Scott Berinato, Lorraine Cosgrove e André Borges

A melhor maneira de abordar a pesquisa “O retrato da Segurança da Informação 2003” poderia ser questioná-la sobre o que ela não inclui. Convém salientar, porém, que este estudo não possui nenhuma revelação que fará você exclamar: “Oh, é exatamente o que eu deveria fazer!”

 

Em nenhum lugar destas páginas se encontra a resposta, mesmo porque ela é uma ficção, ainda que o problema – como saber se você está transformando sua empresa em um local mais seguro e com maior eficiência possível – não o seja. Enfim, o que a pesquisa inclui em sua abrangência e complexidade (44 perguntas com tabulação cruzada por tamanho, orçamento para segurança, região geográfica da empresa e dúzias de outras categorias) é um perfil do mundo imperfeito e evolutivo da segurança corporativa (detalhes e mais resultados da pesquisa estão disponíveis em www2. cio.com/research).

De acordo com a estudo, a partir de agora as empresas começam a valorizar a segurança da informação como uma disciplina em andamento. O executivo da área já entende que estabelecer boas práticas de segurança será difícil e envolverá uma integração complexa de tecnologia, educação, análise de risco e regulamentação. Em síntese, você sabe que precisa fazer mais, mas a pesquisa indica que ainda não está fazendo. Em certo sentido, dificilmente você pode ser culpado por contemporizar. Como mostra o estudo, neste momento a segurança da informação ainda é uma atividade confusa e paradoxal. Por exemplo:

. Você aumentou os gastos significativamente, mas esse investimento não teve um impacto mensurável sobre violações à segurança.

. Você é alertado constantemente para grandes tragédias digitais, mas a imensa maioria dos incidentes reportados é relativamente insignificante.

. Você foi informado de que alinhar estratégias de segurança e de negócio deve ter alta prioridade, mas aqueles que se saíram melhor em evitar violações, tempo inativo e danos relacionados a segurança têm a menor probabilidade de estarem alinhados.

Tudo isso talvez esteja fora do controle de sua empresa. Entretanto, em outras áreas, executivos de informação parecem estar contribuindo para a confusão. Por exemplo:

. Os entrevistados que sofreram mais danos com incidentes de segurança apresentaram o dobro de probabilidade, na média geral, de reduzir os gastos com segurança no ano que vem.

. Esses mesmos entrevistados apresentaram quase a metade da probabilidade de mencionar treinamento da equipe como prioridade.

Em resumo, de acordo com a pesquisa, por mais que a disciplina de segurança da informação tenha crescido desde seu batismo de fogo – em 18 de setembro de 2001, uma semana após as ataques terroristas e no dia em que o vírus Nimda atacou – ela não se aprimorou muito.

É óbvio, porém, que a confiança na segurança está relacionada a mais proteção. Em outras palavras, as empresas que acreditam estar se saindo melhor, de fato estão mais protegidas. Nas páginas que se seguem fornecemos cinco visões selecionadas de “O retrato da Segurança da Informação 2003”, cada uma apresentando um aspecto dessa nova e complexa disciplina, inclusive um método inovador para testar os gastos com o setor.

Como já foi dito, talvez você não encontre a resposta aqui, mas encontrará dados, muitos dados. E não há dúvida de que é o que precisa para começar a aprimorar a segurança da sua informação.

 

Correlação de confiança

 

Aqueles que estão muito confiantes com a segurança têm uma infra-estrutura de proteção mais forte e gastam um percentual maior de seus orçamentos de TI com segurança.

 

O QUE OS NÚMEROS REVELAM

Estruturas e recursos dedicados geram confiança. E confiança, dizem os especialistas, gera melhor proteção. Em um mar de dados que não consegue revelar a relação entre segurança e melhores práticas, o fator confiança é uma visão bem-vinda.

Os entrevistados que descrevem a si mesmos como muito confiantes na segurança de sua organização (24%) podem ser chamados de líderes de segurança. Esse grupo criou muito mais estrutura em torno da proteção na organização do que aquele que se descreve como menos confiante. Eles contrataram mais executivos para a área e deram a estes maior controle sobre políticas, gastos e pessoal.

Outro ponto-chave: quanto maior a confiança da empresa em sua estrutura, menor é a probabilidade de que a segurança passe pelo departamento de TI. Muita gente do setor acredita que o controle da segurança da informação por parte da área de TI tem sido um fator limitador ao aprimoramento da segurança.

