Gerenciar os riscos internos é tão importante quanto os externos. Embora essa afirmação seja verdadeira, estudo realizado pela consultoria IDC mostra que mais da metade de 400 CXOs dos Estados Unidos, Reino Unido, França e Alemanha entrevistados pela instituição, não têm orçamento de segurança destinado para tratar do risco interno.
Algumas empresas acreditam que grande parte desses riscos é gerada por ações maldosas dos funcionários, como roubo de dados por parte de um prestador de serviços, venda de informações, ou um ataque ao sistema.
Mas, pelo contrário, a maioria dos riscos internos resulta de atividades bem-intencionadas e/ou não deliberadas. Esse fator foi comprovado pelo estudo da IDC: 19% dos participantes acreditam que incidentes provenientes de violações internas são predominantemente deliberados.
Outro levantamento do instituto de pesquisa Ponemon Institute mostrou que 88% das violações de dados das empresas em 2008 foram causadas por simples negligência por parte dos funcionários. É muito comum, por exemplo, perda de laptops e download de arquivos com vírus.
Ao alcance
Como reverter esse quadro? É preciso que as empresas adotem uma estrutura de gerenciamento de riscos que permita a detecção e a quantificação de todas as áreas de risco interno para orientar profissionais de tecnologia a lidar com a situação. A falta de visibilidade é um fator crítico.
Além disso, é necessário criar um roteiro priorizado de práticas recomendadas; implementar e impor esse roteiro com controles apropriados; monitorar o risco; e analisar e emitir relatórios de incidente. Agindo dessa forma, será possível identificar e justificar alterações necessárias no investimento de soluções de segurança e ainda ter registros atualizados para fins de conformidade e negócios.
|
Newsletters
Assine a Computerworld
RSS
Acompanhe as novidades do site COMPUTERWORLD em RSS.
|
