De acordo com o Estudo da IBM Global em 2010 sobre Riscos de TI, realizado com aproximadamente 700 gerentes e diretores de TI de âmbito mundial, a segurança (vulnerabilidade a ataques e acesso/uso não autorizado de sistemas da empresa) é a preocupação número um de 78% dos profissionais de TI entrevistados. Porém, vivemos hoje um período de recessão econômica internacional, e o que está ocorrendo na maioria das empresas é o corte ou retenção de investimento para a área de Segurança da Informação.

Segundo o NIC.br (Núcleo de Informação e Coordenação do Ponto BR), os ciberataques triplicaram no início de 2011 em relação a 2010. A preocupação também aumentou, porém, apesar de reconhecer que a gestão de riscos de TI traz vantagens a empresa, já que uma boa administração de riscos e continuidade de negócios garantem oportunidade de crescimento e redução de custos, ainda assim, conquistar o apoio do primeiro escalão da empresa continua sendo o grande problema para gestores de TI. Neste cenário, as empresas são motivadas pela sua situação financeira e não sobre os riscos que a companhia gera, ou seja, os riscos aumentaram para empresas.

Segundo um estudo realizado pela Frost & Sullivan, a média de crescimento do mercado de segurança da informação deve ser de 14% até 2016, quando o mercado brasileiro deve alcançar um faturamento anual de R$ 794 milhões. Mas, ainda é muito pouco se comparamos ao PIB do Brasil, uma vez que este investimento representa apenas 0,015%, muito menor que países ditos desenvolvidos. Como sede de dois grandes eventos mundiais, a falta de investimento em segurança no Brasil pode comprometer o país com repercussões negativas na imprensa mundial.

É mais que necessário, faz-se obrigatório, que o país esteja preparado para receber seus visitantes com segurança tanto em ambientes físicos quanto online. Outros dados do estudo realizado pela IBM mostram a realidade das empresas no mundo como, por exemplo, embora cerca da metade dos entrevistados tenha dito que sua empresa tem um setor de gerenciamento de riscos, apenas 22% dos entrevistados acreditam que suas organizações estejam bem preparadas em termos de segurança de TI e 23% pensam o mesmo sobre a empresa estar preparada frente a falhas de equipamentos e sistemas.

O grande desafio das corporações, evidenciados também nesta pesquisa, é manter todos os funcionários informados sobre as normas, políticas e problemas que o setor de SI enfrenta. Um dado, que não é surpresa, mas que pode ser responsável pelos constantes incidentes que as empresas vem sofrendo, está em que somente 22% dos gerentes de TI disseram que políticas de gestão de riscos são parte do treinamento formal de todo funcionário. E menos de 15% incorporaram um plano integrado de gestão de riscos na infraestrutura física e técnica de suas empresas.

As cobranças nos setores de SI só tendem a aumentar, uma vez que os riscos cresceram e a vulnerabilidade das empresas está estampada em noticiários de todo o mundo. E, em contrapartida, ainda nos dias atuais, qualquer problema no orçamento de uma empresa, seja ele interno ou advindo de uma recessão econômica global, a grande vítima é o setor de SI, que tem seu investimento cortado. Mas, sem verba o que é possível fazer? O que precisamos é ter em mãos um bom Plano Diretor de Segurança da Informação alinhado as necessidades das áreas de negócio, onde seja possível mitigar os riscos, e deixar de lado, uma vez por todas, a ação reativa aos incidentes, no intuito de apagar o “fogo”.

Com isso será mais fácil sensibilizar os executivos através das necessidades das áreas de negócio e provar o Retorno sobre Investimento das ações de SI. Em momentos como esse é possível também aplicarmos a velha regra de Paretto, consolidando projetos pelo risco operacional e assim “tentarmos” com 20% do esforço/investimento mitigarmos 80% do risco operacional. É possível manter-se seguro, mitigando grande parte de seu risco de TI, trabalhando com um bom planejamento, governança e ações voltadas ao negócio, mesmo com baixo orçamento.

* Umberto Rosti é Administrador, sócio-fundador da SafeWay Consultoria, com MBA em Tecnologia pela FGV, possui mais de 13 anos de experiência atuando principalmente com Segurança da Informação em consultoria e auditoria.