Erro humano é o grande vilão de ataques cibernéticos nas empresas
Redação, Infra News Telecom
A Proofpoint, empresa de cibersegurança e compliance, e a Cybersecurity at MIT Sloan, um consórcio de pesquisa interdisciplinar, lançaram o relatório “Cibersegurança: The 2022 Board Perspective”, que investigou a percepção de 600 membros de conselhos globais em doze países, incluindo o Brasil, sobre os desafios e riscos da segurança da informação nas organizações. Embora a segurança digital esteja na pauta da alta liderança das empresas brasileiras, com 84% dos executivos relatando ser uma das suas principais prioridades, eles parecem estar mais confiantes do que seus pares globais ao avaliar os riscos que suas empresas sofrem diante de ataques cada vez mais sofisticados.
No Brasil 92% dos executivos sentem que seus colaboradores sabem como se proteger contra ataques virtuais. Apesar do alto número, apenas 57% reportaram fazerem regularmente reuniões com os CISO – Chief Information Security Office – o país com o menor ranking entre os doze países pesquisados.
“Os membros de conselhos brasileiros aparentam ser mais positivos quando o assunto é segurança digital”, diz Rogério Morais, vice-presidente da Proofpoint para América Latina e Caribe. “Mas esse otimismo pode ser equivocado. Por um lado, eles estão mais confiantes que os seus pares globais de que entendem o cenário de ameaças, priorizam a segurança e investem adequadamente para manterem suas empresas seguras. No entanto, mais da metade admite que suas companhias correm o risco de sofrer um ataque no próximo ano”, complementa.
De acordo com a pesquisa, no Brasil quase 90% dos membros do conselho afirmaram que a segurança digital é discutida mensalmente nas empresas. Mais de 80% acreditam que seus conselhos entendem os riscos sistêmicos que as organizações sofrem e 92% asseguram que fizeram os investimentos necessários para proteger suas empresas. No entanto, 72% deles veem o erro humano como sua maior vulnerabilidade cibernética, apesar do Fórum Econômico Mundial afirmar categoricamente que esse risco leva a 95% de todos os incidentes de segurança cibernética nas organizações.
O relatório destaca ainda as tendências globais, juntamente com as diferenças regionais e setoriais entre os líderes organizacionais. As principais descobertas no Brasil incluem:
- Os conselhos estão se aquecendo para a supervisão regulatória: 92% dos entrevistados brasileiros concordam que as organizações devem ser obrigadas a relatar um ataque cibernético aos órgãos reguladores dentro de um prazo razoável (o mais alto entre todos os países pesquisados), enquanto nenhum membro do conselho pesquisado discordou.
- Os membros do conselho no Brasil estão menos preocupados do que executivos globais ao avaliar o risco dos ataques sofisticados de hoje: 58% dos membros acreditam que sua organização está sob risco de sofrer um ataque cibernético nos próximos 12 meses, em comparação com 65% seus pares globais.
- A relação entre conselhos e CISOs tem espaço para melhorias: apenas 57% dos membros no Brasil relatam ter reuniões diretas com seu CISO, o menor entre todos os países pesquisados.
- Os membros do conselho brasileiro têm preocupações diferentes dos seus pares globais em relação às ameaças que enfrentam: os líderes locais classificaram a fraude de e-mail/compromisso de e-mail comercial (BEC) e a ameaça interna como sua principal preocupação (40%), seguida por malware (36%). Embora a fraude de e-mail/BEC também tenha sido a principal preocupação dos membros do conselho globais, eles também veem o comprometimento da conta na nuvem e o ransomware como as principais ameaças.
- Conscientização e financiamento não são o mesmo que preparação: embora 88% dos entrevistados brasileiros sintam que seu conselho entende o risco sistêmico de sua organização, 92% acham que investiram adequadamente em segurança cibernética, 86% acreditam que seus dados estão protegidos e 88% discutam pelo menos mensalmente o tema de segurança cibernética, esses esforços parecem insuficientes — 52% ainda avaliam que suas organizações estão despreparadas para lidar com um ataque cibernético nos próximos 12 meses.
- A alta conscientização dos funcionários não protege contra o erro humano: embora 92% dos entrevistados acreditem que seus funcionários entendem seu papel na proteção da organização contra ameaças (o mais alto entre todos os países pesquisados), 72% dos conselheiros brasileiros acreditam que o erro humano é sua maior vulnerabilidade cibernética.
O relatório analisou respostas de 600 membros de conselhos em empresas com 5 mil ou mais funcionários de diferentes indústrias dos EUA, Canadá, Reino Unido, França, Alemanha, Itália, Espanha, Austrália, Singapura, Japão, Brasil e México.
