Incidentes de segurança da informação crescem 25% em 2013, afirma PwC

Os incidentes de segurança da informação nas empresas aumentaram 25%
este ano, em relação a 2012, revela um estudo realizado pela
PricewaterhouseCoopers (PwC) em 9.600 empresas de 115 países, incluindo o
Brasil, onde foram entrevistadas 700 organizações. O custo médio por
cada ataque é de U$S 531.

De acordo com o estudo “The Global State of Information Security Survey 2014“,
os custos financeiros médios dos incidentes cresceram 18%. No entanto,
apesar de os riscos de segurança da informação terem aumentado, as
estratégias de proteção não acompanharam essa evolução. Isso leva
organizações a travarem batalhas ineficazes contra inimigos altamente
qualificados.

Ainda assim, globalmente, 74% dos respondentes dizem que as suas
atividades de segurança são eficazes, e mais de 80% afirmam que as
despesas e políticas de protecção estão alinhadas com os objetivos do
negócio.

Em 2013, os gastos das empresas em segurança da informação foram de
aproximadamente 4,3 milhões de dólares, um aumento de 51% em relação ao
ano passado. Da fatia desse investimento, apenas 3,8% é destinado a TI,
uma percentagem relativamente pequena.

As perspectivas para o futuro são animadoras. Quase metade (49%) dos
entrevistados afirma que os gastos de segurança nos próximos 12 meses
aumentarão, em comparação com 45% no ano passado.

Os respondentes da América do Sul (66%) e da Ásia-Pacífico (60%)
esperam que os investimentos em segurança cresçam. Mas apenas 38% dos
respondentes da América do Norte prevêm aumentar as despesas
relacionadas com essa área, o que os torna os menos propensos a gastar.

O número de inquiridos que desconhecem a frequência dos incidentes
continua a crescer ano a ano – está agora nos 18% – e isso parece
contradizer a “ideia” de que as organizações se estão a tornar mais
competentes na detecção de invasões.

Segundo Edgar d’Andrea, sócio da PwC Brasil que coordenou o estudo, a
segurança ainda não é um componente essencial da estratégia de negócios
em muitas empresas.

“O novo mundo dos riscos de segurança quer que as organizações tratem
o tema da segurança da informação como uma questão de gestão de riscos
corporativos que pode ameaçar seriamente os objetivos do negócio”.

A PwC, considerando depoimentos de todos os respondentes, chegou a um
custo médio por ataque. Cada vez que o sistema de uma empresa é
invadido, ela gasta 531 dólares. “Esse valor pode parecer pouco, mas há
instituições que recebem, por dia, mais de mil ataques”, dimensiona o
líder em segurança da informação.

Perdas de dados
Este ano, 24% dos respondentes relataram ter perdido dados em
consequência de incidentes de segurança, mais 16% em relação a 2012.

Os registos de funcionários (35%) e de clientes (31%) comprometidos lideram a lista de categorias de dados afetados.

Entre as indústrias que informaram perdas de 10 milhões de dólares ou
mais está a farmacêutica (20%), serviços financeiros (9%) e tecnologia
(9%). A maioria dos participantes atribui os incidentes de segurança a
inimigos internos conhecidos, como funcionários activos (31%) ou
ex-funcionários (27%).

Alguns inimigos muito conhecidos cumprem o seu potencial de risco
externo: 32% dos inquiridos atribuem incidentes de segurança a hackers,
um aumento de 27% em relação ao ano anterior. A segurança ainda é uma
falha nalgumas áreas – 52% não implantaram ferramentas de monitorização e
definição de perfis de comportamento, e 46% não implantaram tecnologias
de gestão de eventos e informações de segurança.

O Global State of Information Security Survey, estudo anual da PwC e
das revistas CIO e CSO (da IDG, grupo que edita a Computerworld), foi
realizado entre Fevereiro e Abril deste ano a executivos, incluindo
CEOs, CFOs, CISOs, CIOs, CSOs, vice-presidentes e diretores de TI e de
segurança em 115 países. 26% dos inquiridos eram da Europa.