Vivemos num tempo em que a informação circula muito rapidamente, seja verdadeira ou negativa. Da mesma forma abundam os riscos e as ameaças. Vindas de todos os cantos das redes informáticas e, agora mais do que nunca, de uma parafernália de dispositivos sempre ligados e prontos a descarregar aplicações e informação de todas as naturezas.
Seria impensável ignorar a pressão que este contexto de mobilidade de permanente conectividade está a ter nas organizações e nas pessoas. Está em causa um momento disruptivo sem precedentes que requer atenção cuidada e uma estratégia de segurança pensada, como nunca se imaginou. Não se trata já de limitar furtos ou entradas de pessoas em espaço delimitados, mas sim de um conceito de segurança global que não tem fronteiras e com pontos de entrada ilimitados.
Será que estamos preparados para esta revolução digital em que a informação é o activo mais valioso e pode ser transaccionado nos mercados negros por valores incalculáveis? A maior parte acredita que sim, mas num contexto global chegamos à conclusão de que há uma força maior que nos desafia a cada segundo, a cada transacção ou a cada interacção.
Em Portugal, há organizações que levam bastante a sério a sua protecção, e que se preocupam em implementar controlos de uma forma concertada e alinhada no tempo; mas também as que estão a dar os primeiros passos, que procuram ainda compreender como progredir neste domínio; e muitas organizações que ainda associam segurança de informação a "firewall" ou antivírus.
"Ainda existe um longo caminho de sensibilização a percorrer de modo que entidades de pequena e média dimensão incorporem a segurança nos seus processos de actividade", Jorge Pinto, AP2SI.
De acordo com o último Inquérito Aberto à Segurança da Informação nas Instituições em Portugal, promovido pela AP2SI, em parceria com o ISCTE, o panorama de segurança é de evolução, mas uma evolução lenta motivada principalmente por aspectos como a transformação digital e a regulamentação.
Sensibilização é necessária
Para melhor compreender a importância do tema, Jorge Pinto, presidente da AP2SI, diz que é necessário ter em conta que, em Portugal, quando falamos de instituições não podemos referir todas da mesma forma. Precisamos de ter em conta três grandes grupos: micro, pequenas e médias empresas do sector não financeiro; sector financeiro e grandes empresas; instituições do Estado e Administração Pública.
"Os dois últimos são sectores que já se encontram sensibilizados para o tema da segurança em geral, seja por força de obrigações regulamentares, movimentação de grandes volumes de dinheiro e por serem, tradicionalmente, mais visados pelo crime, ou por tratarem de temas sensíveis como a saúde, a informação fiscal, entre outros", sustenta o responsável.
O primeiro sector é aquele que, segundo Jorge Pinto, se configura o mais vulnerável, principalmente pela falta de sensibilização para o tema. "Ainda existe um longo caminho de sensibilização a percorrer de modo que entidades de pequena e média dimensão incorporem a segurança nos seus processos da actividade", refere o responsável.
Segundo ele, "as organizações que não prestem a devida atenção e avaliem a sua exposição aos riscos, particularmente no digital, colocam-se sob ameaça, seja do ponto de vista jurídico, por via do incumprimento, seja do ponto de vista financeiro, pelas perdas decorrentes de incidentes".
Jorge Pinto diz que estando em causa micro, pequenas e médias empresas a resiliência do negócio é directamente proporcional à sua capacidade de fazer face a um incidente. No inquérito que realizaram, o responsável reconhece a existência de uma preocupação em assegurar a existência de políticas de segurança pelas empresas. Cerca de 55,2% dos colaboradores indicaram a existência destas políticas nas suas organizações, assim como 75,5% dos directores.
Quando estas políticas existem, os inquiridos explicam que elas são implantadas pela gestão de topo o que constitui já um reconhecimento do tema como uma preocupação. Todavia, Jorge Pinto dá conta de que esta preocupação é mais visível no sector das grandes empresas e das empresas do sector financeiro, sendo que as instituições do Estado, a Administração Pública e as restantes empresas ainda demonstraram ter algum caminho para percorrer.
"Notamos também, pela correlação entre respostas, que a política, a par com a formação, é vista como sendo o mecanismo com melhor retorno de investimento e é por aqui que as instituições iniciam os seus esforços. No entanto, é necessário ir além da política e investir nos meios humanos e tecnológicos necessários para assegurar o cumprimento e a monitorização da estratégia de segurança", esclarece o responsável.
Motores de transformação
Os especialistas falam da necessidade de haver uma mudança cultural e formação específica que favoreça o desenvolvimento da área de segurança nas empresas. Jorge Pinto diz que as organizações já estão a trabalhar nesse sentido e afirma que é possível notar que já existem empresas que apostam na formação associada à segurança da informação. No entanto, embora seja um dos factores mais importantes, a formação não é o único motor de transformação nas organizações. "Notamos que os orçamentos alocados são ainda muito residuais o que condiciona o trabalho das equipas e dos responsáveis", faz notar o responsável.
Os 22 directores inquiridos pela AP2SI que afirmaram existir uma organização de Segurança de Informação (SI) foram questionados acerca da existência de orçamento específico para esta componente. O número de respostas afirmativas (9) foi igual ao número de negativas. É elevada a quantidade de directores (13) que não sabe, ou não dá resposta, acerca da caracterização do orçamento alocado à SI, relativamente ao orçamento anual da instituição. A maioria (11 respostas) considera que é "Inferior a 1% do orçamento da instituição", seguindo-se a categoria "Entre 1% a 5% do orçamento da instituição" com cinco respostas.
Aos nove directores que negaram a existência de um orçamento específico para SI foram colocadas três questões adicionais. Apenas três desses directores afirmam que o orçamento relacionado com a SI está incorporado no orçamento da área de sistemas de informação. Quanto à intenção de instituir um orçamento específico para SI no próximo ano, apenas três directores respondem afirmativamente. A maioria desses directores (6) afirma que "Não é utilizado nenhum método de análise" do retorno do investimento em SI e dois respondentes afirmam ainda que é utilizado o método "ROI-Return on Investment". A maioria dos directores respondentes (15) prevê que o orçamento para SI no próximo ano "Não sofra alterações".
