Só 41% das empresas brasileiras possuem políticas de segurança digital

Com números da pesquisa TIC Empresas e entrevistas realizadas com representantes de pequenas, médias e grandes organizações, o Núcleo de Informação e Coordenação do Ponto BR, NIC.br, apresenta um panorama sobre a segurança digital no Brasil. E o resultado aponta que a maioria das empresas ainda não despertou para o tema: só 41% delas possuem algum tipo de política de segurança digital.

Essa média compreende diferenças significativas a depender do porte da organização. O trabalho parte do conceito de Gestão de Risco de Segurança Digital (GRSD), definida pela Organização para a Cooperação e Desenvolvimento Econômico como o “conjunto de ações coordenadas, tomadas dentro de uma organização e/ou entre organizações, para lidar com os riscos à segurança digital e maximizar as oportunidades”.

E a partir desse entendimento, os resultados indicam que é um conceito mais comumente encontrado nas grandes empresas, grupo em que a segurança digital se faz presente em 74% da amostra. Entre as médias, as políticas sobre o tema aparecem em 63%. Mas nas pequenas, somente 37% adota políticas de segurança cibernética.

Esses e outros números fazem parte do Estudo Setorial Segurança digital: uma análise de gestão de risco em empresas brasileiras, lançado nesta segunda, 17/5, em forma de um livro. O trabalho foi realizado pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br) e o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), ambos do NIC.br.

O livro apresenta um conjunto de dados acerca dos principais incidentes de segurança observados pelo CERT.br no Brasil, bem como um panorama geral sobre a segurança digital nos países da América Latina, apresentado pela Comissão Econômica para América Latina (Cepal).

Há um capítulo específico sobre o panorama da segurança digital nas empresas brasileiras. E embora não haja diferenças por região do país, o setor de atividade com mais empresas que possuem algum tipo de política de segurança digital é o de Informação e Comunicação (65%), caracterizado pelo uso intensivo das TIC e pela entrega de produtos ou serviços digitais.

Ainda no caso do Brasil, os dados retratam que poucas empresas implementam ações para informar os funcionários sobre os riscos digitais, tais como treinamentos (21%) ou discussão sobre esse tema em suas reuniões (33%); além disso, é reduzido o percentual de empresas que indicaram, por exemplo, ter contratos de trabalho que mencionem segurança digital (22%) ou incentivos de desempenho para redução de risco de digital (18%).

Entre as conclusões, o nível precário de capacitação nas empresas não diz respeito apenas à gestão de risco digital, mas também à gestão de risco de modo geral. Verificou-se nas entrevistas que as instâncias de treinamento têm caráter reativo: quando ocorre um incidente, mesmo que sem consequências significativas, acontece uma conversa ou reunião informal em que são abordadas questões de segurança digital.

Além disso, os dados coletados nas entrevistas cognitivas realizadas com empresas brasileiras selecionadas mostraram que, na avaliação dos respondentes, à segurança digital não é dada a devida atenção pelas lideranças das empresas, que muitas vezes a consideram uma área custosa, não condizente com a realidade da empresa, ou de pouca importância. Portanto, assuntos relativos à segurança digital – e própria gestão dos riscos – ficam circunscritos à área técnica, não sendo incorporados ao core business da empresa.