Pwc Pesquisa Global de Seguranca da Informacao 2012

2,578 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,578
On SlideShare
0
From Embeds
0
Number of Embeds
553
Actions
Shares
0
Downloads
74
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Pwc Pesquisa Global de Seguranca da Informacao 2012

  1. 1. www.pwc.com/br O centro do furacão Muitos veem a luz do sol, apesar da nebulosidade causada pela estagnação da economia global e pelo aumento do crime cibernético e das ameaças de segurança da informaçãoPrincipais descobertasda Pesquisa Global deSegurança da Informação2012 - Global State ofInformation SecuritySurvey®Advisory Services - IT GRC
  2. 2. MetodologiaA Pesquisa Global de Segurança da Informação2012 (Global State of Information SecuritySurvey®) é uma iniciativa da PwC, da CIOMagazine e da CSO Magazine. Ela foi conduzidaon-line entre 10 de fevereiro e 18 de abril de 2011.Os leitores das revistas CIO e CSO e os clientesda PwC ao redor do mundo foram convidadospor e-mail a responder à pesquisa. Os resultadosdiscutidos neste relatório são baseados nasrespostas de mais de 9.600 CEOs, CFOs, CISOs,CIOs, CSOs, vice-presidentes e diretores de TI ede segurança da informação de 138 países. Dessetotal, 29% dos respondentes são da América doNorte, 26% da Europa, 21% da América do Sul,20% da Ásia e 3% do Oriente Médio e da África doSul. A margem de erro é menor que 1%. PwC 1
  3. 3. 1. Centro Nacional de Furacões dos EUA2 Pesquisa Global de Segurança da Informação 2012
  4. 4. Variações rápidas e intensasde pressão atmosférica nostrópicos podem gerar centrosciclônicos nítidos e circulares. Alargura deles varia de 3 a 300quilômetros. Porém, sua intensidade pode flutuar de forma significativa, causando dor de cabeça para os meteorologistas.1 Previsões à parte, o que importa realmente é a preparação. PwC 3
  5. 5. Introdução Foto: Piti Reali É com satisfação que divulgamos ao O estudo deste ano está fascinante. O mercado brasileiro os resultados da cerne da questão é: como as empresas nona edição da Pesquisa Global de estão conduzindo a segurança Segurança da Informação - Global da informação em momentos de State of Information Security Survey® instabilidade? Embora a nebulosidade 2011-2012. O estudo foi conduzido por econômica de 2008 tenha passado, há PwC, CIO Magazine e CSO Magazine regiões, mercados e setores sob forte e é o maior do gênero no mundo. influência de nuvens carregadas, que Ele traz a análise consolidada dos podem provocar verdadeiros ciclones dados fornecidos por mais de 9.600 em economias regionais, com efeitos executivos, entre CEOs, CFOs, CIOs, devastadores para a economia global. CSOs, vice-presidentes e diretores Além disso, a previsão econômica de TI, de empresas médias, grandes global para o próximo ano não é tão e gigantes, representando todos os promissora. setores da economia e 138 países. Mesmo assim, a maioria dos O Brasil teve uma participação executivos de mercados e setores ao relativa de 10% nesta edição, o que redor do mundo, inclusive no Brasil, representou um salto significativo estão confiantes na eficácia das em comparação aos 3,6% da edição práticas de segurança da informação anterior. Além do avanço quantitativo, adotadas em suas empresas. Eles houve melhora na qualidade dizem contar com uma estratégia dos dados, graças ao esforço e à bem implantada e consideram sua participação dos 961 executivos de organização determinada a executá- empresas do Brasil. la. Outro dado importante é que os conhecimentos sobre a frequência, o tipo e a origem das violações de segurança aumentaram muito nos últimos 12 meses.4 Pesquisa Global de Segurança da Informação 2012
  6. 6. A pesquisa revela, no entanto, uma No ano passado, ainda havia A análise da pesquisa deste ano,tendência inquietante de degradação dúvidas se o Brasil estaria em um cujo propósito é permitir reflexõesdas competências fundamentais cenário de aceleração pontual por profundas e comparativas sobre orelacionadas à segurança nas empresas causa das demandas reprimidas. estado da segurança da informaçãodesde 2008, apesar dos investimentos Entretanto, analisando a evolução nas empresas em todo o mundo, foifeitos pelas organizações em dos percentuais de investimentos em intitulada “O centro do furacão”.iniciativas de prevenção, detecção segurança no Brasil, fica claro o ritmo O tema introdutório do estudo tratae nas atividades relacionadas à e a consistência dos investimentos do cerne da questão, revelando osweb. Entre as competências em feitos pelas empresas em segurança. efeitos das condições econômicasdeterioração estão gestão de Isso tende a contribuir para o globais nas áreas de segurançaidentidades, continuidade de negócios amadurecimento do mercado local e da informação das empresas.e recuperação de desastres. para o desenvolvimento de práticas Em seguida, são apresentadas adequadas de segurança que ajudem as revelações (“descobertas”) daUm dado surpreendente é a crescente a conter a escalada dos crimes digitais pesquisa em seções específicas:indicação de parceiros, fornecedores no país. “um mundo de líderes”, “confiançae clientes como sendo as