Um levantamento feito com 84 empresas realizado durante a IDC Brazil Information Security & Business Continuity Conference 2007, em 15 de março, mostra que mais de 35% das empresas reconhecem que precisam investir na detecção de anomalias na rede, no gerenciamento de identidade e de vulnerabilidades em busca de prevenção. O interessante dessa análise é que 25% acreditam que a proteção virá com as aquisições de firewall, antivírus e anti-spam, enquanto apenas 12% enxergam a necessidade de investir em ferramentas de testes de intrusão e de web-filtering.
Em relação as soluções de segurança já adquiridas, os appliances (soluções que integram hardware e software) receberam a maior indicação (89%), seguidos por gerenciamento e distribuição de patches, automatizando e reduzindo atividades operacionais.
Na questão sobre o que as empresas visam com a aquisição de soluções de segurança, 37% percebem que comprar somente o produto não é suficiente e esperam ter junto o valor agregado dos serviços de instalação, configuração e treinamento, mais o suporte e a terceirização de serviços. Apenas 14% visam adquirir somente o produto, sem nenhum serviço adicional incluído no negócio.
Quando perguntados sobre o que suas empresas priorizam em segurança da informação, 42% disseram que garantir a segurança dos dados, aplicações e a marca da companhia, bem como as soluções preventivas. A preocupação com a educação dos usuários também mostrou-se estratégica para 37% das empresas participantes. Apenas 6% identificaram as políticas de uso de e-mail e dos recursos de TI como parte dos objetivos corporativos.
Dos benefícios já percebidos com o uso de soluções de segurança, 39% relataram ter verificado redução nas incidências de contaminação da rede por vírus e spam; 29% apontaram a correção dos pontos de vulnerabilidade da empresa (físicos, técnicos e de pessoal) e somente 5% notaram segurança nos acessos remotos.
É interessante notar que a adoção de processos como a ISO 17799 (certificado de boas práticas na gestão de segurança da informação) e ISO 27000 (requerimentos em tecnologia da informação e gerenciamento de sistemas em segurança da informação), a maioria indicou que ainda estão em fase de avaliação para identificar qual processo se aplica à empresa, 43% e 40% respectivamente. Poucos admitiram estar com os processos certificados (8% e 5%). De acordo com a análise, observa-se um movimento de preparação para a certificação, mas somente entre as empresas que realmente necessitam disso.
Quanto à importância de um profissional certificado CISSP (Certified Information Systems Security Professional), 48% responderam que isso não se aplica as suas empresas. Apesar dessa certificação ser necessária nos provedores de serviços de TI, as empresas clientes não consideram ter um profissional CISSP na equipe, apenas se for sob demanda.
Nas questões sobre políticas e procedimentos, quase 40% das empresas acreditam que as políticas de segurança são conhecidas, respeitadas e monitoradas, e 18% não têm política definida, o que é preocupante porque sem isso os funcionários ficam sem direcionamento de conduta em relação às informações corporativas, abrindo portas para a criação e permissão de vulnerabilidades.
O questionário ainda aponta que 38% dos funcionários percebem os benefícios propiciados pela prática das políticas de segurança tendo em vista a redução de incidências. Sobre a prática das políticas, 42% acham importante um processo de novo treinamento e recordação das mesmas.
Sobre o conhecimento dos riscos em infra-estrutura de TI, processos e segurança, quase 40% das empresas diz conhecer os perigos e é esperada uma valorização monetária dos impactos, a probabilidade de ocorrências e um plano para mitigá-los.
A análise também identificou que para a maioria das empresas (mais de 40%) que tem planos de ação definidos para seus riscos, não houve ainda necessidade de utilizá-los. A maior parte delas também não utiliza sites backup e algumas que os usam (mais de 30%) informaram que os testes de simulação de transparência de ambiente foram executados com resultados satisfatórios.
Do total de respondentes, 51% são de empresas com mais de mil funcionários; 10% de empresas com 500 a mil funcionários, 24% de empresas de médio porte (de 100 a 499 funcionários) e 15% de pequenas empresas (até 99 funcionários). Considerando a área de atuação, 79% do total pertencem à divisão de tecnologia e o restante está dividido entre as áreas de diretoria, marketing, vendas e outras.
