O nível de senioridade dos patrocinadores dos programas de segurança também está aumentando. Segundo a pesquisa, 63% dos entrevistados indicaram que recebem patrocínio e suporte para seus programas de segurança da informação de líderes fora do setor de TI. Este é um aumento significativo em comparação aos 54% apontados em 2014. O patrocínio do presidente executivo e da diretoria permaneceu na faixa de 30% (29% em 2014), enquanto o patrocínio do comitê de gestão aumentou de 7% para 12%. Há ainda diferenças regionais interessantes, com 57% dos entrevistados da América do Norte indicando patrocínio de fora de TI, resultado consideravelmente inferior aos 63% identificados na Europa Ocidental, e dos 67% registrados na Ásia e no Pacífico.
“A autorização de um funcionário executivo sênior para o programa de segurança é fundamental. Sem isso, o projeto tem pouca chance de obter suporte de requisitos com o restante da empresa. O comitê corporativo de gestão de segurança da informação (Corporate Information Security Steering Committee – CISSC) deve ser formado por representantes da empresa, por isso esperamos que o nível de patrocínio desses departamentos continue aumentando, assim como as funções de governança estão amadurecendo. De fato, um fórum de governança eficiente, como o CISSC, torna-se representante da autoridade do CEO, da diretoria e dos gerentes seniores da unidade de negócios”, completa Tom Sholtz, Vice-Presidente e Colaborador do Gartner.
Em relação à eficácia das políticas de segurança, embora metade dos entrevistados indique que a equipe de governança participe da avaliação e aprimoramento de políticas, somente 30% dos entrevistados afirmam que as unidades de negócios (UNs) participam ativamente do desenvolvimento das políticas que afetarão suas empresas. Mesmo sendo uma melhoria considerável em relação aos anos anteriores (16% em 2014), o resultado ainda indica falta de envolvimento ativo nas organizações. Esse é o principal motivo das diferentes visões de risco entre a equipe de segurança e a empresa, o que pode resultar em controles redundantes e mal geridos que, por sua vez, ocasionam resultados de auditoria desnecessários e, por fim, reduzem a produtividade.
