Mais de 70% das empresas já sofreram ciberataques. Ransomware é a principal ameaça, mas não é a única
As organizações devem implementar estratégias abrangentes de resiliência cibernética para protegerem os seus negócios, numa abordagem preventiva, em vez de somente responderem a incidentes depois de esses ocorrerem.
O estudo “The State of Cyber Resilience”, divulgado esta quarta-feira e que resultou da colaboração entre a seguradora Marsh e a Microsoft, revela que 73% das empresas dizem já ter sido alvos de ataques informáticos. Ransomware é o principal método de ataque, vendando o acesso aos dados e a sistemas das empresas e procurando extorquir dinheiro em troca da recuperação desse acesso.
Mas essa não é o único à espreita no mundo dos bits e dos bytes. Esquemas de engenharia social e de phishing, quebras de privacidade e disrupções por ataques a fornecedores externos estão também na lista das maiores ameaças à segurança cibernéticas das empresas e outras organizações.
Aponta o estudo que o seguro é uma importante dimensão da construção de estratégias de gestão de riscos cibernéticos, com 61% das empresas a afirmarem já ter adquirido algum tipo de seguro com cobertura sobre ciber-incidentes. Por outro lado, somente 3% das empresas consideram que as suas estratégias de “ciber-higiene” como excelente. Essas estratégias permitem às empresas ganharem maior controlo sobre a sua própria segurança cibernética, e podem passar pelo aumento da proteção de caixas de email, pela monitorização de redes e a formação e sensibilização dos utilizadores em matéria de riscos cibernéticos e boas-práticas de segurança online.
Apesar de estarem cientes das ameaças online, apenas 26% a afirmarem fazer essa avaliação financeiras das ameaças. Salienta a análise que ao não fazerem uma adequada avaliação dos custos financeiros dos riscos cibernéticos, a organizações estão a prejudicar a sua capacidade para efetivamente comunicarem as ameaças, e a sua real dimensão, que a empresa poderá enfrentar.
O principal problema está em as empresas só investirem numa cibersegurança mais robusta depois de terem sido alvo de ataque, preferindo uma postura reativa, em detrimento da proatividade. Cerca de 64% das empresas diz que depois de terem sido atacadas aumentaram os seus gastos em segurança cibernética.
Outra fragilidade identificada pelo estudo está relacionada com as novas tecnologias. 54% das empresas reconhecem que não abrangem nas suas análises de risco as novas tecnologias depois que são implementadas.
Por fim, num mundo profundamente interconectado, as estratégias de cibersegurança das empresas não começam e acabam nessa empresa. É necessário também equacionar as ameaças presentes nas cadeias de abastecimento e que podem afetar os fornecedores externos. Contudo, apenas 43% das empresas diz conduzir análises de risco fora da sua esfera imediata, com os restantes 57% a negligenciarem potenciais ataques que podem ter origem nos seus fornecedores externos.
O estudo conclui que uma forte ciberresiliência devem englobar todas as camadas das empresas e todos os cargos, não devendo a responsabilidade ficar concentrada exclusivamente nos departamentos informáticos, devendo todos os trabalhadores ser agentes de cibersegurança. Contudo, o poder de tomada de decisão em matéria de segurança cibernética deve ser responsabilidade de um só líder, que possa tomar as decisões necessárias, em permanente atualização, para proteger a organização e envolver os restantes trabalhadores na proteção das empresas no mundo online.