8 a cada 10 executivos já enfrentaram fraudes cibernéticas

O Relatório Global de Fraude & Risco 2017/2018, da Kroll, aponta que 86% dos executivos entrevistados já enfrentaram alguma ocorrência de fraude cibernética, sendo a infecção por códigos maliciosos a mais frequente. O estudo, que reúne informações fornecidas por 540 executivos de todos os continentes, conclui que fraudes cibernéticas continuam a atingir em larga escala empresas de todo o mundo.

Infecções mais comuns

A infecção por códigos maliciosos foi o tipo de incidente mais frequente (36%), seguido de perto por phishing via e-mail (33%) e violação ou perda de dados de funcionários, clientes e segredos industriais (27%).

O relatório prevê que, até 2020, os gastos com segurança cibernética devem ultrapassar US$ 170 bilhões, mais que o dobro investido em 2017.

As situações não se limitam aos domínios digitais: 21% relataram o roubo de dispositivos de trabalho – como notebooks, pen drives ou celulares – que continham conteúdo confidencial sem a devida proteção. Apesar de ser um dos poucos grupos que foi menos citado que no ano anterior, ainda representa uma ameaça importante.

Software e sites vulneráveis foram os pontos mais explorados pelos malfeitores para conseguir o acesso, com 25% e 21% dos casos respectivamente. As fraudes foram perpetradas por cibercriminosos (34%), ex-funcionários (28%) e concorrentes (23%).

Ainda que tenham tomado providências para evitar novos incidentes, mais da metade dos entrevistados acredita que sua empresa ainda está vulnerável a vírus (62%), violação de dados (58%) e phishing por e-mail (57%). Os setores mais impactados por fraudes cibernéticas em 2017 foram construção, engenharia e infraestrutura (93%), telecomunicações, tecnologia e mídia (92%) e serviços financeiros (89%).

Brasil

No Brasil, 89% dos executivos afirmaram já ter sofrido uma fraude cibernética em suas companhias, mas, diferente da tendência global, o índice não permaneceu estável: em 2016, era de apenas 76%. Quase metade dos casos foram contaminações por códigos maliciosos (45%) e outros 37%, phishing por e-mail, o que leva os 63% dos respondentes a continuarem preocupados com a vulnerabilidade do sistema a novos ataques.

“No Brasil, a segurança cibernética ainda não se tornou prioridade de muitos executivos, especialmente nas pequenas e médias empresas, onde continua sendo vista como uma atribuição apenas da equipe de TI”, destaca Dani Dilkin, diretor de Segurança Cibernética da Kroll. “A consequência é que controles e políticas nem sempre estão orientados pelo negócio, e isto pode impactar a eficiência dos investimentos”, diz.

O que fazer?

A partir de análises dos resultados do estudo, a Kroll propõe às corporações refletirem sobre sete pontos fundamentais para ter um correto diagnóstico de sua segurança cibernética e adotar as melhores soluções. São eles:

1) Os funcionários compreendem as atuais políticas e procedimentos? Os documentos só serão efetivos se forem claros e objetivos.

2) Os gestores estão obtendo as respostas que precisam? E estão fazendo as perguntas certas? O líder desta área deve saber tudo sobre a estratégia de segurança e ser capaz de esclarecê-la ao board sempre que preciso.

3) A empresa envolve todos os gestores na elaboração das políticas de segurança? Além da TI, os inputs de todas as áreas são necessários para chegar a medidas que de fato atendam à rotina da empresa.

4) Os planos de resposta a incidentes já foram testados? Por mais claros que sejam, somente na simulação de uma situação real será possível verificar sua efetividade.

5) Como a empresa tem avaliado a efetividade do investimento realizado em segurança cibernética? Especialistas como a Kroll podem revisar planos, organização e verbas, dentro de um contexto global de ameaças e novos recursos.

6) Os líderes estão dando o exemplo? Se os executivos e o board adotarem as medidas de segurança, todos os seguirão.

7) A empresa já pensou em ter um especialista em segurança cibernética em seu board? Os prejuízos e consequências dos ataques têm levados muitas empresas a abordar este tipo de ameaça da mesma forma que os demais riscos críticos organizacionais, a fim de garantir maior proteção a seus ativos de dados.