Será a cibersegurança mais do que mera proteção?

O nosso Global Information Security Survey de 2018-19 prevê um aumento nos gastos com cibersegurança, mas as organizações precisam de tomar ainda mais ações.

Depois de um ano em que as organizações têm vindo a ser alvo de um conjunto de violações de cibersegurança em grande escala e com intervenções patrocinadas por Governos, este ano o EY Global Information Security Survey (GISS) mostra que a cibersegurança continua a ser um dos tópicos mais discutidos nos conselhos de administração. As organizações estão a gastar mais em cibersegurança, aumentando os recursos dedicados para melhorar as suas defesas e a trabalhar mais para incorporar o security by design nos projetos.

Não é fácil ... consegue reconhecer?

Fraudes por email

6.4b

Número de e-mails falsos enviados no mundo inteiro – todos os dias [1]

Violações de dados

1.9b

Registos de dados pessoais e sensíveis comprometidos entre janeiro de 2017 e março de 2018 [2]

Software desatualizado

50%

Percentagem de autoridades locais inglesas que utilizam softwares de servidor já não suportados [3]

Erro humano

1,464

Número de colaboradores do governo que usam “Password123” como senha em apenas um dos estados dos EUA [4]

Digital astroturfing

2m

Identidades roubadas e utilizadas para fazer comentários falsos durante uma investigação dos EUA sobre neutralidade da rede [5]

Engenharia social

550m

E-mails de phishing enviados por uma única campanha durante o primeiro trimestre de 2018 [6]

Impacto de alto custo

US$3.62m

Custo médio de uma violação de dados no ano passado [7]

O desafio é que as organizações melhorem nas três frentes.

No entanto, os resultados do inquérito também sugerem que as organizações precisam de trabalhar mais. Mais de três quartos (87%) das organizações ainda não têm orçamento suficiente para atingir os níveis de cibersegurança e resiliência que desejam. As proteções são irregulares e relativamente poucas organizações estão a investir em recursos avançados, ficando assim a cibersegurança muitas vezes contida em silos ou isolada.

1. Proteger a empresa

A nossa análise sugere que um número significativo de organizações (77%) ainda opera de forma limitada na cibersegurança e resiliência. Estas podem até não ter uma imagem clara de quais e onde se encontram as suas informações e ativos mais críticos – nem terem salvaguardas adequadas para protegê-los.

Falta de prontidão para os temas da cibersegurança

77%

Das organizações ainda operam de forma limitada nos temas da cibersegurança e resiliência

É por isso que é importante para a maioria das organizações continuar a concentrar-se nos princípios básicos da cibersegurança. Primeiro devem:

  • Identificar os principais dados e propriedade intelectual (as “jóias da coroa”)
  • Rever os recursos de cibersegurança, os processos de gestão de acesso e outras formas de defesa
  • Atualizar o escudo que protege a empresa.

2. Otimize a cibersegurança

O GISS deste ano conclui que 77% das organizações procuram ir além da implementação das proteções básicas de cibersegurança para maximizar as suas capacidades. Estas organizações continuam a trabalhar nos aspetos essenciais de cibersegurança, mas também estão a repensar a estrutura e arquitetura de cibersegurança para dar suporte ao negócio da maneira mais eficaz e eficiente. Parte desse esforço é considerar e implementar inteligência artificial, automação de processos robotizada, análise de dados e muito mais, para aumentar a segurança dos seus principais ativos e dados.

Atualmente, existe amplo espaço para melhorar. Menos de 1 em 10 organizações afirma que as suas funções de segurança de informação atendem plenamente às suas necessidades — e muitas estão preocupadas com o facto de projetos essenciais ainda não estarem em andamento na organização. Empresas mais pequenas têm uma maior probabilidade de ficar para trás. Embora 78% das maiores organizações digam que a sua função de segurança de informação atende pelo menos parcialmente às suas necessidades, esse valor cai para apenas 65% entre as de menor dimensão.

Os cibercriminosos estão a melhorar os seus níveis de conhecimento, e o preço do fracasso é alto. Num ataque recente, um banco indiano perdeu cerca de 944 milhões de rúpias (US $ 13,5 milhões) depois de os hackers terem instalado malware num servidor de ATM, esta ação permitiu-lhes fazer levantamentos fraudulentos de caixas automáticas.8

3. Sustentar o crescimento

As organizações estão agora convencidas de que tratar dos ciber-riscos e apostar desde o início em cibersegurança é fundamental para o sucesso na era digital. O foco agora também deve estar em como é que a cibersegurança vai apoiar e permitir o crescimento da empresa. O objetivo? Integrar e incorporar a segurança nos processos de negócios desde o início e criar um ambiente de trabalho mais seguro para todos. A segurança do projeto deve ser um dos princípio-chave, à medida que as tecnologias emergentes se destacam.