origens e progressos”, “vulnerabilidades emais prováveis de incidentes de Por fim, destacamos uma novidade exposição”, “janelas de oportunidade”segurança registrados nas empresas. no estudo deste ano. Curiosos sobre e “tendências globais”. Devido àTradicionalmente, eles ficavam com como os mais de 9.600 executivos importância dos resultados locais, apercentuais bem abaixo de outras caracterizariam a forma de conduzir situação da segurança de informaçãoorigens, como funcionários, ex- a segurança da informação em suas nas empresas no Brasil está destacadafuncionários e hackers, mas isso vem organizações, analisamos mais em uma seção à parte.mudando. No Brasil, o temor em profundamente os dados gerados porrelação a essas fontes se revela ainda esta pesquisa e decidimos organizar os Na última seção, denominada “O quemais acentuado do que no restante do respondentes em grupos para estudar isso significa para o seu negócio”, émundo. determinados comportamentos. apresentada a mensagem final deste estudo: “Olhe para os líderes, aprendaA boa notícia da pesquisa deste ano Para tanto, consideramos dois dos com o que eles têm realizado e comoé que, depois de um período de principais fatores de impulso para fazem escolhas para enfrentar ocontenção de gastos, há previsão a eficácia da segurança, ou seja, se futuro”.de aumento dos investimentos a empresa tem uma estratégia deem segurança da informação pelo segurança da informação em vigor Nós da PwC esperamos que vocêsegundo ano consecutivo: a maioria e se a executa com determinação encontre nas próximas páginasdos executivos respondentes prevê e entusiasmo. Entre diversas informações e análises úteis para aelevação dos orçamentos com combinações, encontramos empresas elaboração e a execução da estratégiainiciativas nessa área nos próximos 12 que, por exemplo, têm um plano de segurança da informação de suameses. mas não o executam ou não têm um empresa. plano e estão permanentementeOs números do Brasil são ainda em modo “bombeiro”, combatendo A equipe de especialistas emmais otimistas que os globais e estão incêndios. Com base nas respostas Segurança da Informação da PwC estádestacados em capítulo específico e para fins analíticos, organizamos à sua disposição para discutir temasdeste estudo. Se o restante do os respondentes em quatro grupos específicos ou gerais desta pesquisa,mundo está no centro do furacão, distintos: Líderes, Estrategistas, para compartilhar tendências setoriaisa meteorologia por aqui não prevê Táticos e Bombeiros. Os resultados ou para apoiar a sua organização emprecipitações maiores do que as desse trabalho são surpreendentes e análises comparativas de segurança dachuvas tropicais com as quais já motivadores. informação.estamos acostumados. Obrigado por sua participação e boa leitura! Edgar R. P. D’Andrea Sócio PwC 5
  7. 7. 6 Pesquisa Global de Segurança da Informação 2012
  8. 8. ÍndiceO cerne da questão 8Uma discussão profunda 10I. Um mundo de líderes: os respondentes categorizam suas empresas 11II. Confiança e progresso: uma década de amadurecimento 15III. Vulnerabilidades e exposição: a deterioração das competências de segurança desde 2008 18IV. Janelas de oportunidade: onde estão as melhores possibilidades 22V. Tendências globais: a Ásia corre na frente enquanto o arsenal de segurança da informação mundial envelhece 26VI. Mercado brasileiro: copo meio cheio? 30O que isso significa para o seu negócio 36Contatos 40 PwC 7
  9. 9. Tem sido uma prática comum das O cerne da questão empresas, durante os períodos de nebulosidade econômica, fazer contenções de investimentos, seja para desenvolver novas competências e criar mercados, seja para manter as operações existentes. Essa situação prevalece até o momento em que uma previsão clara de crescimento torne os investimentos atrativos. Trata-se de uma prática que não A nebulosidade provocada funciona para a segurança da pela crise econômica de 2008 informação. Aliás, sabemos que os riscos cibernéticos que ameaçam já se dissipou. No entanto, a informação frequentemente nuvens densas continuam aumentam durante os períodos de contrações econômicas. Isso se se formando em regiões, torna particularmente real quando o orçamento, base para ao menos mercados e setores mundo se manter as práticas vigentes, fica afora, trazendo incertezas comprometido ou pressionado em benefício de outras necessidades locais e globais e diferindo empresariais. crescimentos de receita, Afinal, como as empresas estão participação de mercado conduzindo o tema segurança da informação neste momento? Embora e de rentabilidade das a nebulosidade econômica de 2008 organizações. A visibilidade tenha passado, há regiões, mercados e setores sob a influência de nuvens sobre quando e como a muito carregadas que podem provocar verdadeiros ciclones em economias próxima ameaça digital regionais, com efeitos devastadores surgirá é baixa, na melhor para a economia global. Além disso, a previsão econômica global para o das hipóteses. próximo ano não é tão promissora.8 Pesquisa Global de Segurança da Informação 2012
