Desde 2013, o Governo do Reino Unido tem feito um inquérito às 350 maiores empresas britânicas para compreender como estão a gerir os seus riscos cibernéticos. O relatório deste ano concluiu que estas empresas estão agora mais conscientes da importância de uma boa segurança cibernética, mas adverte que devem melhorar a um ritmo muito mais rápido se quiserem manter-se à frente dos futuros desafios de segurança cibernética.
Abaixo, analisamos algumas das principais conclusões do relatório deste ano e discutimos o que poderá significar para o futuro da segurança cibernética, conformidade e protecção de dados.
Formação CiberSegurança um problema para empresas FTSE 350
É discutível que o facto mais surpreendente a sair do relatório é a constatação de que 68% das empresas não receberam qualquer formação para lidar com um incidente cibernético. Apesar de mais de um quarto (26%) terem recebido alguma formação em resposta a incidentes, um preocupante baixo 2% relatou ter recebido formação abrangente da sua direcção relacionada com a resposta a incidentes.
O relatório também concluiu que mais de um quarto dos Conselhos de Administração não têm um papel definido numa resposta à escala da empresa a um incidente cibernético. Isto simplesmente não é suficientemente bom nas empresas dos dias de hoje. A protecção dos principais activos de informação é de importância crítica em todas as funções empresariais de hoje em dia.
Os membros da direcção devem gerir os riscos nas suas organizações recorrendo ao apoio da direcção, implementando as melhores práticas de gestão de riscos e cultivando uma cultura consciente do risco. Ao fazer isto, as empresas não só estarão a salvaguardar os seus valiosos activos, como também estarão a obter benefícios estratégicos e operacionais.
GDPR - Ainda uma questão para as grandes empresas
O relatório concluiu que os Conselhos de Administração só ocasionalmente estão a considerar a GDPR nas suas reuniões. Esta é uma grande causa de alarme, uma vez que o relógio se aproxima da implementação da GDPR a 25 de Maio de 2018. Olhando especificamente para o tratamento da GDPR a nível do Conselho de Administração, a maior proporção de inquiridos disse que o assunto tinha sido discutido, mas não era um assunto regular (42%). Isto indica que existe pelo menos um conhecimento geral da GDPR, mas quando associado à conclusão do relatório de que apenas 13% dos inquiridos disseram que a GDPR foi regularmente considerada pelo seu Conselho de Administração, isto é preocupante.
Neste momento, as empresas já devem estar no bom caminho para finalizar o seu plano GDPR. No entanto, o relatório indica que isto está longe de ser verdade e que há uma hipótese de o pânico se instalar nas empresas FTSE 350 nos próximos meses para implementar um plano para lidar com o GDPR.
Boas notícias
Apesar destes avisos, há motivos para alguma celebração dentro do relatório. Tem havido um notável aumento na compreensão e sensibilização que os Conselhos de Administração têm do impacto potencial que pode resultar de uma perda de, ou perturbação de, informação chave ou bens de dados. Isto aumentou de 49% em 2015/16 para 57% no relatório deste ano.
Relativamente à informação que os Conselhos de Administração recebem sobre segurança cibernética, o relatório deste ano concluiu que 31% recebem informação de gestão abrangente e informativa sobre ameaças cibernéticas. Considerando que isto aumentou de 21% no ano anterior, esta foi uma grande fonte de positividade.
Para concluir, é seguro dizer que o FTSE 350 Cyber Governance Health Check Report deste ano é um saco misto. Há uma melhoria acentuada em algumas áreas, enquanto outras, como a formação e a introdução do GDPR, continuam a ser negligenciadas.
Se desejar ler o relatório completo, pode fazê-lo aqui.
O que é que achou do relatório deste ano, alguma coisa lhe deu motivo para grande preocupação? Alguma coisa lhe pareceu particularmente surpreendente?