O mercado de segurança da informação no Brasil
O Brasil está prestes a atingir a relevante marca de 1 bilhão de dólares em Segurança da Informação, segundo dados da consultoria IDC. Em 2011, o mercado atingiu US$ 779 milhões, dos quais 32% destinados a software, 25% a hardware e 43% destinados a serviços. O cenário é positivo, apesar da lenta recuperação econômica nos Estados Unidos e da estagnação em que se encontra a Europa.
Em nosso país temos dois enormes desafios a superar para que o mercado de Segurança da Informação cresça de forma mais acelerada: mudar a cultura organizacional a favor da segurança e desenvolver mão de obra qualificada para suportar o crescimento do mercado.
Em relação à cultura organizacional, é notório que as empresas têm dificuldade em contratar serviços e produtos relacionados à S.I. Ainda segundo o IDC, apenas 15% das empresas sabem o que desejam contratar, contra 40% de empresas que têm alguma noção do que querem contratar, mas que precisam de orientação e outros 40% de empresas que realmente não sabem nem por onde começar quando o assunto é Segurança da Informação.
A pesquisa obteve respostas de 206 empresas de todo o Brasil, em vários segmentos de atuação. Em outra pesquisa, feita pelo Instituto Ponemon nos Estados Unidos vemos que o tempo médio que uma empresa leva para se recuperar de um cyber ataque é de 18 dias, ao custo de um prejuízo médio de 415 mil dólares. Cabe aqui ressaltar que nosso país não conta com o nível de regulação de mercados mais maduros que forçam as empresas a operar dentro de níveis rígidos de observância a padrões, o famoso compliance. Como não temos leis que forcem as empresas a buscarem essa padronização e muito menos temos uma cultura da Segurança da Informação, chegamos ao ponto em que esta é vista como um investimento sem retorno direto ao negócio e geralmente só discutida em empresas de grande porte.
Nas empresas de pequeno e médio porte a insegurança é geralmente maior em função da falta de pessoal de segurança adequadamente treinado e consequentemente da falta de medidas de segurança implantadas. Recente pesquisa realizada pela McAfee aponta que uma pequena ou média empresa que possua entre 50 e 1.000 usuários de computador conte com apenas 1,8 profissionais de TI no staff. E que apenas 8% destas empresas possuem um profissional dedicado à Segurança da Informação. E nas 92% restantes, quem trabalha pela Segurança da Informação?
Importante ressaltar que o problema da segurança no cyberespaço não decorre unicamente das ameaças ? hackers, grupos criminais, operadores de botnets, insiders, phishers, spammers, e terroristas em geral. Em geral, o perigo reside na combinação entre a ameaça e a vulnerabilidade – e por vulnerabilidades entendamos tanto produtos mal configurados e sem as atualizações mais recentes como também profissionais mal treinados, não comprometidos, empresas que não possuem políticas de segurança, etc.
Não é mais aceitável que profissionais (técnicos e comerciais), produtos e serviços críticos para o sucesso do cyberespaço não sejam controlados por padrões profissionais como acontece, por exemplo, com médicos, engenheiros e farmacêuticos. É urgente que o profissional de segurança da informação seja reconhecido como especialista, e que sejam criados padrões básicos para a atuação neste campo. Nosso país vem expandindo a oferta de cursos superiores, sobretudo os oferecidos através de ensino à distância (EAD) e parcerias entre empresas e universidades poderiam ser estabelecidas nesta direção.
Ponderados os dois desafios principais ? a mudança da cultura organizacional em favor da Segurança da Informação e o desenvolvimento de mão de obra qualificada, preciso ressaltar que empresas de qualquer porte podem e devem implementar medidas proativas em defesa de suas redes. Qualquer medida sempre deverá ser composta por tecnologia, pessoas e processos, mesmo que eles não sejam como o de uma grande empresa, que possui estruturas mais robustas e pessoas melhores preparadas.
Existe um nível básico de tecnologia que precisa ser implantado, mas vale ressaltar que a tecnologia sozinha não resolverá o problema. Nem mesmo o melhor SIEM de mercado será de grande valia se não houver pessoal qualificado e processos estruturados de monitoramento. Podemos citar como medidas mais importantes para empresas de todos os portes:
>> Estabelecer um processo efetivo de gestão de vulnerabilidades em seus ativos e aplicações;
>> Implantar um processo efetivo de monitoramento de segurança ? utilizando tecnologia de SIEM que combine monitoramento de capacidade, disponibilidade e segurança;
>> Implantar medidas efetivas para defender sua rede e que enderece seus funcionários e dispositivos móveis (BYOD), suas estruturas de nuvem e medidas contra vazamento de informação confidencial;
>> Implantar medidas que permitam executar análise forense em suas redes, de modo a identificar, isolar e expulsar intrusos.
Entre outras várias medidas possíveis e desejáveis, o importante é pensar seriamente sobre o tema, se possível contando com o apoio de uma empresa ou um profissional especializado em Segurança da Informação. O risco é real e a implantação de medidas para evitá-lo certamente supera o custo do prejuízo que pode ocorrer se nada for feito.
Autor: Flávio Carvalho, Diretor de Serviços da Arcon Serviços Gerenciados de Segurança