Ataques cibernéticos ganham destaque a cada dia; na verdade, 2017 foi o pior ano até agora para violações de dados, com o número de incidentes cibernéticos direcionados a empresas quase dobrando de 2016 a 2017.

Agora, uma nova pesquisa da UBC Sauder School of Business quantificou os níveis de segurança de mais de 1, 200 empresas pan-asiáticas para determinar se o aumento da conscientização sobre os níveis de segurança de alguém leva a melhores níveis de defesa contra o crime cibernético.

O estudo descobriu que, quando os ataques cibernéticos eram menos propensos a prejudicar diretamente uma empresa, as organizações provavelmente não priorizariam melhorias de segurança. As empresas estavam mais propensas a corrigir problemas relacionados a e-mails de spam originados de seus computadores comprometidos, mas não agiram quando descobriram que hospedavam sites de phishing em seus servidores. A maioria das empresas com sites de phishing está, na verdade, hospedando provedores de serviços.

Os pesquisadores realizaram um experimento de campo randomizado em organizações em Hong Kong, China, Cingapura, Macau, Malásia e Taiwan - que foram escolhidas por seu significativo desenvolvimento econômico, bem como pela rápida adoção de tecnologias. O experimento avaliou a preparação de cada organização em relação a dois problemas de segurança distintos:emissões de spam e hospedagem de sites de phishing. O spam geralmente consiste em mensagens em massa não solicitadas enviadas por computadores "zumbis" comprometidos controlados por atacantes cibernéticos, enquanto o phishing se refere à obtenção fraudulenta de informações confidenciais, como senhas e detalhes de cartão de crédito por motivos maliciosos.

"Para empresas que hospedam sites de phishing, havia menos incentivos para reprimir os sites, uma vez que eram operados por clientes pagantes e os sites não afetavam negativamente a própria empresa, "explica Gene Moo Lee, coautor do estudo e professor assistente de Contabilidade e Sistemas de Informação na UBC Sauder School of Business.

Os pesquisadores desenvolveram e atribuíram uma pontuação de segurança da informação, semelhante à ideia das classificações de crédito da Moody's e Standard and Poor's, para cada organização. A pontuação pode ser usada como um indicador das vulnerabilidades de segurança de cada organização.

Os resultados de segurança de cada empresa foram publicados online. De acordo com Lee, divulgar os níveis de segurança das empresas não só leva a uma maior transparência, mas também pode ser usado para fortalecer sua segurança ao longo do tempo. Além disso, organizações com baixo desempenho podem enfrentar maior pressão de seus clientes e perda de reputação.

"O número cada vez maior de ataques cibernéticos motivou meus coautores e eu a explorar uma forma mais eficaz de aumentar a consciência de segurança das organizações e do público em geral, "explica Lee." Ao estabelecer um esquema de classificação de empresas contra golpes online, esperamos que isso aumente a consciência das empresas para lidar com questões de segurança abaixo do ideal. "

Para Lee, a segurança cibernética é uma preocupação internacional que precisa ser gerenciada de forma mais eficaz. "Muitas organizações não entendem as ameaças representadas por emergentes, ataques cibernéticos sofisticados e geralmente adotam uma abordagem de esperar para ver em investimentos em segurança até que um grande incidente de segurança os afete significativamente, "disse ele." Nossa esperança com esta pesquisa é que as empresas melhorem seus níveis de segurança para evitar o potencial de ataques cibernéticos em primeiro lugar. E, em última análise, o objetivo de nossa pesquisa é fornecer percepções para os formuladores de políticas de segurança cibernética. "

"Divulgação de informações e desenho de políticas de segurança:um experimento de randomização em larga escala na Pan-Ásia" foi recentemente apresentado no Workshop sobre economia da segurança da informação. Foi coautor de Yun-Sik Choi e Andrew B. Whinston da Universidade do Texas em Austin, Shu He, da Universidade de Connecticut, e Yunhui Zhuang e Alvin Chung Man Leung da City University de Hong Kong.