Segurança da Informação, o que minha empresa tem a ver com isso ?

A Segurança da Informação vem, a cada ano, ganhando mais atenção na mídia e nas empresas. Relatórios após relatórios vemos um aumento nas perdas realizadas pelas empresa ou por falta de estrutura de Segurança da Informação ou mesmo pela fraca implementação de metodologias, frameworks e Normas de Segurança da Informação.

Cada vez mais a Segurança da Informação vem sendo um grande jogo, complexo e em contatnte evolução. Muito diferente das simples estruturas de CPD de antes, a estrutura de TI - Tecnologia da Informação, e agora TIC - Tecnologia da Informação e Comunicação, vem sendo parte fundamental de muitos negócios, participando de decisões importantes e cruciais ao negócio.

Muitas empresas já perceberam a importância da Segurança da Informação em suas estruturas mas, muitas continuam achando que Segurança da Informação é simplesmente a adoção de um sistema de Firewall e um Antívirus nas máquinas dos usuários. Muito longe disso. 

Em pesquisa feita no ano de 2011, com tendências para 2012, a PwC apontava um forte crescimento, já pelo segundo ano consecutivo, nos investimentos das empresas brasileiras em Segurança da Informação. Esta tendência parece estar se mantendo ainda para o ano de 2013, mas vamos esperar mais um pouco.

Mesmo com todo este investimento, também em 2012, foi realizada um pesquisa com a impressão de 9300 executivos de empresas globais, em 198 Países  sobre Segurança da Informação, o resultado ? O Brasil foi apontado em 4o lugar no Ranking de Países com mais preocupação sobre Cyberataques. Mas como justificar estas impressões se as pesquisas de intenção de investimento em Segurança da Informação, contiuam a mostrar crescimento em investimentos ? Bom, Isso pode se justificar pelo simples fato de que muitas empresas ainda tem a ilusão de que com a implementação simples e fácil de um antivírus e farewall podem trazer segurança.

Outro fator apontado nas pesquisas, diz respeito a falta de maturidade das empresas que começam a investir em Segurança da Informação e deixam pontos básicos sem o devido cuidado. De modo geral, npo Brasil se gasta muito com recuperação após um evento que traga problemas para a empresa mas, muito pouco é investido quando se pretende trabalhar com planos de recuperação de desastres, planos de contingência e gestão de identidade, isso para falar do básico.

Outro ponto que esta tornando o cenário da Segurança da Informação ainda mais complexo é a crescente adoção de processos de BYOD nas empresas, esta idéia de trazer o próprio computador ou tepefone para a empresa já é uma realidade e tem mudado muito o foco da empresa com relação ao que proteger, o foco agora deixa de ser no equipamento e passa a ser na informação nos dados.

Segundo o CERT.br, orgão de gestão dos incidentes no Brasil, 2012 terminou com 466029 incidentes registrados no Brasil, bem superior ao identificado no final de 2011 quando tivemos 399515 incidentes registrados, mostrando claramente um crescimento no número de incidentes no Brasil.

Atualmente o fenômeno das soluções em "Nuvem" vem tomando o dia a dia das empresas, baixando custos de estrutura e melhorando a eficiência das empresas mas, trazendo com ela novos desáfios e problemas para a área de segurança. A virtualização de serviços e estruturas tem mostrado às empresas um cenário novo, novas necessidades de mais informação sobre o que realmente esta acontecendo com os seus dados.

No entanto, muitas empresas ainda continuam com o discurso de que "não veem nececessidade de investir em Segurança da Informação porque não imaginam que sejam interessantes para os atacantes." Isso era verdade até a algum tempo atrás, diria mesmo até muito tempo atrás. Agora os interesses são outros, empresas grande contratam empresas menores para terceirizar algumas atividades de sua estrutura, empresas contratam escritórios de recrutamento, contabilidade e muitas outras funções, onde estas empresas tem acesso a informações que muitas vezes são sigilosas mas mesmo assim não se perguntam como os seus terceiros estão protegendo as suas informações.

Atualmente o Brasil é o 4o País no mundo com mais presença de "botnets", o que demonstra ainda a grande fragilidade em nossa estrutura de segurança da informação. Estas redes de "Bots" são muitas vezes usadas para propagar email (spam) e em alguns casos são usadas como vetores de ataques a sites e instituições, principalmente as bancárias. Mais uma vez, quando mencionamos isso, recebemos a frase "então não tenho nada a ver com isso, os bancos que se preocupem". Bem, não é bem assim, se olharmos com mais atenção, as empresas hoje podem ser acionadas juridicamente por não terem tido o cuidado em suas redes e estarem "hospedando" códigos malicionsos ou até mesmo redes de "bots". 

Desta forma, podemos afirmar que o maior problemas de muitas empresas não é financeiro e sim falta de conhecimento ou até mesmo o direcionamento de investimentos em soluções erradas ou poco eficientes. Veja, no elo final desta corrente esta o ser humano, e se este elo não for reforçado, todo o investimento realizado em equipamentos e criação de processos e procedimentos não terá valido a pena.

Assim, ao pensar em investimentos em Segurança da Informação, pense em entregar este projeto a pessoas que tenham o conhecimento e a experiência para trazer os melhores resultados. Aqui vale a máxima "dai a César o que é de César!", você não vai a um dentista para saber qual a situação do seu coração, da mesma forma acontece em Tecnologia, chame o especialista em Segurança da Informação.