Segurança da informação: as PMEs estão em perigo

Segurança da informação: as PMEs estão em perigo

Segurança da informação: as PMEs estão em perigo

Ciberataques visam pequenas e médias empresas (PMEs) Voit - Tecnologia e Ciência
Quando se trata de segurança da informação, as pequenas e médias empresas são as mais vulneráveis de todos os empreendimentos. São elas as que menos têm recursos para combater ameaças internas ou externas. Na verdade, no caso desse tipo de risco, o tamanho da organização não tem importância, diz Glenn Taylor, gerente para PMEs da Avast. A verdade nua e crua, diz ele, é que todas são vulneráveis, particularmente as pequenas e médias: “Primeiro, porque não têm o poder financeiro das grandes. Segundo, porque não têm (também) a experiência nem os recursos das empresas maiores”.
As PMEs não são apenas alvos do cibercrime – são os principais alvos, disse Luis A. Aguilar, especialista desse assunto na SEC, o equivalente norte-americano da Comissão de Valores Mobiliários brasileira. Segundo o especialista, os dados da última pesquisa “The State of SMB Cybersecurity”, publicada pelo Ponemon Institute, 60% dos alvos atingidos são PMEs. As estatísticas do setor estimam que metade das pequenas empresas atingidas por um ciberataque fecham num intervalo de seis meses após a ocorrência, disse ele. A pesquisa indica que as PMEs estão ainda mais sujeitas a ciberataques. E como esses ataques evoluem e elas nem sempre, a consequência é que elas ficam cada vez menos preparadas:
50% delas (empresas com 100 a 1.000 funcionários) confirmaram que nos últimos 12 meses sofreram ataques direcionados a informações de clientes ou empregados; 75% informaram que suas soluções anti-vírus falharam; 59% disseram que não conhecem os métodos de utilização e manutenção de senhas dos funcionários; e, 65% não fiscalizam com rigor suas políticas relacionadas a documentos. Segundo a pesquisa, funcionários negligentes, prestadores de serviços e terceirizados causam a maior parte dos vazamentos de informação. No entanto, quase 1/3 das empresas não consegue sequer determinar a origem do problema.
Apesar dos riscos, a cibersegurança não parece desempenhar um papel muito importante nos orçamentos de TI das PMEs. De acordo com a pesquisa, pessoal, tecnologias e orçamentos são insuficientes para manter uma forte postura de segurança:
67% têm pessoal insuficiente; 54% orçamentos insuficientes; e 44% são insuficientes em tecnologias de segurança. A falta de recursos de segurança, principalmente pessoal com experiência, é significativa:
59% das empresas com menos de 500 funcionários não tinha acesso a um especialista em segurança, fosse internamente ou por meio de um fornecedor; e 66% não tem treinamento nem certificação de segurança. “É muito difícil para uma só pessoa fazer segurança porque em geral ela tem de fazer todas as outras tarefas na TI da empresa”, disse Peter Tsai, analista sênior de TI da Spiceworks. Mesmo em empresas menores, “a segurança é quase um trabalho em tempo integral, e é realmente difícil proteger adequadamente sua rede se você não tiver os recursos certos”.
Estas descobertas seriam alarmantes em si mesmas, mas representam apenas parte do problema. As PMEs aparentemente acreditam que elas são muito menos vulneráveis do que os fatos indicam:
77% acham que a empresa está imune a ciberameaças como hackers, vírus, malware ou invasão; 66% não estão preocupadas com ameaças externas (como um hacker ou cibercriminoso que roube dados) nem internas (como empregado, ex-empregado ou fornecedor/consultor que roube dados); 47% acham que um incidente de invasão não teria impacto nos negócios e seria tratado como incidente isolado; e, 18% dizem não saber se seus computadores ou redes já foram invadidos. No entanto, a realidade é que 60% das pequenas empresas fecha em no máximo seis meses após um ciberataque.
As PMEs não levam os riscos a sério e não praticam computação segura: 87% não têm uma política formal de segurança da Internet por escrito, para os funcionários; 69% não têm uma política informal de segurança na Internet para os funcionários; 59% não têm um plano de contingência descrevendo procedimentos para responder e reportar perdas de violação de dados; 75% não têm políticas para uso de mídia social no trabalho, enquanto 23% têm; e, 60% não têm uma política de privacidade que os funcionários devem cumprir quando lidam com informações de clientes ou funcionários
Fonte: R7 Tecnologia

Comentários