As empresas portuguesas precisam de mais competências em segurança de TIC, além de uma metodologia sistematizada na gestão de risco: são as principais ideias de um debate realizado no âmbito da Segurex 2011.
Pedro Galvão, da IBM, foi o primeiro definir a situação da segurança das empresas em TIC, numa intervenção prévia antes de um debate sobre segurança na Segurex 2011: “foi realizado muito investimento baseado em modas, e agora as organizações têm silos de protecção, incapazes de comunicarem entre si”. Fernando Mendes, da Prológica, lançou uma explicação possível: “nas organizações portuguesas, não existe uma abordagem sistematizada e metodológica na gestão de risco e da segurança”.
Este factor leva a estratégias pouco concertadas, nas quais foram implantadas soluções para resolver “problemas da moda”, segundo o responsável da IBM. Como consequência, as empresas estão a lidar com “custos incomportáveis para gerir as soluções”. Para resolver o problema, o mesmo propõe três medidas integradas numa gestão mais concertada: ganhar competências em segurança, adoptar uma perspectiva de gestão de risco e construir sobre as soluções já instaladas.
Fernando Mendes considerou que a própria gestão de risco será um caminho para descobrir a necessidade de formação de recursos humanos. Contudo, procurou promover a solução do outsourcing da gestão de segurança. Pedro Galvão considera que, mesmo nesse cenário, “as pessoas é que fazem a segurança da informação”. E, assim, o outsourcing não dispensa competências para identificar riscos e ter cuidados. “Havendo ignorância e falta de consciencialização, adoptar o outsourcing é correr riscos. Os prestadores de serviço fazem a gestão quotidiana mas não tomam decisões estratégicas”, defende.
Admite, no entanto, que nos casos das pequenas empresas não é necessário haver tanta “formalidade de processos” com o é em organizações mais complexas. Neste último caso, considera necessária a manutenção de “histórico formal sobre as decisões tomadas para resolver certo tipo de riscos”. Uma das consequências da ausência desse factor é a falta de preparação das empresas para garantirem a resiliência da organização, um dos problemas referidos por um responsável de uma empresa, no debate.
A crise económica está a ter um impacto importante, segundo a maioria dos partcipantes no debate. Luís Ló, da Thales Portugal, revela, por exemplo, que nos processos de negociação de soluções, o fabricante vê-se obrigado a reduzir preços entre 25 a 30%, só para poder concorrer.
Continua a faltar “patrocínio” de gestores de topo
Paulo Almeida, da Rohde & Schwarz, queixa-se de muitas vezes haver alguma “concorrência entre o responsável de comunicações e o responsável de TI para obter o melhor da solução”, quando o importante é proteger o negócio. Neste quadro, sente muitas vezes a falta de “um responsável ou interlocutor capaz de perceber do negócio, para estabelecer essa prioridade”.
Todos os intervenientes do debate concordaram que os projectos de segurança continuam a carecer do “patrocínio da gestão de topo”, como lembrou Luís Amorim, consultor de segurança. Fernando Mendes defende que tem de existir uma interacção entre diferentes responsáveis de segurança da empresa. Concordando com essa ideia, Luís Ló, é optimista e considera haver “já uma maior concertação” do que havia. “Mas por vezes falta haver alguém que assuma a responsabilidade pela segurança da informação”, diz Fernando Mendes.