Empresas têm sacrificado segurança por conveniência e para não comprometer metas de lucro

Apesar de um aumento no número de empresas atingidas por ataques a dispositivos móveis que levaram a violação de segurança, quatro em cada dez empresas sacrificaram a segurança para atingir metas de lucro ou evitar processos de segurança “incômodos”, de acordo com o terceiro índice anual de segurança móvel da Verizon em 2020.

O relatório mostrou que 43% das organizações sacrificaram a segurança. Razões mais típicas para as empresas se exporem ao risco, como falta de orçamento e experiência em TI, ficaram muito atrás de razões como conveniência (62%), comodidade (52%) e metas de lucratividade (46%). A falta de orçamento e a experiência em TI foram citadas apenas por 27% e 26% dos entrevistados, respectivamente.

“De fato, o estudo constatou que 39% dos entrevistados relataram ter um incidente de segurança relacionado a dispositivo móvel. Sessenta e seis por cento das organizações que foram comprometidas denominaram o impacto como “grande” e 55% disseram que o comprometimento resultou em repercussões duradouras”, afirmou Verizon.

As conclusões são baseadas em uma pesquisa com mais de 850 profissionais de TI responsáveis por comprar, gerenciar e proteger dispositivos móveis e IoT. Além das informações dos analistas da Verizon, o relatório inclui dados do mundo real de empresas de segurança e gerenciamento, incluindo Asavie, IBM, Lookout, MobileIron, NetMotion, Netskope, Symantec, VMware e Wandera.

Este ano, a Verizon adicionou perguntas para descobrir por que as empresas estão se expondo conscientemente a riscos. A necessidade de cumprir as metas foi a razão mais comum, seja em termos de tempo (62%) ou relacionados a dinheiro (46%).

Apesar de um aumento no número de empresas atingidas por ataques a dispositivos móveis que causaram violações à segurança, os dados da Verizon mostram uma redução na proporção dos casos, dizendo que eles comprometeram conscientemente a segurança (de 48% no EF2019 para 43% no EF2020).

“Parece que muitas empresas ainda veem a segurança móvel como um impedimento para seus objetivos de negócios, e não como um imperativo dos negócios. Mas as atitudes estão mudando. Oitenta e sete por cento dos entrevistados disseram estar preocupados com o fato de que uma violação de segurança móvel possa ter um impacto duradouro na lealdade do cliente e 81% disseram que o registro de privacidade de dados de uma empresa será um diferencial importante da marca no futuro”, relatou a empresa.

Dionisio Zumerle, Diretor Sênior de Pesquisa da Gartner, disse que as empresas hoje enfrentam uma infinidade de desafios de segurança; para muitos, simplesmente não é possível lidar com tudo de uma vez.

“Por uma série de razões, o celular hoje é um problema menor do que muitos outros. Entre outros fatores, o sistema operacional é mais rígido e os dispositivos móveis têm menos acesso a infraestrutura e dados críticos da empresa”, disse Zumerle por e-mail.

O relatório da Verizon constatou que 39% das organizações admitiram ter a segurança comprometida a partir de um dispositivo móvel – contra 33% no relatório de 2019 e 27% em 2018 – desses, 22% afirmam que a violação ocorreu a partir do acesso a Wi-Fi não autorizado ou inseguro. Das que sofreram violação, 66% disseram que o impacto foi grande e 36 % disseram ter consequências duradouras. De acordo com o MobileIron, 7% dos dispositivos protegidos detectaram um ataque do tipo man-in-the-middle (MitM) no ano passado.

Segundo a Wandera, os funcionários se conectam a uma média de 24 pontos de acesso de Wi-Fi por semana. A empresa também descobriu que 7% dos dispositivos encontram um ponto de acesso que apresenta um risco de gravidade baixo a médio e 2% encontram um ponto classificado como de alto risco – um conhecido por ser afetado pelo MitM ou por um ataque de protocolo como o SSL Strip.

Os dispositivos móveis se conectam, em média, de dois a três pontos de acesso Wi-Fi inseguros por dia, geralmente em centros de varejo, hospitalidade (locais de hospedagem ou restaurantes), e transporte, incluindo aeroportos.

