Onde estão as maiores ameaças à segurança das empresas?

O mais recente guia da Online Trust Alliance (OTA) confirma o que há muito se suspeita: as condutas dos utilizadores são a maior ameaça à segurança de uma empresa. Nos primeiros seis meses do ano passado, apenas 40% das violações de dados que envolveram a perda de informação pessoal identificável foram causadas por ataques externos. Por outro lado, 29% foram provocadas acidentalmente ou de forma maliciosa por parte dos funcionários. O mesmo relatório diz ainda que, ao todo, 90% das infracções poderiam ter sido evitadas se as empresas tivesse redefinido as suas estratégias de mitigação dos riscos de segurança.

A ausência de controlos internos, dispositivos ou documentos perdidos, bem como fraude, foram responsáveis por quase 30% dos incidentes que resultaram em perdas de dados para as empresas. Ter práticas de segurança atualizadas é fundamental. “Os negócios estão sobrecarregados com riscos e ameaças cada vez maiores, e esquecem-se frequentemente de adotar medidas básicas de segurança”, refere Craig Spiezle, Executive Director and President da OTA.

Staff de TI insuficiente para o número crescente de alertas
Um outro relatório, da FireEye, sugere que na Europa os negócios recebem cerca de 10 mil alertas de cibersegurança por mês, chamando a atenção para o facto de um alerta ignorado ou sem resposta atempada poder constituir uma séria ameaça, com sérias consequências para as empresas.
E se, por um lado, nos últimos dois anos o número de alertas ter vindo a aumentar, por outro o número de pessoas encarregues de os resolver estagnaram e em alguns casos até diminuíram. Aliás, 40% dos inquiridos disseram que os alertas são revistos manualmente, com 73% dos funcionários de TI auscultados no Reino Unido, Alemanha e França a indicarem dificuldades em seguir estes alertas, por se depararem com tarefas adicionais. Ainda de acordo com a pesquisa, pelo menos 11% dos alertas moderados passam entre 12 a 24 horas sem serem revistos. Talvez o mais preocupante seja, no entanto, o facto de só 25% do staff de TI ter admitido que classificar os ataques por categorias era a primeira medida a tomar e a mais adequada.