Maioria das empresas possui mecanismos para detectar ataques cibernéticos, porém, 42% não têm plano de resposta a incidentes de cibersegurança
Especialista do Centro de Segurança Cibernética do Inatel – CxSC é certificado na metodologia Cyber Score, utilizada na pesquisa, e participou do levantamento de dados junto às empresas.
Foi divulgado na quarta-feira, 13 de setembro, o primeiro estudo do Brasil a avaliar a maturidade das companhias de capital aberto (com ações listadas na B3) em cibersegurança, revelando que uma parte das maiores empresas do país está distante das recomendações e melhores práticas indicadas pelas principais agências mundiais de cibersegurança. A Pesquisa Setorial em Cibersegurança foi desenvolvida de forma inédita pela Associação Brasileira das Companhias Abertas (Abrasca) e pelo The Security Design Lab (SDL) – rede global de pesquisa e desenvolvimento de cibersegurança com operação na América do Sul e Europa – utilizando a metodologia Cyber Score, que mediu as respostas das 109 empresas participantes dos seguintes setores: Agronegócio, Educação, Energia, Engenharia, Financeiro, Indústria, Óleo & Gás, Saúde, Serviços, Tecnologia, Telecomunicações e Varejo.
O SDL é parceiro do Centro de Segurança Cibernética do Inatel – CxSC, desde sua criação, em 2020. O CxSC possui um profissional certificado na metodologia Cyber Score, desenvolvida e patenteada pelo SDL, e participou do levantamento de dados junto às empresas. O questionário de 86 perguntas segmentadas em 12 capítulos foi aplicado entre os meses de maio e agosto deste ano.
Resultados
A nota média das empresas avaliadas ficou em 4,9 numa escala de 0 a 10, o que indica um grau de maturidade mediano. As empresas que alcançaram os maiores índices de compliance em cibersegurança são dos setores da Indústria / Manufatura, Telecomunicações, Óleo & Gás e Financeiro. Segundo os aplicadores da pesquisa, não existe nota de corte quando a segurança da informação é analisada, pois cada empresa e setor possuem particularidades. Contudo, uma avaliação de 7,5 já é considerada muito boa.
“A nota de 5 sobre 10 obtida na média geral demonstra muito espaço para melhorias, mas trata-se de um cenário não destoante do que apontam pesquisas globais. Estar em conformidade com as recomendações e melhores práticas em cibersegurança ajuda as companhias a estabelecer medidas de proteção, reduzindo a sua área de exposição contra potenciais ataques”, pontua Alexandre Vasconcelos, diretor para a América Latina do The Security Design Lab.
A partir dos dados colhidos, a Abrasca visa apoiar as áreas técnicas e de compliance das empresas de capital aberto para disseminar a relevância do assunto entre os C-levels, conselhos de administração e acionistas. “A importância do tema no mercado de capitais é crescente e sem volta. Deixou de ser um problema de TI e se transformou em um problema para todas as companhias, abertas ou não. O mundo está se movimentando no sentido de regulações mais adequadas à nova realidade e de melhores práticas, daí a importância de termos dados atualizados para entender onde estamos e, com isso, balizar a discussão ‘com os pés no chão’, de forma pragmática e eficiente”, afirma Pablo Cesário, presidente-executivo da Abrasca.
O relatório da Abrasca e do SDL aponta que, por um lado, 93% das empresas possuem algum mecanismo para detectar ataques cibernéticos e 65% se dizem capazes de identificar e agir em resposta a incidentes para assegurar a continuidade do negócio e suas funções. Por outro, 42% não possuem um plano de resposta a incidentes de cibersegurança, 65% não orientam a equipe para lidar e responder a incidentes de cibersegurança e 73% não possuem mecanismos de controle de acesso para sistema OT (Tecnologia Operacional) e ICS (Sistemas de Controle Industrial). A título de comparação, a última pesquisa America’s Most Cybersecure Companies realizada pela Forbes com 200 empresas americanas identificou que apenas 30% delas possuem um executivo de segurança da informação (CISO), enquanto a pesquisa brasileira mostrou que este número é superior, chegando a 58% no país.
Cada companhia recebeu o seu relatório individual, confidencial e privado, seguindo as exigências da LGPD. As informações foram usadas de forma anonimizada para os resultados da pesquisa. O acesso e o armazenamento dos dados coletados seguem todas as normas de segurança e são controlados e auditados, com uso das mais modernas tecnologias de segurança como passwordless, zero trust e criptografia, garantindo inviolabilidade.
O evento de divulgação da Pesquisa e painéis sobre o assunto, realizados em São Paulo no dia 13, podem ser conferidos neste link.
CxSC
O Centro de Segurança Cibernética do Inatel – CxSC foi criado com o objetivo de desenvolver e popularizar a cultura da cibersegurança na sociedade brasileira e engloba diferentes áreas de atuação como educação, certificação, capacitação, pesquisa aplicada e serviços relacionados à segurança cibernética e áreas correlatas. No site do CxSC há whitepapers que tratam do tema, como Engenharia Social, a figura humana como falha de segurança; e Ransomware – prevenção e resposta a incidentes; e LGPD – aspectos tecnológicos rumo à adequação.
“Os professores e especialistas que integram o Centro estão aptos a fazer análises e gestão de vulnerabilidade e riscos de cibersegurança, a adequação de empresas à LGPD, e também a análise de segurança de produtos, hardware e software”, explica o coordenador-adjunto do CxSC, Guilherme Aquino. Os interessados podem entrar em contato com o CxSC pelo e-mail cxsc@inatel.br.