Pesquisas de consultorias e órgãos especializados em segurança vêm destacando em seus resultados a importância dos aspectos não relacionados a tecnologia no processo de Segurança da Informação. O que se tem verificado é que o tratamento da segurança através
apenas dos aspectos relacionados a tecnologia não tem trazido o resultado esperado pelas organizações.
Por meio das pesquisas realizadas pela consultoria especializada em Segurança da Informação Modulo Security é possível acompanhar a evolução do entendimento desses aspectos. Em 2003 a Modulo Security apresentou a 9ª Pesquisa Nacional de Segurança da Informação através da qual apresenta como um dos 5 (cinco) principais desafios apresentados pelos responsáveis de Segurança da Informação das organizações entrevistas na pesquisa o aspecto de conscientização de executivos, motivação de usuários e capacitação da equipe técnica (MODULO SECURITY, 2003, p. 6).
Outro aspecto importante relacionado pela pesquisa, diz respeito a identificação das principais ameaças apresentadas pelas organizações. De acordo com os resultados 53% dos entrevistados apontaram funcionários insatisfeitos como uma das principais ameaças a organização, perdendo em termos de estatística apenas pela ameaça causada por vírus (66%). Outra ameaça à segurança apresentada pela pesquisa que diz respeito ao papel das pessoas nos processos de segurança da informação é o item Vazamento de Informações, que tem relação direta com o aspecto de consciência das pessoas a respeito de Segurança da Informação e que foi apontado por 47% dos entrevistados com uma importante ameaça (MODULO SECURITY, 2003, p. 6).
Figura 6 - Principais Ameaças à Segurança da Informação. 9ª Pesquisa Nacional de Segurança da Informação, 2003, p. 9.
A pesquisa ainda apresenta números relativos aos principais obstáculos para implementação da segurança, apontando com o principal fator a Falta de consciência dos executivos (23%). Um resultado em particular da pesquisa demonstra a evolução da questão de conscientização sobre segurança, a Falta de conscientização dos usuários caiu de 29% no ano de 2002 para 14% no ano de 2003 como fator de obstáculo para implementação da segurança. Conforme os autores da pesquisa o fato se deve ao aumento de projetos de campanhas internas de divulgação da Política de Segurança nas organizações. De acordo com os resultados 27% dos entrevistados afirmaram ter realizado campanha há seis meses e 26% realizaram há cerca de um ano. Um dos fatores apresentados na conclusão da pesquisa é visão positiva das organizações em investimentos para programas de formação, capacitação e conscientização, isso levando em conta as respostas relativas aos investimentos que serão realizados nos anos seguintes.
Figura 7 - Resultado da 9ª Pesquisa Nacional de Segurança da Informação sobre realização de Campanha interna de divulgação da Política de Segurança. (MODULO SECURITY, 2003, p. 13)
Em continuidade a série de pesquisas pela Modulo Security, a consultoria lançou em 2007 sua 10ª Pesquisa Nacional de Segurança da Informação. Nessa nova pesquisa os itens relativos a Falta de conscientização dos executivos e Falta de conscientização dos usuários são unidos em um único item, representados dessa forma por Falta de conscientização dos executivos e usuários, sendo esse novo item identificado por 55% dos entrevistados como o principal obstáculo para implementação da segurança, sendo seu valor quase o dobro do valor do segundo item apontado, Falta de orçamento com 28% (MODULO SECURITY, 2007, p. 6).
A importância dos aspectos relacionados ao papel das pessoas no processo de Segurança da Informação pela 10ª pesquisa da Modulo Security é representado pelo fato de se dedicar duas sessões exclusivas ao tema, sendo elas Capacitação e Conscientização do total de 6 sessões, sendo as restantes Ameaças, Ataques e Invasões; Estruturação da área de Segurança da Informação; Conformidade com Normas, Regulamentações e Legislação; e Análise de Riscos, Auditoria e Compliance em Tecnologia da Informação.
Em relação ao aspecto de Capacitação, metade das empresas pesquisadas respondeu que os seus profissionais de segurança estão parcialmente capacitados e 18% dizem que os seus colaboradores que trabalham com segurança estão plenamente capacitados. As empresas do setor financeiro são as que possuem o maior número de profissionais mais capacitados e
que mais investem em capacitação, ao passo que as organizações da área de Serviços são as que possuem os piores índices em relação a funcionários capacitados e investimento em capacitação (MODULO SECURITY, 2007, p. 6).
Figura 8 - Valor orçado para treinamento de funcionário de segurança por ano (MODULO SECURITY, 2007, p. 14).
De acordo com a pesquisa, o cenário atual de segurança parece estar incentivando as organizações a capacitarem suas equipes, levadas pelo crescimento dos riscos das empresas frente a ataques, invasões e vazamento de informações (MODULO SECURITY, 2007, p. 12).
