O cumprimento de regulamentação, designadamente da Sarbarnes-Oxley, é o factor mais importante na área da segurança de informação, revela o 8º Annual Global Information Security Survey, da Ernst & Young.
A conformidade com a regulamentação (Sarbarnes-Oxley, 8ª Directiva, etc.) é o principal aspecto no âmbito da segurança da informação, ultrapassando pela primeira vez as ameaças de vírus e formos informáticos, revela o “8th Annual Global Information Security Survey” da Ernst & Young”, recentemente divulgado.
O estudo conclui que a regulamentação a cumprir e as consequências de não a respeitar, escalou a segurança da informação até às Administrações das empresas.
Assim, aproximadamente dois terços dos inquiridos neste estudo – que representam 1,300 empresas globais, governos, e organizações não governamentais de 55 nações – citaram a conformidade com a regulamentação, tais como a Sarbanes-Oxley, a 8ª Directiva da União Europeia ou as suas equivalentes, como a principal condicionante de segurança da informação.
Contudo, as organizações estão a perder oportunidades de investimento que esta necessidade de conformidade oferece, para promover a segurança da informação como parte integrante do seu negócio.
Segundo o estudo, “odemos assumir que, com a atenção que a segurança da informação está a receber, devido ao cumprimento das regras, a atitude para a segurança da informação nas organizações, está a melhorar e esta, enquanto função, torna-se mais integrada com as restantes iniciativas estratégicas da empresa.
Infelizmente, isto não acontece numa base consistente. O hiato entre os riscos emergentes das rápidas mudanças no ambiente empresarial global e as medidas de segurança da informação tomadas para mitigar esses riscos, continua a alargar-se.
Este padrão é consistente nas organizações, qualquer que seja a sua dimensão ou localização.”
Outras conclusões
O estudo da Ernst & Young verificou que as necessidades de negócio e a redução dos custos de conectividade wireless estão a conduzir ao rápido crescimento da adopção de tecnologias móveis.
Contudo, estes dispositivos fragilizam a segurança do ambiente de controlo corporativo, a protecção dos activos de informação e da propriedade intelectual está a tornar-se uma responsabilidade individual – a responsabilidade que muitas organizações ainda não aceitaram ou anteciparam totalmente.
Outras tecnologias emergentes, tais como comunicação de voz sobre IP, soluções open source ou a virtualização de servidores, que têm vantagens competitivas para as organizações, são vistas como preocupações significativas de segurança, por menos de 20% das empresas, apesar das sérias ameaças que acompanham estas tecnologias.
As organizações consideram as tecnologias emergentes como uma preocupação de segurança crescente nos próximos 12 meses. Contudo, mais de um quarto das organizações não contemplam medidas nos seus planos de acção para colmatar estas preocupações durante esse período de tempo.
O outsourcing permanece uma ameaça para a segurança da informação, uma vez que muitas organizações não dão a atenção devida à gestão de risco do parceiro – o processo de avaliar e mitigar riscos, incluindo revisões regulares de práticas e procedimentos que apoiam os produtos e serviços dos parceiros.
O estudo revela que cerca de um quinto dos inquiridos não referem sequer o problema da gestão de risco do parceiro, e um terço dos mesmos refere que tem apenas procedimentos informais a decorrer.
Apesar da consciência sobre a segurança da informação ser cada vez mais um assunto crítico, para os quadros e executivos de gestão, estes continuam a focar as suas actividades de segurança da informação em aspectos operacionais e tácticos.
A cópia electrónica do 2005 Ernst & Young Global Information Security Survey está disponível em http://www.ey.com/globalsecuritysurvey.