  10. 10. Apesar de tudo, de acordo com os As tempestades da crise de 2008resultados da Pesquisa Global de se foram, mas as instabilidadesSegurança da Informação 2012 decorrentes continuam presentes em(Global State of Information Security certos setores, mercados e regiões doSurvey®), a maioria dos executivos mundo. Neste cenário, preparaçãode mercados e setores ao redor do e execução são movimentosmundo está confiantes na eficácia das fundamentais. Considerando opráticas de segurança da informação crescimento acelerado e a amplitudeque estão sendo adotadas em suas de atuação do crime cibernético noempresas. Esse grupo inclui mais mundo, com atividades como asde 9.600 CEOs, CFOs, CIOs, CISOs, Ameaças Persistentes AvançadasCSOs e outros executivos responsáveis (Advanced Persistent Threats - APT) epelos investimentos de segurança e os vazamentos constantes e súbitostecnologia da informação em suas de grandes volumes de dadosempresas em mais de 138 países. confidenciais, estar preparado é um diferencial estratégico.Eles possuem uma estratégia eficaz emvigor. Eles consideram suas empresas Por que os executivos estãodeterminadas na execução dessa confiantes? No que as empresasestratégia. E suas percepções quanto avançaram no último ano emà frequência, ao tipo e à origem das segurança da informação? Quaisfalhas de segurança, têm melhorado são os sinais de deterioração dasdrasticamente nos últimos 12 meses. competências de segurança? E a quais prioridades e oportunidadesPorém, nem tudo está em ordem. os executivos devem se dedicar nesteAlguns elementos indicam “crise na momento, a fim de se prepararem paraliderança” e uma deficiência perigosa as ameaças digitais que estão por vir?na estratégia. As competênciasempresariais em segurança estão sedeteriorando. Os riscos de segurançarelacionados a terceiros (fornecedores,clientes, prestadores de serviços etc.)estão em alta.Ter a expectativa deque o sol brilhará novamente podeser ilusório, sobretudo em momentosde baixa pressão barométrica. PwC 9
  11. 11. Uma discussão profunda As ameaças à segurança da informação,assim como o clima, são difíceis de prever. Muitos executivos fazem a previsão de sol e céu claro. Outros observam o comportamento da baixa pressão barométrica.10 Pesquisa Global de Segurança da Informação 2012
  12. 12. I. Um mundo de líderes: os respondentes categorizam suas empresasDescoberta #1 Descoberta #2Este ano, um percentual Esses “líderes” consideram asurpreendentemente alto de demanda do cliente como a maisrespondentes considera que suas relevante justificativa para os gastosempresas, na prática, são “líderes” com segurança da informação ena estratégia e na execução da estão entusiasmados em relação àsegurança da informação. proteção de dados. Descoberta #3 Curiosamente, o grupo que engloba os “estrategistas” está mais suscetível a impor restrições no orçamento de segurança da informação do que os outros três grupos. PwC 11
  13. 13. Dois dos principais fatores de Outros 27% se identificaram como impulso para a eficácia da segurança Estrategistas. Isto é, são melhores em da informação são (1) se a empresa “estabelecer a estratégia apropriada” tem uma estratégia de segurança do que na execução do plano. da informação em vigor, e (2) se Somente 15% foram categorizados a empresa executa essa estratégia no grupo dos Táticos, composto com determinação e entusiasmo. pelos respondentes que se disseram Geralmente encontramos empresas, melhores “na realização” do que na Descoberta #1 por exemplo, que têm um plano definição de uma estratégia eficaz. E mas não o executam ou não têm Este ano, um percentual os 14% que chamamos de Bombeiros um plano e estão constantemente surpreendentemente alto de admitem que não possuem uma em modo “bombeiro”, combatendo estratégia eficaz em vigor e que respondentes considera que incêndios, entre outras combinações normalmente atuam reativamente. suas empresas, na prática, dessas variáveis. (Figura 1) são “líderes” na estratégia e Neste ano, curiosos sobre como na execução da segurança da O que esses dados nos mostram? os mais de 9.600 respondentes Afinal, do ponto de vista estatístico, informação. caracterizariam a forma de conduzir eles não trazem semelhança com a a segurança da informação em suas curva em forma de sino da distribuição organizações, incluímos perguntas normal padrão. Entretanto, eles específicas na pesquisa. Com base nos fornecem algumas informações nas respostas e para fins analíticos, intrigantes a respeito das percepções organizamos os respondentes em dos respondentes e de como eles quatro grupos distintos: Líderes, avaliam alguns aspectos essenciais da Estrategistas, Táticos e Bombeiros. postura de suas empresas em relação à Surpreendentemente, quase a segurança da informação. metade (43%) dos respondentes se identificou com a categoria de Líderes. Isto é, “suas organizações possuem um plano estratégico de segurança eficaz em vigor e estão determinadas e entusiasmadas na execução desse plano.” Figura 1: Como os respondentes caracterizam a abordagem de segurança da informação adotada por suas empresas Temos uma estratégia eficaz em vigor e somos 43% Líderes proativos na execução do plano Somos melhores em acertar a estratégia 27% Estrategistas do que em executar o plano Somos melhores na execução das ações 15% Táticos do que na definição da estratégia eficaz Não temos estratégia eficaz em vigor e normalmente somos reativos 14% Bombeiros Fonte: 2012 Global State of Information Security Survey® Os números relatados talvez não sejam exatamente iguaisaos dados brutos por causa do arredondamento.12 Pesquisa Global de Segurança da Informação 2012
