sexta-feira, 6 de novembro de 2009

A Segurança da Informação na Sociedade da Informação (Portuguesa)

Gostaria de comentar/debater convosco, alguns pontos que me parecem curiosos numa perspectiva da Segurança da Informação na Sociedade da Informação Portuguesa, tendo com base o último estudo Global Information Security 2010 (pwcsurvey2010_report.pdf) realizado em conjunto pelas revistas CSO e CIO em parceria com a PwC:

Uma das principais conclusões do estudo, refere que a actual crise, obrigou as empresas a fazer menos investimentos na generalidade. Mas, (felizmente) os orçamentos das empresas dedicados à segurança mantêm-se estáveis e no topo da lista das preocupações, nomeadamente, os investimentos para a continuidade do negócio (BC) e Compliance. (Finding/Figure #1).
Será que este cenário também se aplica às empresas portuguesas?
ou a crise em Portugal teve outras repercussões?


É conhecida, a diferença de importância que a Gestão e os gestores de TI (CIO) atribuem na tomada de decisão quanto às questões sobre a Segurança da Informação. No entanto, esta situação parece estar a convergir no mesmo sentido, ou seja, começam a perceber que têm as mesmas preocupações e a pensar da mesma forma, alinhando estratégias. (Finding/Figure #5 and #6)
Para esta mudança, terá contribuído a actual crise e a relevância da função de CISO (from 29% in 2008 to 44% this year) e o seu reconhecimento na hierarquia da empresa (74% vs. 65% India e 50% US). (Figure 14)?
Em Portugal, estas mudanças também se reflectem nas empresas?
Será que a função de CISO (Chief Information Security Officer) é reconhecida nas empresas portuguesas?


Acho este ponto particularmente interessante.
A América do Sul passou do final da tabela para o topo da tabela, em apenas dois anos, na preocupação com as praticas de Segurança da Informação, deixando a Europa em último, comparativamente com a Ásia e a América do Norte (Finding/Figure #12).
Para tal contribuíram, factores como a definição e importância da Segurança da informação pela Gestão (62% América do Norte vs. 38% Europa) e principalmente porque consideram como factor de liderança o “Client requirement” para justificar os investimentos, em contraste com a Europa que considera o factor “Legal or Regulatory requirement”.
Será que a Europa está a limitar-se a cumprir regulamentos e responsabilidades legais e a menosprezar o mais importante, a Segurança da Informação (da empresa ou do cliente)?

Estes pontos, revelam que a Segurança da Informação na Sociedade da Informação é bastante pertinente, principalmente, numa altura em que é necessário conter investimentos e alinhar estratégias, não descurando o mais importante: a Segurança da Informação. Pelo que, considero esta matéria bastante interessante para seer abordada futuramente por um GAN.

Por fim, este estudo lembra-me a minha dissertação de mestrado com o tema "Factores de Sucesso na Gestão de Segurança da Informação nas empresas Portuguesas" que debate esta problemática. (em http://tiny.cc/7jDks, 2008)

Luis Manuel Santos

3 comentários:

Fernandes Almeida disse...

Quando refere Segurança está a utilizar o termo em sentido lato, isto é, segurança física, segurança lógica, "disaster planning" e acesso / confidencialidade ?

LMFSantos disse...

Não, estou a referir-me em termos de Confidencialidade, Integridade e Disponibilidade da Informação (qq que seja a sua natureza e localização) com relevância (significado e valor) para o negocio envolvendo Processos, Tecnologia e Pessoas.
Enquanto a Gestão e o Governo continuarem a pensar que a tecnologia resolve tudo e a funcionar de forma reactiva, ignorando a definição de politicas orientadoras/reguladoras nesta matéria e respectivos apoios, estaremos sempre na cauda da Europa... e não só.

MAF disse...

Logo que tiver tempo vou ler o estudo referido e se for possível a Tese de Mestrado do nosso colega. Não sendo a minha formação base no hardware inerente às TICs, estas coisas interessam-me pelo lado do «utilizador», para seguir termo ainda muito adoptado, e nesta lógica há algo que sempre me inquieta, relacionado com o facto de estes estudos terem, em regra, como alvo as Grandes Organizaçãos. E a segurança dos sistemas de informação nas pequenas e médias organizações? E mesmo das Pessoas em termos individuais? Estou a lembrar-me de um «pequeno bug» (para mim enorme) que se passou no âmbito de uma Plataforma de eLearning que eu utilizo. E, de repente, o meu trabalho de meses foi ao ar! O que é que cada utilizador pode/deve fazer para que os sistemas em que intervém sejam seguros? Por último CIO deve ser sigla que a maioria das organizações do nosso sector produtivo nem sequer conhecerão.