37% das empresas portuguesas pretende investir até €30 mil em cibersegurança
Getty Images
Apesar das empresas terem mais atenção à cibersegurança, ainda há questões relacionadas com os elevados custos de implementação de soluções de defesa ou de uma cultura interna que valorize ações regulares, como trocar passwords regularmente ou apostar na dupla autenticação, para garantir uma proteção mais eficaz contra ataques cuja frequência não para de aumentar. São algumas das conclusões da sondagem feita pela Gfk Metris para o “Conselho de Segurança”, um projeto para debater questões ligadas à nossa segurança tecnológica, militar, jurídica, na saúde, no Estado e nas empresas, que tem o apoio da Sonae, Galp, Altice, Allianz, Morais Leitão e ACIN
A cibersegurança está cada vez mais no centro das atenções como resultado não só de ataques mais complexos e em larga escala (como os que aconteceram no Expresso, na Vodafone ou na Câmara Municipal de Gondomar nos últimos dois anos) ou os que atingem as pessoas no dia a dia, como o “olá mãe, olá pai” ou o roubo de dados pessoais.
Trata-se de uma situação transversal a todas as esferas da sociedade, a que não é alheia a crescente digitalização das atividades, que faz com que empresas e negócios dos mais diversos sectores tenham que fazer mudanças para lidar com uma ameaça que parece não dar tréguas.
Por isso o Expresso pediu à GfK Metris para fazer uma sondagem sobre a perceção de cibersegurança dentro das empresas portuguesas como culminar do projeto “Conselho de Segurança”, que ao longo de seis meses promoveu a discussão de temas ligados à nossa segurança tecnológica, militar, jurídica, na saúde, no Estado e nas empresas. E os resultados das perguntas colocados junto de 255 entrevistados mostram que a preocupação é real, mesmo que aparentemente não existam tantos ataques como se possa pensar.
A sua empresa foi alvo de um ciberataque nos últimos 12 meses?
Apenas 3% dos entrevistados afirmam que a sua empresa foi alvo de um ciberataque nos últimos 12 meses, com 38% dos afetados a apontar os ataques de phishing (obter informações confidenciais via links em e-mails) como os mais frequentes, seguidos as intrusões em redes wi-fi, negação de serviço DDoS (sobrecarga de sites internet) e ransoware (encriptação de ficheiros com exigência de resgate para restaurar o aceso), todos com 13%.
Das oito empresas alvo de ciberataques nos últimos 12 meses, cerca de dois terços (63%) não sofreu perdas e a resposta a tais ataques foi na sua maioria (50%) rápida e eficaz, apesar de 13% considerar que foi lenta e ineficaz. Já 38% revelou que as perdas foram de dados e documentação.
Cerca de dois terços das empresas auscultadas têm um responsável claro pela governança da cibersegurança que maioritariamente (69%) reporta de forma direta a um administrador ou gestor de topo.
A sua empresa tem obrigações, de conformidade em cibersegurança?
Mais de metade (53%) dos entrevistados afirma que a sua empresa tem preocupações, ou mesmo obrigações, de conformidade em cibersegurança. No entanto não conseguem identificar os standards aplicados pela mesma (50%).
Já a maioria (55%) dos entrevistados afirma que a sua empresa tem um responsável pela conformidade, com preocupação específica em garantir a existência e implementação de controlos de cibersegurança por forma a garantir resposta às obrigações legais e regulamentares.
No campo da sensibilização para os perigos cibernéticos, um terço dos colaboradores das empresas auscultadas confirma a existência de programas para prepara, com 34% a realizarem testes de cibersegurança pelo menos uma vez por ano e 50% a apontar uma frequência maior.
A sua empresa já usa a autenticação forte por dois fatores?
Em percentagem
Mesmo com maior atenção e mais consciencialização, ainda há passos que as instituições precisam de tomar. Nem todas as empresas usam de forma generalizada a autenticação forte (41%), apesar das 35 % que o fazem. Mesmo perante esse cenário, as palavras-passe são alteradas pelo menos uma vez por ano em 41% dos casos e 24% respondem mesmo que são mudadas mensalmente.
A maioria das empresas não tem políticas sobre o uso profissional de dispositivos pessoais, metade dos entrevistados afirma que a sua empresa tem controles de acesso rigorosos para lidar com dados sensíveis, com 20% a afirmar que audita regularmente o acesso e uso de dados e 7% criptografa todos os dados confidenciais.
Entre as medidas de cibersegurança implementadas, 79% efetua ciberproteção dos seus sistemas de informação crítica e 43% recorre já a serviços de uma empresa especializada em cibersegurança.
Qual é a principal dificuldade à implementação de novas medidas para a cibersegurança?
O elevado preço das soluções existentes no mercado (31%) é apontado como a principal barreira à implementação de novas medidas para o reforço da cibersegurança nas empresas. Apesar da maioria dos entrevistados (55%) considerar que o nível de preocupação face às ameaças de ciberataques permaneceu igual nos últimos 12 meses, 40% afirma que essa preocupação aumentou.
Por isso, 37% garante que a sua empresa vai investir até €30 mil em cibersegurança nos próximos 12 meses, com apenas 2% a colocarem o investimento entre os €30 mil e os €200 mil. 61% admite desconhecimento quanto aos valores em causa ou sobre o que está a ser feito neste campo.
Os entrevistados têm dificuldades em apontar sugestões de melhoria, com 28% a dizer que não há nada a melhorar e 23% a não achar necessário indicar recursos e apoios que contribuiriam para tal. Contudo, tanto num caso como noutro, a formação dos colaboradores (6% e 11%, respetivamente) é o aspeto mais referido.
Com que frequência a sua empresa colabora com entidades externas durante investigações de cibercrime?
Em percentagem
Apenas 18% dos entrevistados consideram que a empresa não está familiarizada com o processo de investigação de cibercrimes, no entanto, cerca de dois terços (64%) afirmam que a empresa nunca colaborou com entidades externas durante investigações de cibercrime.
Metade não consegue identificar as dificuldades que a empresa enfrenta na investigação de crimes cibernéticos, mas dentro dos que conseguem, a dificuldade em identificar a origem do ataque é a mais referida (19%), seguida do acesso insuficiente às ferramentas legais, com 17% de respostas, e 15% para a falta de competências e recursos internos.
Identificar ciberataques é algo que os entrevistados admitem, com maior ou menor grau de certeza, conseguir. Numa escala de 1 a 10 - em que significa “nada capaz” e 10 “muito capaz” - 20% dá um 8 à sua capacidade, com o 7 a recolher 18% e o 1 a ficar pelos 2%.
“Acredito que ainda há algum desconhecimento que é urgente ultrapassar”, conclui o diretor-geral da GfK Metris, António Gomes, para quem “as empresas terão forçosamente que incorporar as medidas de cibersegurança como um fator de custo produtivo, sem o qual não podem operar no mercado, qualquer que seja o sector ou a indústria”.
Este projeto é apoiado por patrocinadores, sendo todo o conteúdo criado, editado e produzido pelo Expresso (ver Código de Conduta), sem interferência externa.
