O que pensam realmente os auditores de segurança?

Estudo do Ponemon Institute identificou que profissionais acreditam que a cloud computing (e o SaaS) estão no topo da lista de maior risco para as organizações.

O que pensam realmente os auditores que garantem o alinhamento das empresas aos requisitos de conformidade? Para começar, as empresas não se preocupam com privacidade e segurança, enquanto a criptografia é pouco utilizada e aplicada apenas para responder às exigências legais. Estas são as conclusões de um estudo realizado pelo Ponemon Institute a 505 auditores de segurança.
“As respostas foram, muitas vezes, de desconfiança”, diz Larry Ponemon, fundador do instituto, sobre o inquérito intitulado “What Auditors Think about Crypto Technologies” (com registo obrigatório).
De acordo com o estudo, pouco mais da metade dos auditores de segurança – que trabalham em diferentes indústrias, incluindo bancos, retalho, seguros, tecnologia, energia, farmacêutica, saúde e automóvel – indicou que os líderes das áreas de negócios dirigem o seu orçamento para auditorias. Pouco mais da metade afirmou que 50% das auditorias que conduziram “identificaram graves falhas ou não estavam de acordo com os requisitos de segurança”.
As três áreas que mais apresentam falhas de segurança são as aplicações, os laptops ou desktops e os prestadores de serviços externos. Cloud computing, especialmente Software as a Service (SaaS), está no topo da lista como maior ameaça ou risco para a organização.
Algumas respostas do estudo, patrocinado pela empresa de segurança Thales, revelam cepticismo sobre a gestão empresarial de segurança. Apenas 32% dos entrevistados disseram que as organizações que auditaram são “pró-activas na gestão da privacidade e na proteção dos dados”. 60% disseram que as empresas não acreditam que a “compliance” melhora a eficácia na segurança de dados.
Mais de metade afirmou que ferramentas de cifra só foram usadas para obter conformidade e que as empresas não têm recursos suficientes para atingirem requisitos de conformidade de dados.
Cerca de 71% dos auditores disseram que os activos das empresas podem não estar totalmente protegidos internamente sem que se adoptem soluções de criptografia. Já 81% afirmaram que a melhor prática é usar criptografia nas informações confidenciais ou sensíveis sempre que possível. Mais de metade disse ainda que a conveniência do utilizador final não deve ser tida em consideração ao decidir quais os dados que devem ser cifrados.
Por outro lado, mais de metade dos inquiridos no estudo expressou alguma incerteza sobre a eficácia da criptografia aplicada nalgumas tecnologias, como nas bases de dados e servidores. “Os auditores não estão certos sobre isso”, avalia Ponemon, acrescentando que esse cenário indica que seria fundamental que as entidades do sector, como o PCI Security Standards Council, fornecessem mais informações sobre os benefícios da criptografia para fins de auditoria de conformidade. “É preciso mais orientação”, conclui.
(Network World/Computerworld Brasil)




Deixe um comentário

O seu email não será publicado