As novas normas e regulamentações têm sido as principais impulsionadoras da segurança da informação no ambiente corporativo, ultrapassando pela primeira vez o combate a vermes e vírus, segundo a 8ª pesquisa anual global sobre segurança da informação divulgada pela empresa de auditoria Ernst & Young.
De acordo com o estudo, as novas regulamentações e as conseqüências previstas para as empresas que não cumprirem as determinações elevou o status da segurança fez com que o assunto se tornasse uma preocupação no board das companhias. Quase dois terços dos que responderam à pesquisa ? foram ouvidos representantes de 1,3 mil empresas globais, órgãos governamentais e entidades sem fins lucrativos em 55 países ? mencionaram o cumprimento de regulamentos como a lei americana Sarbanes-Oxley, o acordo Basiléia II e a 8ª Diretiva da União Européia como os principais alavancadores da segurança da informação.
O diretor de serviços de risco de segurança e tecnologia da Ernst & Young, Edwin Bennett, diz que, apesar da preocupação demonstrada, a atitude das organizações em relação à segurança ainda não se tornou parte integrante das suas iniciativas estratégicas. ?Infelizmente, isso não ocorre de modo sistemático. Há um distanciamento crescente entre os riscos decorrentes das rápidas mudanças no ambiente global de negócios e o que a segurança da informação está fazendo para atender a esses riscos. Esse padrão de comportamento é sistemático em todas as organizações, independente de tamanho ou localização."
A pesquisa da Ernst & Young mostra ainda que as demandas de negócios e o custo decrescente da conectividade sem fio têm impulsionado a disseminação das tecnologias móveis, mas ao mesmo tempo têm feito com que a segurança do ambiente corporativo e a proteção da propriedade intelectual e do patrimônio de informações fiquem cada vez mais sob responsabilidade individual ? uma responsabilidade que muitas organizações não previram nem aceitam integralmente. "Menos de metade das organizações toma providências para treinamento e conscientização dos usuários quanto a questões envolvendo uso dessas tecnologias, e menos ainda recebe treinamento sobre como responder a incidentes de segurança", observou Bennett.
Apesar das sérias ameaças, o estudo constata que menos de 20% das organizações se preocupam com a segurança de tecnologias em rápido desenvolvimento como a telefonia IP (VoIP), software de código aberto e virtualização de servidores. Segundo a Ernst & Young, as organizações consideram que as tecnologias emergentes em geral serão uma preocupação de segurança cada vez maior nos próximos 12 meses. Entretanto, mais de um quarto delas não tem nenhum plano para enfrentar esse risco.
A pesquisa mostra que a contratação de terceiros continua sendo um risco para a segurança da informação porque muitas organizações ainda não prestam atenção adequada para o gerenciamento do risco com fornecedores ? o processo de avaliar e atenuar riscos, inclusive investigação profunda e exames regulares das práticas e procedimentos adotados pelas empresas fornecedoras de produtos e serviços. A pesquisa mostra que um quinto dos entrevistados não abordou em nenhum momento a questão do gerenciamento do risco do fornecedor, e um terço informou que somente dispõe de procedimentos informais implantados com esse objetivo.
A conclusão a que chega o estudo é que, embora tenha havido maior conscientização sobre a segurança da informação como questão crítica nos conselhos e diretorias das empresas, ela continua sendo encarada como uma atividade operacional, em vez de ser vista também sob o ponto de vista estratégico.
