RSA: Executivos de alto nível não gerenciam riscos

Segundo dados da Cylab da Carnegi Mellon, os executivos e diretores norte-americanos listados pela Most Fortune 2000 ainda não estão envolvidos com a estratégia e supervisão de ciberssegurança de suas empresas.

A Carnegie Mellon e a RSA – que encomendou a pesquisa – mostraram os resultados preliminares em conferência de imprensa com o presidente executivo da RSA Security, Art Coviello. Coviello pediu que a indústria de segurança trabalhe junto, “como nunca fizeram antes”, para lutar contra todos os tipos de ataques, desde hacktivistas até cibercriminosos. “Temos que nos comprometer a trabalhar juntos”, afirmou.

Ele também ressaltou a experiência da RSA com a grande invasão sofrida por causa de uma violação em março do ano passado. “Aprendemos com nosso incidente e temos mais percepção sobre o acontecido”. Ele reiterou que apesar da invasão dos servidores SecurID, não houve ataques bem-sucedidos contra seus clientes.

A chave é a inteligência dirigida pela segurança – afirmou Coviello – e as empresas devem avaliar melhor os riscos. “A pesquisa demonstra isso”.

Quando questionado se a companhia teria problemas de credibilidade como fornecedora de segurança, Coviello respondeu que as empresas nesse segmento continuam a ser alvos. “Nunca vimos tantos ataques como nos últimos doze meses. Nunca tínhamos tido ofensivas que usam uma organização como trampolim para atacar outra companhia. Esse é o motivo do alto número afetado”.

Os dados também advertem sobre o conselho de algumas das maiores empresas do mundo: mais de 70% dos executivos de alta linha disseram quem ocasionalmente, raramente ou nunca reveem as políticas de alto nível de segurança de TI e riscos de privacidade. Segundo o estudo, eles não estão envolvidos.

“Isso indica falhas em responsabilidades essenciais de gerência”, afirmou Jody Westby, CEO da Global Risk & Adjunct Distinguished Fellow, Carnegie Mellon CyLab. E menos de dois terços têm cargos preenchidos em tempo integral em privacidade e segurança.

Há alguns pontos positivos: os programas de gerenciamento de riscos estão aumentando, com 94% das companhias dizendo que possuem programas na área, contra 85% contabilizadas em 2010. E mais empresas que se encontram na lista Fortune possuem equipes que gerenciam privacidade, segurança e risco – 70%, um aumento considerável comparado aos 65% de 2010.

Entretanto, Westby ressaltou que as políticas de segurança de uma companhia é de sua total responsabilidade, e não da RSA ou outro fornecedor.

“Nenhuma empresa de segurança pode ser responsabilizada por políticas de proteção de todos os seus clientes. Não podemos achar que elas irão proteger a comunidade de negócios”, finalizou Westby.

Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini