O estudo – conduzido pela IDC Portugal – teve como principal objetivo identificar a perceção das organizações nacionais no que toca à evolução dos riscos de segurança de informação nos próximos 12 meses. O inquérito intitulado “Segurança de Informação nas Organizações Portuguesas 2016” revela que Orçamento Insuficiente (62%) e Aumento da Complexidade das Ameaças (47%) são os principais obstáculos em termos de implementação de segurança de informação nas empresas.
Sobre o Estudo “Segurança de Informação nas Organizações Portuguesas 2016”
Com o objetivo de analisar as principais tendências e preocupações de segurança que os CISO enfrentam no dinâmico ambiente de TI que se vive hoje, o estudo “Segurança de Informação nas Organizações Portuguesas 2016” foi desenvolvido pela IDC em parceria com a Cisco.
Foram recolhidas informações acerca da estratégia de segurança da informação de 201 empresas portuguesas de diversos setores de negócio e volumes de negócios, o estudo engloba cinco áreas distintas: informação sobre o tipo e origem dos ataques; atitude das empresas face aos ataques; investimento em segurança; medidas de segurança corporativa; e fornecedores de segurança.
O estudo sublinha também a importância de avaliar as capacidades de segurança e o estádio da maturidade da infraestrutura de segurança da empresa e importância de identificar as áreas que necessitam de melhorias.
Principais Resultados
- Número de Ataques Mantêm-se. Os resultados indicam que o número de ataques a organizações nacionais se manteve idêntico ao número registado em anteriores anos – apenas 27% dos inquiridos refere um aumento dos ataques no ano passado. Porém – e apesar da realidade – alguns setores de negócio como o financeiro, as telecomunicações e a Administração Pública – identificaram um aumento significativo de ataques.
- Quais Serão os Principais Riscos de Segurança em 2016? Os dados recolhidos revelam que a maioria das organizações internacionais identificam os ataques virais, mensagens de spam, incidentes de phishing/pharming e com passwords como as principais ameaças em 2016.
- Empresas estão Conscientes da Importância da Segurança. Agora mais do que nunca, os decisores de TI devem ter em conta as tendências da indústria de segurança e as táticas criminais, unindo esses fatores à tolerância dos riscos organizacionais, maturidade do programa de segurança e, mais importante, estratégia de negócio. De acordo com este estudo, o número de ataques aumentou em setores críticos e as organizações de todos os setores não estão preparadas para lidar com os ciberataques. Cerca de 59% das empresas que participaram indicaram que têm um plano de implementação de estratégia de segurança e apenas 21% confirmam que têm um plano já implementado.
- Cloud e Mobilidade São Preocupação. As tecnologias móveis, as redes sociais e os serviços de Cloud Computing surgem na lista de ecossistemas tecnológicos que estão mais expostos a riscos externos, mas abrir as redes aos colaboradores e seus dispositivos obriga os gestores a repensar o sistema de políticas de acesso e a definição dos perfis adequados. Os equipamentos móveis são apontados pelas organizações como a área com maiores mudanças em termos de ameaças no último ano, seguida pelas redes sociais e serviços Cloud. Ainda que isto seja comum, a evolução tecnológica aponta para o crescimento da Internet of Things (IoT), já que a maioria dos dispositivos e sensores que apoiam a nova era tecnológica vão impactar inevitavelmente as estratégias de segurança.
- Empresas Não Previnem. No que toca aos mecanismos de defesa, as organizações continuam a dar prioridade à ideia de “proteção e defesa” do perímetro, por oposição à adoção de soluções de “contenção e prevenção”. Assim, a maioria das organizações já implementaram tecnologias de controlo contra ameaças externas à segurança da informação, como anti-spyware (70%), anti-spam (77%), antivírus (89%), bem como firewalls (88%). Apenas uma pequena percentagem das organizações inquiridas implementa tecnologias de cifra para proteger a informação corporativa, nomeadamente cifra de e-mail (23%), cifra de armazenamento (27%) ou cifra de equipamentos móveis (17%). A solução tecnológica para a gestão de equipamentos móveis, ferramentas de teste de intrusão, avaliação de vulnerabilidade, sistemas de autenticação biométrica e gestão de identidade federada ainda têm pouca expressão nas organizações nacionais.
É necessária muita formação, visão, intuição… enfim, verdadeira capacidade para tal.
Quanto a equipamento… não parece existir equipamento e programas que não traga ele mesmo vulnerabilidades, muitas vezes propositadas para que sabe-se lá quem consiga interceptar e aceder aos dados todos.
Logo é normal que por um lado uns não queiram saber, e outros não consigam arranjar uma solução totalmente satisfatória.
E ter pessoas realmente competentes é praticamente impossível de destingir de completos incompetentes (que até podem saber falar em IDSs e em tabelas em firewalls), nestas áreas da informática a não ser que o próprio perceba a sério do assunto… de resto tem de se fiar que só pelo facto de a coisa funcionar é porque até deve perceber…. o que não invalida que possam andar a furtar tudo das suas redes e a colocar coisas malignas na mesma.
Mas é preciso ver que as empresas não querem muitas vezes sequer gastar dinheiro! Se sobrar mais dinheiro, podem encher o tanque de combustível do BMW, Mercedez, etc. mais duas ou três vezes nesse mês, e é só isso que interessa. Algumas pensam que basta pagar a terceiros para fazer a assistência técnica… mas que na maior parte das vezes fazem um péssimo trabalho, porque não querem saber, ou são pressionados para fazer o mínimo possível para dar assistência a muitos!