Em relação a questão de Conscientização, a pesquisa aponta que informações básicas a respeito de segurança já são difundidas por muitas empresas, no entanto apresenta o termo sensibilização de funcionários caracterizando a ação necessária para que se obtenha um planejamento formal de segurança. 55% das empresas consultadas afirmaram que seus colaboradores estão conscientizados a respeito da segurança da informação. Quando o aspecto estudado é a implementação de campanha de conscientização, observa-se um pequeno crescimento em relação aos dados obtidos na pesquisa realizada em 2003. Na pesquisa de 2007, 57% das empresas já tinham realizado campanha de conscientização em contra 53% em 2003. A observação significativa em relação a pesquisa de 2007 é a constatação de que 22% das empresas pesquisadas possuem regularidade na realização de campanha realizando
semestralmente essa atividade, contra 37% das empresas que não possuem regularidade na realização de campanha (MODULO SECURITY, 2007, p. 16). Sendo o setor financeiro o que realiza mais campanhas de conscientização sobre Segurança da Informação e o setor de Telecomunicações o com menor número de realizações.
A 10ª Pesquisa Nacional da Segurança da Informação conclui que houve significativo aumento da conscientização das empresas em relação à importância da segurança da Informação para os negócios, no entanto não existe um planejamento formal e as ações são implementadas de forma pontual. Sendo a prioridade dada pelos executivos a segurança o principal fator para que a companhia se emprenhe na educação de seus funcionários sobre o tema.A falta de conscientização em segurança dos executivos reflete diretamente com obstáculo para a implementação da Segurança da Informação nas companhias (MODULO SECURITY, 2007, p. 18).
Infere-se a partir dos resultados dessas pesquisas que a questão relacionada ao papel das pessoas na Segurança da Informação é observada pelas organizações e que de alguma forma tomam providência para que seja tratada, como treinamento e campanhas de conscientização. O que deve ser verificado é se esse tratamento está ocorrendo de forma adequada, se os recursos empregados são suficientes e se são bem aplicados de forma a efetivamente minimizarem o risco que a falta de conhecimento ou conscientização das pessoas podem provocar à disponibilidade, integridade e confidencialidade das informações.
Corroborando com a 10ª Pesquisa Nacional de Segurança da Informação realizada pela Modulo Security, a pesquisa CSI/FBI Computer Crime and Security Survey 2006 realizada pelo FBI (Polícia Federal Norte Americana) e Computer Security Institute (CSI), também dedica uma sessão ao tema de conscientização em segurança (awareness training.), e aponta como uma das principais conclusões da pesquisa, que as organizações pesquisadas consideram importante a questão da conscientização em segurança da informação, sendo
significativo o aumento de empresas que consideraram essa questão relevante em relação a pesquisa realizada no ano anterior. No entanto, o que se observa é que na média (independente do segmento de atuação) as organizações responderam considerar que o investimento praticado nessa área não é o suficiente (GORDON, 2006, p. 2).
De acordo com Richardson (2007, p. 6), treinar os indivíduos com a responsabilidade para o sensível (crítico) banco de dados organizacional é claramente parte da agenda de segurança.A partir desse princípio a pesquisa 2007 CSI/FBI Computer Crime and Security Survey perguntou às empresas qual a porcentagem do orçamento de Segurança da Informação é destinada a conscientização em segurança. O que se constatou é que 48% das empresas gastam menos de 1% do orçamento de Segurança da Informação com a questão, outros 22% gastam até 2% do orçamento de segurança e outros 20% gastam acima de 3% (Figura 9). De acordo com Richardson isso pode ocorrer em virtude de algumas formas de se realizar a conscientização não serem muito caras (como disponibilizar lembretes sobre o assunto na intranet da empresa) ou por outro lado embora a indústria enfatize a questão de ensinar os usuários, na prática não aplica realmente orçamento para isso (RICHARDSON, 2007, p. 8).
Figura 9 – Percentagem do orçamento de segurança da informação destinado a conscientização dos usuários, adaptação de Richardson (2007, p. 8)
Conforme Richardson (2007, p. 7) enquanto o orçamento relativo a conscientização de usuários pode atingir até 1% do orçamento de Segurança da Informação para a maior parte da empresas pesquisadas (48%), o percentual gasto com Segurança da Informação em relação ao orçamento total de TI é maior que 3% na maior parte das empresas pesquisadas (53%). De acordo com o autor, a quantidade de empresas em que o gasto de segurança é acima de 3% em relação ao total do orçamento destinado a TI cresceu significativamente de 2006 para 2007, como pode ser observado por meio da Figura 10. A comparação entre o percentual do orçamento destinado a conscientização dentro do orçamento de segurança e o percentual do orçamento de destinado a segurança dentro do orçamento de TI, reflete que ainda é incipiente a destinação de investimentos relativos a treinamento e conscientização dos usuários sobre segurança, algo comparável ao que aconteceu com a própria área de segurança no que diz respeito aos aspectos tecnológicos nos últimos anos.
Figura 10 - Percentual do orçamento de TI gasto com Segurança da Informação – adaptação de Richardson (2007, p. 7)
Através dos resultados apresentados das pesquisas anteriormente mencionadas, é possível verificar que embora as organizações identifiquem a importância do papel das
pessoas na Segurança da Informação, representado pelas ações de treinamento e conscientização dos usuários a respeito do tema, não se observa um padrão de planejamento ou diretrizes de forma que as organizações tratem a questão com direcionamento correto de ações, destinação de orçamento e esforços adequados e compatíveis com sua realidade. A questão é nova e o critério para adoção de práticas e destinação de verbas está em seu início, sendo necessário o amadurecimento do setor de segurança para que seja possível seu desenvolvimento e adequada aplicação de recursos.