Estudo de segurança revela que empresas estão gastando mais, no entanto, os dados não estão mais seguros
Concentre-se nos riscos de segurança da informação que assolam sua empresa ou provavelmente se sentirá estupefato. Esta é a mensagem geral do 11º estudo de segurança estratégica, realizado por InformationWeek EUA, que entrevistou mais de 1,1 mil profissionais de TI e de negócios sobre os planos e as prioridades para assegurar as suas ações. Conseguir o dinheiro para segurança não é o maior problema: 95% verão seus orçamentos se manterem ou aumentarem neste ano. Isto significa que o dinheiro investido não está tornando os dados mais seguros. Para 66% dos participantes, a vulnerabilidade às brechas e aos ataques de códigos maliciosos é a mesma do ano passado ou pior. Desde quando manter-se no mesmo patamar que antes significa ter um retorno de investimento aceitável?
A solução está em proteger-se contra ameaças específicas. O problema é que a TI fica atrás de outras disciplinas na adoção de processos de gerenciamento de risco sistemático. Mas para aqueles profissionais de tecnologia que saltaram para a classificação de ações de TI, designar valores, avaliar ameaças e, então, determinar onde e como mitigar o risco faz com que o processo seja extremamente valioso. Em suma, os princípios de gerenciamento de risco trazem rigor à segurança da informação.
O estudo de segurança deste anod mostra alguns caminhos para combater as ameaças mais importantes. Praticas de codificações inseguras são uma preocupação; praticamente metade dos participantes cujas organizações têm planos de gerenciamento de negócios em dia, especificam características de segurança no momento do desenho da aplicação. Dos que não têm planos de gerenciamento de risco, 22% focam em códigos de segurança. No entanto, 22% das empresas nunca conduziram avaliações de risco de segurança. Daquelas que o fazem, apenas uma a cada cinco impõe o rigor de utilizar um auditor externo. Apesar de 63% reclamam das leis da indústria e do governo em relação à segurança de dados.
As empresas também estão aquém do esperado no que se refere à encriptação para proteger os dados dos clientes e funcionários. Previa-se que a atual perda de dados poderia fazer com que as companhias começassem a ir pela direção da proteção de privacidade abrangente. Contudo, observa-se que as únicas ações para salvaguardar as informações dos clientes ? utilizadas por mais da metade das empresas ? resume-se apenas a informar os empregados sobre padrões e estabelecer uma política no site corporativo. Bons passos, mas não excluem a necessidade da encriptação (utilizada por 34% das organizações) ou das auditorias de políticas de privacidade (realidade para 25% das empresas). Surpreendentemente, 11% dizem que não têm qualquer sistema de proteção de privacidade dos dados dos clientes. Zero, zerinho.
Leia mais:
– íntegra da reportagem www.informationweek.com.br