  14. 14. Os quatro grupos concordam que De forma similar, os Líderes os dois temas mais importantes nitidamente se entusiasmam mais que fundamentaram os gastos em proteger todos os tipos de com segurança da informação em informação, desde dados financeiros suas empresas são as condições da e de propriedade intelectual, até economia global e a necessidade de informações da empresa, de clientes e garantir a continuidade dos negócios e de funcionários. (Figura 3) a recuperação de desastres. Esses resultados chamam atenção eDescoberta #2 Porém, quando perguntados sobre são animadores pelo senso de negócioEsses “líderes” consideram a como a segurança da informação cada vez mais presente na segurançademanda do cliente como a é “justificada” em suas empresas, da informação das empresas.mais relevante justificativa as respostas variaram nitidamente. Conforme indicamos pela primeirapara os gastos com segurança (Figura 2) vez no ano passado, depois de cerca de 15 anos, a vanguarda das práticasda informação e estão Enquanto os Estrategistas, os Táticos e de segurança da informação passaentusiasmados em relação à os Bombeiros indicam acima de tudo a ter um papel mais orientado aoproteção de dados. como “justificativa” o atendimento atendimento das demandas do cliente, às exigências legais e regulatórias – a das necessidades empresariais e da “punição”, por assim dizer – os Líderes criação de valor estratégico para a indicam que a segurança tem sido organização. justificada pela demanda do cliente, ou seja, a “recompensa”.Figura 2: Como a segurança da informação é justificada em sua empresa Líderes Estrategistas Táticos Bombeiros Demanda do cliente 50% 32% 27% 21% Exigência legal ou regulatória 45% 36% 44% 24% Julgamento profissional 43% 36% 37% 22% Potencial responsabilização ou exposição 41% 30% 40% 22% Práticas comuns no setor 41% 35% 30% 17%Fonte: 2012 Global State of Information Security Survey®Nem todos os fatores são ilustrados. Os valores totais não somam 100%.Figura 3: Percentual dos respondentes que consideram extremamente importantes os tipos de informação a seguir Líderes Estrategistas Táticos Bombeiros Informações de clientes 73% 57% 63% 45% Dados financeiros 65% 43% 48% 40% Segredos de propriedade intelectual e 63% 42% 42% 34% comerciais Informações corporativas 60% 41% 42% 31% Informações de funcionários 51% 37% 40% 28%Fonte: 2012 Global State of Information Security Survey®Os valores totais não somam 100%. Os respondentes puderam indicar diversos fatores. PwC 13
  15. 15. Há outras ideias provocativas Por que motivo? Temos algumas implícitas nas respostas apresentadas pistas. O conhecimento duramente por esses quatro grupos de conquistado sobre a frequência, o tipo respondentes. Uma delas, na verdade, e a origem dos crimes cibernéticos nos remete a uma tendência global nas e das violações de segurança faz práticas de segurança e na prevenção dos Líderes o grupo em melhores ao crime que persiste desde 2008. condições de informar perdas Isto é, a relutância em se empenhar financeiras. No outro extremo, os Descoberta #3 recursos suficientes para a missão da Bombeiros representam empresas segurança da informação mesmo sob tipicamente menores que, em geral, Curiosamente o grupo que estão sujeitas a limitações financeiras. o risco de degradação da segurança e engloba os “estrategistas” suas competências. está mais suscetível a impor E quanto aos Táticos? Se não restrições no orçamento de Todos os quatro grupos – Líderes, há estratégia eficaz em vigor, Estrategistas, Táticos e Bombeiros – provavelmente não haverá percepção segurança da informação do estão ativamente reduzindo os estratégica sobre por que os que os outros três grupos orçamentos e protelando as iniciativas investimentos são críticos e devem ser de segurança. Mas um grupo em feitos. Então por que os Estrategistas particular, os Estrategistas, está são mais suscetíveis a impor restrições tomando tais medidas de forma mais aos investimentos de segurança da acentuada. (Figura 4) informação do que os outros três grupos? É difícil saber. Talvez alguns, sem um foco constante na execução, simplesmente não estejam vendo o valor dos resultados em termos práticos. E talvez outros confiem em suas estratégias e simplesmente se concentrem em gastar exclusivamente nas áreas mais importantes. Figura 4: Percentual dos respondentes que relatam redução de orçamento ou adiamento de iniciativas de segurança em suas empresas A sua empresa protelou alguma Líderes Estrategistas Táticos Bombeiros iniciativa relacionada à segurança? Sim, para iniciativas que exigem despesa 47% 69% 54% 37% de capital Sim, para iniciativas que exigem despesa 44% 67% 48% 36% operacional A sua empresa reduziu o orçamento Líderes Estrategistas Táticos Bombeiros para as iniciativas relacionadas à segurança? Sim, para iniciativas que exigem despesa 47% 69% 52% 35% de capital Sim, para iniciativas que exigem despesa 47% 68% 50% 36% operacional Fonte: 2012 Global State of Information Security Survey® Os valores totais não somam 100%. Os respondentes puderam indicar diversos fatores.14 Pesquisa Global de Segurança da Informação 2012
