Qual o nível de maturidade de segurança de infraestrutura nas empresas no Brasil?

A maturidade de segurança da infraestrutura corporativa no Brasil está avançando. Segundo estudo realizado pela consultoria IDC, a pedido da Level 3, o País tem 64,9 pontos de 100 pontos possíveis no quesito. A tendência é que esse número cresça, uma vez que, de acordo com o levantamento, em 2017 mais de 42% das empresas consultadas pretendem aumentar o orçamento de TI para 2017 em comparação com 2016.

O estudo mede a maturidade das empresas em relação à segurança da informação em quatro dimensões (conscientização, ferramental, prevenção e mitigação) e para chegar à conclusão, o levantamento ouviu cem empresas, com 250 a 1 mil funcionários, explorando o conhecimento do gestor de segurança sobre os impactos nos negócios, as habilidades de detecção e capacidade de mensuração das ameaças aos sistemas, a maturidade empregada nas atividades de manutenção dos sistemas de segurança e os procedimentos adotados diante de um incidente.

De acordo com o estudo, com relação à conscientização para impactos por conta de algum incidente, empresas grandes têm maior dificuldade de visibilidade, estando isso relacionado com a complexidade de seus ambientes e sistemas.

Já na dimensão ferramental, além da questão de investimentos, a disponibilidade de mão de obra capacitada para operar as ferramentas se configura como desafio. O índice revelou, nesse quesito, que 33% das companhias acreditam que somente alguns de seus profissionais estão plenamente capacitados, enquanto que outros 28,4% afirmou que a capacidade da equipe está abaixo do esperado.

Com relação à prevenção, empresas grandes são as que atuam mais fortemente, sendo uma das dimensões mais maduras do índice. Em especial, as de maior porte estabelecem e acompanham os controles com maior assiduidade, garantindo um melhor nível de manutenção. Em 65,7% das companhias, há um processo e uma pessoa responsável pela documentação das alterações dos parâmetros de segurança.

Por fim, no caso da mitigação, as capacidades de comunicação e a estrutura de acionamento são, em muitos casos, informais e pouco documentadas. De acordo com o índice, 54,9% das companhias consultadas contam com condutas pré-definidas para ação em momentos de ataque. Quando indagados sobre o grau de alinhamento relativo à Segurança da Informação, no quesito “controles internos de detecção e prevenção a fraudes são periodicamente validados”, 19,6% consideraram a opção como nível 1, de pouca importância, enquanto que somente 18,6% dos respondentes consideram nível 5, de muita importância.