39% das empresas ainda não contam com políticas de segurança, aponta relatório | WeLiveSecurity

39% das empresas ainda não contam com políticas de segurança, aponta relatório

O relatório anual ESET Security Report destaca informações sobre o estado da segurança da informação em empresas da América Latina. O documento é composto por dados de mais de 3.900 empresas em 14 países, incluindo o Brasil.

O relatório anual ESET Security Report destaca informações sobre o estado da segurança da informação em empresas da América Latina. O documento é composto por dados de mais de 3.900 empresas em 14 países, incluindo o Brasil.

As empresas estão realmente preparadas para lidar com os atuais desafios relacionados à segurança da informação? Com o propósito de responder a essa pergunta, produzimos o ESET Security Report 2020. O relatório, que é produzido anualmente, conta com dados obtidos através de questionários enviados a profissionais de segurança de mais de 3.900 empresas em 14 países da América Latina, incluindo o Brasil, e destaca os incidentes de segurança mais recorrentes, controles aplicados pelas empresas para garantir seus ativos e as principais preocupações das organizações em relação à segurança digital.

Os desafios enfrentados pelas empresas como consequência da Covid-19

Sem dúvidas, o mundo nunca esquecerá da pandemia provocada pela Covid-19 e de todos os desafios que as empresas estão enfrentando como consequência desse problema sanitário. Apesar de, segundo dados do ESET Security Report, ser pouco provável que uma empresa conte com um plano de resposta que contemple o surgimento de uma pandemia, o problema evidenciou como as empresas que já contavam com processos de transformação digital mais avançados e/ou planos de continuidade de negócios, conseguiram se adaptar com mais rapidez e facilidade ao trabalho remoto e à situação em geral, permitindo enfrentar os atuais desafios que se apresentam do ponto de vista da segurança digital.

Além disso, não podemos esquecer que a Lei Geral de Proteção de Dados (LGPD) também sofreu interferência da pandemia, tendo seu prazo de vigência para aplicação de sanções por violações da LGDP adiado para agosto de 2021. Em caso de descumprimento da lei, a empresa ou responsável pelo serviço pode receber desde advertências a multas que podem chegar a até R$ 50 milhões.

Leia também: 8 lições de segurança que a Covid‑19 deixou para as empresas

Como temos visto desde o início do ano, os cibercriminosos estão se aproveitando do contexto da Covid-19 para realizar diversos ataques com o objetivo de comprometer suas vítimas, através de campanhas de phishing e malware, que se usa como isca a preocupação gerada em torno à pandemia, aproveitando a alta demanda por aplicativos como o Zoom e outras ferramentas de videoconferência e trabalho remoto ou, até mesmo, através da exploração do protocolo de desktop remoto (RDP) do Windows utilizado por empresas para fazer com que o colaborador possa se conectar à rede corporativa remotamente.

Neste contexto, os dados do ESET Security Report 2020 revelam que em média apenas 33% das empresas que responderam ao questionário enviado possuem um plano de continuidade de negócios. Por outro lado, 39% das empresas não contam com políticas de segurança e apenas 28% classificam suas informações.

Incidentes de segurança mais recorrentes

Em relação aos incidentes de segurança, 60% das empresas da América Latina afirmam ter sofrido pelo menos um incidente no último ano – a infecção por malware é o tipo de incidente mais recorrente. Em outras palavras, 1 em cada 3 empresas foi infectada por um código malicioso, incluindo o ransomware.

A lista de códigos maliciosos que registraram os maiores níveis de detecção no último ano inclui: o Ramnit, um malware que se propaga principalmente por meio de dispositivos removíveis e busca roubar dados bancários dos usuários; o ProxyChanger, um código malicioso que tenta impedir que o usuário acesse a um site, redirecionando-o a uma página infectada pelo atacante; e o Emotet, uma família de trojans bancários (embora tenha evoluído para se tornar um malware usado para implantar várias ameaças) distribuído principalmente por meio de campanhas de spam. Segundo dados da ESET, nos meses de novembro e dezembro de 2019, foram detetadas mais de 27.000 amostras de diferentes variantes do Emotet em cada um dos meses, o que mostra a magnitude desta ameaça que se propaga globalmente.

No caso do ransomware, os números revelam uma queda de 6% no total de detecções do código malicioso quando consideramos os países da América Latina. No entanto, isso não significa que esse tipo de ameaça esteja em desuso ou deva ser esquecida, já que os incidentes ocasionados por ransomware continuam ocorrendo, embora em ataques muito mais direcionados e até mesmo implementando novas estratégias como parte de seus ataques, como a prática do doxing, que consiste em obter dados confidenciais das vítimas, seguido de ameaças de tornar os dados públicos caso não seja pago um resgate em troca das informações. Indo em sentido contrário aos demais países da América Latina, em 2019, o Brasil teve um crescimento de 1,26% no número de casos de ransomware em relação ao ano anterior, passando de 11% (2018) para 12,26% (2019).

Preocupações das empresas

Outro ponto abordado pelo ESET Security Report são as principais preocupações das empresas em relação à segurança digital. O relatório destaca que 60% das empresas afirmam que o acesso indevido à informação, seguido de roubo de informações (55%) e infecção por malware (53%) são as suas principais preocupações. No entanto, a adoção de tecnologias como o uso de um segundo fator de autenticação, que relatórios do Google e da Microsoft mostraram melhorar consideravelmente a segurança para evitar o acesso indevido à informação, é implementado por 17% das empresas. Por outro lado, apesar de uma das principais preocupações ser a infecção por códigos maliciosos, ainda há 22% das empresas que não possuem algo tão básico como uma solução antivírus.

O ESET Security Report 2020 também analisa a incidência de outros tipos de ameaças, como phishing, criptomoedas ou exploits, e inclui a visão do C-Level de diferentes empresas que participaram da pesquisa sobre aspectos como educação ou investimento em segurança. Esperamos que este documento seja útil para empresas e profissionais que trabalham na área de segurança digital e que forneça uma visão geral que lhes permita avaliar o que estão fazendo como parte de sua estratégia para enfrentar os desafios que a segurança apresenta atualmente e, principalmente, para o futuro.

Discussão