  16. 16. II. Confiança e progresso: uma década de amadurecimentoDescoberta #4 Descoberta #5 Descoberta #6A nítida maioria dos respondentes As empresas possuem hoje mais Após três anos de redução deestá segura de que as atividades de conhecimento como jamais tiveram orçamentos e adiamento dassegurança da informação das suas sobre crimes digitais e outros iniciativas de segurança daempresas são efetivas. incidentes de segurança. Elas estão informação, os respondentes estão aproveitando esse conhecimento para “otimistas” em relação aos gastos com direcionar investimentos a três áreas segurança. específicas: tecnologia de prevenção, tecnologia de detecção e tecnologias relacionadas à web. Mais de sete em cada dez respondentes admitem que estão confiantes, em algum nível, na efetividade das competências de segurança da informação de suas empresas. (Figura 5) Isso faz sentido. Afinal de contas, a segurança da informação passou a serDescoberta #4 considerada atividade essencial do negócio e mais bem compreendida agoraA nítida maioria dos do que em qualquer outro momento nas últimas décadas. Ela deixou derespondentes está segura de que ser uma “colcha de retalhos” de palpites técnicos ou, meramente, um item individual no orçamento do CIO.as atividades de segurança dainformação das suas empresas Em muitos aspectos, os respondentes na realidade parecem acreditar quesão efetivas. “na nossa empresa, dado o que conhecemos a respeito do crime cibernético, violações de dados e outras ameaças, a segurança da informação está fazendo o seu trabalho.” Figura 5: Percentual dos respondentes que estão confiantes na efetividade das atividades de segurança da informação de suas empresas 28% Muito confiantes 2011 39% Um tanto confiantes Outros 33% Total 72% Fonte: 2012 Global State of Information Security Survey® PwC 15
  17. 17. Há alguns anos, quase metade dos Isso representa um grande avanço Descoberta #5 respondentes desta pesquisa não e, aparentemente, esse avanço As empresas possuem hoje mais conseguia responder às perguntas é fruto das escolhas feitas pelas conhecimento como jamais mais básicas sobre a natureza das empresas em momentos nos quais os violações relacionadas à segurança. investimentos para a segurança se tiveram sobre crimes digitais e (Figura 6) tornaram limitados, diferentemente outros incidentes de segurança. do que acontecia antes de 2008. Elas estão aproveitando esse Agora, aproximadamente 80% ou mais Onde exatamente esses investimentos dos respondentes podem fornecer conhecimento para direcionar estão sendo feitos? Nas tecnologias informações específicas sobre a de prevenção, detecção e naquelas investimentos a três áreas frequência, o tipo e a origem do evento relacionadas à web, três áreas de específicas: tecnologia de de segurança. interesse que, em todas as regiões, prevenção, tecnologia de todos os setores e todos os tamanhos detecção e tecnologias de empresa, estão atraindo mais relacionadas à web. atenção neste ano do que qualquer outra área essencial relacionada à segurança. (Figura 7) Figura 6: Percentual dos respondentes que não souberam responder (“não sei”, “desconheço”) a perguntas sobre a frequência, o tipo e a origem das violações de segurança nos últimos 12 meses Respondentes que indicaram 2007 2008 2009 2010 2011 “Não sei” ou “Desconheço” Quantos incidentes ocorreram nos últimos 12 meses? 40% 35% 32% 23% 9% Qual tipo de incidente ocorreu? 45% 44% 39% 33% 14% Qual foi a origem do incidente? N/A 42% 39% 34% 22% Fonte: 2012 Global State of Information Security Survey® Os valores totais não somam 100%. Os respondentes puderam indicar diversos fatores. Figura 7: Percentual dos respondentes que relataram salvaguardas de segurança da informação relacionadas às seguintes áreas de detecção, prevenção e à web 72% 2010 Ferramentas de detecção de código malicioso 83% 2011 56% Ferramentas de detecção de intrusão 62% 61% Ferramentas de prevenção intrusão 74% 65% Filtros de conteúdo da web 75% 62% Navegadores seguros 72% 55% Serviços de segurança da web 62% Fonte: 2012 Global State of Information Security Survey® Nem todos os fatores são ilustrados. Os valores totais não somam 100%.16 Pesquisa Global de Segurança da Informação 2012
