por Renan Torres
Recentemente, foi divulgado o primeiro estudo brasileiro sobre o nível de maturidade da cibersegurança das companhias de capital aberto com ações listadas na B3. O levantamento ‘’Pesquisa Setorial em Cibersegurança’’ foi realizado pela Associação Brasileira das Companhias Abertas (Abrasca) e pelo The Security Design Lab, uma das principais redes globais de pesquisa e desenvolvimento de cibersegurança com operações na América do Sul e Europa.
Os dados, que reúnem as respostas das principais empresas do país, apontam que uma parte significativa desses negócios está distante das melhores práticas de segurança dos dados digitais indicadas pelas principais agências do setor.
O levantamento utilizou a metodologia Cyber Score e mediu as respostas das empresas pertencentes aos seguintes setores: agronegócio, educação, energia, engenharia, financeiro, indústria, óleo & gás, saúde, serviços, tecnologia, telecomunicações e varejo. A nota média ficou em 4,9 numa escala de 0 a 10, o que indica um grau de maturidade mediano.
Segurança mediana, recursos para invasões em alta
De acordo com o relatório, 93% das empresas já possuem algum mecanismo para detectar os ataques cibernéticos. Outros 65% também se dizem capazes de identificar possíveis ações e agir de forma rápida para assegurar a continuidade dos negócios.
Entretanto, 42% dos participantes não possuem um protocolo de respostas a incidentes de cibersegurança. Outro dado preocupante é que 65% das empresas não orientam as equipes para enfrentar e responder a incidentes de invasão.
Ainda de acordo com a pesquisa, um dos maiores riscos para a cibersegurança das empresas são as invasões feitas por meio da cadeia de suprimentos de software. Isso porque esse tipo de abordagem tem sido um alvo preferencial para os criminosos.
Em paralelo ao alto risco, também existe o alto despreparo das companhias, já que 52% delas não implementaram a gestão de riscos para esses tipos de cadeia. Ou seja, mais da metade das empresas estão suscetíveis a esses ataques.
Esse tipo de abordagem dos criminosos digitais tende a ser silenciosa e muito cara. Isso porque as invasões, por meio dessas cadeias, garantem um alto alcance devido a uma única brecha. Esse foi o caso de ataques de grande perfil, tais como SUNBURST, Kaseya e Log4j.
A grande preocupação é que uma simples atualização de software pode ser o suficiente para oferecer a oportunidade necessária para esses invasores e, a partir disso, é possível alterar o código do programa e propagar o vírus à medida que mais empresas baixam o software e suas atualizações.
Para se ter uma ideia da gravidade do cenário, de acordo com a Gartner, até 2025, 45% das organizações do mundo todo devem sofrer ataques às suas cadeias de suprimentos de software.