A IDC e a Cisco deram a conhecer os principais resultados do primeiro estudo português dedicado a avaliar a segurança no seio das empresas, que inquiriu mais de 200 médias e grandes organizações de todos os setores: a maioria destas não sabem que estão a ser atacadas, gastando em torno de 12 por cento do seu orçamento de TIC em segurança, valor inferior à média europeia
O estudo, intitulado “Segurança de Informação nas Organizações Portuguesas 2016”, foi conduzido pela IDC Portugal de forma independente e apoiado pela Cisco, tendo procurado colmatar a ausência de dados relativos ao mercado português nesta matéria. Entre as principais conclusões, destaque para os fatores que os inquiridos (decisores relacionados com o IT e departamentos de segurança) identificam como os principais obstáculos à implementação de estratégias de segurança de informação nas empresas: orçamento insuficiente (62 por cento) e aumento da complexidade das ameaças (47 por cento). Aliás, as organizações nacionais gastaram em média 12 por cento do seu orçamento de TIC em segurança o ano passado, independentemente da sua dimensão, valor inferior à média europeia, que se situa entre os 15 e os 20 por cento. O défice de profissionais com competências nesta área é também um dos principais desafios para as empresas, contribuindo para que estas não tenham a capacidade de implementar uma estratégia e gestão da segurança. Nível baixo de maturidade Gabriel Coimbra, diretor-geral da IDC Portugal, salientou, aquando da apresentação do estudo aos jornalistas, que “grande parte das empresas não sabem que estão a ser atacadas” e que não quantificam o impacto da segurança nos negócios, o que denota a incipiente maturidade do mercado português. De acordo com o estudo, cerca de 59 por cento das empresas têm um plano de implementação de estratégia de segurança e apenas 21 por cento confirmam que têm um plano já implementado. No índice de maturidade da IDC, as empresas portuguesas estão situadas entre o segundo e o terceiro níveis, numa escala com cinco, em que o primeiro é o mais elementar e o último o mais completo.
Número de ataques mantém-se Os resultados indicam que o número de ataques a organizações nacionais se manteve idêntico ao número registado em anteriores anos – apenas 27 por cento dos inquiridos referem um aumento em 2015. Porém – e apesar da realidade – alguns setores de negócio, como o financeiro, as telecomunicações e a Administração Pública – identificaram um aumento significativo de ataques. Os dados revelam ainda que a maioria das organizações identificam os ataques virais, mensagens de spam, incidentes de phishing/pharming e com passwords como as principais ameaças em 2016.
Empresas sem prevenção Por outro lado, as empresas dão ainda primazia à segurança de perímetro, não adotando soluções mais avançadas de contenção e prevenção. Assim, a maioria das organizações já implementaram tecnologias de controlo contra ameaças externas à segurança da informação, como anti-spyware (70 por cento), anti-spam (77 por cento), antivírus (89 por cento), bem como firewalls (88 por cento). Apenas uma pequena percentagem das organizações inquiridas implementam tecnologias de cifra para proteger a informação corporativa, nomeadamente cifra de e-mail (23 por cento), cifra de armazenamento (27 por cento) ou cifra de equipamentos móveis (17 por cento). A gestão de equipamentos móveis, ferramentas de teste de intrusão, avaliação de vulnerabilidade, sistemas de autenticação biométrica e gestão de identidade federada ainda têm pouca expressão nas organizações nacionais. A mobilidade é, no entanto, a tendência com maior perceção de risco por parte das empresas, à frente das redes sociais, da cloud, da IoT e do Big Data.
Segurança é catalisador do negócio Os CISOs e os CIOs são os principais responsáveis pela segurança no seio das empresas portuguesas e, segundo Gabriel Coimbra, devem, juntamente com os gestores, “procurar formas de demonstrar um nível apropriado de preocupação que se deve refletir no programa de segurança”. O responsável salientou ainda que é importante avaliar a segurança numa “perspetiva transversal e não apenas tecnológica”, uma vez que esta é ainda entendida como um custo quando, na realidade, é “um acelerador de negócio” na era da transformação digital e da 3ª plataforma. A mesma opinião tem Eutimio Fernández, diretor de segurança da Cisco Portugal, que frisou que “o digital tem de ser seguro”, uma vez que "não é possível pensar em serviços sem segurança”. O responsável da Cisco realçou que as empresas portuguesas têm de “mudar a sua forma de pensar”, pois também em Portugal os ciberataques estão a tornar-se cada vez mais direcionados e sofisticados. "É por isso que as organizações portuguesas devem reconhecer que não é uma questão de quando, mas se vão sofrer um ciberataque e agir sobre isto da única forma possível: preparando uma estratégia que ajude antes, durante e depois de um ataque”. |