Incluir também é importante

A questão relevante não está apenas em discutir a importância dada à segurança, mas sim onde e como os investimentos são feitos e, onde são feitos, se estão sendo feitos de forma apropriada. O custo e a complexidade associados ao estabelecimento e à gestão de uma segurança corporativa é preocupação de todos, mostra a pesquisa. O risco é que as previsões otimistas para o progresso da segurança se chocam com o momento de gastos altamente controlados que estamos vivendo. Mesmo que muitas organizações estejam diante de um cenário de orçamento de segurança mais favorável, é preciso que elas busquem aumento na eficiência operacional e diminuição nos custos associados à implementação e à integração de múltiplas plataformas tecnológicas.

Minha experiência junto a empresas tem demonstrado que os orçamentos e investimentos estão claramente orientados à segurança da exclusão, cujo objetivo é estabelecer defesas, excluindo ameaças, vírus e vulnerabilidades. Muito pouco do orçamento tem sido destinado ao avanço da segurança da inclusão, que permite, por meio da tecnologia de gerenciamento de identidade, o acesso à infra-estrutura tecnológica, às aplicações e aos dados do negócio por parte de indivíduos confiáveis, como clientes, fornecedores e colaboradores remotos.

A pesquisa confirma este fato, mostrando que 75% das organizações têm como prioridade estratégica o aprimoramento da segurança da rede, demonstrando que a grande maioria está alocando esforços e investimento na defesa do perímetro e da infra-estrutura e no bloqueio de acesso. Isto não necessariamente está errado, porém a complexidade tecnológica e a dificuldade de integração dificultam que as organizações sejam eficientes apenas dessa forma.

Um problema crítico atual para a segurança da exclusão é que muitos dos produtos e tecnologias oferecidos pelo mercado, embora tecnicamente familiares, foram originalmente desenvolvidos de forma independente e posteriormente reunidos por um processo de fusão e aquisição de empresas, ao invés de serem integrados pelo conceito de arquitetura tecnológica. Como resultado, as organizações acabam alocando muito mais tempo e dinheiro na tentativa de efetivamente integrar estes produtos do que na implementação de processos mais eficientes, por exemplo.

A complexidade do cenário exige que as organizações tratem segurança da informação de maneira estruturada, tanto do ponto de vista estratégico como do tático, conhecendo as necessidades específicas dos modelos de exclusão e inclusão. No entanto, a pesquisa mostra que apenas 40% das empresas têm como prioridade a definição de um plano estratégico para a segurança. O que indica que poucas são as organizações que tratam a segurança de forma estruturada, definindo claramente a sua estratégia.