O Brasil está prestes a atingir a relevante marca de 1 bilhão de dólares em Segurança da Informação, segundo dados da consultoria IDC.  Em 2011, o mercado atingiu US$ 779 milhões, dos quais 32% destinados a software, 25% a hardware e 43% destinados a serviços. O cenário é positivo, apesar da lenta recuperação econômica nos Estados Unidos e da estagnação em que se encontra a Europa.

Em nosso país temos dois enormes desafios a superar para que o mercado de Segurança da Informação cresça de forma mais acelerada: mudar a cultura organizacional a favor da segurança e desenvolver mão de obra qualificada para suportar o crescimento do mercado.

Em relação à cultura organizacional, é notório que as empresas têm dificuldade em contratar serviços e produtos relacionados à S.I. Ainda segundo o IDC, apenas 15% das empresas sabem o que desejam contratar, contra 40% de empresas que têm alguma noção do que querem contratar, mas que precisam de orientação e outros 40% de empresas que realmente não sabem nem por onde começar quando o assunto é Segurança da Informação.

A pesquisa obteve respostas de 206 empresas de todo o Brasil, em vários segmentos de atuação. Em outra pesquisa, feita pelo Instituto Ponemon nos Estados Unidos vemos que o tempo médio que uma empresa leva para se recuperar de um cyber ataque é de 18 dias, ao custo de um prejuízo médio de 415 mil dólares.

Cabe aqui ressaltar que nosso país não conta com o nível de regulação de mercados mais maduros que forçam as empresas a operar dentro de níveis rígidos de observância a padrões, o famoso compliance.  Como não temos leis que forcem as empresas a buscarem essa padronização e muito menos temos uma cultura da Segurança da Informação, chegamos ao ponto em que esta é vista como um investimento sem retorno direto ao negócio e geralmente só discutida em empresas de grande porte.

Nas empresas de pequeno e médio porte a insegurança é geralmente maior em função da falta de pessoal de segurança adequadamente treinado e consequentemente da falta de medidas de segurança implantadas. Recente pesquisa realizada pela McAfee aponta que uma pequena ou média empresa que possua entre 50 e 1.000 usuários de computador conte com apenas 1,8 profissionais de TI no staff.

E que apenas 8% destas empresas possuem um profissional dedicado à Segurança da Informação.  E nas 92% restantes, quem trabalha pela Segurança da Informação?

Importante ressaltar que o problema da segurança no cyberespaço não decorre unicamente das ameaças – hackers, grupos criminais, operadores de botnets, insiders, phishers, spammers, e terroristas em geral.

Em geral, o perigo reside na combinação entre a ameaça e a vulnerabilidade - e por vulnerabilidades entendamos tanto produtos mal configurados e sem as atualizações mais recentes como também profissionais mal treinados, não comprometidos, empresas que não possuem políticas de segurança, etc.

Não é mais aceitável que profissionais (técnicos e comerciais), produtos e serviços críticos para o sucesso do cyberespaço não sejam controlados por padrões profissionais como acontece, por exemplo, com médicos, engenheiros e farmacêuticos.

É urgente que o profissional de segurança da informação seja reconhecido como especialista, e que sejam criados padrões básicos para a atuação neste campo.  Nosso país vem expandindo a oferta de cursos superiores, sobretudo os oferecidos através de ensino à distância (EAD) e parcerias entre empresas e universidades poderiam ser estabelecidas nesta direção.

Ponderados os dois desafios principais – a mudança da cultura organizacional em favor da Segurança da Informação e o desenvolvimento de mão de obra qualificada, preciso ressaltar que empresas de qualquer porte podem e devem implementar medidas proativas em defesa de suas redes.

Qualquer medida sempre deverá ser composta por tecnologia, pessoas e processos, mesmo que eles não sejam como o de uma grande empresa, que possui estruturas mais robustas e pessoas melhores preparadas.

Existe um nível básico de tecnologia que precisa ser implantado, mas vale ressaltar que a tecnologia sozinha não resolverá o problema.  Nem mesmo o melhor SIEM de mercado será de grande valia se não houver pessoal qualificado e processos estruturados de monitoramento.  Podemos citar como medidas mais importantes para empresas de todos os portes:

- Estabelecer um processo efetivo de gestão de vulnerabilidades em seus ativos e aplicações;
- Implantar um processo efetivo de monitoramento de segurança – utilizando tecnologia de SIEM que combine monitoramento de capacidade, disponibilidade e segurança;
- Implantar medidas efetivas para defender sua rede e que enderece seus funcionários e dispositivos móveis (BYOD), suas estruturas de nuvem e medidas contra vazamento de informação confidencial;
- Implantar medidas que permitam executar análise forense em suas redes, de modo a identificar, isolar e expulsar intrusos.

Entre outras várias medidas possíveis e desejáveis, o importante é pensar seriamente sobre o tema, se possível contando com o apoio de uma empresa ou um profissional especializado em Segurança da Informação.  O risco é real e a implantação de medidas para evitá-lo certamente supera o custo do prejuízo que pode ocorrer se nada for feito.

*Flávio Carvalho é Diretor de Serviços da Arcon Serviços Gerenciados de Segurança