Embora a proteção de dados digitais seja vista como necessária, mais da metade das empresas industriais (52,4%) não trata a cibersegurança como prioridade. Praticamente três a cada dez fabricantes já sofreram algum tipo de ataque cibernético, com tentativas de extorsão em alguns casos. Apesar do risco, menos da metade das companhias (44,2%) possui estrutura organizacional de segurança cibernética ou de informação.
Os dados foram levantados em pesquisa feita pela Federação das Indústrias do Estado de São Paulo (Fiesp) sobre a maturidade do setor em cibersegurança. O levantamento completo será apresentado amanhã em congresso sobre segurança e defesa cibernética na sede da entidade da indústria paulista.
A pesquisa mostra que um terço das empresas (33%) não realiza nenhuma atividade para promover a conscientização de seus funcionários sobre segurança da informação e proteção de dados. Apenas uma pequena parcela nomeou um encarregado de proteção de dados, fundamental para que haja conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Nas empresas que o fizeram, o encarregado normalmente acumula funções, o que pode gerar conflitos de interesse.
A maioria das empresas (64%), conforme o levantamento da Fiesp, investe no máximo 1% do faturamento em cibersegurança, uma alocação limitada de recursos que pode restringir a capacidade de implementar medidas de segurança robustas e capazes de responder com eficácia a ataques cibernéticos. O relatório destaca que, embora esse investimento permita a adoção de medidas básicas, o custo dos ataques está aumentando. Micro e pequenas empresas, as mais vulneráveis, podem não sobreviver a um ataque de hackers.
O fator humano é apontado como a principal vulnerabilidade das empresas a esses ataques, seja por falhas não intencionais ou por golpes dolosos. A pesquisa mostra também que muitas empresas ainda não implementaram medidas preventivas essenciais, sendo que apenas 21% delas possuem um plano de resposta a incidentes cibernéticos. Apenas 15,5% testaram esse plano. A falta de testes regulares pode comprometer a eficácia do plano em uma situação real. Além disso, apenas 18% das empresas possuem um centro de operações de segurança em funcionamento 24 horas por dia, sete dias por semana.
A conclusão do departamento de Defesa e Segurança da Fiesp, responsável pelo estudo, é de que o cenário exige esforços crescentes, constantes e combinados das empresas. A entidade aponta a capacitação de funcionários como um passo fundamental em direção a uma maior segurança de dados digitais nas empresas, já que profissionais bem treinados podem reduzir a falha humana.
A Fiesp diz que é preciso ampliar o nível de conscientização sobre segurança cibernética para todo o corpo de funcionários da empresa, incluindo a alta cúpula. Ressalta também que, além de medidas de segurança já usuais, como o uso de softwares antivírus e filtros anti-spam, é crucial a adoção de um plano de resposta a incidentes cibernéticos, de modo que as companhias possam reagir com maior prontidão em caso de ataque.
A pesquisa teve a participação de 233 empresas industriais - maioria delas (62,7%) micro e pequenas - e foi realizada por meio de um formulário enviado para a base de indústrias associadas à Fiesp entre os dias 6 e 24 de maio.