Práticas de governança de segurança da informação estão amadurecendo
Práticas de governança da segurança da informação estão amadurecendo, segundo o Gartner. Para chegar a essa conclusão, o instituto de pesquisas entrevistou 964 profissionais de sete países de organizações de grande porte – com receita anual de US$ 50 milhões e com mínimo de cem funcionários.
Mas o que faz essas pessoas acreditaram nessa evolução? Tom Scholtz, vice-presidente e sócio do Gartner, responde que há um crescimento evidente da conscientização sobre o impacto dos riscos por parte dos negócios, juntamente com elevados níveis de publicidade sobre incidentes de segurança cibernética. Na pesquisa, 71% dos entrevistados indicaram que riscos de TI influenciam decisões do board e isso reflete no direcionamento de como lidar com os riscos como parte da governança corporativa.
Na visão do executivo, as principais razões para a evolução da governança da segurança da informação é que as discussões sobre o tema estão extrapolando a TI, quebrando a antiga mentalidade de que a proteção corporativa é responsabilidade única e exclusivamente da tecnologia da informação. Organizações reconhecem cada vez mais que a segurança deve ser gerida como uma questão de risco do negócio, e não apenas como um problema de TI.
O estudo identificou que 63% dos entrevistados apontaram que a TI recebe apoio de programas de segurança da informação fora da área. O número representa aumento significativo em comparação com o dado do ano anterior, de 54%. O apoio do CEO manteve-se estável: 30% neste ano, contra 29% em 2014.
Um ponto interessante do levantamento foi que embora haja mais consciência sobre os riscos em toda a empresa, a falta de engajamento é uma das principais causas de diferentes pontos de vista de risco entre a equipe de segurança e os negócios, o que pode resultar em controles redundantes e mal administrados, os quais por sua vez resultam em conclusões de auditoria desnecessários e, finalmente, em produtividade reduzida.