Apesar dos riscos, menos da metade (42%) das organizações disseram proibir os funcionários de usar o Wi-Fi público para realizar tarefas relacionadas ao trabalho.

Todas as verticais das indústrias foram consideradas nos resultados da pesquisa, incluindo manufatura (onde 41% sofreram violações relacionadas a dispositivos móveis) e o setor público (39%). E empresas de todos os tamanhos foram atingidas – desde pequenas e médias empresas (28%) até aquelas com mais de 500 funcionários (44%).

Ao mesmo tempo, 80% das organizações disseram que o celular será seu principal meio de acesso a serviços em nuvem dentro de cinco anos. Os usuários finais dos dispositivos móveis foram o principal alvo de ataques, segundo a Verizon. De fato, mesmo entre as empresas com sistemas de defesa em vigor, incluindo sistemas de gerenciamento de dispositivos móveis (MDM) e pelo menos uma forma de filtragem de e-mail, muitos usuários ainda recebem e clicam em links de phishing.

“É aí que entram as ferramentas de gerenciamento de ameaças a redes móveis/defesa contra ameaças móveis (MTM / MTD). Às vezes, eles são chamados (por engano) de antimalware para iOS/Android. Eles procuram mais do que aplicativos maliciosos e software no dispositivo. Essas ferramentas também procuram atividades maliciosas de Wi-Fi, bem como ameaças no nível do aplicativo”, explica Phil Hochmuth, Vice-Presidente de Pesquisa de Mobilidade Corporativa da IDC.

Segurança móvel

De acordo com o relatório, mais da metade (53%) dos usuários que clicaram em um link de phishing clicaram em mais de um, sendo vítimas mais de uma vez.

“Quase todos os aplicativos têm algum tipo de recurso de mensagens embutido, e os hackers estão usando tudo isso para atingir seus alvos – aplicativos de mídia social e sites, etc. Embora a indústria não tenha visto os efeitos extremamente caros de malware e ataques direcionados aos sistemas operacionais de PC e móveis, os smartphones agora são o principal dispositivo de acesso para a maioria dos usuários da Internet e são onipresentes nas empresas”, fala Hochmuth.

Embora seja geralmente mais difícil comprometer sistemas operacionais móveis, eles representam um “grande ataque” e um vetor de ataque “crescente”, segundo o especialista. Se as empresas não se tornarem mais proativas ao lidar com ameaças móveis, governos e órgãos da indústria poderão forçar suas mãos a isso, disse o relatório da Verizon.

Após a aprovação do Regulamento Geral de Proteção de Dados da UE (RGPD) em 2016 e da Lei de Privacidade do Consumidor da Califórnia, em 2018, (entraram em vigor em maio de 2018 e janeiro de 2020, respectivamente), houve um aumento da dinâmica por trás da legislação abrangente sobre privacidade.

Enquanto apenas 33% das empresas disseram que as sanções regulatórias são uma consequência da preocupação, isso pode ser porque os governos deram a elas tempo suficiente para se prepararem. Sessenta e sete por cento disseram que o aumento da regulamentação os levou a gastar mais em segurança como um todo.

Zumerle, da Gartner, disse que os líderes de segurança de TI que desejam lidar com ameaças móveis devem começar do ponto de vista da higiene corporativa: gerenciamento de vulnerabilidades de dispositivos (remoção de dispositivos vulneráveis e não detectáveis) e verificação de aplicativos (proibindo vazamentos e aplicativos mal-intencionados).

A inteligência artificial e as ferramentas de Machine Learning estão no centro de algumas das mais recentes estruturas de “confiança zero” sendo implementadas pelos fornecedores, que focam mais na detecção de ameaças, mesmo quando um funcionário já está conectado a um sistema corporativo por meio de um dispositivo móvel.

“Muita [detecção de ameaças] tem a ver com saber o que é o dispositivo, quem é o usuário, a saúde do dispositivo e a garantia que o usuário esteja vinculado à sua credencial e que essa credencial esteja vinculada ao dispositivo”, disse Bill Harrod, CTO federal da MobileIron. “Então, é sobre poder avaliar o risco em todos esses lugares”, complementa.