A Level 3 Communications, está compartilhando o Level 3 Security Index, estudo realizado pela IDC, líder de inteligência de mercado, para identificar a maturidade da segurança da informação e da infraestrutura corporativa de TI das organizações brasileiras. O Brasil recebeu uma pontuação geral de 64,9 pontos em um total possível de 100 pontos.
Descobertas Relevantes:
– Na média, empresas no Brasil têm dois profissionais dedicados à segurança da informação.
– Cerca de 57 por cento das organizações entrevistadas já utiliza Serviços Gerenciados de Segurança (Managed Security Services – MSS) como resposta à falta de profissionais qualificados.
– Aproximadamente 25 por cento das empresas não conseguem medir os impactos resultantes dos incidentes relacionados à segurança da informação.
– Apenas 42 por cento das organizações alega praticar e gerar métricas sobre o cumprimento de suas políticas de segurança da informação.
O relatório pesquisou quarto tópicos: Conscientização, Ferramental, Prevenção, Mitigação.
Conscientização:
– O estudo mostrou que as grandes empresas têm maior dificuldade com a visibilidade dos problemas de segurança.
– Esta falta de visibilidade está relacionada à complexidade de seus ambientes e sistemas.
– Em relação à conscientização na quantificação de ataques sofridos ou mitigados, 34 por cento têm visibilidade completa; as outras 66 por cento têm visibilidade parcial ou nenhuma.
– Quando perguntadas sobre a mensuração do impacto de incidentes de segurança, 25,5 por cento não sabem e 32 por cento sabem apenas superficialmente, enquanto 42,2 por cento podem detalhar o impacto em cada sistema ou nos sistemas críticos.
Ferramentas:
– O estudo mostrou que ferramentas internas de tecnologia são a área de maior desafio para a segurança.
– Isto deve-se ao fato de que a aquisição de ferramentas de tecnologia voltadas para segurança, em certa medida, estão ligadas à capacidade de investimento das empresas.
– De acordo com a pesquisa, mais de 61 por cento das empresas acredita que apenas poucos profissionais estão plenamente qualificados ou que o nível de treinamento de suas equipes está abaixo do ideal para a utilização das ferramentas disponíveis.
Prevenção:
– As grandes empresas são ativas na prevenção, estabelecendo e monitorando controles com maior atenção, possibilitando um nível melhor de desempenho.
– Quando perguntadas sobre políticas e padrões de segurança da informação estabelecidos e documentados, 28 por cento não possuem um cronograma definido para revisar e atualizá-los, enquanto 33 por cento os revisam e atualizam apenas uma vez ao ano
Mitigação:
– O estudo mostra que as habilidades de comunicação e estrutura de ativação são, em muitos casos, informais e não estão bem documentadas.
– 46 por cento das empresas não mantêm uma frequência na revisão de procedimentos de contingência e segurança.
– Quando perguntadas sobre o grau de alinhamento em segurança da informação, no item “controles internos para detecção e prevenção de fraude são validados periodicamente”, 41 por cento consideram que isso é realidade em suas empresas, enquanto 59 por cento dos participantes ainda consideram isso distante.
Próximos Passos:
Para aprimorar a maturidade geral da segurança da informação em empresas brasileiras, o estudo recomenda:
– Pensar em contratar serviços terceirizados e gerenciados.
– Investir em ferramentas que possibilitem melhor controle, visibilidade e automação para maximizar a eficiência da equipe de segurança da informação.
– Priorizar investimentos de acordo com a prioridade de cada ambiente, avaliação de riscos e impactos.
– Mostrar os benefícios da segurança da informação utilizando métricas bem definidas.
– Conduzir testes de segurança com mais frequência e com maior abrangência.
Perspectiva para 2017:
– O estudo mostrou uma perspectiva mais proativa para a segurança da informação em 2017.
– Mais de 42 por cento das empresas pesquisadas pretende aumentar seu orçamento de TI em 2017, em comparação a 2016.
– O modelo de Infraestrutura como um Serviço (IaaS) está ganhando tração não só em computação, mas também em armazenamento – um fator que aumenta as preocupações em relação à segurança e governança de informação.
“O índice mostra que o Brasil ainda tem um longo caminho a percorrer no amadurecimento da área de segurança. As empresas precisam entender a importância de cada uma das áreas analisadas no índice e equilibrar seus investimentos baseadas nele. Para avançar a partir do nível atual, existem ações que precisam ser empreendidas em relação à especialização das equipes, revisão de processos e adoção de ferramentas de última geração. A evolução da Segurança da Informação é um tema que precisa ser abordado continuamente”, diz Luciano Ramos, Coordenador de Pesquisa de Software, IDC Brasil
“Com o rápido crescimento de ameaças de cibersegurança no Brasil, que está acima da média mundial, percebemos a necessidade de desenvolver um estudo que revelasse o atual grau de maturidade das práticas de segurança em corporações brasileiras. A partir deste índice, podemos colaborar com o mercado brasileiro para focarmos nas principais oportunidades de evolução da cibersegurança para seus negócios e clientes”, afirma André Magno, Diretor de Data Center e Segurança, Level 3 Brasil
Metodologia:
Para atingir este resultado, a IDC entrevistou 100 empresas baseadas no Brasil com mais de 250 funcionários (a maioria com mais de 1.000 funcionários), observando as quatro dimensões do estudo: conscientização, ferramentas, prevenção e mitigação. Durante as entrevistas com líderes de Segurança da Informação, os pesquisadores avaliaram seu grau de conhecimento sobre o impacto da segurança no negócio, habilidades de detecção e capacidade para medir ameaças a seus sistemas, entre outros tópicos. Também analisaram dados disponíveis na IDC global e Brasil, e o mercado para obter mais informação qualitativa. O índice final é a ponderação matemática dos quatro temas propostos nas entrevistas.