O Brasil conquistou 64,9 pontos, de um total de 100, em maturidade da segurança da informação e infraestrutura de TI corporativa, no estudo Level 3 Security Index, realizado pela IDC. O estudo avaliou as empresas sob vários ângulos, dentre eles o número de profissionais dedicados à segurança da informação e a contratação de serviços gerenciados de segurança.
De acordo com o levantamento, na média, as empresas no Brasil têm dois profissionais dedicados à segurança da informação. E cerca de 57% das organizações já utilizam Serviços Gerenciados de Segurança (Managed Security Services – MSS) como resposta à falta de profissionais qualificados.
Mais de 61% das empresas acredita que apenas poucos profissionais estão plenamente qualificados ou que o nível de treinamento de suas equipes está abaixo do ideal para a utilização das ferramentas disponíveis.
Sobre os incidentes com falhas de segurança da informação, aproximadamente 25% das empresas não conseguem medir os impactos resultantes dos incidentes relacionados à segurança da informação. Apenas 42% delas alegam praticar e gerar métricas sobre o cumprimento de suas políticas de segurança da informação.
O relatório pesquisou quarto tópicos: Conscientização, Ferramental, Prevenção, Mitigação.
No item conscientização, o estudo mostrou que as grandes empresas têm maior dificuldade com a visibilidade dos problemas de segurança. E identificou que esta falta de visibilidade está relacionada à complexidade de seus ambientes e sistemas.
Em relação à conscientização na quantificação de ataques sofridos ou mitigados, 34% têm visibilidade completa; as outras 66% têm visibilidade parcial ou nenhuma.
Quando perguntadas sobre a mensuração do impacto de incidentes de segurança, 25,5% não sabem e 32% sabem apenas superficialmente, enquanto 42,2% podem detalhar o impacto em cada sistema ou nos sistemas críticos.
As ferramentas internas de tecnologia são a área de maior desafio para a segurança, de acordo com o levantamento. Isto deve-se ao fato de que a aquisição de ferramentas de tecnologia voltadas para segurança, em certa medida, estão ligadas à capacidade de investimento das empresas.
Quando perguntadas sobre políticas e padrões de segurança da informação estabelecidos e documentados, 28% diz que não possuem um cronograma definido para revisar e atualizá-los, enquanto 33% revisam e atualizam apenas uma vez ao ano.
O estudo mostra que as habilidades de comunicação e estrutura de ativação são, em muitos casos, informais e não estão bem documentadas. Quarenta e seis porcento das empresas não mantêm uma frequência na revisão de procedimentos de contingência e segurança.
Quando perguntadas sobre o grau de alinhamento em segurança da informação, no item "controles internos para detecção e prevenção de fraude são validados periodicamente", 41% consideram que isso é realidade em suas empresas, enquanto 59% dos participantes ainda consideram isso distante.
O estudo mostrou uma perspectiva mais proativa para a segurança da informação em 2017. Mais de 42% das empresas pesquisadas pretende aumentar seu orçamento de TI em 2017, em comparação a 2016. O modelo de Infraestrutura como um Serviço (IaaS) está ganhando tração não só em computação, mas também em armazenamento – um fator que aumenta as preocupações em relação à segurança e governança de informação.
Para aprimorar a maturidade geral da segurança da informação em empresas brasileiras, o estudo recomenda:
• Pensar em contratar serviços terceirizados e gerenciados.
• Investir em ferramentas que possibilitem melhor controle, visibilidade e automação para maximizar a eficiência da equipe de segurança da informação.
• Priorizar investimentos de acordo com a prioridade de cada ambiente, avaliação de riscos e impactos.
• Mostrar os benefícios da segurança da informação utilizando métricas bem definidas.
• Conduzir testes de segurança com mais frequência e com maior abrangência.