As organizações ainda têm uma lacuna entre necessidades e a habilidade de lidar com ameaças de segurança, é o que conclui o 14º estudo anual Global Information Security Survey, realizado pela Ernst & Young. 
A pesquisa, feita com 1.700 organizações de todo o mundo, constatou que 72% dos entrevistados sentem um nível crescente de risco devido a ameaças externas cada vez maiores. Ao mesmo tempo, cerca de um terço dos entrevistados atualizou estratégia de segurança de informação nos últimos 12 meses. Com 80% das companhias atualmente utilizando ou considerando utilizar tablets e 61% usando ou considerando usar serviços de computação em nuvem dentro do próximo ano, a ameaça de violações à segurança tornou-se uma preocupação de segundo plano na corrida para se adaptar a um ambiente em rápida mudança.
“Mais e mais negócios e indústrias importantes estão sendo geridos com o auxílio de softwares”, afirma Alberto Fávero, sócio de Consultoria da Ernst & Young Terco com foco em Tecnologia e Segurança da Informação. “Confrontadas com cada vez menos fronteiras, serviços e modelos de negócios em nuvem, as companhias estão se perguntando como responder a riscos novos e emergentes e se suas estratégias precisam ser revisadas. O foco deve deixar de ser correções de curto prazo e passar a ser uma abordagem mais integrada com objetivos estratégicos corporativos de longo prazo”, completa.
Mídia social
A maioria dos entrevistados no estudo da Ernst & Young – 72% – afirmou que ataques externos são os principais riscos. Esses ataques podem ser alimentados por informações obtidas pelo uso de mídias sociais que foram utilizadas para enviar mensagens pishing (tipo de fraude utilizada para roubar informações particulares valiosas) direcionadas a indivíduos-alvo.
Para ajudar a responder a esses riscos, as organizações parecem estar adaptando uma resposta linha-dura. Mais da metade dos entrevistados – 53% – respondem bloqueando o acesso a sites ao invés de se adequar à mudança e adotar medidas que abrangem toda a corporação.
Tablets
A adoção de tablets e smartphones figura na segunda posição na lista de desafios tecnológicos analisados como mais significativos, com mais da metade dos entrevistados afirmando tratar-se de um desafio difícil ou muito difícil. Ajustes de políticas e programas de conscientização são as principais medidas usadas para responder a riscos oferecidos por essas tecnologias móveis. A adoção de técnicas e softwares de segurança, no entanto, ainda é baixa. Por exemplo, técnicas de criptografia são usadas por menos da metade – 47% – das organizações pesquisadas.
Construindo confiança na nuvem
Apesar dos argumentos favoráveis à adoção da computação em nuvem, ainda não está claro para muitas organizações as implicações que ela traz, e são crescentes seus esforços para melhor entender o impacto e os riscos.
Do total, 48% dos entrevistados afirmaram que a implantação da computação em nuvem como um desafio difícil ou muito difícil, e mais da metade disse não ter implementado qualquer controle para mitigar riscos associados a ela. A medida mais frequentemente adotada é uma revisão minuciosa do contrato de gerenciamento com provedores de nuvem, mas mesmo isso é feito por apenas 20% dos entrevistados, indicando um alto – e possivelmente equivocado – nível de confiança.
“Na ausência de diretrizes claras, muitas organizações parecem estar tomando decisões sem estar bem informadas, tanto adotando a nuvem prematuramente e sem considerar apropriadamente os riscos associados quanto evitando a nova tecnologia. Apesar de algumas empresas terem adotado a computação em nuvem para serviços específicos, muitas o fizeram de forma não estruturada ou orientada por uma estratégia ou arquitetura”, diz Fávero.
“Não é suficiente confiar nos fornecedores de serviços de infraestrutura para responder a todos os riscos associados com a computação em nuvem”, avalia Fávero. “Esses riscos podem representar uma mudança significativa no modo como uma organização opera e precisa ser gerenciado por procedimentos formais de negócios e de gerenciamento de riscos em TI da própria empresa usuária.”