  18. 18. Será que a “seca” nos investimentos O que é evidente, de qualquer está prestes a diminuir? Metade dos maneira, é que a maioria das respondentes acredita que sim, em vulnerabilidades de segurança que algum momento nos próximos 12 começaram a surgir no ano passado, meses. (Figura 8) isto é, dois anos após a retração econômica global, ainda está presente O que não está totalmente claro é que nas organizações e, assim como as fatores estão motivando esse nível persianas que batem mais forte com o de expectativa. Alguns respondentes aumento da intensidade do vento, elasDescoberta #6 podem estar prevendo que as exigem atenção.Após três anos de redução de restrições de investimentos serãoorçamentos e adiamento das mais brandas nos próximos meses, talvez porque o negócio atualmenteiniciativas de segurança da esteja melhor. Outros podem estarinformação, os respondentes fundamentando suas previsões naestão “otimistas” em relação aos necessidade e na crença de que,gastos com segurança. dada a evolução e a sofisticação do crime cibernético e das ameaças de segurança, os investimentos “precisam melhorar”. Figura 8: Percentual dos respondentes para os quais os gastos com a segurança da informação aumentarão nos próximos 12 meses 52% 51% 46% 44% 44% 38% 2006 2007 2008 2009 2010 2011 Fonte: 2012 Global State of Information Security Survey® PwC 17
  19. 19. Descoberta #9 III. Vulnerabilidades e exposição: a deterioração Gerenciar os riscos de segurança associados às relações de negócios das competências de segurança desde 2008 mantidas com parceiros, clientes e fornecedores sempre foi um problema. E está piorando. Descoberta #7 Descoberta #8 Descoberta #10 Uma das ameaças digitais mais Após três anos de volatilidade O índice global de 72% de confiança perigosas da atualidade é o ataque econômica mundial e de resistência das empresas em suas práticas de conhecido como Ameaça Persistente a se promover investimentos em segurança pode ser interpretado Avançada (APT - Advanced Persistent segurança da informação, continua como alto, mas ele vem diminuindo Threat). Poucas empresas estão a deterioração das competências nitidamente desde 2006. preparadas para se prevenir contra principais de segurança nas empresas. esse tipo de ataque. Contudo, o APT não é ameaça As empresas estão preparadas? Descoberta #7 somente para o setor público e para as Somente 16% dos respondentes Uma das ameaças digitais instituições de defesa nacional. Ele é disseram que os programas de ação de mais perigosas da atualidade também uma questão cada vez mais segurança de suas empresas abordam crítica para todo o setor privado. ataques APT. Além disso, mais da é o ataque conhecido como metade de todos os respondentes Ameaça Persistente Avançada Este ano, percentuais significativos relatou que suas empresas (APT - Advanced Persistent de respondentes, em diversos setores, não possuem as competências apontam que o ataque APT tem fundamentais necessárias, direta ou Threat). Poucas empresas estão direcionado os gastos com a segurança indiretamente, para o combate a essa preparadas para se prevenir da empresa. Mais precisamente, ameaça estratégica, tais como teste contra esse tipo de ataque. destacam-se 43% dos respondentes de penetração, tecnologia de gestão do setor de produtos de consumo e de identidades ou processos de gestão de varejo, 45% do setor de serviços centralizados de informações de financeiros, 49% da indústria de segurança. (Figura 9) A espécie mais sofisticada, adaptável entretenimento e mídia e 64% do setor e persistente de ameaças digitais não de fabricação industrial. é mais uma raridade. As principais empresas ao redor do mundo foram Figura 9: Percentual dos respondentes segundo os quais suas empresas possuem alvo de ataques do tipo APT em 2011: internamente as competências relacionadas à prevenção, à detecção e ao combate ao APT desde entidades governamentais, laboratórios nucleares, firmas de 2010 53% segurança, fornecedores militares, 49% 48% 47% 2011 45% até uma organização internacional 43% 43% 41% 38% 38% que supervisiona o sistema monetário internacional. Software de controle de acesso à rede Tecnologia de gestão de identidades Programas de conscientização sobre segurança Processo centralizado de gestão de informações de segurança Testes de penetração de funcionários Fonte: 2012 Global State of Information Security Survey® Nem todos os fatores são ilustrados. Os valores totais não somam 100%.18 Pesquisa Global de Segurança da Informação 2012
  20. 20. Embora tenha havido avanços significativos na capacidade das empresas para aplicar tecnologias de prevenção, detecção e relacionadas à web, os níveis de maturidade em outras disciplinas de segurança continuam em declínio. A deterioração é evidente em disciplinas de segurança como gestão de identidades, gestão de continuidade de negócios e planejamento para a recuperação de desastres, assim como naquelas disciplinas relacionadas a verificações do histórico pessoal e monitoração do uso da Internet e dos ativos da informação pelos funcionários da empresa. As práticas relacionadas àDescoberta #8 privacidade, tais como a revisão de políticas de privacidade pelo menos umaApós três anos de volatilidade vez ao ano e a manutenção de inventários de locais e jurisdições onde os dadoseconômica mundial e de pessoais são armazenados, também tiveram evidente deterioração.resistência a se promoverinvestimentos em segurançada informação, continua a Figura 10: Percentual dos respondentes que relataram dispor das seguintesdeterioração das competências competências de segurança e privacidade em suas organizaçõesprincipais da segurança nasempresas. 48% Estratégia de gestão de identidades 46% 41% 53% Continuidade do negócio/recuperação 44% de desastres 39% 60% Verificação do histórico pessoal 56% 54% 57% Pessoas dedicadas ao monitoramento do uso da internet pelos funcionários 53% 49% 52% Revisão da política de privacidade pelo menos uma vez ao ano 46% 39% Inventário preciso das localizações ou 39% jurisdições onde os dados estão 35% armazenados 29% 2009 2010 2011 Fonte: 2012 Global State of Information Security Survey® Nem todos os fatores são ilustrados. Os valores totais não somam 100%. PwC 19
