Os investimentos em segurança da informação no Brasil

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

O Brasil está prestes a atingir a relevante marca de um bilhão de dólares em segurança da informação, segundo dados da consultoria IDC.  Em 2011, o mercado atingiu US$ 779 milhões, dos quais 32% destinados a software, 25% a hardware e 43% destinados a serviços. O cenário é positivo, apesar da lenta recuperação econômica nos Estados Unidos e da estagnação em que se encontra a Europa.

Em nosso país temos dois enormes desafios a superar para que o mercado de S.I. cresça de forma mais acelerada: mudar a cultura organizacional a favor da segurança e desenvolver mão de obra qualificada para suportar o crescimento do mercado.

Em relação à cultura organizacional, é notório que as empresas têm dificuldade em contratar serviços e produtos relacionados à S.I. Ainda segundo o IDC, apenas 15% das empresas sabem o que desejam contratar, contra 40% de empresas que têm alguma noção do que querem contratar, mas que precisam de orientação e outros 40% de empresas que realmente não sabem nem por onde começar quando o assunto é segurança da informação.

A pesquisa obteve respostas de 206 empresas de todo o Brasil, em vários segmentos de atuação. Em outra pesquisa, feita pelo Instituto Ponemon nos Estados Unidos vemos que o tempo médio que uma empresa leva para se recuperar de um cyber ataque é de 18 dias, ao custo de um prejuízo médio de 415 mil dólares. Cabe aqui ressaltar que nosso país não conta com o nível de regulação de mercados mais maduros que forçam as empresas a operar dentro de níveis rígidos de observância a padrões, o famoso compliance.  Como não temos leis que forcem as empresas a buscarem essa padronização e muito menos temos uma cultura da segurança da informação, chegamos ao ponto em que esta é vista como um investimento sem retorno direto ao negócio e geralmente só discutida em empresas de grande porte.

Nas empresas de pequeno e médio porte a insegurança é geralmente maior em função da falta de pessoal de segurança adequadamente treinado e consequentemente da falta de medidas de segurança implantadas. Recente pesquisa realizada pela McAfee aponta que uma pequena ou média empresa que possua entre 50 e 1.000 usuários de computador conte com apenas 1,8 profissionais de TI no staff.  E que apenas 8% destas empresas possuem um profissional dedicado à segurança da informação.  E nas 92% restantes, quem trabalha pela S.I.?

Importante ressaltar que o problema da segurança no cyberespaço não decorre unicamente das ameaças – hackers, grupos criminais, operadores de botnets, insiders, phishers, spammers, e terroristas em geral. Normalmente, o perigo reside na combinação entre a ameaça e a vulnerabilidade – e por vulnerabilidades entendamos tanto produtos mal configurados e sem as atualizações mais recentes como também profissionais mal treinados, não comprometidos, empresas que não possuem políticas de segurança, etc.

Não é mais aceitável que profissionais (técnicos e comerciais), produtos e serviços críticos para o sucesso do cyberespaço não sejam controlados por padrões profissionais como acontece, por exemplo, com médicos, engenheiros e farmacêuticos. É urgente que o profissional de segurança da informação seja reconhecido como especialista, e que sejam criados padrões básicos para a atuação neste campo.  Nosso país vem expandindo a oferta de cursos superiores, sobretudo os oferecidos através de ensino à distância (EAD) e parcerias entre empresas e universidades poderiam ser estabelecidas nesta direção.

Ponderados os dois desafios principais – a mudança da cultura organizacional em favor da segurança da informação e o desenvolvimento de mão de obra qualificada, preciso ressaltar que empresas de qualquer porte podem e devem implementar medidas proativas em defesa de suas redes. Qualquer medida sempre deverá ser composta por tecnologia, pessoas e processos, mesmo que eles não sejam como o de uma grande empresa, que possui estruturas mais robustas e pessoas melhores preparadas.

Existe um nível básico de tecnologia que precisa ser implantado, mas vale ressaltar que a tecnologia sozinha não resolverá o problema.  Nem mesmo o melhor SIEM de mercado será de grande valia se não houver pessoal qualificado e processos estruturados de monitoramento.  Podemos citar como medidas mais importantes para empresas de todos os portes:

  • Estabelecer um processo efetivo de gestão de vulnerabilidades em seus ativos e aplicações;
  • Implantar um processo efetivo de monitoramento de segurança – utilizando tecnologia de SIEM que combine monitoramento de capacidade, disponibilidade e segurança;
  • Implantar medidas efetivas para defender sua rede e que enderece seus funcionários e dispositivos móveis (BYOD), suas estruturas de nuvem e medidas contra vazamento de informação confidencial;
  • Implantar medidas que permitam executar análise forense em suas redes, de modo a identificar, isolar e expulsar intrusos.

Entre outras várias medidas possíveis e desejáveis, o importante é pensar seriamente sobre o tema, se possível contando com o apoio de uma empresa ou um profissional especializado em segurança da informação.  O risco é real e a implantação de medidas para evitá-lo certamente supera o custo do prejuízo que pode ocorrer se nada for feito. [Webinsider]

…………………………

Leia também:

…………………………

Acompanhe o Webinsider no Twitter e no Facebook.

Avatar de Flávio Carvalho

Flávio Carvalho, Diretor de Serviços da Arcon Serviços Gerenciados de Segurança.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *