Home > Notícias

Maturidade das empresas brasileiras em Segurança da Informação ainda é baixa

Maioria usa ferramental básico demais para enfrentar novas e crescentes ameaças, e emprega profissionais pouco qualificados para lidar com as armas disponíveis, revela pesquisa da IDC Brasil, encomendada pela Level 3

Da Redação

03/02/2017 às 9h32

cibercrime.jpg
Foto:

A maioria das empresas brasileiras conta com ferramental básico, e nem sempre suficiente, para enfrentar as novas e crescentes ameaças de segurança  às quais estão expostas. E muitas delas (61%)  acreditam que poucos profissionais estão qualificados a utilizar as ferramentas disponíveis para certificar a segurança da informação. Os dados são do estudo Level
3 Security Index, conduzido pela IDC, com o objetivo de medir o grau de maturidade da segurança da informação e da infraestrutura corporativa de TI das organizações brasileiras.

A geração do índice englobou uma pesquisa com 100 empresas com mais de
250 funcionários, feita por meio de entrevistas conduzidas pela IDC. E a pesquisa explorou o conhecimento e o posicionamento do gestor de segurança dessas organizações dentro de quarto dimensões: conscientização, ferramental, prevenção e mitigação. 

Ferramental gerou a pior nota (46,1 pontos), puxando a média geral das empresas brasileiras para 64,9 pontos em um total de 100 possíveis. Pontuação bem abaixo da média geral estimada para mercados considerados maduros pelos organizadores da pesquisa (entre 76 e 83 pontos). "Faltam parâmetros reais de comparação, porque o estudo começou pelo Brasil. Só agora será realizado em outros países ou regiões", comenta André Magno, Diretor de Data Center e Segurança da Level 3.

 

Level3IDC0

O estudo constatou que a maioria das empresas brasileiras tem investido em firewall e soluções de endpoint security. Tecnologias consideradas aquém das necessárias para lidar com ataques DDoS ou prevenir vazamentos de dados.  "O ferramental considerado mais “básico” é o que apresenta maior nível de penetração na amostra", comenta Magno, lembrando que 

level3idc1
(Abra a imagem em uma outra página para ampliar)

Outro aspecto importante na dimensão de Ferramental diz respeito à capacitação
dos profissionais de Segurança da Informação. A baixa disponibilidade de
profissionais qualificados está refletida na afirmação de quase 62% das empresas
entrevistadas para o
Level
3 Security Index
, que indicaram que suas equipes estão
aquém do desejado em termos de capacidades para operar os ferramentais
disponíveis ou que apenas alguns profissionais tem o conhecimento necessário.

level3IDC2

Na média, empresas no Brasil têm dois profissionais dedicados à segurança da informação. E  57% das organizações entrevistadas já utilizam Serviços Gerenciados de Segurança (Managed Security Services – MSS) como resposta à falta de profissionais qualificados.

As empresas também reconhecem as capacidades de soluções de segurança no modelo Open Source e avaliam que estas podem ser uma alternativa a um investimento inicial mais intenso para viabilizar aspectos de segurança. 

level3IDC3 

Level3idc4

Outras dimensões 
Em relação à conscientização, o estudo demonstrou que grandes empresas têm maior dificuldade com a visibilidade dos problemas de segurança. Esta falta de visibilidade está relacionada à complexidade de seus ambientes e sistemas. Em relação à conscientização na quantificação de ataques sofridos ou mitigados, 34% têm visibilidade completa; as outras 66% têm visibilidade parcial ou nenhuma. Já quando perguntadas sobre a mensuração do impacto de incidentes de segurança, 25,5% não sabem e 32% sabem apenas superficialmente, enquanto 42,2% podem detalhar o impacto em cada sistema ou nos sistemas críticos.

Na dimensão prevenção, o estudo comprova que as grandes empresas são ativas na prevenção, estabelecendo e monitorando controles com maior atenção, possibilitando um nível melhor de desempenho. Mas há dados preocupantes. 

