A Segurança Cibernética não é mais uma questão que preocupa apenas os profissionais de TI. O impacto dessa área, uma das mais abrangentes quando se trata de risco, estendeu-se para outros setores das empresas e chegou às salas de reunião. Nos últimos 12 meses, a incidência dos ataques ao redor do mundo atingiu empresas de todos os setores econômicos.
Esse é o cenário atual apontado pelo estudo da PwC, “Managing cyber risks in an interconnected world”, que utilizou como base os dados da pesquisa “The Global State of Information Security Survey 2015”, organizada pela consultoria, em parceria com as empresas norte-americanas CIO e CSO.
De acordo com a pesquisa, o número de incidentes cibernéticos detectados subiu para 42,8 milhões este ano – um salto de 48 % em relação a 2013 (o equivalente a 117.339 novos ataques todos os dias). Este aumento impactou diretamente no custo: as perdas financeiras atribuídas a incidentes de segurança cibernética aumentaram 34% em relação ao ano passado.
Como a frequência e os custos de incidentes de segurança continuam a subir, o estudo da PwC constatou que o cenário se deve ao fato de que muitas organizações não atualizam os processos críticos e as tecnologias de segurança da informação, assim como não dão o real valor às necessidades de treinamento dos funcionários. O orçamento médio das empresas para a área de segurança da informação, em 2014, foi de $ 4,1 mi – uma retração de quase 4% em relação a 2013.
“Analisando a pesquisa, em alguns casos os programas de segurança da informação têm enfraquecido devido a investimentos insuficientes na área. Ao mesmo tempo, os custos financeiros de investigar e mitigar os incidentes crescem ano após ano”, avalia o sócio da PwC Brasil e especialista em TI, Edgar D’Andrea.
Pequenas empresas são mais vulneráveis – O estudo conclui, com base na pesquisa anual da consultoria, que as empresas maiores estão mais aptas a identificar os ataques cibernéticos – organizações com receita anual de $ 1 bilhão ou mais detectaram 44% mais incidentes em comparação ao ano passado.
Em empresas médias, com receita entre $ 100 milhões e $ 1 bilhão, houve um salto de 64 % no número de incidentes detectados. No entanto, é nas organizações menores que podem residir os maiores riscos. Empresas com faturamento de menos de $ 100 milhões contrariaram a tendência de aumento na identificação de ameaças cibernéticas e detectaram 5% menos incidentes este ano.
“Uma explicação pode ser a de que as pequenas empresas estão investindo menos em segurança da informação, o que pode deixá-las tanto incapazes de detectar ameaças, quanto mais vulneráveis a ataques cibernéticos”, afirma Edgar D’Andrea.
O estudo aponta que as pequenas empresas, muitas vezes, não se consideram alvo de hackers. Outra conclusão importante é a de que os adversários cibernéticos sofisticados têm adotado a estratégia de focar em empresas de pequeno e médio porte como um meio para ganhar acesso aos ecossistemas de negócios interconectados destas empresas com organizações de maiores dimensões.
“Esta realidade é perigosa e se agrava pelo fato de que grandes empresas, em muitos casos, fazem pouco esforço para monitorar a segurança dos seus parceiros, de fornecedores e das cadeias de abastecimento. Esses stakeholders acabam sendo atrativos para os hackers porque oferecem um rico tesouro de informações, incluindo documentos de estratégia comercial, de propriedade intelectual e uma ampla base de dados dos consumidores”, ressalta D’Andrea.
A pesquisa da PwC aponta que a América do Sul foi a única região a apresentar um declínio na detecção de ataques cibernéticos. O número de incidentes caiu 9% este ano. Em relação aos gastos médios das empresas com segurança da informação, houve queda de 24% na região. O orçamento médio na América do Sul fica em torno de $ 3,5 mi, menor do que na América do Norte ($ 4,6 mi) e na Ásia ($ 4,5 mi), à frente apenas da Europa ($ 3,1 mi).
Dentro de casa – Atuais e ex-funcionários das empresas têm sido os mais citados como culpados pelos cibercrimes, aponta o estudo da PwC – embora isso não signifique que todos os funcionários acusados exibem um comportamento malicioso. Em muitos casos, eles podem, sem intenção, comprometer dados por meio da perda de dispositivos móveis ou serem alvo de esquemas de phishing.
Os percentuais de incidentes atribuídos a prestadores de serviços atuais e antigos, e a consultores e empreiteiros aumentaram 18 % e 15 %, respectivamente, em 2014.
Vigilância – Com as revelações de Edward Snowden sobre esquemas de espionagem cibernética do governo norte-americano, um novo adversário se tornou ameaça para o ambiente: o serviço interno de inteligência do Estado. Empresas e sociedade se tornaram cada vez mais céticas em relação à vigilância governamental e também mais preocupadas com o potencial impacto sobre a privacidade de seus dados.
A repercussão do caso Snowden resultou na conscientização e em considerável preocupação entre os executivos de negócios, segundo revela o estudo da PwC. “Eles não só estão levantando questões sobre vigilância do governo, mas também em relação às telecomunicações e empresas de tecnologia que possam ter fornecido o acesso de seus dados à esfera governamental”, explica o especialista.
Em nível global, a pesquisa da PwC revelou que 59% dos executivos entrevistados afirmaram estar preocupados com algum tipo de vigilância cibernética dos governos. Essa preocupação é mais notável em executivos da China (93%), Índia (83%) e Brasil (77%).
“Riscos cibernéticos nunca serão completamente eliminados. Hoje, as organizações devem manter-se vigilantes e ágeis frente a um cenário de ameaças em constante evolução”, destaca D’Andrea.