Política de cibersegurança das empresas 'esquece' usuário, diz estudo

As políticas de segurança da informação adotadas por grandes empresas negligenciam a principal fonte de risco aos sistemas de tecnologia: os próprios usuários, mostra estudo da Flipside, empresa responsável por eventos de cibersegurança.

A pesquisa mostra que 27% das violações de segurança são causadas por falha humana. "Na prática, a gente acaba vendo que o usuário é o elo mais fraco", diz Anderson Ramos, diretor da companhia.

"Eles são o ponto de partida para ataques mais sofisticados. Se você compromete a máquina da secretária do presidente, por exemplo, o impacto pode ser até maior do que comprometer o computador do próprio presidente", complementa.

O estudo da Flipside foi realizado com 178 profissionais que tomam decisões de segurança digital em empresas de diferentes setores e indústrias. A pesquisa mostra que o percentual de funcionários que possuem um compromisso "completo" com a política de segurança do seu local de trabalho caiu de 31,7% no ano passado para 23,5% em 2017.

O cenário é de crescimento dos ataques, apesar da alta no investimento em segurança digital. Estudo de Fabiano Vallesi, analista do banco Julius Baer, indica que 100% das companhias americanas sofreram ataques via vírus, trojans e worms (programa malicioso que se espalha pela rede) em 2015. A instituição calcula que os gastos com cibersegurança cresçam ao ritmo de 7,5% por ano até 2020, para US$ 114 bilhões.

"A contínua evolução das ameaças e ataques a sistemas de tecnologia da informação é outro grande fator que evidencia a necessidade da cibersegurança. Os cibercriminosos estão se tornando mais sofisticados e cheios de recursos", aponta o estudo.

Segundo pesquisa da Allianz, crimes cibernéticos custam US$ 445 bilhões à economia global todos os anos. No Brasil, estudo do Instituto Ponemon, financiado pela IBM, mostra que os gastos médios totais com vazamento de dados neste ano serão de R$ 4,7 milhões, aumento de 9,5% na comparação com 2016.

Relatório da consultoria PwC mostra que, no Brasil, 59% das empresas aumentaram o investimento em segurança da informação em 2017 em relação ao ano passado, priorizando a colaboração entre os setores de negócios e de tecnologia.

VULNERÁVEL

A pesquisa da Flipside mostra que o principal gatilho para o aumento dos investimentos em segurança da informação é a ocorrência de algum incidente. "É como colocar alarme na casa depois de ela ser assaltada", comparou Ramos durante palestra no Mind the Sec, evento que discute o mercado de segurança da informação no Brasil.

O estudo aponta ainda que o "phishing" (tipo de fraude focada em obter dados pessoais do usuário) é a maior fonte de preocupação para 61% dos gestores de segurança de empresas. Em segundo lugar, está o compartilhamento de senhas, com 48,6%.

A cautela tem razão de ser: desde 2015 o Brasil lidera o ranking de phishing da Kaspersky Lab, empresa de antivírus. No país, 18,1% dos usuários foram alvo do crime no segundo trimestre deste ano. A China, segunda colocada, aparece com 12,9%.

CRISE ECONÔMICA

Para Ramos, fatores como economia fraca e desemprego influenciam na intensidade de ataques que têm como alvo o usuário. "É natural que criminosos que vão adentrando nesse segmento não tenham muito conhecimento técnico, então atacar o usuário é o mais simples".

Um ataque desse tipo poderia incluir a criação de uma conta falsa em uma rede social, que seria usada para conseguir a confiança e informações do alvo. Uma foto íntima do usuário, por exemplo, obtida por esse meio pode se tornar objeto de extorsão. De acordo com o especialista, a prática é comum na Europa e deve ganhar força no Brasil.

Outra influência da crise, diz Ramos, é a menor frequência de treinamentos de segurança, muitas vezes usados como forma de atrair profissionais. "Quando o desemprego bate 15%, a empresa não precisa trabalhar na atratividade", afirma.

A preocupação com essas ameaças tem explodido neste ano, principalmente após a onda de ciberataques que atingiu computadores de empresas e órgãos governamentais em pelo menos 74 países em maio, incluindo o Brasil.

Na ocasião, os hackers usaram um "ransomware", software que bloqueia informações e exige dinheiro para destravá-las.

Fonte: Folha de S. Paulo