Como saber o meu nível de maturidade em SI?

O número de incidentes de segurança da informação detectados tem crescido exponencialmente. De acordo com o relatório Global State of Information Security, entre 2015 e 2014, foi um aumento de 38%. Tão importante quanto o crescimento do volume é o fato de que nenhum segmento de mercado tem conseguido passar imune aos ataques cibernéticos: varejo, bancos, serviços, energia, setor aéreo e administração pública são alguns deles. Ataques que são críticos, seja pelo prejuízo financeiro que trazem, seja pela possibilidade de eliminar vidas.

Com o crescimento da Internet das Coisas, os riscos só devem aumentar. Um estudo da consultoria IDC prevê que o número de dispositivos conectados à Internet atingirá 30 bilhões em 2020, contra cerca de 13 bilhões em 2015. Paralelamente, o número de tentativas de explorar vulnerabilidades desses equipamentos continuará em alta: apenas no ano passado, o crescimento desse tipo de ataque foi de 152% em relação a 2014.

Tempos atrás, a Accenture e a IDC realizaram o estudo Brazil Infrastructure Maturity X-Ray, no qual entrevistaram 100 empresas de grande porte em vários segmentos e comprovaram que as empresas brasileiras ainda estão longe do ideal para lidar com as ameaças tecnológicas.

Levando em consideração o nível de maturidade das empresas em relação a suporte a serviços, segurança, governança, TI verde e data center, em uma escala de um a cinco, a média das empresas do País foi de 2,7. Embora represente uma evolução em relação aos anos anteriores, esse número ainda está abaixo da maturidade mínima esperada, de 3 nessa mesma escala.

De acordo com o guia Critical Security Controls, desenvolvido e mantido pelo CIS - Center for Internet Security, as empresas precisam adotar um conjunto de ações que devem ser priorizadas na busca por uma maior maturidade de segurança em seus ambientes corporativos. Essas ações se classificam em cinco áreas:

• Base de conhecimento: use as informações dos ataques que comprometeram sistemas para prover as bases de um aprendizado contínuo que permita construir defesas efetivas e práticas

• Priorização: invista primeiro em controles que ofereçam o maior potencial de redução de riscos e proteção contra as principais ameaças e que possam ser implementadas em seu ambiente de TI

• Métricas: estabeleça métricas que ofereçam uma linguagem única para que executivos, especialistas em TI, auditores e profissionais de segurança possam medir a eficácia das ações de segurança na companhia e fazer rapidamente quaisquer ajustes necessários

• Diagnóstico contínuo: teste e valide sistematicamente a eficácia das atuais medidas de segurança para ajudar a priorizar os próximos passos

• Automação: automatize as defesas para que a empresa possa contar com medidas confiáveis, escaláveis e contínuas que tenham aderência aos padrões de mercado

É importante verificar que mesmo as melhores práticas de mercado não dependem do volume de investimento em segurança da informação. Investir quantias significativas, mas sem estratégia ou priorização das áreas que serão mais protegidas, pode ser um erro mais comum do que imaginamos.

Como é na sua empresa? Qual seu nível de maturidade em segurança? Vale a pena pensar a respeito.