Conheça o nível em que se encontram as várias Organizações em Portugal em matérias de cibersegurança no ano de 2020 e compreenda como estas se estão a preparar para adversidades no futuro. Conheça todas as conclusões.
Este novo panorama obrigou à consideração de novos riscos e desafios na dimensão da cibersegurança. Foi neste sentido que desenvolvemos o Cyber Survey Portugal 2021.
Neste período pandémico, as preocupações das Organizações também se têm focado nos riscos cibernéticos. Aliás, o nível de preocupação aumentou em cerca de 50% face ao reportado anteriormente. Refere-se também que estas preocupações devem ser alinhadas com a estratégia das Organizações para assim garantir uma aceleração rápida e segura através dos meios necessários, começando pela reestruturação do modelo de governo para delinear a atribuição de responsabilidades para a cibersegurança (e.g. CISO).
De acordo com o inquérito da PwC, o panorama de segurança português alterou drasticamente em 2020 e cerca de 40% dos inquiridos admitiram que experienciaram pelo menos um incidente de segurança no último ano.
“[Torna-se] premente dotar as Organizações de competências de cibersegurança, envolvendo as pessoas, processos e tecnologia. (...) A ameaça é real e torna-se essencial mobilizar meios (internos e externos) para tornar as Organizações mais resilientes a nível cibernético.”
das Organizações estão preocupadas com danos reputacionais e com a indisponibilidade de sistemas críticos, por um período prolongado.
Conjuntamente com o smishing, são as principais ameaças a enfrentar no próximo ano para 64% das Organizações.
das Organizações inquiridas temem incidentes que causem perdas financeiras ou o roubo de informações confidenciais.
das Organizações experienciaram entre um a cinco incidentes nos últimos 12 meses que antecederam ao inquérito.
preocupa-se com a perda de dados pessoais – essa preocupação parte da exfiltração de dados verificadas nos incidentes de segurança que encontramos.
dos incidentes registados envolveram dados pessoais.
Contudo, cerca de 32% das Organizações ainda não prevê ações de consciencialização.
No entanto, observando mais detalhadamente as respostas, verificamos que somente 20% das Organizações respondentes em Portugal, realizam testes de cibersegurança regularmente, enquanto que as restantes fazem-no de forma dispersa no tempo, juntamente com 50% que não realizam testes.
Esta situação poderá incorrer em riscos que não estão a ser acautelados no momento indicado para empregar sessões direcionadas de sensibilização aos colaboradores com desempenho abaixo do expectável, mitigando os riscos tipicamente conexos com a engenharia social.
De acordo com os dados prestados pela equipa coordenadora CERT.PT, Portugal tem sido alvo de um aumento considerável do número de incidentes de cibersegurança. Das Organizações inquiridas, cerca de um terço (27%) referiu ter sido alvo de 1 a 5 incidentes.
27% das empresas revelaram ter sofrido perdas monetárias.
Desta forma, reforçamos a mensagem de que, investindo em cibersegurança, as Organizações podem minimizar o risco de concretizar estas perdas, nomeadamente através de métodos de análise de risco que permitam quantificar e priorizar as ameaças identificando antecipadamente para onde direcionar os principais esforços.
14% das Organizações referiram ter sido impactadas estrategicamente pela ENSC. Destes, 14% tornaram-se mais conscientes das potenciais ameaças de cibersegurança.
O conhecimento da estratégia é relevante para compreender as principais ameaças identificadas pelo Estado português e, subsequentemente, alinhar a estratégia do negócio, bem como as iniciativas de cibersegurança ao perfil de ameaças e desafios mencionados na ENSC.
Ainda sobre estes 14% de inquiridos, também se aponta que a ENSC permitiu aumentar o nível de segurança das mesmas, permitiu criar novas oportunidades e valor para a Organização, fortaleceu a colaboração com o setor e resultou em novos investimentos em tecnologia.
Nesse sentido, procurámos compreender se as Organizações procuram intensificar a contratação de trabalhadores para esta área, sendo que 59% não considera contratar mais pessoas.
Cerca de 61% das Organizações inquiridas não tem nomeado um CISO (Chefe de Segurança de Informação) ou semelhante para gerir a área de cibersegurança.
Relativamente aos colaboradores atuais alocados a esta área (a maioria das Organizações têm até 5 trabalhadores), cerca de 62% não têm certificações de cibersegurança ou privacidade.
Permitir que as organizações definam a estratégia para a cibersegurança tendo por base um alinhamento estreito com o negócio.
Elaborar o orçamento de Cibersegurança com base na quantificação da diminuição do risco demonstrando assim o valor dos investimentos nesta área.
Priorizar as iniciativas com base na implementação de novas tecnologias/modelos de segurança (e.g. Cloud, Zero Trust).
Preparar medidas de gestão e respetiva orquestração pelas áreas envolvidas na continuidade de negócio, disaster recovery e gestão de crises.
Aumentar as competências em cibersegurança através de formação (upskilling), atração de talento ou contratação de Managed Services.
Marketing & Business Development, Senior Manager, PwC Portugal
Tel: +351 213 599 651