Empresas não estão preparadas para enfrentar violações de dados

Cerca de 68% dos entrevistados disse que tem elevado seu foco em segurança da informação para aumentar a proteção na chamada "guerra cibernética"

De acordo com a Pesquisa de Segurança e Privacidade 2013 da Protiviti, diversas empresas não estão adequadamente preparadas para enfrentar uma violação de dados em uma crise de segurança em TI, apesar do reconhecimento de que as ameaças cibernéticas estão mais prevalentes.

Mais de dois terços (68%) dos entrevistados disse que tem elevado seu foco em segurança da informação para aumentar a proteção na chamada "guerra cibernética".

No entanto, quando perguntadas se as organizações têm um plano de resposta à crise formal e documentada para seguir após uma violação de dados ou incidente de hacking, 21% afirmou que as organizações não possuem um plano de conduta, e 13% não sabia confirmar se a empresa possuía algum plano.

O diretor de gestão da Protiviti, Cal Slemp, disse que os resultados da pesquisa foram pouco encorajadores. "A cibersegurança deve continuar a ser um foco importante para as empresas, especialmente à luz das violações de segurança recentes de alto perfil", disse ele em um comunicado.

"Enquanto nós estamos vendo um número maior de empresas de uma ampla gama de indústrias dedicar mais atenção e recursos para melhorar a abordagem para a segurança de dados, ainda há uma série de organizações suscetíveis a ataques."

De acordo com a pesquisa, um dos maiores problemas de segurança que as  organizações enfrentam é o fato de que elas não possuem políticas fundamentais de dados. 

A pesquisa também mostra que muitas empresas são ineficazes em gerenciar dados por meio da retenção adequada e políticas de armazenamento, incluindo a classificação de dados sigilosos.

Aproximadamente 22% das empresas não têm uma política de segurança da informação escrita (WISP), e 32% não têm uma política de criptografia de dados, disse a Protiviti.

A empresa de consultoria acrescentou que as empresas não têm clareza sobre o que constitui um dado sensível, confidencial ou público, e apenas 63%dos entrevistados relatou que suas organizações têm em vigor um sistema para classificar corretamente os dados. "Os resultados sugerem que muitas empresas são ineficazes para assegurar os dados mais importantes ou tentar proteger todos os dados em vez de focar recursos em dados que apresentam o maior risco, se expostos por meio de uma violação", disse Slemp.

A boa notícia

Apesar dos fatos, Slemp disse que houve um crescimento ano a ano, no percentual de empresas que apostaram em programas e políticas detalhadas para classificar os seus dados - o que ele descreveu como a chave para a compreensão e garantir a proteção de informações mais sensíveis em uma organização.

Outra notícia positiva, acrescentou Slemp, é que mais CIOs estão assumindo a responsabilidade pela estratégia de governança, fiscalização e execução de dados dentro de suas organizações. 

A Protiviti disse que as empresas com planos de crise documentada liberados em resposta a uma violação de dados ou hacking já começaram a envolver os seus CIOs muito mais do que antes.

Por exemplo, em 2012, apenas 58% das empresas relataram que seu CIO estava envolvido na abordagem tais incidentes, em comparação com 72% em 2013, disse a Protiviti.

"O papel do CIO está se tornando mais importante nas organizações, em parte, por causa da importância dos dados, tanto em termos de avanço da empresa, quanto em gestão de risco", disse Slemp. "A realidade é que, a medida que dados continuam a evoluir como um ativo extremamente importante, eles devem ser geridos de forma diferente e mais eficaz do que outros ativos."

 Fonte: IDGNow