O Gartner Inc., líder mundial em pesquisa e aconselhamento sobre tecnologia, afirma que as práticas de governança de segurança da informação estão amadurecendo e a tendência de gerir a segurança fora do ambiente de TI reflete-se na necessidade de uma governança eficaz. Essas e outras informações serão apresentadas durante a Conferência Gartner Segurança e Gestão de Riscos, que acontece nos dias 10 e 11 de agosto (segunda e terça-feira), no Sheraton São Paulo WTC Hotel.
A análise é resultado da pesquisa anual com usuários finais sobre privacidade, governança de riscos de TI, segurança da informação, continuidade dos negócios ou conformidade regulatória. Foram entrevistados 964 executivos de grandes empresas – com receitas superiores a US$ 50 milhões em 2014 e mais de 100 funcionários – em sete países, entre fevereiro e abril de 2015.
“A consciência cada vez maior sobre os riscos dos negócios digitais, associada aos altos níveis de publicidade retratando incidentes de segurança cibernética, está tornando os riscos de TI um problema que merece a atenção dos altos cargos das empresas. Entre os entrevistados, 71% indicaram que os dados de gestão de risco de TI influenciam as decisões da diretoria. Isso também se reflete em um maior foco ao lidar com estes riscos como parte integrante da governança corporativa”, afirma Tom Sholtz, Vice-Presidente e Colaborador do Gartner.
Para o Gartner, a natureza das linhas de relatórios da equipe de segurança da informação é um dos atributos mais relevantes da governança eficaz. Na pesquisa, 38% dos entrevistados indicaram explicitamente que os principais responsáveis pela segurança da informação na empresa trabalham fora do setor de TI.
“Os principais motivos para o estabelecimento da linha de informação fora do ambiente de TI são o aprimoramento da separação entre execução e supervisão, o aperfeiçoamento do perfil corporativo na função de segurança da informação e a ruptura da mentalidade de funcionários e representantes da instituição sobre o conceito de que segurança é um problema de TI. As organizações reconhecem cada vez mais que a segurança deve ser gerenciada como uma questão de risco da empresa, e não apenas como um problema operacional de TI. Há um entendimento cada vez maior de que os desafios da segurança cibernética vão além do âmbito tradicional de TI em áreas como Tecnologia Operacional (TO) e segurança da Internet das Coisas (IoT)”, diz Tom Sholtz, Vice-Presidente e Colaborador do Gartner.
O nível de senioridade dos patrocinadores dos programas de segurança também está aumentando. Segundo a pesquisa, 63% dos entrevistados indicaram que recebem patrocínio e suporte para seus programas de segurança da informação de líderes fora do setor de TI. Este é um aumento significativo em comparação aos 54% apontados em 2014. O patrocínio do presidente executivo e da diretoria permaneceu na faixa de 30% (29% em 2014), enquanto o patrocínio do comitê de gestão aumentou de 7% para 12%. Há ainda diferenças regionais interessantes, com 57% dos entrevistados da América do Norte indicando patrocínio de fora de TI, resultado consideravelmente inferior aos 63% identificados na Europa Ocidental, e dos 67% registrados na Ásia e no Pacífico.
“A autorização de um funcionário executivo sênior para o programa de segurança é fundamental. Sem isso, o projeto tem pouca chance de obter suporte de requisitos com o restante da empresa. O comitê corporativo de gestão de segurança da informação (Corporate Information Security Steering Committee – CISSC) deve ser formado por representantes da empresa, por isso esperamos que o nível de patrocínio desses departamentos continue aumentando, assim como as funções de governança estão amadurecendo. De fato, um fórum de governança eficiente, como o CISSC, torna-se representante da autoridade do CEO, da diretoria e dos gerentes seniores da unidade de negócios”, completa Tom Sholtz, Vice-Presidente e Colaborador do Gartner.
Em relação à eficácia das políticas de segurança, embora metade dos entrevistados indique que a equipe de governança participe da avaliação e aprimoramento de políticas, somente 30% dos entrevistados afirmam que as unidades de negócios (UNs) participam ativamente do desenvolvimento das políticas que afetarão suas empresas. Mesmo sendo uma melhoria considerável em relação aos anos anteriores (16% em 2014), o resultado ainda indica falta de envolvimento ativo nas organizações. Esse é o principal motivo das diferentes visões de risco entre a equipe de segurança e a empresa, o que pode resultar em controles redundantes e mal geridos que, por sua vez, ocasionam resultados de auditoria desnecessários e, por fim, reduzem a produtividade.
Essas e outras pesquisas inéditas serão apresentadas na Conferência Gartner Segurança e Gestão de Riscos. Para fazer sua inscrição, basta contatar o Gartner pelo e-mail brasil.inscricoes@gartner.com, pelos telefones (11) 5632-3109 e 0800-744-1440, ou pelo site: gartner.com/br/security. O evento oferece às empresas um direcionamento estratégico sobre os atuais conflitos entre as novas oportunidades geradas pelos negócios digitais e a necessidade de proteção de dados, propondo soluções por meio da análise de cases, tendências e práticas de mercado. Mais informações estão disponíveis no site: gartner.com/br/security.
Anote em sua agenda
Conferência Gartner Segurança e Gestão de Riscos – http://www.gartner.com/br/security
Data: 10 e 11 de agosto de 2015 (segunda e terça-feira)
Local: Sheraton São Paulo WTC Hotel
Endereço: Av. das Nações Unidas, nº 12.559, São Paulo – SP