Pesquisa Symantec Derruba Mitos Comuns

Relatório revela que TI assume uma abordagem mais equilibrada e menos centrada em segurança

CUPERTINO, Califórnia – 01 de fevereiro de 2008 – A Symantec Corporation (Nasdaq: SYMC) divulgou hoje o Relatório sobre Gerenciamento de Risco à Tecnologia da Informação Volume II, revelando que a consciência sobre a importância do gerenciamento de risco à TI está aumentando, entretanto muitos mitos ainda persistem. Apesar da descoberta de que os profissionais têm adotado uma abordagem que engloba riscos de segurança, de disponibilidade, de compliance e de performance, mal-entendidos sobre o gerenciamento de risco à tecnologia da informação pode levar à falhas e causar impacto na continuidade do negócio. O relatório também indica que assuntos relacionados a processos causam 53% dos incidentes de TI, enquanto que a freqüência com que incidentes com perdas de dados ocorrem é frequentemente subestimada.

O abrangente relatório, direcionado pela análise de mais de 400 pesquisas estruturadas com profissionais de TI de todo o mundo, identifica assuntos primordiais e tendências e analisa e desmonta os quatro mitos seguintes, comumente associados com o risco em TI:

O mito de que o gerenciamento de risco em TI seja exclusivamente focado em segurança de TI;

O mito de que o gerenciamento de risco em TI é conduzido por projeto;

O mito de que tecnologia por si só pode dar conta do risco à TI;

O mito de que o gerenciamento de risco à TI já tenha se tornado uma disciplina formal.

Mito 1: Risco de TI é risco de segurança

Apesar das percepções tradicionais que associam risco à TI com riscos à segurança, os resultados da pesquisa indica o surgimento de uma visão mão abrangente entre os profissionais de TI. Dos entrevistados na pesquisa, 78% cotaram como “crítico” ou “sério” o risco de disponibilidade, em oposição aos riscos à segurança, ao desempenho e à compliance; com 70%, 68% e 63% respectivamente. O fato de que apenas 15 pontos percentuais separam as notas mais altas e mais baixas associadas aos diversos tipos de riscos indicam que os profissionais de TI estão adotando uma visão mais equilibrada e menos centrada em questões de segurança em relação aos riscos à TI.

“É muito encorajador ver o relatório da Symantec destacar que empresas estão reconhecendo a importância de gerenciar os riscos à TI em áreas como disponibilidade e desempenho, além de segurança”, disse Jon Oltsik, analista sênior do Enterprise Strategy Group. “No mundo conectado de hoje, os negócios estão começando a compreender que falhas que ocorrem em um largo espectro de sistemas podem impactar as operações dos negócios e os resultados”.

As descobertas do relatório confirmaram que riscos à segurança e compliance frequentemente atraem atenção por causa de sua alta visibilidade e impacto – 63% dos entrevistados cotaram os incidentes com perdas de dados como tendo sérios impactos em seus negócios. Entretanto, ênfase cada vez maior está sendo colocada nos riscos de disponibilidade, o que conforme o relatório revelou, podem alastrar-se pela cadeia de fornecimento e criar impactos que são medidos em milhões de dólares, mesmo quando relacionados a performances pequenas. Os pesquisadores de Dartmouth e da Universidade da Virginia recentemente determinaram que uma suposta falha em um sistema SCADA (Supervisory Control and Data Acquisition) em uma refinaria de petróleo poderia resultar em um impacto econômico estimado em US$405 milhões, sendo que o fornecedor arcaria com US$255 milhões enquanto que outras empresas da cadeia de suprimento assumiriam o restante das perdas. (http://www.ists.dartmouth.edu/library/207.pdf).

Mito 2: o gerenciamento de risco à TI é um projeto

O mito de que o gerenciamento de risco à TI possa ser englobado em um único projeto, ou mesmo como uma série de exercícios pontuais no tempo distribuídos em períodos orçamentários ou mesmo em anos, ignora a natureza dinâmica do ambiente de risco interno e externo de TI. O gerenciamento de risco à TI deve ser abordado como um processo contínuo a fim de manter-se atualizado com o cenário em constante evolução que os negócios enfrentam hoje. A segurança de TI, de disponibilidade e incidentes de desempenho podem causar impacto na organização moderna a uma taxa alarmante. O relatório revelou a seguinte freqüência com que diferentes tipos de incidentes são esperados:

69 % esperam um incidente de TI de pequenas proporções uma vez por mês;

63 % esperam uma falha de grandes proporções pelo menos uma vez por ano;

26% esperam um incidente relacionado a regulamentações mas não ligado à compliance pelo menos uma vez por ano;

25 % esperam um incidente com perda de dados pelo menos uma vez por ano.

O relatório mostra que as empresas mais eficazes adotam uma abordagem mais holística. Entretanto, muitas empresas parecem estar falhando ao implementar alguns controles fundamentais para o gerenciamento de risco, tais como classificação de inventário e gerenciamento, onde apenas 40% dos participantes deram notas iguais ou superiores a 75% para seus próprios desempenhos. Além disso, apenas 34% dos participantes acreditam que eles tenham um inventário atualizado de seus dispositivos móveis e sem-fio, que são imprescindíveis no mundo dos negócios atualmente.

Mito 3: a tecnologia por si só pode dar conta dos riscos à TI

Enquanto que a tecnologia desempenha um papel de maior importância na combate ao risco, as pessoas e os processos apoiados pela tecnologia também determinam a eficácia de um programa de gerenciamento de risco à TI. De acordo com o relatório, assuntos relacionados a processos causam 53% dos incidentes de TI. Diversos controles também mostraram um declínio nas notas do relatório anterior, feito há um ano, o causa crescente preocupação. Por exemplo, controles de processos tais como treinamento e prontidão caíram de quase 50% no Volume I para apenas 43% dos entrevistados que deram notas aos seus programas de treinamento e prontidão como sendo mais de 75% eficaz.

Similar ao Volume I, o novo relatório também mostra uma melhora muito pequena para as baixas notas dadas ao controle de classificação de inventário. Finalmente, apenas 43% dos participantes cotaram seu gerenciamento do ciclo de vida de dados com a nota “mais eficiente do que 75%”, um declínio de 17%, se comparado ao Volume I. Fraquezas nesses controles sugerem que o patrimônio será tratado de maneira igual, de modo que alguns sistemas, processos e objetos serão superprotegidos enquanto que outros não serão protegidos o suficiente contra riscos de Tecnologia, resultando em ineficácia de custos e serviço.

O Volume II do Relatório de Gerenciamento de Risco à TI apontou uma melhora de 10% no número de participantes que deram notas “mais de 75% eficaz” para seu desenvolvimento de aplicações seguras. O relatório também sinaliza que gerenciamento de problema está tornando-se um assunto mais relevante.

Mito 4: Gerenciamento de risco à TI já se tornou uma disciplina formal

O relatório deixa claro que o gerenciamento de risco à TI é uma disciplina de negócios em constante evolução, ao invés de uma ciência precisa, devido ao uso da experiência acumulada por pessoas e empresas conforme eles se esforçam para acompanhar uma tecnologia e uma dinâmica de negócios altamente dinâmica.

Postagens Relacionadas

Leave a Comment

error: Não pode ser copiado. Pode ser impresso e compartilhado.