Protecção de dados empresariais: um business case

Com o objectivo de identificar as iniciativas e as preocupações com a protecção de dados empresariais, o Ponemon Institute, patrocinado pelos Ounce Labs, realizou um inquérito a executivos de topo de um conjunto de empresas globais. O foco deste estudo incidiu sobre questões como:

  • Qual o grau de envolvimento e conhecimento dos CEOs, e outros executivos de topo, nas iniciativas de protecção de dados das empresas?
  • Qual a justificação económica para os investimentos num programa de protecção de dados?
  • De que forma os objectivos da organização podem ser suportados pelos programas de protecção de dados?
  • Quão sucedido é o responsável pelo programa de protecção de dados, na apresentação de métricas objectivas que justifiquem os investimentos? E, finalmente,
  • Que métricas deviam ser usadas?

O estudo concluiu que os executivos valorizam e acreditam que as boas práticas de protecção de dados podem suportar objectivos importantes da organização, nomeadamente, a conformidade, a gestão da reputação da empresa e, naturalmente, a confiança dos clientes. No entanto, paradoxalmente, a maioria dos inquiridos não tem confiança na capacidade da empresa para proteger a informação sensível e confidencial. Por consequência, identificaram um conjunto de acções que, na sua opinião, são importantes para reforçar os programas actuais. Este conjunto inclui as seguintes iniciativas:

  • Desenvolvimento de uma estratégia corporativa para a protecção de dados;
  • Realização de acções de formação para os colaboradores efectivos, temporários e outsourcers, com o foco na protecção da informação sensível; e
  • Redução das vulnerabilidades de segurança em aplicações críticas para o negócio.

Para além destas conclusões, o estudo identificou um conjunto de aspectos que revelam, por um lado, a avaliação dos inquiridos quanto à importância deste tema e, por outro lado, as suas preocupações em relação à situação actual nas suas empresas. Os pontos mais relevantes são os seguintes:

  • Os executivos de topo estão preocupados com as ameaças à informação sensível e confidencial, de clientes e de negócio;
  • O responsável pela protecção de dados não é, efectivamente, responsabilizado por falhas que exponham dados sensíveis ou confidenciais;
  • Os programas de protecção de dados ajudam as organizações a atingir os seus objectivos de negócio;
  • Os executivos de topo acreditam que os programas de protecção de dados apresentam um retorno do investimento excelente; e
  • Os CEOs são mais optimistas em relação à protecção de dados que os restantes executivos de topo.

Como nota pessoal, penso que este estudo tem o mérito de alertar para um problema muito importante e que, parece-me, não tem sido endereçado de uma forma sistemática nem com o envolvimento necessários em face da sua importância.

Ao longo dos últimos anos, a gestão e o esforço operacional têm sido canalizados para actividades que estão centradas na protecção da infra-estrutura IT, dos equipamentos servidores e estações de trabalho e, em parte, da componente aplicacional. No entanto, muito embora este esforço seja necessário, pode ser insuficiente se não considerar a protecção da própria informação. Apenas como exemplo, não têm sido endereçados controlos de segurança que inibam a capacidade de transferir, sem qualquer dificuldade, um volume massivo de informação para uma caneta USB. E é apenas um exemplo.

Por último, falta-me acrescentar que o detalhe desta análise está disponível online, e pode ser transferido gratuitamente. Intitula-se Business Case for Data Protection — Study of CEO and other C-level Executives e encontra-se em www.ouncelabs.com/...