Futuro das empresas em risco por falta de estratégia de cibersegurança

A maturidade ao nível de cibersegurança dividiu o tecido empresarial em dois grupos distintos. Esta é uma das conclusões do Relatório de Maturidade Digital em Cibersegurança, elaborado pela Minsait e SIA, que entrevistou responsáveis de empresas na Europa e alguns dos mais destacados especialistas em cibersegurança. De acordo com o relatório, 56% das empresas carece de uma estratégia de cibersegurança bem definida e está longe de cumprir com o modelo de Organização Digitalmente Protegida, o que coloca em risco a sua viabilidade e o seu futuro na era digital, no qual o teletrabalho multiplica o risco e o comércio eletrónico cresce exponencialmente.

Em Portugal, e de acordo com o relatório nacional do CNCS (Centro Nacional de Cibersegurança) - que cita o inquérito do Eurostat sobre Políticas de Segurança - há menos empresas com políticas de segurança das TIC definidas ou revistas (74%) em comparação com a U.E. (76%). Contudo as empresas em Portugal aplicam mais medidas de segurança (98%) que a média europeia (93%). Ainda assim, o inquérito mostra que as medidas de cibersegurança são maioritariamente tomadas pelas grandes empresas, por comparação com as PME.

O relatório diz ainda que 73% das empresas não conta com mecanismos de incentivos, formação e comunicação precisos para os seus colaboradores, que facilitem uma mudança necessária na organização em matéria de cibersegurança; e 90% das empresas não tem contratados perfis de profissionais especializados em cibersegurança. 

Perante este cenário torna-se imprescindível contar com o apoio de Parceiros especializados que ofereçam uma visão integral face aos desafios que se colocam num setor hiperespecializado e em constante mudança. Em Portugal, segundo o CNCS, as empresas recorrem na maioria a fornecedores externos para 75% das atividades de cibersegurança.

Essa necessidade fica ainda mais evidente quando apenas 22% implementaram uma medida tão importante como a gestão centralizada de identidades, num momento em que o roubo de identidade digital e de passwords é um dos principais vetores de ataque. O mesmo acontece em Portugal onde a identificação do utilizador é usada somente por 15% das empresas, segundo o CNCS. A falta de proteção das empresas também se reflete ao verificar que apenas 55% das organizações se apoia num Centro de Operações de Cibersegurança, essencial para detetar ataques e ter capacidade de reação. 

Esta situação fica ainda mais grave quando 90% dos ataques cibernéticos usa técnicas de engenharia social para vencer as defesas das empresas e que, durante a pandemia, os ataques de phishing dispararam 6.000%. Em Portugal o Relatório da CNCS indica que em 2020 “se verificou um crescimento significativo do número de incidentes registados” quando comparado com 2019. Com o valor a subir para 101% em comparação com o primeiro semestre do ano passado. O phishing foi um dos fatores mais frequentes até agosto de 2020, correspondendo a 31% dos incidentes registados em 2020.

Perante estes factos é evidente um problema de falta de visão estratégica. Neste sentido, Vicente Huertas, Country Manager da Minsait em Portugal, afirma que “embora os ataques cibernéticos sejam o principal risco para as empresas, existe ainda uma grande parte das organizações em Portugal que não inclui a cibersegurança nas suas agendas. É necessário criar uma cultura de segurança, focada nos colaboradores, formando-os dentro de protocolos específicos e melhorar as práticas do dia a dia, pois as repercussões de um incidente desta matéria vão mais além das perdas económicas. Trata-se do nome da empresa que fica em causa”.

Por sua vez, Paulo Pinto, diretor da SIA Cesce em Portugal, refere ainda que “as empresas devem considerar a cibersegurança como parte de sua política de boa governança. Mas essa situação está muito longe de ser alcançada se tivermos em conta que 68% das empresas ainda não conta com uma figura de CISO (Chief Information Security Officer), como responsável executivo pela segurança da informação e o seu alinhamento com os objetivos do negócio”.

Tudo isto leva a que 82% das empresas não tenha atualizados os registos de ativos digitais a proteger e 90% não utilize as técnicas de cibersegurança mais avançadas, aspetos imprescindíveis para uma proteção completa, que evidenciam a margem de melhoria ainda existente.

No entanto, e distanciando-se desta tendência, o Relatório da Minsait e da SIA destaca que as empresas de Banca, Telecomunicações e Media, Seguros e Energia sobressaem pelo seu elevado grau de avanço, investimento em novas tecnologias e procura de respostas inovadoras aos desafios da cibersegurança. As empresas mais evoluídas articularam uma visão de longo prazo e estão comprometidas com a cibersegurança como pilar fundamental para o crescimento e sustentabilidade do seu negócio. Um fator que conseguiram transformar numa alavanca para melhorar os serviços que prestam digitalmente aos seus clientes. O Portugal Threat Report, revela também que os setores mais visados pelos hackers no nosso país são a banca a Saúde e o Governo.

O Relatório de Maturidade Digital em Cibersegurança demonstra que as empresas estão conscientes do desafio que enfrentam e realizaram um esforço notável no último ano. No entanto, o dinamismo das ameaças cibernéticas e a dificuldade que supõe a sua gestão integral ao longo de toda a cadeia de segurança (algo que requer um enfoque multidisciplinar) são dois dos grandes obstáculos que travam o avanço. O êxito depende da proteção que precisam para crescer e fazer negócios online nos próximos anos.

Neste relatório, os especialistas de cibersegurança da Minsait e da SIA revêm as melhores práticas e medidas para proteger uma empresa e adiantam um caminho que passa pôr identificar os riscos, por em prática ações para protege-los, determinar uma estratégia para detetar ataques, contar com especialistas para poder reagir eficazmente e assegurar as capacidades de recuperação.