Por exemplo, se o CIO é responsável tanto pela implementação de CRM (que lhe disseram para fazer por US$ 2 milhões em um ano) quanto pela segurança da informação (projeto que vai demandar mais tempo e dinheiro), qual incumbência receberá atenção do CIO e a qual não será dada importância?

Com essa visão concorda Enio Jorge Salu, CIO do Hospital Sírio-Libanês. Atualmente, o executivo também responde pela área de segurança do hospital, mas reconhece a necessidade latente de se criar uma diretoria específica para o setor. “Há um ano percebemos que não tínhamos mais como resolver tudo internamente e optamos pela terceirização para proteção contra ataques, desconfigurações e manutenção”, diz. Para o próximo ano, convencer o alto escalão da companhia para a necessidade desse desmembramento deve ser uma de suas batalhas.

Quem já está adiantada nesse quesito é a Vésper, que hoje mantém uma operação de segurança totalmente fora da área de TI. “Essa divisão funciona como uma consultoria e se reporta diretamente aos diretores”, explica Luiz Maria Esmanhoto, CIO da Vésper. De fato, a operadora de telecomunicações é uma exceção à regra. Resultados da pesquisa apontam que 78% dos entrevistados brasileiros têm o CIO como o responsável pela definição e implementação de políticas de segurança. Em 51% dos casos é o CEO quem define os rumos dessa área e toma as decisões, seguido pelo CFO (37%) e CIO (36%).

No Brasil, apenas 29% dos entrevistados declaram incluir executivos de áreas de negócio em assuntos decisórios sobre segurança. Na maioria dos casos (76%), o orçamento da área faz parte dos recursos destinados à TI.

Longe do Brasil, um outro exemplo de quem já lutou e conquistou independência em relação à área de tecnologia é Bill Spernow, ex-diretor de TI da Georgia Student Finance Commission. “Se vejo uma organização na qual o responsável pela segurança se reporta a algum profissional de TI, vejo um cargo que, com certeza, não está funcionando”, diz Spernow. “O conflito de interesses é grande demais para ser superado. Fazer esse executivo se reportar a TI é um golpe mortal.”

 

O QUE FAZER:

1. Monte uma estrutura em torno da segurança da informação contratando um CSO ou, se for o caso, procure criar um comitê executivo de segurança.

2. Retire a segurança da esfera de ação do departamento de TI. O mais indicado é fazer com que as áreas sejam independentes e parceiras na troca de informações.

 

Segurança per capita

 

A divisão de funcionários por orçamento de segurança revela alguns hábitos de gastos surpreendentes – e errados. Mas, mesmo aqui, a correlação com o fator “confiança” é clara.

 

O QUE OS NÚMEROS REVELAM

O gasto com segurança per capita – o orçamento do setor dividido pelo número de funcionários – fornece um benchmark por meio do qual uma empresa pode se comparar dentro de seu próprio setor e com outras indústrias, independente de seu tamanho. Ele também pode mostrar como o gasto por funcionário varia geograficamente. É uma métrica simples, mas poderosa.

Impulsivamente, você poderia usar o espectro para ver se seu gasto está na média geral. Mas, embora exista um nível de gasto médio (US$ 964), não há nada perfeitamente normatizado em uma faixa que vai de apenas US$ 100 a milhares de dólares por funcionário.

Muitos fatores contribuem para isso. Em algumas indústrias, as conseqüências da vulnerabilidade são exponencialmente maiores, mesmo que os requisitos de pessoal não o sejam. Empresas de serviços de eletricidade, por exemplo, são extremamente sensíveis ao que poderia acontecer se a segurança fosse violada. Os dados de 72 entrevistados nesse setor revelam um gasto médio per capita em segurança de pouco mais de US$ 7 mil. Já os fabricantes de automóveis talvez corram menos risco, já que o gasto per capita desse setor foi de US$ 220.

Apesar da falta de uma norma, a correlação do fator confiança também aparece aqui, nitidamente. As empresas muito confiantes gastaram quase duas vezes e meia mais do que as empresas que não tinham confiança; e uma vez e meia mais do que a média geral.

A gerente geral de informática e telecomunicações da Duke Energy Brasil, Cristiane Rogacheski, associa o grau de atenção dispensada à segurança à criticidade dos serviços que a empresa oferece. Com matriz nos Estados Unidos, a companhia possui uma diretoria mundial de segurança, com representantes do setor em cada um dos 13 países onde atua. “Temos uma rede de informações totalmente integrada, com políticas mundiais de segurança; tudo é feito remotamente pela matriz, que adota regras internacionais”, comenta a executiva.

