SEGURANÇA

RS: 70% das empresas são vulneráveis 6e4u6m

Netfive fez um estudo com 100 empresas médias e grandes no estado. 6p6p3

28 de setembro de 2021 - 13:25
Segurança das empresas gaúchas tem fragilidades sérias. Foto: Pexels.

Segurança das empresas gaúchas tem fragilidades sérias. Foto: Pexels.

Sete em cada dez empresas médias e grandes no Rio Grande do Sul tem pelo menos três vulnerabilidades que apresentam riscos à segurança da informação e uma em cada 20, algum tipo de vulnerabilidade com alto poder de dano e de fácil exploração.

O quadro, preocupante mas talvez não surpreendente (e provavalmente igual em outras partes do país), foi descoberto pela Netfive, uma consultoria de segurança sediada em Porto Alegre.

A empresa chegou a conclusão usando as mesmas técnicas que um atancante usaria, iniciando pelo domínio da organização e enumerando subdomínios e tecnologias utilizadas nos sistemas.

Depois disso, a Netfive executou softwares open source que identificam vulnerabilidades conhecidas (CVEs, no jargão da área de segurança) e classificam o risco como baixo, médio ou alto baseado no impacto que a vulnerabilidade explorada pode causar na organização. 

Entre as vulnerabilidades mais típicas, estão softwares desatualizados; arquivos de backup armazenados no próprio servidor, que expõem dados sensíveis da aplicação ou banco de dados; páginas internas como Intranets e painéis de istração expostas para a Internet e sistemas de gerenciamento de conteúdo desatualizados, em especial o Wordpress, uma solução open source muito popular.

Os erros graves, encontrados em 1 de cada 20 pesquisados, incluem vulnerabilidades que permitem a execução remota de comandos, permitindo o controle completo do servidor e o à rede interna.

Essa situação decorre da falta de falta de atualização de sistemas como   concentradores VPN, sistemas que utilizam TOMCAT/JBOSS, servidores de e-mail e sistemas DVR/NVR.

Em paralelo aos testes de vulnerabilidades, a Netfive também enviou questionários às empresas, o que ajuda a complementar o quadro.

Das pesquisadas, 30% disseram que sabem ter sido vítimas de um ataque cibernético, um número que a Netfive acredita que possa ser maior. 

“É possível que a organização ainda não tenha detectado ou que o ataque não tenha causado nenhuma interrupção nos serviços, como, por exemplo, um vazamento de dados. Este número, infelizmente, tende a aumentar”, aponta o CEO da Netfive, Henrique Schneider.

O motivo é que as empresas brasileiras são as que mais demoram para perceberem ter sido vítimas de um vazamento de dados, segundo um estudo da IBM: 380 dias na média, contra uma média mundial de 280.

No assunto gestão de risco, cerca de dois terços das pesquisadas disseram que já tem rotinas de avaliação de risco e identificação das ameaças à segurança e gestão contínua de vulnerabilidades (identificação, priorização e correção).

Por outro lado, só a metade disse ter programas de treinamento e conscientização dos colaboradores a respeito dos ataques cibernéticos e um plano de resposta estruturado caso um aconteça.

Só 39% contam com algum tipo de framework de segurança (como NIST, ISO, CIS, entre outros). Um seguro para riscos digitais está nos planos de apenas 30% e a grande maioria, 65%, tem dificuldades na contratação de profissionais de TI e SI.

“Acreditamos  que a falta de profissionais e processos entre TI e segurança da informação podem ser os fatores causadores do alto número de vulnerabilidades detectadas”, avalia Schneider.

A Netfive atua desde 2008 com infraestrutura de TI e segurança da informação. A empresa faz a gestão compartilhada ou total da infraestrutura de TI de 40 clientes, totalizando 1,5 mil usuários treinados, uma média de 60% na redução dos ataques e mais de 50 mil vulnerabilidades corrigidas.

Leia mais 6z23s

DISPONIBILIDADE

Volpato reestrutura infra com Netfive 5s723z

Há 1485 dias
PROJETOS

Falconi terá negócio de segurança da informação 2p6n4w

Há 1342 dias
SEGURANÇA

Site expõe 426 milhões de dados pessoais 493xj

Há 1343 dias
NOMES

Lojas Renner tem novo gerente de segurança 2l665

CARREIRA

Padua é diretora de cibersegurança na Microsoft 5t254g

LGPD

Intervalor investe em segurança de dados 5c4y5m