As discussões sobre Segurança da Informação no ambiente corporativo nem sempre levam em conta o fato de que as ameaças são crescentes, mais violentas e com maior potencial de causar prejuízo para as companhias.
O estudo 2015 Cost of Data Breach Study, desenvolvido pelo Ponemon Institute e pela IBM com 350 corporações globais revela que, em média, o custo total do vazamento de dados aumentou de US$ 3,5 milhões para US$ 3,79 milhões em relação à edição anterior da pesquisa.
O cenário brasileiro demanda ainda mais atenção: o País é, ao lado da França, aquele em que as empresas têm mais risco de enfrentar vazamentos de dados acima de 10 mil registros. Atualmente, a variedade de potenciais riscos e a sofisticação dos agressores é tão grande que os métodos tradicionais de detecção e prevenção têm se mostrado ineficientes. Além disso, a maior parte das empresas não possui os recursos técnicos nem financeiros para combater cibercriminosos cada vez mais agressivos.
De acordo com a pesquisa Detecção de Ataque de Derrubada e Resposta a Incidentes, realizado em 2015 pelo Enterprise Strategy Group (ESG) para a Intel Security com 700 profissionais de TI e SI de companhias de médio e grande portes do mundo, mostrou que no Brasil as empresas tiveram, em média, 37 investigações de segurança em 2014 e que 84% dos entrevistados tiveram dificuldade com a detecção e resposta a incidentes devido à falta de integração e comunicação entre suas tecnologias de segurança. Em média, uma equipe de segurança demora seis dias entre a descoberta e a remediação de um ataque direcionado avançado.
Já o Ponemon Institute indica que os profissionais de segurança de TI têm uma gestão deficiente, estão desconectados e no escuro quando o assunto é a proteção das informações corporativas: 75% das companhias, por exemplo, não possuem informações suficientes ou não têm certeza sobre tentativas de ataque e seus impactos. A maioria das empresas não consegue nem identificar que sofreram ataques, quanto mais reagir rapidamente a eles. Somente 42% dos entrevistados acreditam que as empresas estão investindo o suficiente em pessoal e tecnologia para promover uma segurança digital efetiva.
Tendo em vista os números que retratam o cenário brasileiro de Segurança da Informação, dois dados alarmantes trazem à tona a responsabilidade do CIO pela gestão do ambiente de informação das empresas: 55% disseram que a alta administração de suas companhias não possui conhecimento adequado sobre as questões de segurança; e 69% disseram que seus líderes não acreditam que a perda de dados confidenciais poderia causar uma perda potencial de receita.
Seja por miopia, seja por sorte (até o momento não sofreram um ataque de grandes proporções) o que se pode concluir dessas pesquisas é a necessidade de se desenvolver uma comunicação adequada entre o gestor de TI com a alta direção, a fim de conseguir mostrar os riscos aos quais estão sujeitos e justificar os contínuos investimentos em Segurança da Informação. A empresa será atacada, a pergunta é: quando?