Contrariando a média geral das corporações no Brasil, que ainda estão mais preocupadas com soluções e ferramentas de segurança, a Duke Energy Brasil deve concentrar seus esforços nos processos internos, aprofundando ainda mais o treinamento e a conscientização dos funcionários.

Para Reinaldo Melero, gerente de informática da Copagaz, empresa brasileira de distribuição de gáz de cozinha, o destaque de seu setor quanto à segurança também se deve às padronizações exigidas para operar no mercado. Com 850 funcionários diretos e atuação em 18 estados do país, a segurança da Copagaz está subordinada à area de TI. “Mas acredito que no futuro teremos alguém respondendo diretamente à diretoria”, diz Melero. A meta atual da companhia é analise de risco, partindo de ameaças externas para internas. “Também estamos empenhados em nossa política de segurança para combater problemas de engenharia social”, comenta o executivo.

 

O QUE FAZER:

1. Experimente calcular o gasto em segurança pelo número de funcionários que possui.

2. Compare seu gasto per capita com a média em sua indústria e com os grupos muito confiantes e não muito confiantes.

 

Fogueiras sim, incêndios não

Grandes violações à segurança são a exceção, não a regra. A maioria dos incidentes com segurança durou menos de um dia e custou menos de US$ 10 mil; e a maioria das empresas sofreu dez eventos ou menos no ano passado.

 

O QUE OS NÚMEROS REVELAM

“Terroristas interrompem rede elétrica”; “hackers causam estragos incalculáveis para o governo”. Estes podem ser exemplos de manchetes plausíveis – ou frases de consultores de segurança tentando vender seus serviços. Mas os dados da pesquisa mostram que os executivos de informação não estão se confrontando com eventos dessa magnitude. Na verdade, estão lidando com muitas pequenas fogueiras.

No Brasil, o método primário de incidentes reportados tem como base a exploração de vulnerabilidades conhecidas nos sistemas operacionais (39%), de abuso das permissões de contas válidas de usuários (30%) e de erros não intencionais de funcionários (28%). As perguntas que surgem são: os grandes incidentes são raros porque você protegeu bem a sua empresa? As pequenas violações são comuns porque você não fez um bom trabalho de proteção contra elas? Ou as grandes ocorrências são raras porque são difíceis de executar e você simplesmente teve sorte de evitá-las, mas não sorte bastante para evitar incidentes menores e mais fáceis de acontecerem?

Howard Schmidt, vice-presidente e diretor de TI da eBay (também ex-conselheiro especial da Casa Branca para segurança do ciberespaço), acha que a predominância de poucos golpes de grande porte não sugere que as empresas tenham se protegido bem contra eles. Ao contrário, ele vê uma falta grave de disciplina em toda parte.
“Quanto mais você cuida das pequenas coisas, menor a probabilidade de que alguém consiga realizar um grande ataque”, diz Schmidt. “Vejo isso o tempo todo.
As empresas estão sempre dizendo ‘vamos abrir só esta pequena porta’. Depois elas querem outra porta e mais outra. E isso leva a todas essas vulnerabilidades que se transformam em pequenas fogueiras. Ninguém estabelece um limite e diz não. Em vez de criar uma cultura de segurança, com freqüência criamos a cultura de contornar a segurança.”

A mensagem de encorajamento embutida no comentário de Schmidt é que a atenuação do problema exige poucas, se é que exige, tecnologias, gastos ou outros recursos adicionais. Basta só alguma disciplina – alguém para estabelecer um limite e dizer não. “É interessante notar que a maior parte dos investimentos feitos em segurança no Brasil, especificamente, tem como finalidade proteger a empresa de ameaças externas, quando na verdade sabemos que o maior risco é interno”, comenta Sérgio Alexandre, especialista da PricewaterhouseCoopers Brasil.

Hoje, 85% das companhias brasileiras empregam senhas simples de usuário; e 45% gerenciam múltiplos logs de acesso. “Fica evidente que ainda há uma grande confusão tecnológica, metodológica e conceitual no ar”, completa Alexandre.

O CIO do grupo Martins, José Antonio de Almeida, atribui parte dessa desordem no mercado à influência exercida pela mídia em geral que, segundo ele, acaba por dar muito espaço a notificações espetaculares de invasões de hackers e estragos de vírus, uma vez que dificilmente chega à imprensa o que se passa no interior das corporações. “Tem muito marketing envolvido, e isso tem um peso enorme sobre os executivos, que acabam deixando de lado o aspecto da educação sobre segurança”, diz.

