• CYBERSEGURANÇA

Em sua segunda edição, pesquisa de Cibersegurança do país indica leve aumento no nível de segurança das companhias

Por
Redação
-
0

Foi divulgada nesta sexta-feira (29), em evento na sede da B3 em São Paulo, a segunda edição do estudo do Brasil para avaliar a maturidade das companhias em cibersegurança, revelando que uma parte das empresas do país está distante das recomendações e melhores práticas indicadas pelas principais agências mundiais de cibersegurança.

A Pesquisa Setorial em Cibersegurança é desenvolvida anualmente pelo Markets, Innovation & Technology Institute (MiTi) e pelo Security Design Lab (SDL), utilizando a metodologia Cyber Score, que mediu as respostas das 181 empresas participantes dos seguintes setores: Telecomunicações, Saúde, Serviços, Mídia, Tecnologia Varejo, Educação, Entretenimento, Utilities, Industrial, Financeiro, Governo, Logística, Hospitalidade entre outros. A nota média ficou em 53%, superior aos 49% do ano passado, o que indica um grau de maturidade mediano.

Com o objetivo de ampliar a discussão do tema na sociedade, a pesquisa deste ano foi apoiada por diversas instituições como a Associação Brasileira das Companhias Abertas (Abrasca), Associação Brasileira dos CIOs de Saúde (ABCIS), Instituto brasileiro de Governança Corporativa (IBGC), ANATEL, ANEEL, Conexis, Abrint, Abramulti, Conselho & Conselheiros, ABIMDE, TelComp, Instituto Eldorado, FIPECAFI, ASSESPRO e B3. E patrocinada pelas seguintes empresas: Verta, Urbano Vitalino advogados, Elytron, Castle, Alvarez & Marsal, securityfirst, Bidweb e Howden.

A metodologia que conta com questionário de 103 perguntas segmentadas em 14 capítulos e foi aplicada por meio da plataforma Verta entre os meses de junho e outubro deste ano.

A partir dos dados colhidos, o MiTi e o SDL visam fomentar junto aos apoiadores institucionais e suas companhias o apoio as áreas técnicas e de compliance das empresas para disseminar a relevância do assunto entre os C-levels, conselhos de administração e acionistas. "A importância do tema no mercado de capitais e em toda a sociedade é crescente e sem volta. Deixou de ser um problema da TI e se transformou em um problema para todas as companhias, abertas ou não. O mundo está se movimentando no sentido de regulações mais adequadas à nova realidade e de melhores práticas, daí a importância de termos dados atualizados para entender onde estamos e, com isso, apoiar a discussão e conscientização", afirma o Prof Dr Edgard Cornacchione, presidente do MITI e professor da FEA-USP.

Melhores avaliações

As empresas que alcançaram os maiores índices de compliance em cibersegurança são dos setores da Indústria, Serviços e Financeiro. Segundo os aplicadores da pesquisa, não existe nota de corte quando a segurança da informação é analisada, pois cada empresa e setor possuem particularidades. Contudo, uma avaliação acima de 60% já é considerada boa.

"A nota de 53% na média geral demonstra muito espaço para melhorias, um cenário dentro do que apontam pesquisas globais. Estar em conformidade com as recomendações e melhores práticas em cibersegurança ajuda as companhias a estabelecerem medidas de proteção, reduzindo a sua área de exposição contra potenciais ataques", pontua Nycholas Szucko, Especialista em Cibersegurança e Conselheiro, e um dos coordenadores da pesquisa junto ao MITI.

Principais Destaques da Pesquisa:

  1. Impacto Econômico de Riscos Cibernéticos
  • Risco e impacto financeiro médio estimado em ataques cibernéticos:
  • Média de US$ 36 milhões por ataque, US$ 6,6 bilhões em potencial impacto financeiro.
  • Dificuldade em gerenciar crises:
  • 38% das empresas não possuem um Plano de Resposta a Incidentes (IRP).
  • 46% não têm Plano de Recuperação de Desastres (DRP).
  1. Governança Corporativa e Cibersegurança
  • Participação de especialistas em cibersegurança nos conselhos:
  • 28% dos conselhos não possuem membros com alguma expertise em segurança digital. (Apenas 34,25% possuem membros com qualificação documentada).
  • 49% dos conselhos não supervisionam riscos cibernéticos.
  • Relação com investidores:
  • Apesar de 68% dos investidores entenderem o impacto financeiro dos riscos cibernéticos, muitas empresas ainda falham em traduzir isso em ações práticas, como aumento de orçamento e treinamento.
  • 51,38% das companhias não possuem um relatório para investidores preparado para incluir incidentes de cibersegurança.
  • 44,20% das companhias não são capazes de relatar se os riscos de cibersegurança e incidentes anteriores afetaram ou podem afetar o resultado de suas operações.
  1. Lacunas Tecnológicas em Empresas Brasileiras
  • Autenticação e Acesso:
  • 53% ainda dependem de login e senha, práticas ultrapassadas e vulneráveis.
  • Menos de 30% utilizam Gerenciamento de Acesso Privilegiado (PAM).

