Almeida Camargo Advogados

Pesquisa da PricewaterhouseCoopers e publicações irmãs do COMPUTERWORLD aponta inconsistência entre as ações de segurança e a falta de métricas nas companhias ao redor do mundo.

Por Fernanda Ângelo, do COMPUTERWORLD

27 de outubro de 2006 - 12h07

Há tempos a segurança da informação é citada como uma das prioridades dos diretores de tecnologia (CIOs) de empresas em todo o mundo. Apesar disso, ao que indica a edição 2006 da pesquisa “The Global State of Information Security”, as organizações ainda têm muito trabalho pela frente caso queiram manter seus dados a salvo.

Conduzido pelas publicações CSO e CIO, ambas coirmãs do COMPUTERWORLD, em parceria com a PricewaterhouseCoopers (PwC), o estudo ouviu cerca de 7,8 mil presidentes, diretores financeiros, de tecnologia e de segurança da informação em 50 países ao redor do mundo – 323 deles no Brasil.

A principal conclusão a que a pesquisa chegou revela exatamente o conflito existente entre aquilo que as companhias vêm fazendo para aprimorar sua segurança e o que, de fato, elas esperam dessas ações. Como quem descobre os pés para cobrir a cabeça, as empresas continuam investindo em tecnologias e aprimorando o desenvolvimento de políticas de segurança, mas não conseguem estabelecer métricas para assegurar que essas políticas sejam cumpridas, nem garantir a segurança dos dados nos diferentes níveis.

Prova disso é o fato de 67,6% das organizações no Brasil dizerem que possuem soluções de segurança para acesso remoto ao mesmo tempo em que somente 35,6% delas utilizem ferramentas de criptografia de dados em dispositivos portáteis. “O grau de investimento nesse tocante é precário”, diz Antonio Gesteira, gerente de segurança da área de consultoria da PwC Brasil. Segundo o especialista, detentor do título internacional de Certified Information Security Manager (CISM), de nada adianta proteger os dados no momento de sua transmissão e não fazê-lo no armazenamento.

As empresas ainda não imaginam as perdas implicadas no caso de um notebook roubado, por exemplo, ou ter dados confidenciais expostos. A segurança tem de existir de ponta a ponta na empresa”, aconselha.

Rodrigo Parreira, diretor-executivo da Promon, destaca ainda o fato de hoje muitas empresas trabalharem com profissionais subcontratados, que utilizam seus próprios computadores. Segundo Parreira, a prática acarreta dois tipos de problemas. O primeiro deles diz respeito ao acesso normalmente irrestrito à rede e informações da companhia. “Ele deve ter acesso apenas às informações relevantes para a sua missão naquela organização”, sugere. A segunda ameaça está no fato de sua máquina muitas vezes carregar vírus, códigos maliciosos e programas desatualizados em relação às versões utilizadas pela corporação.

“A maioria das organizações que a Promon atende ainda tratam o assunto de forma reativa. A segurança normalmente passa a ser prioridade efetiva apenas quando um incidente sério acontece”, revela. “A essa altura, muitos dados já foram perdidos e o estrago pode não ter volta”, afirma. O executivo conta ainda que na Promon, para ligar um notebook, cada funcionário deve ter o seu token, com uma senha cadastrada. Só assim os dados ali armazenados – e criptografados – podem ser abertos.

Apesar da inconsistência dos dados acima, a pesquisa identificou uma maior convergência entre a segurança física e a segurança da informação nas empresas. Uma das principais mudanças registradas mundialmente entre 2005 e 2006 é a quantidade de empresas que vêm integrando a segurança nesses dois âmbitos. De acordo com o levantamento, questões relacionadas à segurança de TI e física estão sob o guarda-chuva do mesmo executivo em 40% das organizações entrevistadas. Em 2005 esse percentual era de 31%. Além disso, 58% dos profissionais ouvidos afirmaram que existe em suas companhias alguma espécie de integração entre a proteção em TI e dos hardwares. A mesma afirmação foi feita por 53% dos executivos entrevistados no ano passado.