Uma questão que merece ser destacada no estudo é o alto percentual de entrevistados (40% em todo o mundo) que não conheciam ao certo suas perdas. Provavelmente isso pode ser atribuído ao fato de que a segurança é uma disciplina que ainda está engatinhando. Se a perda não foi de dinheiro, os entrevistados simplesmente não sabem calcular os prejuízos com questões relacionadas à propriedade intelectual ou reputação, ou até mesmo de tempo inativo dos funcionários.

E eles nem tentam. Isso decorre da falta de amadurecimento quanto à importância da segurança da informação. Se as empresas não conseguem calcular o custo de uma violação, é altamente improvável que estejam ao menos tentando criar uma fórmula para descobrir o retorno sobre investimentos (ROI) em segurança.

 

O QUE FAZER:

1. De novo, o foco em um problema de segurança deve levar em conta as ameaças menores e mais freqüentes, bem como as do tipo “o céu está desabando”.

2. Nomeie um “disciplinador” e imponha regras de segurança atentamente.

 

Postura reativa, calcada no medo 

Apesar dos especialistas pregarem a necessidade de gerenciamento de risco e abordagem à segurança de maneira pró-ativa, a cultura de proteção ainda é largamente justificada pelo medo e, em muitos casos, por uma regulamentação governamental. “Fica muito difícil convencer o alto escalão de que tal investimento em segurança é necessário. A maior parte das decisões acaba sendo tomada após pequenas ocorrências”, revela Enio Jorge Salu, do Hospital Sírio-Libanês.

Luiz Maria Esmanhoto, da Vésper, também reconhece que grande parte das decisões são reativas. “Em muitos casos justificamos a necessidade de um investimento não porque algo aconteceu conosco, mas porque aconteceu com o vizinho”, diz o executivo.

 

O QUE OS NÚMEROS REVELAM

Não importa o quanto os especialistas em evangelização se empenhem para que a segurança contribua para os resultados financeiros e que o ROI seja medido, ainda é mais fácil apoiar-se em táticas de medo para justificar investimentos.

Os números mostram como isso é improdutivo. O baixo percentual de entrevistados que leva em consideração os requisitos de segurança de seus parceiros e fornecedores, por exemplo, significa que eles não estão pensando no assunto como um problema de rede externo. O pensamento continua sendo “como um hacker vai me atacar” e não “como um ataque vai me atingir”. Além disso, as empresas não estão exigindo que seus parceiros e fornecedores satisfaçam níveis de segurança determinados, o que tornaria a interação mais segura.

A rede norte-americana de hospitais Covenant Health é um exemplo perfeito. Não sofreu ataque, mas, mesmo assim, o vírus Slammer infectou cinco unidades. A praga se infiltrou por uma porta aberta para um provedor de serviço do Covenant. O provedor também foi infectado, mas não atacado; então o vírus contaminou o provedor de serviço através de uma porta aberta para um de seus parceiros.

Um velho aviso: quando você conecta sua rede a um parceiro, também está conectando aos parceiros do seu parceiro. Mas apenas 22% dos entrevistados exigem que os parceiros façam negócios de forma segura.

O vice-presidente sênior e CIO do Covenant Health, Frank Clark, aprendeu da maneira mais difícil. Ele agora demanda que os parceiros cumpram determinados requisitos de segurança definidos antes que estes se conectem à sua rede. “Agora fazemos com que eles especifiquem exatamente a que desejam ter acesso e de quais portas necessitam”, explica. “Estamos descobrindo que eles mesmos têm dificuldade em saber o que precisam acessar.” Clark espera que a ação corretiva tenha um efeito dominó – ao exigir de seus parceiros padrões de segurança mais altos, estes também vão requerer que seus próprios parceiros façam o mesmo, e assim por diante.

 

O QUE FAZER:

1. Adote métricas e justificativas de negócio para segurança. Tente não usar o medo como justificativa para investimentos na proteção da empresa.

2. Defina requisitos de segurança para qualquer um que se conecte à sua rede e insista para que parceiros e fornecedores cumpram esses requisitos.

 

Dilema entre segurança e custos

É difícil descobrir uma relação entre boa segurança e gastos – às vezes, existe até uma relação inversa. É surpreendente: a diferença de gastos entre empresas que têm de zero a 50 incidentes, de zero a dez dias de tempo inativo e até US$ 500 mil em danos nos últimos 12 meses nunca varia mais de 1,06%. O singular nisso tudo é que companhias que sofreram danos relacionados à segurança superiores a US$ 500 mil apresentaram mais do que o dobro de probabilidade de dizer que estavam cortando gastos com segurança do que aquelas que não tiveram prejuízos.

