SOBRE A SYMANTEC

  • Compartilhar

News Release

Siga @SymantecBR no Twitter!

Estudo do Grupo de Compliance em Políticas de TI define principais aspectos envolvidos na proteção de dados confidenciais

CUPERTINO, Califórnia – 28 de dezembro de 2007 – O IT Policy Compliance Group (Grupo de Compliance em Políticas de TI) - organização dedicada ao desenvolvimento de pesquisa e informação como subsídios para os profissionais de TI no cumprimento das políticas de suas companhias - e que recebe o apoio da Symantec e de outras empresas e institutos, divulgou os resultados de seu mais recente relatório sobre os padrões de desempenho empresarial intitulado “Aspectos básicos para proteger os dados confidenciais”. O relatório, que incorpora as respostas de membros de 450 organizações de todo o mundo, conclui que apenas uma entre 10 empresas protege adequadamente seus dados confidenciais. No documento são também identificadas as variáveis presentes nessas empresas – consideradas como líderes no tema – e as outras que foram classificadas em segundo lugar em relação às primeiras, com o propósito de compreender as melhores práticas que viabilizam o cumprimento e uma melhor proteção, bem como a manutenção de vantagens competitivas sustentáveis.

 

Um dos achados mais surpreendentes da pesquisa foi a relação direta entre a proteção de dados confidenciais e os resultados referentes às políticas de compliance, quer dizer, as empresas que se destacam na proteção de dados confidenciais também cumprem adequadamente com as auditorias. Quase todas as organizações (96%) que apresentam uma perda menor de dados confidenciais são exatamente as mesmas que têm menos deficiências no cumprimento de regulamentos que devam ser corrigidos para a aprovação nas auditorias.

 

Em contraste, a maioria das organizações (64%) com maior perda de dados confidenciais são as mesmas que apresentam o maior número de deficiências no cumprimento de regulamentos que devam ser corrigidos para a aprovação em auditorias.

 

Os aspectos básicos identificados neste relatório dividem-se em várias categorias: estrutura, estratégia nas organizações, familiaridade com os clientes e excelência operacional. Nas empresas com a menor perda de dados sensíveis (líderes) identifica-se a importância de definir um número menor de políticas ou de controlar os objetivos, o que acarreta avaliações mais frequentes e a implementação de mudança na administração de TI para evitar o uso não autorizado.

 

  • Os líderes definem uma média de 30 objetivos de controle e realizam uma avaliação a cada 19 dias. Essas empresas sofreram duas ou menos perdas e roubos de dados por ano, assim como duas ou menos falhas de cumprimento por ano
  •  As organizações que estão em segundo lugar nesse aspecto definem uma média de 82 objetivos de controle e realizam avaliações a cada 230 dias. Ainda assim experimentam 13 ou mais perdas e roubos de dados por ano e 22 ou mais falhas de cumprimento durante o ano

 

“Vários eventos recentes têm demonstrado quão prejudicial pode ser a perda de dados para a reputação e os objetivos estratégicos de uma organização. Por essa razão, é fundamental implementar controles de riscos para evitar a perda e o roubo de dados, além de avaliar esses controles com frequencia”, disse Lynn Lawton, presidente internacional da Associação para a Auditoria e o Controle de Sistemas de Informação (ISACA) , CISA, FCA, FIIA, PIIA, FBCS e CITP. “As empresas que são bem-sucedidas focam-se na seleção dos controles mais relevantes, ao invés de apenas implementar muitos controles. Os resultados da pesquisa demonstram claramente que a seleção, implementação e comunicação dos controles-chave, além de sua avaliação periódica em termos de eficácia é um enfoque mais prático e produz melhores resultados do que adicionar constantemente novos controles a um já bastante complexo labirinto de controles estanques e não coordenados”.

 

A pesquisa indica que a qualidade dos controles não é tão importante como a sua preparação para riscos específicos e a frequência das avaliações. Empresas com controles inexistentes e avaliações ocasionais dos controles são as que têm as mais altas taxas de roubo e perdas frequentes de dados.

 

“A proteção dos dados de clientes e empregados, bem como da propriedade intelectual nunca foi tão importante como agora e isso se deve ao rápido aumento dos requisitos de cumprimento e riscos à reputação”, disse Rocco Grillo, diretor geral da Prática de Riscos Tecnológicos da Protiviti Inc. “No entanto, as brechas de segurança de dados e os roubos de identidade continuam acontecendo. Ainda que os controles não possam garantir a proteção por completo, as empresas devem atuar com o devido cuidado em termos de segurança e controle de riscos. Foi comprovado que os programas que mantém e aumentam a segurança de maneira eficaz têm tido um resultado importante na proteçao contra roubo ou perda de informação valiosa. Ficou para trás a época em que os administradores ficavam sentados esperando que uma crise ou incidente os acionasse – agora todos devem ser pró-ativos”.