As organizações estão numa jornada da transformação digital. A natureza de cada transformação varia de acordo com a organização, mas todas incluem um ou mais dos seguintes componentes:


  • Vendas/apoio on-line aos clientes
  • Integrações da cadeia de abastecimento
  • Robotic Process Automation (RPA)
  • Inteligência Artificial
  • Blockchain
  • Analytics
  • Disrupção do modelo de negócio

  • Inovação no posto de trabalho

  • Para atingir estes objetivos, as organizações precisam de uma estratégia inovadora de cibersegurança, em vez de responderem de forma fragmentada e reativa. A experiência do cliente deve ser tida em grande consideração.

    Estes três imperativos devem ser seguidos simultaneamente e nós exploramos estes tópicos em maior detalhe no EY Global Information Security Survey (pdf). A frequência e a escala das violações de segurança em todo o mundo mostram que poucas organizações implementaram os controlos de segurança mais básicos.

    No entanto, mesmo que procurem recuperar o atraso, as organizações também precisam de avançar, ajustando as defesas existentes, otimizando a segurança e apoiando o seu crescimento. Como a agenda da transformação digital obriga as organizações a abraçarem as tecnologias emergentes e novos modelos de negócios – muitas vezes a um ritmo elevado – as necessidades de cibersegurança têm de ser vistas como um fator-chave no desenvolvimento.

    • Metodologia de pesquisa

      A 21ª edição anual do EY Global Information Security Survey recolheu as respostas de mais de 1.400 líderes de executivos de topo e de gestores de segurança da informação e TI, representando muitas das maiores organizações globais. Este estudo foi realizado no período entre abril e julho de 2018.

      “Organizações maiores” são definidas neste relatório como organizações com uma receita anual de US$1b ou mais. Este grupo representa um terço do total de entrevistados nesta pesquisa. “Organizações mais pequenas” são definidas neste relatório como organizações com uma receita anual abaixo dos US$1b. Este grupo representa dois terços do total de entrevistados nesta pesquisa.

    • Mostrar referências do artigo#Ocultar referências do artigo

      1. Dark Reading, 27 de agosto de 2018. [https://www.darkreading.com/endpoint/64-billion-fake-emails-sent-each-day/d/d-id/1332677]
      2. Chronology of Data Breaches, março de 2018. [https://www.privacyrights.org/data-breaches]
      3. Computing, 23 de agosto de 2018. [https://www.computing.co.uk/ctg/news/3061558/fifty-per-cent-of-councils-in-england-rely-on-unsupported-server-software]
      4. The Washington Post, 22 de agosto de 2018 [https://www.washingtonpost.com/technology/2018/08/22/western-australian-government-officials-used-password-their-password-cool-cool/]
      5. Naked Security, 24 de maio de 2018. [https://nakedsecurity.sophos.com/2018/05/24/2-million-stolen-identities-used-to-make-fake-net-neutrality-comments/]
      6. Dark Reading, 26 de abril de 2018. [https://www.darkreading.com/vulnerabilities---threats/new-phishing-attack-targets-550m-email-users-worldwide/d/d-id/1331654]
      7. Ponemon Institute, julho de 2017. [https://www.ponemon.org/blog/2017-cost-of-data-breach-study-united-states]
      8. Info Security, 16 de agosto de 2018. [https://www.infosecurity-magazine.com/news/indian-bank-loses-135m-in-global/]

    Resumo

    A pesquisa revela que a cibersegurança continua a crescer nas agendas dos Conselhos de Administração. 7 em cada 10 organizações declararam que as suas equipas de gestão executiva têm agora um entendimento mais abrangente no que diz respeito à cibersegurança. As organizações estão também a despender mais em cibersegurança, dedicando cada vez mais recursos para melhorar as suas defesas e a trabalhar mais para incorporar segurança nos projetos.

    No entanto, os resultados também levam a crer que as organizações precisam de fazer mais. 87% das organizações dizem que ainda não têm orçamento suficiente para atingir os níveis de cibersegurança e resiliência que desejavam. As proteções são irregulares e relativamente poucas organizações estão a investir em recursos avançados, ficando assim a cibersegurança muitas vezes contida em silos ou isolada. 

    Sobre este artigo

    Tópicos relacionados Cibersegurança Digital Advisory