Empresas brasileiras têm muito o que melhorar em segurança digital, mostra pesquisa Abrasca/SDL
Uma parte relevante das maiores empresas do país ainda está distante das recomendações e melhores práticas indicadas pelas principais agências mundiais de cibersegurança, de acordo com um estudo inédito da Associação Brasileira das Companhias Abertas (Abrasca) em parceria com o The Security Design Lab (SDL).
Divulgada nesta quarta-feira, a pesquisa, que usou a metodologia Cyber Score, que mede o nível de maturidade e risco em cibersegurança, mostrou que as companhias alcançaram uma nota média de 4,9 numa escala de zero a 10, o que indica um grau de maturidade mediano.
Foram contabilizadas as respostas de 109 empresas dos setores de agronegócio, educação, energia, engenharia, financeiro, indústria, óleo e gás, saúde, serviços, tecnologia, telecomunicações e varejo. O questionário de 86 perguntas segmentadas em 12 capítulos foi aplicado entre maio e agosto deste ano.
As empresas que alcançaram os maiores índices de compliance em cibersegurança forma dos setores da indústria/manufatura, telecomunicações, óleo e gás e financeiro.
"A importância do tema no mercado de capitais é crescente e sem volta", afirmou em comunicado o presidente-executivo da Abrasca, Pablo Cesário, acrescentando que a questão deixou de ser um problema da área de tecnologia da informação (TI) e se transformou em uma questão para todas as companhias, abertas ou não.
"O mundo está se movimentando no sentido de regulações mais adequadas à nova realidade e de melhores práticas, daí a importância de termos dados atualizados para entender onde estamos e, com isso, balizar a discussão 'com os pés no chão', de forma pragmática e eficiente", acrescentou.
Entre as empresas com ações na B3 que já sofreram ataques digitais nos últimos anos estão JBS, Lojas Renner, Natura&Co, Fleury, Porto Seguro e CVC.
Na visão do diretor para a América Latina do The Security Design Lab, Alexandre Vasconcelos, a nota obtida na média geral demonstra muito espaço para melhorias, mas trata-se de um cenário não destoante do que apontam pesquisas globais.
De acordo com o estudo Abrasca/SDL apresentado nesta quarta-feira, 93% das empresas possuem algum mecanismo para detectar ataques cibernéticos e 65% se dizem capazes de identificar e agir em resposta a incidentes para assegurar a continuidade do negócio e suas funções.
Mas 42% não possuem um plano de resposta a incidentes de cibersegurança, 65% não orientam a equipe para lidar e responder a esses tipos de incidentes e 73% não possuem mecanismos de controle de acesso para sistema tecnologia operacional (OT) e sistemas de controle industrial (ICS).
Ainda de acordo com a pesquisa, 42% das companhias não possuem um executivo responsável pela segurança da informação, 46% não possuem um comitê de segurança da informação, 51% não possuem uma análise de impacto de negócio e 40% não possuem um plano de continuidade de negócio.
Vasconcelos ressalta que uma companhia pode ter a sua operação afetada, sem ter sido alvo direto de um ataque, como pela cadeia de suprimentos. E destacou que o estudo "mostra um dado preocupante, onde 52% das companhias não implementam gestão de riscos para esta cadeia".
Ainda conforme a análise, 43% das empresas autenticam em sistemas críticos, utilizando login e senha, e apenas 2% utilizam modernas tecnologias como autenticação sem senha (passwordless). E 41% dos dispositivos conectados das empresas não implementam proteção de dados em trânsito.