Maioria das organizações tem cerca de 50 mil euros para cibersegurança, segundo a PwC

A PwC promoveu um inquérito a 56 organizações portuguesas de 12 setores e concluiu que a maior parte tem disponível um orçamento superior a 50 mil euros para cibersegurança. Mas um terço considera que o seu investimento nesta área “não é adequado face às ameaças existentes e potenciais”, enquanto 43% admitem ser “pouco, ou só em parte, equilibrado”.

O estudo da consultora, realizado entre 8 de fevereiro e 5 de março do ano passado, reflete deste modo o problema da suborçamentação crónica na área da cibersegurança, alerta que vem a ser repetido pelos especialistas desta área ao longo dos últimos anos. As conclusões ganham relevância à luz da vaga de ciberataques bem-sucedidos que se abateu sobre Portugal desde o princípio do ano, culminando esta semana no ataque que derrubou as redes da Vodafone.

Os riscos cibernéticos já existiam há mais tempo, mas a Covid-19 veio acentuar as ameaças, sobretudo por causa da adoção massiva do teletrabalho. “Uma das conclusões do nosso Cyber Survey Portugal 2021 é que a maioria das organizações em Portugal estão dispostas a investir mais em cibersegurança por forma a mitigar e prevenir eventuais ameaças, tais como, por exemplo, o phishing, ataques de malware e ransomware, mas carecem de uma estratégia desenvolvida para esta área, bem como de equipas especializadas”, aponta Miguel Dias Fernandes, consulting partner da PwC em Portugal.

O inquérito indica que 15% das organizações “estão preocupadas com danos reputacionais e com a indisponibilidade de sistemas críticos por um período prolongado”, enquanto 13% “temem incidentes que causem perdas financeiras ou o roubo de informações confidenciais”. 10% das entidades inquiridas está preocupada ainda com a “perda de dados pessoais”.

As entrevistas foram realizadas no ano passado, pelo que não refletem o impacto dos recentes ciberataques de 2022 na maneira como as organizações olham para esta temática, como o ataque à Vodafone, mas também o ataque à Impresa conhecido em 2 de janeiro.

Apesar dos sequestros de dados (ransomware) serem uma das ameaças com mais crescimento, a PwC concluiu que o phishing é o principal risco cibernético a enfrentar em 2022. Neste tipo de ciberataque, os hackers fazem-se passar por uma instituição, marca ou organismo credível para extrair informação sensível da vítima. A motivação pode ser financeira, mas o phishing também é, muitas vezes, a porta de entrada dos atacantes para um ataque de maior dimensão.

Na verdade, não são tão raros quanto isso. 27% das organizações inquiridas pela PwC admite ter experienciado entre um e cinco incidentes de cibersegurança nos 12 meses anteriores à entrevista, dos quais 59% envolvendo dados pessoais. Outro dado que pode causar surpresa é que 68% das organizações admitiram nunca ter notificado o Centro Nacional de Cibersegurança (CNCS) do ocorrido.

Muitas organizações têm planeado ações de consciencialização para transmitirem as boas práticas de cibersegurança, dado que as pessoas são, frequentemente, apontadas como o elo mais fraco da equação. Mas 32% das organizações inquiridas não previa este tipo de medida preventiva. A PwC destaca também que a maioria das iniciativas que existem “não têm um caráter obrigatório” nas organizações, embora admita que “o número de respondentes” do estudo é “limitado”.

Por fim, e ainda no campo da prevenção, a PwC concluiu que 50% das organizações não realizam testes de cibersegurança. 20%, porém, disseram que os fazem “regularmente”.

Do lado da contingência, a PwC recomenda cinco ações aos gestores: redefinir a estratégia de cibersegurança, repensar o orçamento para esta defesa, nivelar o “campo de jogo” com os atacantes, construir resiliência para cada cenário e tornar a equipa de cibersegurança “à prova de futuro”.