Na pressa por adotar novas tecnologias, empresas globais deixam a preocupação com segurança em segundo plano, aponta Ernst & Young

Estudo revela que, apesar de grande maioria das corporações perceber um aumento considerável dos riscos, elas ainda não sabem ao certo quais são eles e como evitá-los.

São Paulo– Na pressa para atualizar seus negócios com novas tecnologias e mover-se para o mundo cada vez mais sem fronteiras da computação em nuvem e das mídias sociais, as organizações globais estão desenvolvendo uma lacuna entre suas necessidades e a habilidade de lidar com novas e complexas ameaças de segurança. Essa é a conclusão do 14º estudo anual Global Information Security Survey, realizado pela Ernst & Young.

A pesquisa, feita com 1.700 organizações de todo o mundo, constatou que 72% dos entrevistados sentem um nível crescente de risco devido a ameaças externas cada vez maiores. Ao mesmo tempo, porém, cerca de apenas um terço deles atualizou sua estratégia de segurança de informação nos últimos 12 meses.

Com 80% das companhias atualmente utilizando ou considerando utilizar tablets e 61% usando ou considerando usar serviços de computação em nuvem dentro do próximo ano, a ameaça de violações à segurança tornou-se uma preocupação de segundo plano na corrida para se adaptar a um ambiente em rápida mudança.

“Mais e mais negócios e indústrias importantes estão sendo geridos com o auxílio de softwares”, afirma Alberto Fávero, sócio de Consultoria da Ernst & Young Terco com foco em Tecnologia e Segurança da Informação. “Confrontadas com cada vez menos fronteiras, serviços e modelos de negócios em nuvem, as companhias estão se perguntando como responder a riscos novos e emergentes e se suas estratégias precisam ser revisadas. O foco deve deixar de ser correções de curto prazo e passar a ser uma abordagem mais integrada com objetivos estratégicos corporativos de longo prazo”, completa.

Financiamento-É encorajador que 59% dos entrevistados estejam planejando aumentar o orçamento para segurança de informação nos próximos 12 meses, como revela a pesquisa. No entanto, apenas 51% deles afirmaram possuir uma estratégia documentada para orientar esses investimentos.

Em termos de aplicação de orçamento, os entrevistados nomearam a continuidade de negócios como sua principal prioridade para os próximos 12 meses. No geral, pelo segundo ano seguido, os respondentes da pesquisa indicaram a continuidade dos negócios como sua principal prioridade de investimento de recursos do orçamento de TI ou segurança da informação.

Tablets- A adoção de tablets e smartphones figura na segunda posição na lista de desafios tecnológicos analisados como mais significativos, com mais da metade dos entrevistados afirmando tratar-se de um desafio difícil ou muito difícil. Ajustes de políticas e programas de conscientização são as principais medidas usadas para responder a riscos oferecidos por essas tecnologias móveis. A adoção de técnicas e softwares de segurança, no entanto, ainda é baixa. Por exemplo, técnicas de criptografia são usadas por menos da metade – 47% – das organizações pesquisadas.

Construindo confiança na nuvem- Apesar dos argumentos favoráveis à adoção da computação em nuvem, ainda não está claro para muitas organizações as implicações que ela traz, e são crescentes seus esforços para melhor entender o impacto e os riscos.

Do total, 48% dos entrevistados afirmaram que a implantação da computação em nuvem como um desafio difícil ou muito difícil, e mais da metade disse não ter implementado qualquer controle para mitigar riscos associados a ela. A medida mais frequentemente adotada é uma revisão minuciosa do contrato de gerenciamento com provedores de nuvem, mas mesmo isso é feito por apenas 20% dos entrevistados, indicando um alto – e possivelmente equivocado – nível de confiança.

“Na ausência de diretrizes claras, muitas organizações parecem estar tomando decisões sem estar bem informadas, tanto adotando a nuvem prematuramente e sem considerar apropriadamente os riscos associados quanto evitando a nova tecnologia. Apesar de algumas empresas terem adotado a computação em nuvem para serviços específicos, muitas o fizeram de forma não estruturada ou orientada por uma estratégia ou arquitetura”, diz Fávero.

Quase 90% dos entrevistados são a favor de uma certificação externa, e 45% disseram que esta deve ser baseada em um padrão acordado.

“Não é suficiente confiar nos fornecedores de serviços de infraestrutura para responder a todos os riscos associados com a computação em nuvem”, avalia Fávero. “Esses riscos podem representar uma mudança significativa no modo como uma organização opera e precisa ser gerenciado por procedimentos formais de negócios e de gerenciamento de riscos em TI da própria empresa usuária.”

Mídia social-A maioria dos entrevistados no estudo da Ernst & Young – 72% – afirmou que ataques externos são os principais riscos. Esses ataques podem ser alimentados por informações obtidas pelo uso de mídias sociais que foram utilizadas para enviar mensagens pishing (tipo de fraude utilizada para roubar informações particulares valiosas) direcionadas a indivíduos-alvo.

Para ajudar a responder a esses riscos, as organizações parecem estar adaptando uma resposta linha-dura. Mais da metade dos entrevistados – 53% – respondem bloqueando o acesso a sites ao invés de se adequar à mudança e adotar medidas que abrangem toda a corporação.

Prioridade-A pesquisa mostra que apenas 12% dos entrevistados estão abordando questões de segurança de informação em reuniões de conselho e menos da metade, 49%, afirmou que a área de segurança responde às necessidades da empresa.

“Uma resposta pragmática e proativa ao invés de uma reativa é necessária. A segurança das informações precisa ser mais visível nas reuniões da administração com uma estratégia claramente definida que irá dar apoio ao negócio na nuvem ou em qualquer outro local. Muitas companhias ainda têm um longo caminho a seguir até tornar isso uma realidade”, afirma Fávero.

“Para gerenciar efetivamente riscos em TI em geral, as empresas precisam ter uma visão ampla e abrangente de todas as ameaças envolvidas. Essa perspectiva holística irá fornecer às companhias um ponto inicial para ajudar a identificar e gerenciar desafios e riscos atuais, assim como os que podem surgir com o passar do tempo”, conclui o sócio da Ernst & Young Terco.

Perfil da Ernst & Young e sobre a Ernst & Young Terco: a Ernst & Young é líder global em serviços de auditoria, impostos, transações corporativas e consultoria. Em todo o mundo, a empresa tem 152 mil colaboradores unidos por valores pautados pela ética pelo desenvolvimento das pessoas e pelo compromisso constante com a qualidade. A empresa faz a diferença ajudando colaboradores, clientes e as comunidades em que atua a atingirem todo seu potencial.

No Brasil, a Ernst & Young Terco é a mais completa empresa de consultoria e auditoria com mais de 4.100 profissionais que dão suporte e atendimento a mais de 3.400 clientes de grande, médio e pequeno portes, sendo que 117 companhias são listadas na CVM (dado referente a dezembro de 2010). [www.ey.com.br].