Pesquisa aponta que companhias brasileiras não têm maturidade no quesito segurança. Foto: flickr.com/yusamoilov.

Faltam ferramentas de tecnologia para as companhias brasileiras atingirem um nível de maturidade no quesito segurança da informação comparável ao de empresas em mercados mais desenvolvidos.

Essa é uma das conclusões mais chamativas do primeiro Level Security Index, um estudo sobre segurança da informação encomendado pela Level 3 pela IDC pela primeira vez no Brasil.

O Brasil recebeu uma pontuação geral de 64,9 pontos em um total possível de 100 pontos. A cifra é dentro da média do espectro estimado pela IDC para os países latino americano (entre 60 e 68), mas longe dos mercados maduros (entre 76 e 83).

A nota é dividida em quatro dimensões, entre as quais a pior pontuação é de longe o ferramental tecnológico, com 46,1. O perfil mais básico de ferramentas predomina.

Quase 80% das empresas tem um firewall e segurança de endpoint. Outros 60% dispõem de algum tipo de criptografia. 

Outras tecnologias ficam num grupo intermediário, com 40% de uso de software de proteção a ataques DDoS e de UTM. 

Soluções de SIEM, DLP e Sandboxing, por outro lado, ficam todas na faixa dos 20%. A quantidade dos entrevistados que pretende investir nessas tecnologias entre seis meses a um ano fica nos mesmos 20%.

Os ambientes de TI também são tradicionais, com 85% rodando dentro das empresas, 17% em hosting fora e 16% contratado como serviço.

Por outro lado, do ponto de vista dos aspectos formais de controle as empresas estão mais adiantadas.

Entre os pesquisados, 60% disseram ter práticas de gerenciamento de riscos, ameaças, planos de continuidade e segurança para ambientes wireless.

Para 28% dos respondentes, no entanto, esses padrões não tem prazo para revisão, 33% o fazem só uma vez por ano e 38% a cada seis meses.

A qualidade dos planos, no entanto, é discutível, com 28% dos pesquisados dizendo que a capacitação da equipe está abaixo do que deveria e 33% dizendo que apenas alguns profissionais estão qualificados.

Por outro lado, 38% disseram que a maioria dos profissionais está plenamente capacitada.

A situação se reflete em pouco conhecimento sobre os ataques que a empresa sofre: 34% têm visibilidade completa; as outras 66% têm visibilidade parcial ou nenhuma.

Quando perguntadas sobre a mensuração do impacto de incidentes de segurança, 25,5% não sabem e 32% sabem apenas superficialmente, enquanto 42,2% podem detalhar o impacto em cada sistema ou nos sistemas críticos. 

Com esse quadro, a IDC averiguou que serviços gerenciados de segurança são uma alternativa, com 57% dos respondentes dizendo que já contrataram provedores desse tipo de serviço.

Outros 41,2% disseram já usaram soluções open source (12% considerariam usar) e 35% em cloud (22,5% estudariam o caso).

Ao todo, 40% dos orçamentos para serviços gerenciados não passa de R$ 20 mil por mês. Só 5,9% pode gastar mais de R$ 80 mil mensais.

“O Brasil ainda tem um longo caminho a percorrer no amadurecimento da área de segurança. Para avançar a partir do nível atual, existem ações que precisam ser empreendidas em relação à especialização das equipes, revisão de processos e adoção de ferramentas de última geração”, afirma Luciano Ramos, coordenador de Pesquisa de Software da IDC Brasil.

Do ponto de vista de orçamento, não parece haver muito motivo para otimismo.  Para 50% dos pesquisados, o orçamento de segurança ficou o mesmo no ano passado. Para 30,4%, ele diminiu.

A expectativa para 2017 é que o orçamento fique na mesma de novo para 52%, caia para 9,8% mas aumente para 37%.

A IDC entrevistou 100 empresas baseadas no Brasil com mais de 250 funcionários (a maioria com mais de 1.000 funcionários).