Por Fernanda Ângelo, do COMPUTERWORLD

Política para inglês ver

Os orçamentos para segurança da informação dentro da verba destinada à TI cresceram de 13% para 17% entre 2005 e 2006. Além disso, aumentou também o número de entrevistados que afirmaram que suas companhias mantêm orçamentos distintos para segurança da informação e TI: foram 21% este ano, ante 16% doze meses atrás.

Embora a segurança da informação esteja ganhando independência em relação à área de TI, o retorno sobre o investimento (ROI) ainda é elusivo. Quando questionados sobre a forma como suas empresas medem a eficácia dos investimentos em segurança, 46% dos entrevistados responderam que o fazem por “julgamento profissional”, indicando que essa medição continua sendo difícil de fazer. “Um dos grandes desafios está vinculado à utilização de métricas para a segurança da informação”, afirma Gesteira. “Ao mesmo tempo em que executivos criam políticas baseadas em padrões internacionais, eles não conseguem estabelecer métricas para medir as não-conformidades”, explica o consultor da PwC.

A maioria das políticas em vigor nas organizações cobre questões básicas de segurança. Segundo a pesquisa, 47% dos profissionais ouvidos revisaram ou mediram a eficiência de suas políticas de segurança da informação no último ano, contra 41% em 2005. A exemplo do ano passado, questões básicas relacionadas ao usuário (71%), redes (60%) e administração de sistemas de segurança são as mais freqüentemente incluídas nas políticas de segurança.

Porém, medir a eficiência e o cumprimento dessas políticas pelos funcionários é uma grande dificuldade para as empresas (veja gráfico ao lado). Especialmente porque até agora apenas 27% delas classificam a importância e o valor de suas informações, 37% realizam avaliações de riscos e 23% possuem mecanismos que obriguem o usuário a cumprir as regras de suas políticas de segurança. Como resultado, cerca de 35% dos entrevistados afirmaram que metade – ou mais da metade – dos usuários em suas organizações não cumprem as regras das políticas ali estabelecidas. Significa dizer que, se as empresas não monitoram o uso e, portanto, não penalizam aqueles que infringem leis internas de utilização, por mais que invistam, no final das contas, não estão protegendo nada.