Política para inglês ver

Os orçamentos para segurança da informação dentro da verba destinada à TI cresceram de 13% para 17% entre 2005 e 2006. Além disso, aumentou também o número de entrevistados que afirmaram que suas companhias mantêm orçamentos distintos para segurança da informação e TI: foram 21% este ano, ante 16% doze meses atrás.

Embora a segurança da informação esteja ganhando independência em relação à área de TI, o retorno sobre o investimento (ROI) ainda é elusivo. Quando questionados sobre a forma como suas empresas medem a eficácia dos investimentos em segurança, 46% dos entrevistados responderam que o fazem por “julgamento profissional”, indicando que essa medição continua sendo difícil de fazer. “Um dos grandes desafios está vinculado à utilização de métricas para a segurança da informação”, afirma Gesteira. “Ao mesmo tempo em que executivos criam políticas baseadas em padrões internacionais, eles não conseguem estabelecer métricas para medir as não-conformidades”, explica o consultor da PwC.

A maioria das políticas em vigor nas organizações cobre questões básicas de segurança. Segundo a pesquisa, 47% dos profissionais ouvidos revisaram ou mediram a eficiência de suas políticas de segurança da informação no último ano, contra 41% em 2005. A exemplo do ano passado, questões básicas relacionadas ao usuário (71%), redes (60%) e administração de sistemas de segurança são as mais freqüentemente incluídas nas políticas de segurança.

Porém, medir a eficiência e o cumprimento dessas políticas pelos funcionários é uma grande dificuldade para as empresas (veja gráfico ao lado). Especialmente porque até agora apenas 27% delas classificam a importância e o valor de suas informações, 37% realizam avaliações de riscos e 23% possuem mecanismos que obriguem o usuário a cumprir as regras de suas políticas de segurança. Como resultado, cerca de 35% dos entrevistados afirmaram que metade – ou mais da metade – dos usuários em suas organizações não cumprem as regras das políticas ali estabelecidas. Significa dizer que, se as empresas não monitoram o uso e, portanto, não penalizam aqueles que infringem leis internas de utilização, por mais que invistam, no final das contas, não estão protegendo nada.

Parreira, da Promon, diz que soluções simples como firewall, por exemplo, conseguem medir quantidades de tentativas de ataques, invasões, volume de spam. No entanto, param por aí. “Muitas das questões de segurança e cumprimento de políticas internas nem mesmo exigem ferramentas específicas. E sim mudanças de cultura e comportamento dos usuários”, alerta. Mesmo assim, 33% dos entrevistados disseram estar mais confiantes na segurança da informação em suas organizações, contra 28% em 2005. A percepção do nível de confiança dos CEOs também cresceu entre um ano e outro, passando de 35% para 39%.

E na hora de escolher parceiros?
Por outro lado, os números ligados a confiança despencam quando tratam de parceiros e provedores. Apenas 22% dos executivos ouvidos têm bastante confiança na segurança de seus parceiros. Apesar disso, somente 25% deles estabelecem regras e requisitos de segurança na hora de tratar com usuários externos. E 35% exigem que terceiros se adeqüem a suas políticas de privacidade.

Paulo Martins, diretor regional de segurança da informação do ABN Amro na América Latina, conta que a instituição inclui em seus contratos cláusulas específicas de segurança da informação. Segundo ele, existe uma política específica de terceirização de serviços que é seguida na negociação com os fornecedores. “No caso específico de fornecedores de TI, por contrato, eles seguem as políticas de segurança do ABN Amro”, assegura.

O banco, que terceirizou recentemente a sua área de TI, considera seguros os sistemas de seus fornecedores, já que realiza um trabalho conjunto visando a sustentabilidade da prestação de serviço. Martins explica que isso envolve seguir as políticas de segurança do ABN e implica na auditoria dos sistemas de seus parceiros. “O cumprimento de requisitos de segurança da informação foi eliminatório na hora da negociação para o outsourcing de TI na instituição”, ilustra.

Data: 13/12/2006