  21. 21. Os riscos internos à organização De fato, o salto nos percentuais Descoberta #9 sempre estiveram em evidência para mostra mudanças rápidas deste Gerenciar os riscos de os CISOs, CSOs e outros encarregados cenário (Figura 11). Com o aumento segurança associados às de “proteger a casa”. Por muitos anos das suspeitas, devem aumentar as suspeitas de violação de segurança nos próximos 12 meses os níveis relações de negócios mantidas ocorridas na empresa recaíram com de maturidade do conjunto de com parceiros, clientes e frequência sobre funcionários ou competências de segurança que fornecedores sempre foi um ex-funcionários. E ainda é assim. representa a “linha de frente” na problema. E está piorando. No entanto, há outras categorias de gestão dos riscos relacionados a “pessoal interno” às quais sempre se terceiros (Figura 12). deu menos atenção, como terceiros, fornecedores e até mesmo clientes. Figura 11: Percentual de respondentes que estimam as seguintes origens para as violações de segurança ocorridas na empresa 17% 2011 Cliente 12% 2010 10% 2009 15% Parceiro ou Fornecedor 11% 8% Fonte: 2012 Global State of Information Security Survey® Figura 12: Percentual de respondentes que relataram a existência das seguintes capacidades ativas em suas empresas para conter os riscos associados a terceiros 57% 2009 53% 49% 2010 39% 2011 35% 35% 34% 32% 30% 29% 29% 29% 28% 27% 24% lidam com informações pessoais de clientes ou funcionários Inventário de todos os terceiros que lidam com informações pessoais de clientes ou funcionários Exigência de que terceiros estejam em conformidade com as políticas de privacidade Pessoas dedicadas ao monitoramento do uso da Internet pelos funcionários Processo de resposta a incidentes para relatar e lidar com violações a dados manipulados por terceiros Due diligence de terceiros que Fonte: 2012 Global State of Information Security Survey® Nem todos os fatores são ilustrados. Os valores totais não somam 100%.20 Pesquisa Global de Segurança da Informação 2012
  22. 22. Confiança é geralmente um bom Era de se esperar. Com a contenção Descoberta #10 traço, contanto que não se baseie em dos investimentos em segurança O índice global de 72% de arrogância, esperança ou informações pelas empresas nos últimos anos e confiança das empresas em suas incorretas. Mas a queda na confiança o surgimento contínuo de desafios, é reveladora. O índice global de como os APTs, os crimes cibernéticos práticas de segurança pode ser confiança de 72% talvez pareça refletir e outras ameaças digitais, é impossível interpretado como alto, mas ele níveis sólidos de autoconfiança, pelo de se evitar a conclusão de que as vem diminuindo nitidamente menos em relação à segurança da áreas de negócio e de TI estão menos desde 2006. informação. Entretanto, esse índice confiantes que sua empresa esteja está 12 pontos abaixo (84% em 2006) preparada para enfrentar as ameaças do registrado há alguns anos. de segurança que põem em risco a (Figura 13) informação, a operação e a marca. Figura 13: Percentual dos respondentes que estão confiantes na eficácia das atividades de Figura 13: Percentual dos respondentes que estão confiantes na eficácia das atividades de segurança da informação de suas empresas segurança da informação de suas empresas Muito confiantes 2006 Um tanto confiantes 28% 28% 26% Outros 51% Muito confiantes Muito confiantes Muit 2011 2011 39% 39% Um pouco2010 confiantes Um pouco confiantes 39% Um Outros Outros OutrState of Information Security Survey® 33% 33% 35% 18% 17% Muito confiantes Muito 2009 43% Um pouco confiantes 2008 50% Um p Outros Outro 33% 39% 16% 16% Muito confiantes Mui 2007 2006 Um pouco confiantes Um Outros Out 52% 51% 32% 33% Fonte: 2012 Global State of Information Security Survey® PwC 21
  23. 23. IV. Janelas de oportunidade: onde estão as melhores possibilidades Descoberta #11 Descoberta #12 Descoberta #13 Quais são os maiores obstáculos para Os dispositivos móveis e as mídias A computação em nuvem está uma segurança da informação eficaz? sociais representam uma forma nova e melhorando a segurança. Entretanto, Os líderes indicam a falta de capital, significativa de risco e de defesa. Este o que se quer é mais determinação entre outros fatores, e lançam a luz ano, o uso seguro desses dispositivos dos fornecedores na aplicação das dos holofotes no “alto escalão.” está sob novas regras em diversas políticas de segurança, entre outras empresas, embora ainda não esteja prioridades. para a maioria delas.22 Pesquisa Global de Segurança da Informação 2012
