Nos primeiros cinco meses de 2023, a atividade de ataques cibernéticos de ransomware globalmente cresceu 48% em relação ao mesmo período no ano passado. Dentre todas as violações, cerca de 83% envolvem fatores externos, enquanto 74% envolvem um elemento humano, segundo dados da Verizon de 2023. Apesar da relevância da cibersegurança em um mundo cada vez mais digitalizado e com novas tecnologias emergentes, as companhias de capital aberto ainda não estão acompanhando o ritmo dessa evolução.
A conclusão é da “Pesquisa Setorial em Cibersegurança”, desenvolvida pela Associação Brasileira das Companhias Abertas (Abrasca) e pelo The Security Lab (SDL), rede global de pesquisa e desenvolvimento de cibersegurança. O estudo utilizou a metodologia Cyber Score, que analisou respostas de 109 empresas de capital aberto de diferentes setores do mercado brasileiro, e apontou que em uma escala de 0 a 10, as companhias abertas se classificaram com uma média de 4,9 de maturidade em cibersegurança.
Leia mais: IA generativa: o outro lado ao qual não estamos atentos
“A nota de 5 sobre 10 obtida na média geral demonstra muito espaço para melhorias, mas trata-se de um cenário não destoante do que apontam pesquisas globais. Estar em conformidade com as recomendações e melhores práticas em cibersegurança ajuda as companhias a estabelecer medidas de proteção, reduzindo a sua área de exposição contra potenciais ataques”, pontua Alexandre Vasconcelos, diretor para a América Latina do Security Design Lab.
A pesquisa aponta que as empresas que alcançaram os melhores índices de compliance em cibersegurança são dos setores de Indústria e Manufatura, Telecomunicações, Óleo e Gás, e o setor Financeiro.
Além do risco de exposição de informações de clientes, fornecedores, colaboradores, ou mesmo de dados sensíveis para a operação do negócio, levantamento da multinacional Howden aponta que crimes cibernéticos causam grandes impactos financeiros à economia mundial. Os custos devem saltar de US$ 3 trilhões ao ano em 2015 para US$ 10,5 trilhões em 2025. Além disso, incidentes de ransomware – como é chamado o sequestro de dados com cobrança de resgate – já foram pagos em reinvindicações o equivalente a R$ 247 milhões nos últimos três anos.
“Estamos discutindo um tema que afeta não só o valor de mercado da companhia, mas também coloca em questão a continuidade dos negócios. E mais ainda, está se refletindo no custo de capital das companhias. Já vemos um encarecimento de operações de crédito por conta deste tema, assim como a revisão de notas de agências de rating levando em conta a análise de cibersegurança”, diz Rafael Sasso, coordenador da CINC – Comissão de Inovação Coorporativa da Abrasca.
Ameaças à cibersegurança
A pesquisa explora alguns dos possíveis incidentes de cibersegurança que podem impactar empresas e seus times, além do ransomware. É o caso, por exemplo, do malware, um software malicioso que é instalado no dispositivo do usuário sem o seu consentimento, e que pode efetuar ações indesejadas. Segundo a pesquisa, 63% das empresas entrevistas presumem que não podem confiar nos dispositivos de clientes, que suas redes não são seguras ou que podem estar infectadas por malware ao planejarem políticas de acesso remoto.
Há também o phishing, uma forma de engenharia social no qual o usuário recebe uma comunicação fraudulenta que se passa por uma fonte confiável. Assim, é induzido a compartilhar dados pessoais como nome, número de identidade e do cartão de crédito. Segundo pesquisa da Verizon de 2023, as três principais formas pelas quais invasores acessam uma organização são: credenciais roubadas, phishing, e exploração de vulnerabilidades.
Por mais que essas ameaças estejam batendo à porta, as medidas de segurança ainda não são suficientes. Entre as empresas de capital aberto entrevistadas, 93% possuem algum mecanismo para detectar ataques cibernéticos, e 65% afirmam ser capazes de identificar a agir diante de incidentes para garantir a segurança dos negócios. No entanto, 42% das companhias entrevistadas não possuem um plano de resposta a incidentes de cibersegurança. Além disso, 65% não oferecem orientações à equipe para lidar com incidentes, e 73% não possuem mecanismos de controle de acesso para sistema Tecnologia Operacional (OT) e Sistema de Controle Industrial (ICS).
Dentre as respondentes, 42% não possuem um executivo responsável pela segurança da informação nas organizações (CISO). Segundo levantamento da revista Forbes com 200 empresas americanas, apenas 30% delas possuem um profissional responsável pela posição de CISO.
Consequências para os negócios
Não é à toa, portanto, que a cibersegurança deve ser uma preocupação não só das organizações, mas também dos investidores e acionistas das companhias. Segundo o “PwC 2018 Global Investor Survey”, 41% dos investidores e analistas entrevistados em 96 países estão extremamente preocupados com ameaças cibernéticas, vendo-as como a maior ameaça aos negócios. Na pesquisa de 2017, ocupava a quinta posição da lista. Além disso, 64% dos investidores e 47% dos CEOs entrevistados acreditam que negócios devem priorizar investimentos em proteção de cibersegurança para melhorar a confiança dos consumidores com a empresa.
Já outra pesquisa, a “O Real Custo do Compliance Contra Crimes Financeiros“, da LexisNexis Risk Solutions, que analisou como instituições financeiras lidam com a evolução dos requisitos de compliance contra crimes financeiros, aponta que essas empresas arcam com um custo total de US$ 206,1 bilhões em compliance. Isso representa 12% das despesas globais em pesquisa e desenvolvimento (P&D).
Além disso, CEOs e lideranças das instituições financeiras estão encontrando novas maneiras de reagir às ameaças e crescentes necessidades de segurança a ataques cibernéticos. Dentre as organizações entrevistadas, 85% tem como prioridade a melhoria da experiência do consumidor. Na sequência, estão o fortalecimento da governança (83%) e o cumprimento de requisitos regulatórios (82%).
+ NOTÍCIAS
SXSW 2023: Conheça a receita do fundador do Waze para criar unicórnios de sucesso
Atento reforça segurança digital com uma equipe de “hackers do bem”
