Gartner
aponta que organizações reconhecem que a proteção deve ser gerida como uma
questão de risco do negócio e não somente da TI
Autor: Redação IT Forum 365 22 de julho
de 2015
Práticas de
governança da segurança da informação estão amadurecendo, segundo o Gartner.
Para chegar a essa conclusão, o instituto de pesquisas entrevistou 964
profissionais de sete países de organizações de grande porte - com receita
anual de US$ 50 milhões e com mínimo de cem funcionários.
Mas o que
faz essas pessoas acreditaram nessa evolução? Tom Scholtz, vice-presidente e
sócio do Gartner, responde que há um crescimento evidente da conscientização
sobre o impacto dos riscos por parte dos negócios, juntamente com elevados
níveis de publicidade sobre incidentes de segurança cibernética. Na pesquisa,
71% dos entrevistados indicaram que riscos de TI influenciam decisões do board
e isso reflete no direcionamento de como lidar com os riscos como parte da
governança corporativa.
Na visão do
executivo, as principais razões para a evolução da governança da segurança da
informação é que as discussões sobre o tema estão extrapolando a TI, quebrando
a antiga mentalidade de que a proteção corporativa é responsabilidade única e
exclusivamente da tecnologia da informação. Organizações reconhecem cada vez
mais que a segurança deve ser gerida como uma questão de risco do negócio, e
não apenas como um problema de TI.
O estudo
identificou que 63% dos entrevistados apontaram que a TI recebe apoio de
programas de segurança da informação fora da área. O número representa aumento
significativo em comparação com o dado do ano anterior, de 54%. O apoio do CEO
manteve-se estável: 30% neste ano, contra 29% em 2014.
Um ponto
interessante do levantamento foi que embora haja mais consciência sobre os
riscos em toda a empresa, a falta de engajamento é uma das principais causas de
diferentes pontos de vista de risco entre a equipe de segurança e os negócios,
o que pode resultar em controles redundantes e mal administrados, os quais por
sua vez resultam em conclusões de auditoria desnecessários e, finalmente, em
produtividade reduzida.