Resultado é que cerca de 25% delas não conseguem medir os impactos resultantes dos incidentes relacionados à segurança, indica estudo da Level 3 Communications

As empresas no Brasil têm, em média, dois profissionais dedicados à segurança da informação, sendo que aproximadamente 25% delas não conseguem medir os impactos resultantes dos incidentes relacionados à segurança da informação.  Estas são algumas das constatações de um estudo encomendado à IDC pela Level 3 Communications.

Intitulado Level 3 Security Index, o levantamento revela que 61% das empresas acreditam que poucos profissionais estão qualificados a utilizar as ferramentas disponíveis para certificar a segurança da informação. O estudo teve como objetivo identificar a maturidade da segurança da informação e da infraestrutura corporativa de TI das organizações brasileiras. O Brasil recebeu uma pontuação geral de 64,9 pontos em um total possível de 100 pontos.

Outra descoberta relevante do Level 3 Security Index é que cerca de 57% das organizações entrevistadas já utilizam serviços gerenciados de segurança (Managed Security Services – MSS) como resposta à falta de profissionais qualificados. Apesar disso, apenas 42% alegam praticar e gerar métricas sobre o cumprimento de suas políticas de segurança da informação.

O relatório pesquisou quarto tópicos: conscientização, ferramental, prevenção e mitigação. Em relação à conscientização, o estudo demonstrou que grandes empresas têm maior dificuldade com a visibilidade dos problemas de segurança. Esta falta de visibilidade está relacionada à complexidade de seus ambientes e sistemas.

Em relação à conscientização na quantificação de ataques sofridos ou mitigados, 34% têm visibilidade completa; as outras 66% têm visibilidade parcial ou nenhuma.

Quando perguntadas sobre a mensuração do impacto de incidentes de segurança, 25,5% não sabem e 32% sabem apenas superficialmente, enquanto 42,2% podem detalhar o impacto em cada sistema ou nos sistemas críticos.

O estudo mostrou que ferramentas internas de tecnologia representa a área de maior desafio para a segurança. Isto se deve ao fato de a aquisição de ferramentas de tecnologia voltadas para segurança, em certa medida, estar ligadas à capacidade de investimento das empresas.

Prevenção

As grandes empresas são ativas na prevenção, estabelecendo e monitorando controles com maior atenção, possibilitando um nível melhor de desempenho. Quando perguntadas sobre políticas e padrões de segurança da informação estabelecidos e documentados, 28% não possuem um cronograma definido para revisar e atualizá-los, enquanto 33% os revisam e atualizam apenas uma vez ao ano.

O estudo mostra que as habilidades de comunicação e estrutura de ativação são, em muitos casos, informais e não estão bem documentadas.  Quarenta e seis por cento das empresas não mantêm uma frequência na revisão de procedimentos de contingência e segurança.

Ao serem questionadas sobre o grau de alinhamento em segurança da informação, no item “controles internos para detecção e prevenção de fraude são validados periodicamente”, 41% consideram que isso é realidade em suas empresas, enquanto 59% dos participantes ainda consideram isso distante.

Apesar do atual cenário, o estudo mostrou uma perspectiva mais proativa para a segurança da informação em 2017. Mais de 42% das empresas pesquisadas pretendem aumentar seu orçamento de TI em 2017, em comparação a 2016.

O modelo de infraestrutura como serviço (IaaS) está ganhando tração não só em computação, mas também em armazenamento — um fator que aumenta as preocupações em relação à segurança e governança de informação.

Para a pesquisa, a IDC entrevistou 100 empresas baseadas no Brasil com mais de 250 funcionários (a maioria com mais de mil funcionários), observando as quatro dimensões do estudo: conscientização, ferramentas, prevenção e mitigação.

Fonte: ComputerWorld