Quando perguntadas sobre políticas e padrões de segurança da informação estabelecidos e documentados, 28% não possuem um cronograma definido para revisar e atualizá-los, enquanto 33% os revisam e atualizam apenas uma vez ao ano.

Além disso, mesmo com a documentação em dia, gerar
indicadores de Segurança da Informação
ainda é uma tarefa relativamente distante
da realidade das empresas. Enquanto a
maioria (58%) dispõe de controles
formalizados e documentados, apenas cerca
de 42% das organizações afirmam praticar e
gerar métricas sobre a observância de suas
políticas de SI.

level3idc7

Entre as empresas entrevistadas para elaboração do
Level
3 Security Index
, é relativamente baixa a frequência com
que os riscos de SI são avaliados: apenas pouco mais da metade dessas empresas (51%) faz uma avaliação anual. Quando pensamos em testes de segurança, a situação é ainda mais desafiadora, com somente 34% dos respondentes
mantendo a frequência de avaliação em até 12 meses.

Por fim, em relação à dimensão mitigação, curiosamente ele foi o que mereceu melhor pontuação (76,8). De um modo geral, as empresas se prepararam para se recuperar de situações adversas de maneira organizada e documentada, minimizando assim os impactos percebidos na ocorrência de um desastre em seus ambientes. 

O estudo mostra que as habilidades de comunicação e estrutura de ativação são, em muitos casos, informais e não estão bem documentadas. Mas 46% das empresas não mantêm uma frequência na revisão de procedimentos de contingência e segurança. Quando perguntadas sobre o grau de alinhamento em segurança da informação, no item “controles internos para detecção e prevenção de fraude são validados periodicamente”, 41% consideram que isso é realidade em suas empresas, enquanto 59% dos participantes ainda consideram isso distante. Então, também há muito a ser trabalhado nesse aspecto.

Perspectiva para 2017
Apesar do atual cenário, o estudo mostrou uma perspectiva mais proativa para a segurança da informação em 2017. Das empresas pesquisadas, 52,9%  pretendem manter e 37,3% pretendem aumentar seu orçamento de TI em 2017, em comparação a 2016, quando o orçamento de segurança já havia sido menos afetado por cortes e congelamentos que o orçamento de TI.

Level3IDC9

Level3IDC8


O que fazer para superar 64,9 pontos?

Para avançar a partir do nível atual, existem ações que precisam ser empreendidas em relação à especialização das equipes, revisão de processos e adoção de ferramentas de última geração. 

O estudo recomenda como  formas de aprimorar a maturidade geral da segurança da informação:

·  Pensar em contratar serviços terceirizados e gerenciados, para melhor o acompanhamento e visibilidade de incidentes, o
estabelecimento e a gestão de métricas de segurança e a aplicação de um melhor nível de gerenciamento e manutenção dos
controles de segurança (sejam eles técnicos ou formais).

·  Investir em ferramentas que possibilitem melhor controle, visibilidade e automação para maximizar a eficiência da equipe de segurança da informação. Afinal de contas, atuar de forma preventiva e preditiva requer um conjunto de ferramentas trabalhando de maneira integrada, que possam analisar
os ambientes detalhadamente gerando informações sobre cada evento e cada incidente, e tomando ações corretivas de maneira
automatizada sempre que possível.

·  Priorizar investimentos de acordo com a prioridade de cada ambiente, avaliação de riscos e impactos.

·  Tangibilizar os benefícios da Segurança da Informação por meio de indicadores bem definidos que possam demonstrar claramente que possam como as iniciativas evitaram indisponibilidade, vazamento de informações, prejuízo à
mar
ca
da companhia, entre outros. 

·  Realizar testes de segurança com mais frequência e com maior abrangência. Os testes de segurança são um dos principais aliados do gestor de SI, pois eles apontam com clareza e transparência onde estã
o a
s
vulnerabilidades e como combate
-
las. Muitos fornecedores chegam a oferecer esse serviço gratuitamente, o que pode ser
especialmente importante no momento em que se necessita um motivador adicional para validar e aprovar um projeto.

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail