A maioria das empresas brasileiras está abaixo de um padrão aceitável de vulnerabilidade de segurança cibernética. O diagnóstico é da pesquisa “Panorama de Superfície de Ataque do Mercado Nacional”, realizada pela startup GAT InfoSec, como base na análise de 1.131 empresas que compõem o 100 Open Corps, lista que reúne as maiores empresas do país participantes do ecossistema de inovação aberta.
A análise envolveu todos os ativos digitais dessas companhias — endereços IP, aplicativos, e-mails, redes corporativas, etc. — e foi realizada pela plataforma GAT Security Score, que verifica uma abrangente lista de riscos e vulnerabilidades. “Em um rating que vai de zero a 950 pontos, o resultado desejável seria acima de 800. Mas a média geral das empresas analisadas ficou em 618. As grandes corporações ficaram um pouco acima, com 647, enquanto as médias atingiram escore de somente 577”, explica Leonardo Militelli, CEO da GAT InfoSec. “Isso significa que, por mais que a cultura de segurança cibernética venha sendo incorporada no país, ainda há gaps significativos, principalmente devido ao uso de protocolos inseguros e sistemas desatualizados”, completa.
O estudo analisou mais de 227 mil aplicações, 76 mil endereços IPs e 12 mil e-mails públicos pertencentes às empresas. Constatou, entre outros achados, que 45% das aplicações empresariais possuem ao menos uma fragilidade em seus cabeçalhos de segurança, entre quatro tipos de problemas analisados: ausência de direcionamento para canal de comunicação segura https; certificado digital SSL expirado; cookies sem a flag “expires”; e cookies sem a flag “secure”.
Além disso, 7,5% dos sites ainda usam protocolos inseguros e 7,7% dos e-mails públicos das empresas já tiveram senhas vazadas, segundo registros públicos como haveibeenpwned.com. Outro dado preocupante é 1,24% dos sites pertencentes às empresas possuem bancos de dados expostos, abertos à internet, sejam eles de RH, financeiro, CRM ou outros. O estudo constatou também que a média é de três certificados digitais expirados e três vazamentos de dados pessoais para cada empresa analisada.
Para Militelli, essas constatações são preocupantes quando se leva em consideração que a cibersegurança e a privacidade de dados são temas com impacto cada vez maior nos negócios. “Na última edição do Fórum Econômico Mundial, em Davos, o cibercrime foi elencado como um dos principais riscos globais, e as perdas com incidentes de cibersegurança foram estimadas em mais de US$ 1 trilhão”, destaca ele
O executivo acrescenta que a União Europeia vai passar a exigir, dos fornecedores globais, uma certificação de segurança digital. “E um levantamento da plataforma de informações jurídicas JUIT detectou que, desde a entrada em vigor da LGPD, no Brasil , já houve mais de 14 mil decisões sobre o tema , a maioria ainda de primeira instância, mas cerca de 4 mil já emitidas por tribunais superiores.”
É sintomático, segundo CEO da GAT InfoSec, que, das mais de mil empresas analisadas, apenas 12 tiveram um escore acima dos 900. “Uma única empresa, do setor financeiro, atingiu a nota máxima, de 950. Em contrapartida, chegamos a encontrar outras com notas baixíssimas, de até 122 pontos. Isso mostra que, às vezes, o próprio CISO não consegue entender adequadamente o nível de segurança em que sua empresa se encontra, ou não consegue comunicá-lo adequadamente à liderança, para conseguir os recursos necessários”, conclui.
Fonte: https://www.cisoadvisor.com.br/empresas-brasileiras-estao-mais-vulneraveis-do-que-o-aceitavel/