Cisco: falta inteligência nas estratégias de segurança corporativa

Apesar de apresentar alta sofisticação de segurança, as
organizações não estão seguras como acreditam. No Brasil, 34% das organizações
possuem alto nível de segurança e 35% estão acima da média. Na Índia, que
aparece na liderança dos países pesquisados, cerca de 54% das companhias
apresentam alto nível de segurança. Em comparação, os Estados Unidos o índice é
de 44%.

Falta inteligência nas estratégias que envolvem a segurança corporativa. Esse é o diagnóstico feito pelos executivos da Cisco com base no Relatório Anual de Segurança 2015 produzido pela companhia.

De acordo com a empresa, a falta de visibilidade sobre as
possíveis lacunas de segurança nos sistemas, bem como a ausência de controle de
como os funcionários acessam conteúdo nas empresas e até mesmo conectam dispositivos
à rede corporativa é responsável por gerar uma falsa impressão de que as coisas
andam bem.

O levantamento global da Cisco, que analisou a opinião de
diretores de segurança e operação de 1,7 mil empresas de nove países, indica que 75%
dos executivos de segurança qualificam suas ferramentas de segurança como eficazes.
Contudo, menos de 50% dos entrevistados declararam utilizar ferramentas padrão,
como aplicação de patches (remendos) e configuração, com objetivo de evitar
ataques a seus sistemas e garantir a execução de versões mais atualizadas de
aplicações.

O estudo também revela que somente 10% dos usuários de
Internet Explorer informam usar a versão atualizada, mesmo assim, 90% são
confiantes quanto às medidas de segurança praticadas nas empresas.

Outro dado que chama atenção refere-se ao Heartbleed, falha
de segurança no OpenSSL que figura entre as principais vulnerabilidades no ano
passado. Segundo a Cisco, 56% de todas as versões do OpenSSL continuam
vulneráveis à ameaça, cujos ataques aproveitam atualmente somente 1% das
vulnerabilidades de alta urgência.

Essa falsa percepção, segundo Marcelo Bezerra, diretor de engenharia
de segurança da Cisco para a América Latina, ainda é agravada no Brasil pela inexistência
de uma lei que torne obrigatório empresas levarem a público os casos de falha
ou ameaça de segurança que podem expor seus clientes.

Mais direcionados e sofisticados, os ataques continuam a
explorar mecanismos que conhecemos pelo menos há dez anos, como o spam. O
relatório destaca que os invasores deixaram de focar em servidores e sistemas
operacionais, voltando os olhos para os usuários, que podem baixar arquivos
comprometidos capazes de infectar as empresas.  Desse modo, foi registrado aumento de 228% em
ataques do tipo ““Silverlight”, além de crescimento de 250% em spam e exploits
do tipo “malvertising”.