Com 31% dos ambientes organizacionais apresentando um maior número de incidentes de segurança nos últimos dois anos, a necessidade de desenvolver um quadro de arquitetura robusta de segurança nunca foi tão grande. No entanto, 63% das organizações não têm uma estrutura forte para enfrentar todos esses riscos, e apenas 16% dos entrevistados disseram que sua função relacionada à segurança da informação atende plenamente as necessidades organizacionais.
Empresas de todo o mundo estão mais preocupadas com os riscos externos que rondam seus ambientes
Em um comentário sobre esses resultados, Paul Van Kessel, Ernst & Young Global IT Risk and Assurance Services Leader disse que "não basta ser rápido, tem que ser eficiente e eficaz no combate às ameaças. A velocidade e a complexidade da mudança está acontecendo em um ritmo alucinante, com mercados emergentes, continuando a volatilidade econômica, off-shore e aumentando os requisitos regulamentares, adicionando a um ambiente já bastante complexo, informações de primordiais que envolvam segurança.
Nível de Ameaça em Crescimento Contínuo
As organizações reconhecem que o ambiente de risco está em processo de mudança, da mesma forma em que está se tornando cada vez mais frequente o número de ameaças cibernéticas que rondam estes ambientes, aumentando também o número de incidentes de segurança. Mais de três quartos (77%) dos que responderam às perguntas que lhes foram feitas concordaram que há um risco crescente de ataques externos, mas esta não é a única fonte de preocupação para as organizações globais, com 46% relatando que vulnerabilidades internas também estão em ascensão.
Inovações Tecnológicas Marchando Ininterruptamente
As novas tecnologias estão abrindo grandes oportunidades para as organizações, mas estão desempenhando um papel perigoso, pois são ameaças potenciais provenientes de fontes desconhecidas. A computação em nuvem continua a ser um dos principais motores da inovação do modelo de negócios, com o número de organizações que utilizam-na, estar praticamente triplicando de tamanho nos últimos dois anos.
No entanto, 38% das organizações não tomaram quaisquer medidas para mitigar todos esses riscos, tais como a forte fiscalização sobre o processo de gerenciamento de contratos de fornecedores de nuvem ou o uso de técnicas de criptografia. Outra grande novidade é a tecnologia habilitada para dispositivos móveis, cujos avanços e os benefícios empresariais associados, aumentaram muito as taxas de adoção. De acordo com outros comentários feitos por Van Kessel, "com 44% das organizações permitindo agora o uso de tablets ou empresa privada - com um aumento de 20% em 2011 - os níveis substanciais de informação estão agora fluindo para dentro e para fora do ambiente corporativo, tornando o controle mais difícil."
Nesse contexto, as organizações reconhecem que elas precisam investir muito mais em tecnologia móvel. No entanto, no mercado de computação móvel trabalhando de uma forma frenética, a adoção de técnicas de segurança e de software ainda é relativamente baixa, com apenas 40% das organizações utilizando algum tipo de técnica criptográfica em dispositivos móveis.
Mais Investimentos para Aumentar a Segurança
Devido ai aumento dos riscos e a necessidade de mais tecnologias de proteção, as organizações estão respondendo por orçamentos crescentes e ajustando as suas prioridades. Cinqüenta e um por cento das organizações relataram planos para aumentar seu orçamento em mais de 5%, nos próximos 12 meses. Enquanto 32% dos entrevistados gastam mais de US$ 1 milhão (entrevistados só nos EUA) em relação à segurança da informação, o nível de investimento varia globalmente, com 48% concentrado nas Américas Central e do Sul, em comparação com 35% e 26% na Ásia-Pacífico e EMEIA (Europa, Oriente Médio, Índia e África), respectivamente. Em termos de onde o orçamento é atribuído, as prioridades superiores de investimento estão garantindo novas tecnologias (55%) e continuidade de negócios (47%).
Mudanças, Competências e Riscos na Área de TI
Os aumentos previstos só podem ser eficazes desde que os tomadores de decisão estejam cientes de toda essa responsabilidade. A segurança da informação continua a ser liderada dentro de muitas organizações, com 63% dos entrevistados indicando que suas organizações têm colocado a responsabilidade desse setor nas mãos do pessoal de TI como um todo, sem focar, sem especificar, que seria o correto a fazer.
No entanto, como a segurança da informação começa a se espalhar além das tradicionais questões de TI, as decisões são agora necessárias em torno de selecionar as ferramentas, em torno dos processos e métodos a serem implementados para realizar o monitoramento de ameaças, medir o desempenho e identificar lacunas que precisam ser preenchidas, além de ser feita uma reavaliação das responsabilidades, sendo esta uma atividade de extrema necessidade.
Com apenas 5% dos agentes de risco principais sendo atualmente responsáveis pela segurança da informação, muitas organizações não têm o mecanismo formal de avaliação de risco fornecido pela função desse risco, resultando em 52% de organizações sem possui programa de inteligência de ameaças em seu lugar. A proliferação de ameaças - e a aceleração da diferença entre vulnerabilidade e segurança - exige múltiplas fontes de avaliação, como a auditoria interna, auto-avaliações internas e avaliações de terceiros, para monitorar e analisar os incidentes de segurança.
Considerações Finais
Paul Van Kessel concluiu que para algumas organizações, "as habilidades e recursos de segurança, maturidade ou orçamento, podem jogar um papel importante na sua tomada de decisão, mas estas soluções bolt-on ou stack workaround que estão sendo vistas hoje, estão mascarando um problema maior em torno das questões de vulnerabilidade".
Ao olhar para o futuro, ele acrescenta o seguinte: "embora nós possamos identificar algumas das lacunas atuais, ainda existe mais no horizonte, na forma de intervenção do governo e novas pressões regulatórias. Se as organizações não tomarem medidas para desenvolver estruturas de segurança mais abrangentes nos dias de hoje, as conseqüências combinadas das questões atuais e futuras só vão alimentar as ameaças de segurança". Portanto, é necessário redobrar os cuidados e manter constante vigilância.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=13883