Por COMPUTERWORLD

A maioria dos executivos de tecnologia (35%) acredita que precisa investir mais na identificação de anomalias de rede, gerenciamento de identidade e de vulnerabilidades em busca de prevenção. Para chegar à conclusão, um levantamento foi feito com 84 empresas participantes do IDC Brazil Information Security & Business Continuity Conference 2007.

Além da maturidade no uso de soluções de segurança, 25% declararam que a proteção virá com as aquisições de firewall, antivírus e anti-spam, enquanto apenas 12% enxergam a necessidade de investir em ferramentas de testes de intrusão e de Web-filtering.

Sobre as soluções de segurança já adquiridas, Appliance recebeu a maior indicação (89%), segundo o IDC, pois concentra diversas soluções em um único produto. Em seguida, gerenciamento e distribuição de patches automatizando e reduzindo atividades operacionais.

Na questão sobre o que as empresas visam com a aquisição de soluções de segurança, 37% percebem que comprar somente o produto não é suficiente e esperam contratar também serviços de instalação, configuração e treinamento, mais o suporte e a terceirização de serviços. Apenas 14% visam adquirir somente o produto, sem nenhum serviço adicional incluído no negócio.

Quando perguntados sobre o que suas empresas abordam em segurança da informação, garantir a segurança dos dados, aplicações e a marca da companhia, bem como as soluções preventivas, prevaleceu para 42% dos profissionais ouvidos. A preocupação com a educação dos usuários também se mostrou estratégica para as empresas participantes (37%). Apenas 6% identificam as políticas de uso de e-mail e dos recursos de TI como parte dos objetivos corporativos.

Dos benefícios já percebidos com o uso de soluções de segurança, 39% relatam ter verificado redução nas incidências de contaminação da rede por vírus e spam; 29% apontaram a correção dos pontos de vulnerabilidade da empresa (físicos, técnicos e de pessoal), e somente 5% notaram segurança nos acessos remotos.

É interessante notar que quanto aos processos como a ISO 17799 (Código de Boas Práticas na Gestão de Segurança da Informação) e ISO 27000 (requerimentos em TI e gerenciamento de sistemas em segurança da informação), a maioria indicou que ainda estão em fase de avaliação para identificar qual processo se aplica à empresa, 43% e 40% respectivamente. Poucos admitiram estar com os processos certificados (8% e 5%). De acordo com a análise, observa-se um movimento de preparação para a certificação, mas somente entre as empresas que realmente necessitam disso.

Quanto à importância de um profissional certificado CISSP (Certified Information Systems Security Professional), 48% responderam que isso não se aplica as suas empresas. Apesar dessa certificação ser necessária nas empresas provedoras de TI, as empresas clientes não consideram ter um profissional CISSP na equipe, apenas se for sob demanda.

Nas questões sobre políticas e procedimentos, quase 40% das empresas acreditam que as políticas de segurança são conhecidas, respeitadas e monitoradas. Do total de entrevistados, 18% não têm política definida, o que é preocupante porque sem isso os funcionários ficam sem direcionamento de conduta em relação às informações corporativas, abrindo portas para a criação/permissão de vulnerabilidades.

O questionário ainda aponta que 38% dos funcionários percebem os benefícios propiciados pela prática das políticas de segurança tendo em vista a redução de incidências. Sobre a prática das políticas, 42% acham importante um processo de novo treinamento e recordação das mesmas.

Sobre o conhecimento dos riscos em infra-estrutura de TI, processos e segurança, quase 40% das empresas diz conhecer os perigos e é esperada uma valorização monetária dos impactos, a probabilidade de ocorrências e um plano para mitigá-los. 

A análise também identificou que para mais de 40% das empresas tem planos de ação definidos para seus riscos, não houve ainda necessidade de utilizá-los. Também mais de 40% não utiliza sites back up e algumas que os usam – cerca de 30% - informaram que os testes de simulação de transparência de ambiente foram executados com resultados satisfatórios.

Do total de respondentes, 51% são de empresas com mais de mil funcionários;
10% de empresas com 500 a mil funcionários, 24% de empresas de médio porte (de 100 a 499 funcionários) e 15% de pequenas empresas (até 99 funcionários). Considerando a área de atuação, 79% do total pertencem à divisão de tecnologia, o restante dividido entre as áreas de diretoria, marketing, vendas e outras.