Orçamento é o grande obstáculo de segurança nas empresas portuguesas

Ana Rita Guerra,

Os principais obstáculos na implementação de segurança nas empresas portuguesas são o orçamento insuficiente e a maior complexidade das ameaças, revela hoje um estudo da IDC desenvolvido em parceria com a Cisco.

O estudo, “Segurança de Informação nas Organizações Portuguesas 2016”, foi desenvolvido junto de 201 empresas do mercado português, em diversas áreas de negócio e com várias dimensões. Há várias conclusões interessantes: em média, as empresas gastaram 12% do seu orçamento de tecnologia em segurança, no ano passado; a insuficiência de orçamento é o maior obstáculo para a implementação de uma estratégia de segurança para 62% das empresas, seguido do aumento da complexidade das ameaças (47%).

“Percebemos que agora as empresas portuguesas reconhecem a importância de uma estratégia de segurança completa mas, em muitos casos, não são capazes de a colocar em marcha de forma adequada”, comenta Gabriel Coimbra, diretor geral da IDC Portugal. “Este estudo revela que as organizações devem relembrar duas coisas muito importantes acerca de segurança: as reações emocionais às preocupações com segurança são demasiado inconstantes e insustentáveis; e também que é impossível obter segurança completa.” O analista avisa ainda que os CISOs, CIOs e gestores devem “procurar formas de demonstrar um nível apropriado de preocupação que se deve refletir no programa de segurança.”

Por outro lado, o diretor de segurança da Cisco Portugal, Eutimio Fernández, sublinha que “é crucial para as empresas portuguesas mudem a sua forma de pensar” apesar das restrições financeiras. “O estudo confirma que também em Portugal os ciberataques estão a tornar-se cada vez mais direcionados e sofisticados” refere, argumentando que as empresas têm de reconhecer que “não é uma questão de quando, mas se vão sofrer um ciberataque.” E agir com isso em mente.

Estes são os principais resultados do estudo.

Número de ataques mantém-se

Os resultados indicam que o número global de ataques manteve-se constante em relação ao registado em anos anteriores: apenas 27% dos inquiridos refere um aumento dos ataques no ano passado. No entanto,  alguns sectores de negócio como o financeiro, as telecomunicações e a Administração Pública identificaram um aumento significativo de ataques.

Empresas estão conscientes da importância da segurança

Cerca de 59% das empresas que participaram indicaram que têm um plano de implementação de estratégia de segurança, mas apenas 21% confirmam que têm um plano já implementado. A IDC sublinha que, agora mais do que nunca, os decisores de TI devem ter em conta as tendências da indústria de segurança e as estratégias criminais, juntando estes fatores à tolerância dos riscos organizacionais, maturidade do programa de segurança e estratégia de negócio.

Nuvem e mobilidade são preocupação

As tecnologias móveis, as redes sociais e os serviços de computação na nuvem surgem na lista de ecossistemas tecnológicos que estão mais expostos a riscos externos, mas abrir as redes aos colaboradores e seus dispositivos obriga os gestores a repensar o sistema de políticas de acesso e a definição dos perfis adequados. Os equipamentos móveis são apontados pelas organizações como a área com maiores mudanças em termos de ameaças no último ano, seguida pelas redes sociais e serviços de nuvem. A evolução aponta agora para o crescimento da preocupação em relação à Internet das Coisas (IoT), já que a maioria dos dispositivos e sensores que apoiam esta nova era terão impacto nas estratégias de segurança.

Quais serão os principais riscos de segurança em 2016?

Os dados recolhidos revelam que a maioria das organizações internacionais identificam os ataques virais, mensagens de spam, incidentes de phishing/pharming e com passwords como as principais ameaças em 2016.

Empresas não previnem

No que toca aos mecanismos de defesa, as organizações continuam a dar prioridade à ideia de “proteção e defesa” do perímetro, por oposição à adoção de soluções de “contenção e prevenção.” A maioria já implementou tecnologias de controlo contra ameaças externas à segurança da informação, como anti-spyware (70%), anti-spam (77%), antivírus (89%) e firewalls (88%).

Mas apenas uma pequena percentagem das organizações inquiridas encripta a informação corporativa, nomeadamente o e-mail (23%), o armazenamento (27%) ou encriptação de equipamentos móveis (17%). A solução tecnológica para a gestão de equipamentos móveis, ferramentas de teste de intrusão, avaliação de vulnerabilidade, sistemas de autenticação biométrica e gestão de identidades federadas ainda têm pouca expressão.