Só uma em cada cinco organizações portuguesas tem plano de segurança informática

Publicado em 17/03/2016 23:26 em Segurança Informática

Só uma em cada cinco das cinco mil maiores organizações portuguesas tem um plano de segurança informática implementado, segundo o estudo «Segurança da Informação nas Organizações Portuguesas 2016», realizado pela consultora IDC para a Cisco.

O inquérito da IDC Portugal indica que apenas 21% das organizações nacionais têm um plano de segurança da informação implementado e 59% têm apenas um plano de implementação futura de estratégia de segurança, havendo um número significativo que não prevêem a sua implementação.

Eutimio Fernández, director de Segurança ibérico da Cisco, em encontro com a comunicação social portuguesa, salientou que o estudo específico sobre Portugal, o primeiro estudo local realizado na Europa, foi pedido à IDC porque os clientes nacionais da Cisco pretendiam saber qual era a situação em Portugal em matéria de segurança da informação nas empresas.

Gabriel Coimbra, director-geral da IDC em Portugal, indicou que foram consideradas as 5 mil maiores organizações nacionais em termos de facturação (que incluem 93 empresas do sector financeiro e 675 entidades da administração pública), tendo sido inquirida uma amostra de 201 organizações representativas desse universo, que abrange grandes organizações e as médias maiores em termos de facturação.

O director-geral da IDC salientou que há 10/15 anos atrás o cibercrime era menos sofisticado, hoje há uma indústria de cibercrime e já existe na nuvem Crime as a Service.

Observou que a pressão para a adopção do digital pelas empresas implica gerir a segurança informática e destacou que as empresas da terceira plataforma, as que são de raiz empresas digitais, já não olham para a segurança da informação como um custo.

O inquérito revelou que os principais obstáculos à implementação de estratégias e sistemas de segurança da informação nas maiores organizações em Portugal são o orçamento insuficiente, citado por 62% dos inquiridos, e o aumento da complexidade das ameaças (47%).

Outros factores mais citados foram a expansão das novas tecnologias, a falta de informação sobre estratégias de segurança e o défice de profissionais qualificados nesta área.

Aliás, Eutimio Fernández destacou que há uma grande falta de profissionais qualificados de segurança, não só em Portugal mas a nível geral, embora a escassez seja menor entre os técnicos altamente especializados.

Apontou como alternativa externalizar a segurança da informação através da contratação de empresas qualificadas.

Gabriel Coimbra salientou que poucas organizações nacionais indicaram uma redução dos ataques nos últimos 12 meses e que cerca de metade das grandes organizações (facturação acima de 50 milhões de euros) dizem que o número de ataques informáticos aumentou, acima da média dos que referem aumento, que foi de 27%.

No sector financeiro ninguém refere uma redução dos ataques e é aquele onde mais empresas referem o seu crescimento.

Em relação às ameaças com maior incidência de incidentes de segurança em 2015, mais de quatro em cada cinco inquiridos apontaram o spam, seguindo-se os ataques com vírus e vermes informáticos, spyware, ataques visando palavras passe fracas, todos próximos de 60% e os ataques de phishing/Pharming e adware, com mais de 40%.

O sétimo maior factor de risco apontado foi o de comportamentos informáticos inadequados dos empregados.

Para 2016, as empresas consideram que o maior risco será de ataques de vírus ou vermes informáticos, seguindo-se o spam, as palavras passe fracas, o phishing/pharming e o spyware. O comportamento inadequado dos empregados surge em sexto lugar, acima do adware.

Gabriel Coimbra salientou que as respostas mostraram uma correlação entre o risco e o número de ataques e revelaram uma fraca maturidade das organizações nesta área, indicando que muitas organizações não identificam sequer que estão sob ataque.

Gabriel Coimbra salientou que a maioria das organizações em Portugal não quantifica o impacto dos ataques.

O director-geral da IDC em Portugal salienta que, com o aumento do número e sofisticação dos ataques, as empresas estão mais conscientes da importância da segurança e o mercado de soluções tecnológicas de segurança da informação está a ter um crescimento bastante significativo em Portugal.

Mas alerta que não são suficientes soluções de segurança que se limitam a detectar e combater os riscos, são necessárias soluções proactivas, com tecnologias avançadas capazes de prever e prevenir ataques.

O director-geral da IDC Portugalexplicou que as maiores organizações nacionais continuam a dar prioridade à protecção e defesa do perímetro do sistema informático, em vez da adopção de soluções de contenção e prevenção, e que apenas uma pequena percentagem implementou tecnologias de encriptação, ferramentas de teste de intrusão, avaliação de vulnerabilidades e sistemas de identificação biométrica e gestão de identidade.

Gabriel Coimbra destacou que em Portugal poucas organizações têm um responsável de alto nível específico para as questões de segurança informática e indicou que as organizações nacionais estão pouco avançadas em matéria de segurança e há insuficiente maturidade na definição de estratégias e de sistemas de gestão integrada da segurança da informação.

Observou que o investimento em segurança informática representou em 2015 apenas 12% do investimento total das organizações em tecnologias da informação (TI), um valor baixo em termos europeus.

O director-geral da IDC Portugal adiantou que, em geral, as organizações nacionais não dispõem de profissionais qualificados aptos para desenvolverem uma estratégia de segurança e depois fazerem a sua implementação e gestão.

As tecnologias móveis encabeçam as preocupações com riscos de segurança expressas pelas organizações inquiridas, seguindo-se as redes sociais, a computação na nuvem, a Internet das Coisas (IoT) e o Big Data.

Eutimio Fernández destacou que o estudo revela que no plano da segurança da informação Portugal está num estado de maturidade inferior ao europeu e que o inquérito identificou uma grande fragmentação em termos de soluções de segurança numa mesma organização.

Defendeu que é preciso integrar os processos de segurança da informação, encontrar soluções automáticas de segurança e externalizar a segurança, sustentando que se é muito difícil contratar profissionais de segurança é mais fácil contratar empresas especializadas.

Fernández reconheceu que é difícil acompanhar o aumento da sofisticação do cibercrime, até pela dificuldade em contratar profissionais especializados nessa área, sublinhando que diariamente circulam três peças de malware por habitante, mais de 20 mil milhões por dia.

Revelou que as análises da empresa especializada no teste de soluções de segurança NSS Labs revela que nenhuma solução é 100% segura, ficando as melhores na casa dos 98% a 99%, o que significa que temos de estar conscientes de que é provável que mais cedo ou mais tarde a organização vai ser atingida e se não estiver preparada vai ser muito mau.

O índice de eficácia é ainda muito inferior, geralmente abaixo de 80%, nas soluções standard utilizadas pelos particulares e pequenas empresas.

O director de Marketing ibérico da Cisco sublinhou que essa situação implica a necessidade de investir também na preparação da resposta a incidentes de segurança, para evitar que paralisem o negócio e para os resolver o mais rapidamente possível.

Disse que as soluções implementadas têm de pensar na perspectiva do antes, durante e depois dos ataques, porque a recuperação do desastre (desaster recovery) é muito importante.

Fernández sublinhou que hoje os ataques ocorrem em média entre 100 e 200 dias antes de serem detectados, o que levanta o problema de muitas vezes as cópias de segurança efectuadas estarem também infectadas.

Ainda sem comentários