  24. 24. Por um lado, é difícil não notar aDescoberta #11 falta de coerência: se a definiçãoQuais são os maiores obstáculos para uma segurança da clara da visão e da estratégia não éinformação eficaz? Os líderes indicam a falta de capital, entre um dever do CISO, então de quem é? Por outro lado, a oportunidadeoutros fatores, e lançam a luz dos holofotes no “alto escalão.” que esse conjunto de respostas revela é estimulante. A austeridade na alocação dos investimentos é uma condição que poucos executivosEsta é uma questão fascinante, pois E quanto aos CFOs? Seria natural podem modificar. Mas a definiçãorevela uma rica composição de prever que, com a responsabilidade clara da visão e da estratégia defalta de alinhamento e disfunção final de definir cortes, reduções ou segurança é um procedimento para oorganizacionais e, ao mesmo tempo, diferimentos nos investimentos em qual existe possibilidade de escolha.indica oportunidades atraentes para segurança, eles apontariam, assimaprimorar a segurança da informação como os CEOs, as limitações de capital O quanto a segurança da informaçãode forma transversal, considerando como principal obstáculo. Não é o que seria radicalmente mais eficaz se todadesafios externos, recursos internos e acontece. Eles também colocam o ônus a equipe executiva sênior se dirigissefunções-chave de liderança. nos CEOs e na Diretoria. ao CISO em conjunto e, de forma bastante cooperativa, apoiasse a visãoOs CEOs acreditam que o principal Sendo assim, como os principais e a estratégia de três a cinco anosobstáculo é a falta de capital e, representantes da “equipe técnica sobre como a prática de segurançaem seguida, apontam para si executiva”, isto é, CIOs e CISOs, da informação deve ser mais bemmesmos e para a diretoria. Isso classificam os maiores obstáculos à empreendida, aparelhada e dotada dereflete honestidade e, certamente, eficácia da segurança da informação? recursos para viabilizar e proteger aresponsabilidade. Esta é a surpresa: o Curiosamente, e talvez naturalmente, empresa?último “obstáculo” na lista dos CEOs eles se põem no fim da lista deé o CISO. Isso, aparentemente, é obstáculos e colocam o CEO e a Como o CISO “pode fazer issouma ilusão, como os próprios CISOs diretoria quase no topo. Mas os CIOs acontecer”? Comunicando comrevelam indiretamente em suas e os CISOs aparentemente concordam muito mais ênfase a importânciarespostas à mesma pergunta. que o maior obstáculo à eficácia da da segurança da informação para(Figura 14) segurança da informação é a falta de o CEO, o CFO e outros diretores, visão realista dessa prática, seguida além de tomar o cuidado de fazer de perto pela falta de uma estratégia essa comunicação na linguagem eficaz de segurança da informação. apropriada ao executivo em questão.Figura 14: Percentual de CEOs, CFOs, CIOs e CISOs que identificam os fatores abaixo como os maiores obstáculos ao aprimoramentogeral da eficácia estratégica da prática de segurança da informação de suas empresas CEO CFO CIO CISO Liderança - CEO, presidente, diretoria ou equivalente 25% 27% 25% 25% Liderança - CIO ou equivalente 14% 23% 18% 21% Liderança - CISO, CSO ou equivalente 12% 22% 16% 17% Falta de estratégia eficaz de segurança da informação 18% 25% 25% 30% Falta de visão e ou de entendimento 17% 25% 30% 37% Orçamento insuficiente para os investimentos 27% 23% 29% 29% Orçamento insuficiente para os gastos operacionais 23% 16% 23% 22% Ausência ou escassez de especialistas na empresa 23% 19% 25% 23% Sistemas de informação/TI mal integrados ou excessivamente complexos 13% 14% 19% 30%Fonte: 2012 Global State of Information Security Survey®Os valores totais não somam 100%. Os respondentes puderam indicar diversos fatores. PwC 23
  25. 25. Diversas empresas ao redor do Mais da metade dos respondentes, Descoberta #12 mundo estão implementando entretanto, relatou que as suas Os dispositivos móveis e as estratégias de segurança para empresas ainda não têm estratégia mídias sociais representam acompanhar a adoção de novas de segurança para o uso de tecnologias por parte dos dispositivos pessoais, inclusive uma forma nova e funcionários, sobretudo o uso de móveis, e redes sociais na empresa significativa de risco e de dispositivos móveis e de redes pelos funcionários. (Figura 15) defesa. Este ano, o uso seguro sociais. Elas também estão criando desses dispositivos está sob regras sobre como os funcionários novas regras em diversas podem usar tecnologias pessoais dentro da empresa. empresas, embora ainda não esteja para a maioria delas. Figura 15: Percentual dos respondentes segundo os quais suas empresas apresentam os seguintes recursos em vigor para abordar os riscos relacionados aos dispositivos móveis e às mídias sociais Têm uma estratégia de segurança para que o funcionário utilize dispositivos pessoais 43% Têm uma estratégia de segurança para 37% dispositivos móveis Têm uma estratégia de segurança para as 32% mídias sociais Fonte: 2012 Global State of Information Security Survey® Nem todos os fatores são ilustrados. Os valores totais não somam 100%.24 Pesquisa Global de Segurança da Informação 2012

×