 

Melhores práticas dos líderes em proteção de dados

 

As empresas com menor perda de dados são aquelas que obtêm os melhores resultados nas auditorias de cumprimento de regulamentos e demonstram que têm um conjunto básico de aspectos que também minimizam o impacto financeiro das brechas em dados (veja o relatório anterior “Por que compliance é conveniente para a reputação e para situação de perigo”), além de possuir uma vantagem competitiva sustentável.

 

Os aspectos básicos são os seguintes:

 

      Estrutura e estratégia organizacionais

  • Implementar um programa de compliance em nível mundial
  • Documentar e manter políticas, padrões e procedimentos
  • Reorganizar controles internos, funções de controle de riscos e segurança de TI para estimular a familiaridade com os clientes e a excelência operacional

 

      Familiaridade com os clientes

  • Definir as funções e responsabilidades dos proprietários das políticas
  • Identificar e administrar os riscos empresariais e financeiros
  • Oferecer treinamento aos empregados e administrar as excessões às políticas

 

     Excelência operacional

  •  Ampliar o alcance da auditoria interna para a maioria das funções empresariais
  • Separar o risco dos objetivos de controle
  • Reduzir a quantidade dos objetivos de controle Implementar controles que sejam mensuráveis
  • Realizar auto-avaliações dos controles de procedimento
  • Aumentar a frequência da avaliação de controles técnicos
  • Implementar um programa completo de administração de mudanças de TI
  • Usar a administração de mudanças TI para evitar o uso de mudanças não autorizadas

 

Sobre a pesquisa

 

Os temas pesquisados pelo Grupo de Compliance em Políticas de TI (IT Policy Compliance Group) fazem parte de um cronograma de pesquisas contínuas estabelecido pelo feedback dos membros patrocinadores e membros gerais e por achados compilados da pesquisa recente. Os padrões mais recentes de desempenho do sistema que são a base deste relatório foram realizados em 454 empresas entre fevereiro e maio de 2007. A margem de erro desta pesquisa é de mais ou menos 4,5%. A maioria das empresas (90%) que compartilham dos padrões de desempenho do sistema estão localizadas nos Estados Unidos. Os 10% restantes encontram-se em países como Austrália, França, Alemanha, Irlanda, Japão, Espanha e Reino Unido entre outros.

 

Membros do Grupo de Compliance em Políticas de TI

 

O Grupo de Compliance em Políticas de TI (IT Policy Compliance Group) também anunciou a criação de uma nova categoría de membros: Membros Consultivos, criada para formalizar a assessoria e a direção de outras pesquisas realizadas pelo grupo, fornecer acesso em breve a um blog e à formação, orientação e participação de grupos de trabalho. Os membros gerais do grupo foram renomeados, passando a serem denominados como Membros Associados.

 

Caso deseje mais informação e/ou baixar o último relatório da pesquisa intitulado “Aspectos Básicos para a Proteção de Dados Confidenciais”, visite www.ITPolicyCompliance.com.

 

Sobre o Grupo de Compliance em Políticas de TI


O IT Policy Compliance Group dedica-se a promover o desenvolvimento de pesquisa e informação que permite que os profissionais de TI possam cumprir com as regulamentações e as políticas de suas empresas. O grupo tem o respaldo de diversas empresas-líderes no setor, tais como o Instituto de Segurança Informática, o Instituto de Auditores Internos, Protiviti, a Associação de Auditoria e Controle de Sistemas de Informação (ISACA em Inglês), o Instituto de Governança de TI e a Symantec Corporation (NASDAQ: SYMC). O grupo realiza pesquisas sobre os padrões de desempenho do sistema baseadas em feitos para determinar as melhores práticas que produzem melhorias no departamento de TI das empresas. Caso deseje mais informação queira visitar www.ITPolicyCompliance.com.

 

Sobre a Symantec

 

A Symantec é um líder global em softwares de infra-estrutura, permitindo que empresas e usuários possam ter confiança em um mundo conectado. A empresa ajuda seus clientes a proteger sua infra-estrutura, informação e interações, provendo softwares e serviços voltados a solução de riscos a segurança, disponibilidade, compliance e desempenho. Sediada em Cupertino, na Califórnia, a Symantec opera em 40 países. Mais informação pode ser obtida em www.symantec.com.br

@Symantec