A Protiviti, consultoria global especializada em Gestão de Riscos e Compliance, realizou uma pesquisa para entender o nível de comprometimento das empresas em relação à segurança da informação. Foram ouvidas mais de 700 lideranças empresarias. Com o objetivo de verificar se os resultados no Brasil seriam similares aos obtidos nos EUA, a Protiviti no Brasil realizou a mesma pesquisa com executivos nacionais da área de tecnologia da informação.
A comparação aponta que 41% dos executivos brasileiros estão engajados com as diretrizes de melhores práticas de cibersegurança em seus departamentos de TI e nos EUA, temos 33% dos executivos. Quando se trata de gestão de vulnerabilidades, 47% dos líderes nacionais tem envolvimento médio quanto à ciência e tratamento das mesmas, enquanto que os executivos americanos têm 37% de engajamento neste tema. Falando em tratamento de vulnerabilidades e riscos cibernéticos, 6% dos entrevistados brasileiros e 18% dos entrevistados estrangeiros dizem que não sabem lidar com eles. Em versão da pesquisa realizada em 2015, apenas 28% dos diretores americanos tinham noção dos perigos da falta da gestão na cibersegurança.
Segundo Marco Ribeiro, sócio-diretor de TI Consulting da Protiviti no Brasil, embora seja um sinal positivo o aumento do envolvimento dos diretores e da administração das empresas, a maioria das organizações precisa aprimorar o entendimento sobre seus sistemas críticos e, consequentemente, a classificação e gerenciamento de seus dados e informações. “Um número alarmante de empresas não consegue identificar ou localizar com confiança seus ativos de informação mais valiosos. Proteger estas informações críticas, também conhecidas como “joias da coroa”, requer metodologia e ferramentas para a classificação de dados e informações apoiado por políticas efetivas e aderidas por toda a empresa”, explica Ribeiro.
Ainda de acordo com a pesquisa, em empresas nas quais o conselho tem um alto nível de engajamento com segurança da informação, os níveis de segurança e o uso de boas práticas apresentam níveis consideravelmente melhores em relação às que têm baixo engajamento do conselho. O mesmo vale para as organizações que possuem definidas todas as políticas essenciais de segurança da informação. Quando se trata de segurança, essas características fundamentais ajudam a atingir os melhores resultados com o apoio e embasamento da governança de tecnologia e segurança da informação.
A pesquisa da Protiviti conclui que as políticas de segurança da informação nas empresas devem ser apoiadas com programas de treinamento efetivos e comunicações personalizadas para cada público e para toda a organização, especialmente dada a frequência com que o “elemento humano” é o caminho mais explorado por fraudadores e hackers, o que permite falhas de procedimentos e de controles de segurança. Outro ponto importante é amadurecer a gestão de riscos nas empresas, principalmente as que já utilizam ou estão dispostas a utilizar recursos na Internet ou na nuvem, envolvendo também fornecedores para que fique clara a importância do gerenciamento de risco dos dados e informações.
“Existem lacunas consideráveis entre organizações de desempenho excepcional e as demais empresas quando se trata de conhecimento da gestão de segurança de informações com fornecedores, alerta Marco Ribeiro.
O levantamento também apontou que apenas 7% das empresas brasileiras e globais são capazes de monitorar, detectar e impedir potenciais incidentes de segurança por um invasor qualificado, como foi o caso do ataque virtual que afetou mais de 300 mil computadores do mundo todo no último dia 12 de maio, com a ameaça do WannaCry.