As que tiveram mais de 50 incidentes e as que tiveram mais de dez dias de tempo inativo relacionados a incidentes também se mostraram mais propensas a reduzir gastos do que as que não reportaram incidentes e tempo inativo.

 

O QUE OS NÚMEROS REVELAM

Tendo em vista que o tamanho da empresa (e, portanto, o orçamento) varia muito entre os mais de 7,5 mil entrevistados da pesquisa, a medida relativa de gastos com segurança como um percentual do orçamento de TI geral proporciona uma medida de comparação melhor do que o gasto total em segurança. O ínfimo ponto percentual entre os maiores e menores gastadores mostra que os que sofrem menos incidentes de segurança não despenderam necessariamente mais para se manterem seguros. Ou, inversamente, os que foram mais duramente atingidos não gastaram menos do que os intocados.

Portanto, você não pode acusar as empresas que sofreram violações de não investirem o suficiente. Mas talvez elas não tenham gasto bem. A pergunta mais difícil para os executivos de segurança de TI responderem claramente não é “quanto devem gastar”, mas “onde e como devem gastar”. Resposta: provavelmente não em tecnologia.

O especialista da Counterpane Internet Security, Bruce Schneier, acredita que a tecnologia tem sido podada em sua capacidade de proteger empresas porque não foi acompanhada de conscientização sobre segurança. “Na maioria das vezes, os problemas de segurança são, inerentemente, referentes a pessoas, e as tecnologias não ajudam muito”, diz Schneier. “IDs com foto são um ótimo exemplo. Os tecnólogos querem acrescentar essa e aquela tecnologia para tornar as IDs mais difíceis de falsificar, mas eu me preocupo com as pessoas subornando funcionários e obtendo IDs autênticas sob nomes falsos (pelo menos dois dos terroristas de 11 de setembro fizeram isso). A tecnologia que torna IDs mais difíceis de falsificar não resolve esse problema.”

Também há o fato de as empresas não explorarem todo o potencial tecnológico que possuem. Sete entre dez entrevistados da pesquisa usam sistemas de detecção de invasão, oito utilizam firewalls e nove adotam software antivírus. Mas somente metade dos eventos foram detectados por essas tecnologias ou por meio de fornecedores de serviços de segurança. A outra metade foi descoberta da maneira mais difícil – por clientes, colegas ou veículos de notícias alertando a empresa para uma violação ou, pior, para danos que o evento causou.

Acontece que muitas corporações implementaram tanta tecnologia e geraram tantos dados sob a forma de arquivos de registros que, com freqüência, desistem de tentar interpretá-los. “O palheiro ficou grande demais para procurar agulhas”, afirma Andrew Toner, sócio da PricewaterhouseCoopers para práticas de segurança. “É justamente quando as companhias desistem que as violações acontecem.”

Essa desistência é uma maneira de explicar a tendência das empresas que foram mais atingidas por violações a cortar seus orçamentos para segurança. Talvez essas organizações tenham sido duramente atingidas por outra coisa – a economia – e estejam cortando recursos de ponta a ponta.

Mas é igualmente provável que elas tenham decidido que o dinheiro que desembolsaram não foi bem gasto. E por quê? A segurança, em sua maior parte, não adotou gerenciamento de risco como uma filosofia. Ainda é tratada de forma binária, isto é, ou estamos a salvo ou perdidos; o dinheiro que gastamos nos auxiliou ou foi jogado no lixo. “Como em todo o mundo, as empresas brasileiras também são orientadas por fatores externos e não por uma perspectiva de avaliação de riscos”, salienta Sérgio Alexandre, da PricewaterhouseCoopers.

Segundo T. Sean McCreary, especialista em gerenciamento de risco do Motorists Insurance Group e ex-gerente de segurança e de custódia de duas prisões nos Estados Unidos, as pessoas pensam em termos de ameaças, não em termos de riscos. “O gerenciamento de risco permite que você classifique ameaças em alguma ordem de importância, de modo que os recursos disponíveis possam ser empregados com mais eficácia para evitar os riscos identificados e preparar-se para eles.”

Por que, então, os profissionais de segurança da informação não adotaram uma abordagem de gerenciamento de risco? “Porque é mais difícil”, afirma McCreary. “Demanda mais tempo e esforço e, obviamente, mais conhecimento.”

