Un estudio realizado por BugHunt con más de 50 empresas en Brasil muestra que el phishing con 28%, los virus con 24%, el ransomware, 21% y el vishing, 10%, fueron los ataques más denunciados.
Las medidas restrictivas impuestas por la pandemia de COVID-19 y la consiguiente digitalización de las rutinas de trabajo, un proceso que, en su mayor parte, no estaba bien planificado, fueron algunos de los principales factores que llevaron al aumento de los ciberataques en Brasil.
Según la 1.ª Encuesta Nacional de Seguridad de la Información BugHunt, realizada por BugHunt – la primera plataforma brasileña de Bug Bounty – el 26% de las empresas brasileñas han sufrido ciberataques en los últimos 12 meses. Phishing (28%), virus (24%), ransomware (21%) y vishing (10%) fueron las ocurrencias más reportadas en el período.
El estudio incluyó a 58 empresas brasileñas -la mayoría del sector tecnológico- con más de 10 años de experiencia en el mercado.
La seguridad de la información y los impactos de la pandemia
Las medidas sociales restrictivas impuestas por la pandemia de COVID-19 han provocado que varias organizaciones, como empresas privadas y agencias gubernamentales, migren rápidamente a sistemas en línea. El trabajo remoto permitió a millones de personas trabajar desde casa y tener acceso diario a entornos corporativos desde las redes domésticas.
Caio Telles, CEO de BugHunt, dijo: “Con muchas cosas hechas con prisa y sin la planificación necesaria, especialmente entre las pequeñas y medianas empresas, que son la mayoría en Brasil, la seguridad digital de las corporaciones se vio comprometida”.
Según la investigación, más del 36% de las empresas no estaban preparadas para esta realidad. Por otro lado, el aumento de la incidencia de amenazas y ataques digitales ha mejorado el enfoque de muchas empresas en relación a la seguridad de la información.
Inversiones en ciberseguridad
Según el estudio BugHunt, las inversiones en el área se han más que triplicado en los últimos tres años, siendo la lucha contra los ciberataques y el cumplimiento de la Ley General de Protección de Datos de Brasil (LGPD) las principales razones para adoptar nuevas estrategias. Además, la mayoría de ellos centran sus esfuerzos en desarrollar su propio equipo de TI.
En la mayoría de las empresas (58,6%), el límite presupuestario anual para el sector de seguridad de la información es de R$ 50.000. Para el 15,5% de las empresas, la inversión está entre R$ 100.000 y R$ 300.000, mientras que el 15,5% gasta más de R$ 300.000 y el 10,4% invierte entre R$ 50.000 y R$ 100.000.
Además, el 67,2% de las empresas que respondieron la investigación comenzaron a invertir en seguridad de la información en los últimos tres años, el 19% en los últimos tres a cinco años y solo el 13,8% durante más de cinco años. Los encuestados dicen que las inversiones buscan prevenir ciberataques, asegurar la adaptación a la LGPD o porque han sufrido incidentes previos.
El estudio también revela que el 64% de las empresas entrevistadas cumplen con la LGPD. De los que aún no lo están, el 47% ya está realizando proyectos de adaptación, el 24% se está adaptando con el equipo interno, el 12% no cuenta con el apoyo de la alta dirección y el 5% no ha podido identificar a un proveedor.
Desafíos para implementar la seguridad de la información en las empresas
La tan alabada Transformación Digital es una realidad en varias empresas. Sin embargo, según Telles, durante este proceso muchas empresas acaban dejando huecos a los ciberdelincuentes.
“Esta es la razón por la cual las inversiones en seguridad de la información son cada vez más urgentes. Esto debería ser una prioridad para las empresas pero son pocas las que realmente integran la ciberseguridad en la cultura corporativa”, dijo Telles.
Los principales desafíos para implementar medidas de seguridad de la información, según la encuesta, son el cumplimiento de los empleados (40 %), la alta inversión (31 %) y convencer a los tomadores de decisiones (24 %).
“En la mayoría de los casos, es común que los empleados, por falta de conocimiento y preparación, sean objetivos de phishing”, dijo Telles.
“Por lo tanto, es importante ofrecer capacitación periódica sobre los riesgos y las mejores prácticas para el uso de la red y el intercambio de datos. Los gerentes y líderes deben involucrarse en el proceso para garantizar que el conocimiento de ciberseguridad sea parte de la vida diaria”.
El estudio indica que el 79% de las empresas invierte en programas de concientización interna sobre seguridad de la información, ofreciendo campañas corporativas (40%), conferencias sobre seguridad de la información para empleados (36%) y phishing dirigido y controlado (12%). Challenges for implementing information security in companies
The much-lauded Digital Transformation is a reality in several companies. However, according to Telles, during this process many companies end up leaving gaps for cybercriminals.
El escenario de la seguridad de la información en Brasil
Con la adopción masiva del trabajo remoto, los ciberataques se han producido con mayor frecuencia en empresas e instituciones de todos los tamaños.
“El escenario muestra que el tema de la ciberseguridad ahora es abordado como una estrategia de negocios en la mayoría de las empresas”, dijo el CEO.
Sin embargo, según Telles, aún hay espacio para mejorar, al igual que la transposición de programas internos de concientización y desarrollo e invertir en la implementación de nuevas herramientas enfocadas en la seguridad de la información, como Bug Bounty.
“El estudio muestra claramente que todavía hay espacio para que las empresas brasileñas mejoren la seguridad contra los ataques cibernéticos”, concluyó Telles. The information security scenario in Brazil.