior responsável pelas falhas de cibersegurança da sua empresa? É você
Trabalhadores descuidados ou com pouca formação são o principal motivo para as falhas de segurança informática mais perigosas das empresas. Esta é uma das conclusões do relatório global sobre cibersegurança da Ernst & Young divulgado esta quarta-feira
Texto Maria João Bourbon
Se é um daqueles trabalhadores que usa palavras-passe do tipo ‘password1234’ ou que não sabe a diferença entre um email verdadeiro e um suspeito, então o leitor pode ser o principal motivo para as falhas de segurança informática da sua empresa.
Os trabalhadores descuidados ou inconscientes são a maior vulnerabilidade das empresas no que diz respeito à segurança informática, conclui o relatório global sobre cibersegurança da Ernst & Young (EY) divulgado esta quarta-feira. 34% das empresas inquiridas acreditam que estes trabalhadores foram o principal motivo para as vulnerabilidades mais perigosas às quais estiveram expostas no último ano.
Uma explicação para o facto de estes trabalhadores serem vistos como os maiores responsáveis pelas falhas de cibersegurança está relacionada com aquilo que as empresas consideram ser as maiores ameaças.
No topo da lista aparece o phishing (tentativa dos piratas informáticos obterem informações pessoais ou confidenciais dos utilizadores através de emails spam, mensagens pop-up ou sites falsos, fazendo-se passar por organizações existentes com as quais a vítima tem alguma relação), considerado por 22% das empresas como a maior ciberameaça. Segue-se o malware (20%), software malicioso que tenta infiltrar-se nos computadores para lhes causar danos, alterações ou roubar informações.
Nos dois casos, “o papel dos colaboradores descuidados é determinante para este resultado”, nota ao Expresso Sérgio Sá, sócio associado da EY.
Mas a culpa não é apenas dos trabalhadores, é também das empresas. Isto porque os incidentes com trabalhadores descuidados “resultam normalmente da ausência de sensibilização por parte das empresas na utilização adequada das tecnologias de informação”, explica Sérgio Sá. Ou da “implementação deficiente de controlos de segurança adequados para a proteção da informação”.
O responsável da EY sublinha que no atual mundo digital os “mecanismos de proteção têm de ser definidos em função da criticidade dos ativos de informação [para a empresa], quer sejam para uso interno ou do exterior”, o que nem sempre acontece. “Muitas empresas continuam a focar a estratégia de segurança da informação para o exterior, relaxando os controlos internos, o que leva a que a probabilidade de incidentes internos com colaboradores seja elevada — quer por desconhecimento ou intencionalmente.”
Na verdade, os controlos de segurança desatualizados e os acessos não-autorizados são considerados por 26% e 13% das empresas, respetivamente, como as maiores ciberameaças que se seguem.
Investimento em alta, maturidade baixa
Os investimentos na área de cibersegurança estão em alta. Os resultados mostram que 63% e 67% das empresas maiores, com receitas anuais superiores a mil milhões de dólares, preveem aumentar o seu orçamento para esta área este ano e no próximo ano, respetivamente. E metade das empresas mais pequenas preveem fazê-lo já este ano.
Os níveis de maturidade e resiliência da maioria das empresas (87%), no entanto, ainda são limitados. Apesar de metade das firmas terem aumentado o seu orçamento para cibersegurança este ano, outra metade ainda não coloca a proteção e segurança no centro da sua estratégia. Três quartos das empresas ainda funcionam com proteções básicas de cibersegurança (embora procurem proteções mais avançadas que recorram a inteligência artificial, automação de processos robotizados e analítica, entre outras).
Esta falta de maturidade das empresas tem várias explicações. Não só “a transformação digital e as novas tecnologias estão a expor as organizações a novas vulnerabilidades”, como “os ataques continuam a crescer em número e sofisticação” e “os ‘maus da fita’ continuam a aumentar”, esclarece Sérgio Sá.
Além disso, “um número significativo de empresas tem uma visão limitada da cibersegurança e resiliência por não terem visibilidade completa de quais são os seus ativos críticos” e “não possuírem os controlos adequados para proteção dos mesmos”. Os resultados do inquérito comprovam isso mesmo: menos de 10% acreditam que têm sistemas de segurança com elevado nível de maturidade e apenas 8% afirmam que as funcionalidades que têm corresponde às suas necessidades.
Muitas mostram ainda relutância em aumentar os seus orçamentos para cibersegurança. Quando são alvo de falhas que não lhes causam danos (ou que, pelo menos, não detetam imediatamente), 63% das empresas não aumentam os seus gastos. Muitas não sabem dizer com certeza se conseguem identificar com sucesso falhas ou incidentes de segurança - e, do total das organizações alvo de incidentes no último ano, menos de um terço afirma que a vulnerabilidade foi descoberta pelo seu centro de operações de segurança.
O relatório, realizado entre abril e julho de 2018, partiu de inquéritos a mais de 1400 membros da administração e líderes de tecnologia e segurança informática de organizações, incluindo empresas maiores (com receitas anuais superiores a mil milhões de dólares) e mais pequenas (receitas inferiores a mil milhões). Quase metade das empresas inquiridas pertencem à região da Europa, Médio Oriente, Índia e África.
O relatório não tem dados específicos sobre Portugal, mas Sérgio Sá aponta que o nível de maturidade do país se encontra “em linha com os resultados globais do estudo para as pequenas e médias empresas — o que requer maior envolvimento das empresas no tema da cibersegurança a todos os níveis desde o seu modelo governo às componentes de pessoas, processos e tecnologia.”