 

O QUE FAZER:

1. Gaste em educação e treinamento de gerenciamento de risco, e não somente em tecnologia.

2. Beneficie-se mais das ferramentas que você já possui, analisando os dados que elas geram, e não simplesmente vendo a tecnologia como uma arma para bloquear ataques.

 

Segurança de permissão

Uma visão mais horizontal sobre o status da segurança corporativa apresenta aspectos curiosos sobre as prioridades identificadas em diferentes regiões do planeta. Nos Estados Unidos, explica Sérgio Alexandre, PricewaterhouseCoopers, as companhias estão preocupadas com implicações cíveis que descuidos de segurança possam gerar. Na Europa, os olhos dos executivos estão mais voltados para a questão da privacidade dos usuários, cuidados relacionados aos limites que soluções de TI e estratégias corporativas devem ter no trato com clientes e parceiros. “No Brasil, a cultura ainda é muito reativa e amplamente tecnológica”, declara o especialista.

Segundo Edgar D’Andréa, sócio da área de segurança da informação da Price, esse posicionamento acarreta em uma postura não somente limitada em termos de segurança – pois não envolve questões relacionadas a políticas, procedimentos e padrões de segurança –, mas também implica na burocratização do acesso à companhia. “Você acaba adotando um conjunto enorme de aplicações para proteção de dados, sistemas, redes e perímetros, tudo destinado aos riscos externos como hackers ou vírus, mas se esquece de que também é preciso habilitar o acesso aos seus clientes e parceiros”, alerta ele.

De acordo com D’Andréa, falta às empresas a percepção de que é preciso trabalhar sobre o conceito de segurança da inclusão, pelo qual as corporações conseguem aferir retorno sobre investimentos em fatores como eficiência na gestão de usuários, licenças de software e volume de fraudes.

Dos entrevistados brasileiros, 86% declararam ter firewalls, 61% utilizam redes virtuais privadas (VPNs) e 54% implementaram secure socket layer para proteção de dados críticos. Software antivírus são identificados em 73% dos casos, backup automático em 61% e detecção de intrusão em 49% das empresas entrevistadas.
“Uma coisa não exclui a outra, mas não adianta colocar um pitbull na frente da empresa para sentir segurança; fatalmente o cão não saberá distinguir quem é hacker de quem é cliente. Ele morderá os dois”, finaliza D’Andréa.

 

Metodologia da pesquisa

“O retrato da Segurança da Informação 2003”, é uma pesquisa mundial, realizada pela revista CIO e a PricewaterhouseCoopers entre 15 de abril a 7 de julho de 2003. Leitores de CIO, CSO (do mesmo grupo de CIO) e clientes da PricewaterhouseCoopers ao redor do mundo foram convidados, via correio eletrônico, a participar da pesquisa. Os resultados se baseiam nas respostas de 7.596 CEOs, CFOs, CIOs, CSOs e vice-presidentes e diretores de TI e segurança da informação de 54 países. Somente do Brasil participaram 415 executivos, o que representa 5,5% do total. A margem de erro é de 1,1%.

O estudo representa uma ampla gama de indústrias, incluindo informática (14%), governo (9%), serviços de consultoria e profissionais (8%), serviços financeiros e bancários (8%), manufatura não relacionada a informática (8%) e educação (7%). Um quarto dos entrevistados são executivos de TI, enquanto que 16% são profissionais de segurança da informação. Quinze por cento dos entrevistados têm cargos de CEO, CFO ou de diretor não ligado a TI  e 19% são administradores de rede. Vinte e um por cento pertencem à categoria “outros”.

Quarenta e dois por cento dos executivos reportaram vendas anuais totais inferiores a US$ 100 milhões, enquanto que 18% obtiveram vendas entre US$ 100 milhões e US$ 999,9 milhões. Vinte por cento da base da pesquisa disse que as vendas anuais de suas organizações ultrapassaram US$ 1 milhão e 20% eram organizações sem fins lucrativos e, portanto, não reportaram vendas anuais.

Quando perguntados sobre o tamanho da empresa, 28% disseram que suas organizações tinham menos de 100 funcionários e 31% tinham entre 100 e mil funcionários. Dezenove por cento dos entrevistados disseram ter entre mil e cinco mil funcionários e 21% tinham mais de cinco mil funcionários (os números podem não resultar em 100% devido a arredondamento).

|Computerworld - Edição 398 - 19/11/2003|