De acordo com o estudo Percepção do Risco Cibernético na América Latina em tempos de COVID-19, realizado pela Marsh a pedido da Microsoft, mostrou que apenas 16% das empresas entrevistadas aumentaram seu orçamento em segurança da informação e cibersegurança durante a pandemia. Com o baixo investimento, 30% das empresas questionadas afirmaram ter percebido um aumento nos ataques como resultado da pandemia; entre as principais ameaças, 25% consideraram que os ataques de engenharia social (phishing) e os ataques de malware são os que mais aumentaram; outras 24% mencionaram os ataques a aplicativos web.
Apesar dessa percepção, 56% das empresas brasileiras questionadas investem 10% ou menos de seu orçamento de TI em cibersegurança, e 52% das organizações disseram que o investimento nessa área não sofreu alterações. Em termos de práticas de segurança para funcionários, apenas 23% das organizações disseram que sua força de trabalho está usando exclusivamente equipamentos da empresa, sem contar com laptops, smartphones ou tablets pessoais.
O estudo, realizado em conjunto entre a Marsh e a Microsoft, analisa como as empresas se protegeram de ataques crescentes no novo normal e as medidas que foram tomadas para o trabalho remoto.
Phishing é a principal ameaça na América Latina
Entre as principais descobertas do estudo, destacam-se:
• Mais de 30% das empresas na América Latina perceberam um aumento nos ataques cibernéticos como resultado da pandemia de COVID-19, tendo como principal ameaça ataques como os de phishing, tendo o setor bancário como mais afetado, com um aumento percebido de 52%;
• Como resultado da implementação do trabalho remoto, 70% das organizações da região permitiram que seus funcionários usassem seus dispositivos pessoais, o que aumentou significativamente a exposição a algum tipo de incidente cibernético. No entanto, a segurança do acesso remoto é prioridade para apenas 12% dos entrevistados e o segundo item da lista para 7% dos entrevistados;
• Apenas um quarto das empresas pesquisadas aumentou seu orçamento de segurança cibernética após a pandemia, enquanto o aumento do orçamento para proteção de dados foi de 26%; apenas 17% das organizações na América Latina têm seguro contra riscos cibernéticos.
O estudo foi obtido a partir dos resultados de uma pesquisa com mais de 600 empresas da região, de mais de 18 países em mais de 20 setores. As empresas pesquisadas estão distribuídas por toda a região, 31% no Brasil, 17% na Colômbia, 11% no México, 8% no Peru, 4% na Argentina e 29% em outros países, em setores como: alimentos e bebidas, aviação, imóveis, comunicações, construção civil, educação, energia e hidrocarbonetos, instituições públicas e ONGs, hotéis e restaurantes, finanças, manufatura, mineração, química, varejo e transporte, entre outros.
“Muitos resultados encontrados nesta análise são realmente preocupantes, como os baixos índices de empresas com seguros contra riscos cibernéticos e de investimento em segurança que são destacados no estudo. Agora que as empresas estão mais expostas ao trabalho remoto e ao uso de dispositivos pessoais, é preocupante o fato de que poucas empresas tenham aumentado seu orçamento de segurança cibernética após a pandemia e algumas delas até reduzido esse investimento, apesar do aumento notável de ataques cibernéticos”, comenta Marta Schuh, superintendente de riscos cibernéticos da Marsh Brasil.
Visão de cibersegurança da Microsoft
Considerando que a pandemia impulsionou a adoção de formatos de trabalho remoto, as empresas devem implementar os controles necessários para trabalhar nesta modalidade e atenuar os principais riscos. Além disso, devem lembrar que não existem tecnologias ou processos que eliminem completamente o risco cibernético, mas que os funcionários podem ser conscientizados sobre a manipulação segura de informações confidenciais e a forma de identificar ameaças e detectar ataques cibernéticos em tempo hábil.
“Os criminosos cibernéticos estão se aproveitando do interesse das pessoas em saber mais sobre a COVID-19 para especializar seus ataques tendo a identidade como alvo central. As organizações devem permear uma estratégia de segurança que aponte para a cultura organizacional e esteja sempre alinhada à empresa, com um modelo de empatia digital. Ou seja, a segurança deve ser transparente e facilitar a operação, em vez de torná-la mais complexa “, diz Marcello Zillo, conselheiro-chefe de segurança da Microsoft América Latina.
Tecnologia é essencial para aumentar a defesa
Aqui estão algumas recomendações de segurança importantes que precisam ser priorizadas tendo em vista o cenário atual de transformação digital e ataques cibernéticos:
• Para qualquer empresa, migrar para a nuvem é o primeiro e importante passo para possibilitar um trabalho remoto seguro, alcançar a eficiência operacional, lidar com restrições orçamentárias de TI e acelerar a inovação. A Microsoft oferece uma abordagem única com ferramentas nativas da nuvem e um só provedor, o que proporciona um novo nível de integração que leva às empresas o melhor dos dois mundos: visibilidade total de todos os seus recursos e alertas inteligentes criados com um profundo conhecimento dos recursos individuais, aprimorados com inteligência humana e mecânica.
• Adotar a estratégia de Empatia Digital com um mundo sem senhas, em que o acesso com autenticação de vários fatores (MFA) é mais fácil. Dessa forma, os usuários não precisam mais lembrar ou trocar suas senhas e podem usar recursos nativos da plataforma Windows, como o Windows Hello, que permite a autenticação através da biometria facial (por exemplo), evitando assim a exposição de suas senhas.
• O treinamento de simulação de ataques do Microsoft Defender for Office 365 permite que as empresas executem simulações de ataques de phishing benignas para testar suas políticas e práticas de segurança, além de treinar seus funcionários para aumentar seu conhecimento e diminuir sua suscetibilidade à ataques.
• O recurso de digitalização contínua automática de anexos, também presente no Office 365, permite que os usuários tenham um nível mais alto de proteção contra ataques de phishing e malware, pois a plataforma de segurança nativa permite a análise do arquivo para identificar conteúdo malicioso, executando a verificação de segurança de forma transparente para os usuários.
• Machine Learning é amplamente utilizada em soluções de segurança da Microsoft para detectar continuamente novos tipos de ataques e comportamentos anormais, identificar e mitigar tentativas de roubo de dados ou uso indevido de credenciais de acesso, além de proporcionar mais agilidade na detecção e resposta a ataques.