 

  • Criptografia de dados:
  • Apenas 32% criptografam dados sensíveis em repouso, expondo informações críticas.
  • 82% não utilizam HSM (Módulo de Segurança de Hardware), uma prática comum em mercados maduros.
  • Inventário e monitoramento:
  • Apenas 48% possuem um inventário completo de ativos de TI.
  • 40% não conseguem determinar o impacto material de um ataque cibernético.
  1. Comparação com Mercados Maduros
  • Baixa maturidade brasileira frente a mercados internacionais:
  • 53% das companhias autenticam em sistemas críticos com login e senha, enquanto em mercados maduros, o uso de metodologias superiores passa de 80% de adoção.
  1. Setores Mais Afetados
  • Financeiro (69%) e tecnologia (54%): Maiores riscos e maior impacto financeiro estimado.
  • Saúde (47%) e industrial (60%): Infraestruturas críticas com baixas taxas de proteção e governança.
  • Governo (38%): Apenas 43% das organizações possuem autenticação baseada em risco, indicando fragilidades em proteger dados públicos.
  1. Atrasos em Investimento e Treinamento
  • 25% das empresas não possuem orçamento dedicado à cibersegurança.
  • 60% não investem em treinamento e capacitação.

 Principais resultados gerais da Pesquisa Setorial de Cibersegurança 2024

  • 38% não possuem um plano de resposta a incidentes;
  • 45% das companhias não possuem um programa regular de treinamento em segurança da informação;
  • 53% não estão preparadas para identificar e agir de modo eficaz em resposta a incidentes (ou numa crise cibernética), de forma a garantir a continuidade dos negócios;
  • 40% das companhias não possuem um CISO ou posição similar (executivo responsável pela segurança da informação);
  • 33% das companhias não possuem um DPO ou posição similar (Data Protection Officer);
  • 49% das companhias não possuem um comitê de risco com um profissional de segurança da informação e 42% não possuem nem o comitê;
  • 49% não possuem análise de impacto de negócio;
  • 38% não possuem um plano de continuidade de negócio;
  • 45% não possuem um Plano de Recuperação de Desastres (DR);
  • 67% não possuem procedimentos para analisar fornecedores estratégicos, visando antecipar riscos potenciais;
  • 53% das empresas autenticam em sistemas críticos usando login e senha;
  • 24% das empresas não possuem orçamento para cibersegurança;
  • 27% das empresas não possuem programa de pentest.

A Cadeia de Fornecedores tem sido um alvo crescente de ataques cibernéticos. Alguns ataques impactam diretamente a cadeia de suprimentos, como o ocorrido na Solar Winds, afetando mais de 18 mil empresas. "A pesquisa nos mostra um dado preocupante, 67% das companhias não implementam gestão de riscos para cadeia de fornecedores como um todo. Temos de lembrar que uma companhia pode ter a sua operação afetada, sem ter sido alvo direto de um ataque.", alerta o especialista Nycholas Szulco.

"Este tema tão relevante que afeta não só o valor de mercado das companhias, mas também coloca em questão a continuidade dos negócios e está se refletindo no custo de capital. Já vemos um encarecimento de operações de crédito por conta deste tema no mundo, assim como a revisão de notas de agências de rating levando em conta a análise de cibersegurança", diz Rafael Sasso, um dos fundadores da startup Liquid AI e professor da Iéseg School of Management, de Paris.

Metodologia da pesquisa

A metodologia Cyber Score que rodou a pesquisa no sistema da Verta (app.verta.digital), baseia-se nas principais regulações e melhores práticas de segurança globais. As respostas foram classificadas entre A, B, C, D ou E, conforme a imagem abaixo:

Cada companhia recebeu o seu relatório individual, confidencial e privado, seguindo as exigências da LGPD. As informações foram usadas de forma anonimizada para os resultados da pesquisa. O acesso e o armazenamento dos dados coletados seguem todas as normas de segurança e são controlados e auditados, com uso das mais modernas tecnologias de segurança como passwordless, zero trust e criptografia, garantindo inviolabilidade.

Acesso ao conteúdo na íntegra da Pesquisa Setorial de Cibersegurança 2024: https://verta.digital/pesquisa-ciberseguranca-2024/

ARTIGOS RELACIONADOSMais do autor

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.