Sete em cada dez empresas médias e grandes no Rio Grande do Sul tem pelo menos três vulnerabilidades que apresentam riscos à segurança da informação e uma em cada 20, algum tipo de vulnerabilidade com alto poder de dano e de fácil exploração.

O quadro, preocupante mas talvez não surpreendente (e provavalmente igual em outras partes do país), foi descoberto pela Netfive, uma consultoria de segurança sediada em Porto Alegre.

A empresa chegou a conclusão usando as mesmas técnicas que um atancante usaria, iniciando pelo domínio da organização e enumerando subdomínios e tecnologias utilizadas nos sistemas.

Depois disso, a Netfive executou softwares open source que identificam vulnerabilidades conhecidas (CVEs, no jargão da área de segurança) e classificam o risco como baixo, médio ou alto baseado no impacto que a vulnerabilidade explorada pode causar na organização. 

Entre as vulnerabilidades mais típicas, estão softwares desatualizados; arquivos de backup armazenados no próprio servidor, que expõem dados sensíveis da aplicação ou banco de dados; páginas internas como Intranets e painéis de administração expostas para a Internet e sistemas de gerenciamento de conteúdo desatualizados, em especial o Wordpress, uma solução open source muito popular.

Os erros graves, encontrados em 1 de cada 20 pesquisados, incluem vulnerabilidades que permitem a execução remota de comandos, permitindo o controle completo do servidor e acesso à rede interna.

Essa situação decorre da falta de falta de atualização de sistemas como   concentradores VPN, sistemas que utilizam TOMCAT/JBOSS, servidores de e-mail e sistemas DVR/NVR.

Em paralelo aos testes de vulnerabilidades, a Netfive também enviou questionários às empresas, o que ajuda a complementar o quadro.

Das pesquisadas, 30% disseram que sabem ter sido vítimas de um ataque cibernético, um número que a Netfive acredita que possa ser maior. 

“É possível que a organização ainda não tenha detectado ou que o ataque não tenha causado nenhuma interrupção nos serviços, como, por exemplo, um vazamento de dados. Este número, infelizmente, tende a aumentar”, aponta o CEO da Netfive, Henrique Schneider.

O motivo é que as empresas brasileiras são as que mais demoram para perceberem ter sido vítimas de um vazamento de dados, segundo um estudo da IBM: 380 dias na média, contra uma média mundial de 280.

No assunto gestão de risco, cerca de dois terços das pesquisadas disseram que já tem rotinas de avaliação de risco e identificação das ameaças à segurança e gestão contínua de vulnerabilidades (identificação, priorização e correção).

Por outro lado, só a metade disse ter programas de treinamento e conscientização dos colaboradores a respeito dos ataques cibernéticos e um plano de resposta estruturado caso um aconteça.

Só 39% contam com algum tipo de framework de segurança (como NIST, ISO, CIS, entre outros). Um seguro para riscos digitais está nos planos de apenas 30% e a grande maioria, 65%, tem dificuldades na contratação de profissionais de TI e SI.

“Acreditamos  que a falta de profissionais e processos entre TI e segurança da informação podem ser os fatores causadores do alto número de vulnerabilidades detectadas”, avalia Schneider.

A Netfive atua desde 2008 com infraestrutura de TI e segurança da informação. A empresa faz a gestão compartilhada ou total da infraestrutura de TI de 40 clientes, totalizando 1,5 mil usuários treinados, uma média de 60% na redução dos ataques e mais de 50 mil vulnerabilidades corrigidas.