10a Pesquisa Nacional[1]

8/8/2019 10a Pesquisa Nacional[1]

1/20

110 Pesquisa Nacional de Segurana da Informao Mdulo


2/20

2 Mdulo 10 Pesquisa Nacional de Segurana da Informao


3/20


Fundada em 1985, a Mdulo especializada em tecnologia paraGesto de Riscos. Com cerca de 250 profissionais permanentementeatualizados e certificados, a empresa j realizou mais de 4.000projetos, muitos deles inovadores e reconhecidos mundialmente,como a participao nas eleies eletrnicas brasileiras e a entrega deimposto de renda via Internet. Entre seus principais clientesdestacam-se grandes bancos, empresas de telecomunicaes,indstrias e diversas organizaes do governo. A preocupao com aexcelncia em padres de qualidade levou a Mdulo a duasconquistas: o pioneirismo mundial na obteno da norma

internacional de gesto de Segurana da Informao ISO 27001 e acertificao ISO 9001 obtida e recertificada desde 1998.

Na rea de software a empresa desenvolve o Mdulo Risk Manager,Sistema para Gesto de Riscos e Compliance que utilizado emdiversos segmentos e possui como usurios Santander Banespa,Agncia Nacional de Petrleo (ANP), Microsoft, Schlumberger,Superior Tribunal de Justia (STJ), Xerox Brasil, entre outros. OMdulo Lab o responsvel pelas pesquisas de tecnologia eatualizao da base de conhecimento dessa ferramenta, que hojeconta com 250 knowledge bases, 11.000 controles e 4.000 coletores

automticos. O Mdulo Risk Manager conquistou vrias premiaes,entre elas, o Prmio FINEP de Inovao Tecnolgica 2006 (RegioSudeste), Prmio Mundial de Excelncia em Gesto de Segurana nacategoria Security Management e o de Melhor Soluo de Seguranana Amrica Latina nas categorias Inovao no Desenvolvimento desoftware e Inovao Tecnolgica em 2004, 2005 e 2006 (MicrosoftAwards).

O Mdulo Education Center (MEC) outra unidade de negcios daempresa, especializada em capacitao e formao de gestores em

Segurana da Informao e Gesto de Riscos. A rea oferece cursosabertos, cursos on-line e treinamentos in company.

A empresa tambm mantm um portal e a revista Security Review comnotcias e informaes sobre Segurana da Informao e Gesto deRiscos. Entre os servios disponibilizados para esta Comunidade, hojecom cerca de 50 mil assinantes, destacam-se o Security Shopping -primeiro site de comrcio eletrnico dedicado a produtos desegurana e a Pesquisa Nacional de Segurana da Informao, queest na sua 10 edio, iniciativas que representam o compromisso daempresa com a difuso da cultura de Segurana da Informao e

Gesto de Riscos no Brasil.



4/20


Apresentao

Metodologia

1. Ameaas, Ataques e Invases

2. Estruturao da rea de Segurana da Informao

3. Conformidade com Normas, Regulamentaes e Legislao

4. Anlise de Riscos, Auditoria e Compliance em Tecnologia da Informao

5. Capacitao

6. Conscientizao

Concluses

ndice

Copyright 2006 MduloDepartamento de Marketing

Todos os direitos reservados. Proibido reproduo, armazenamento ou transmissode partes deste material sem prvia autorizao.

Informaes: 0800 7070 853e-mail: [email protected]


5/20


6/20


Ameaas, Ataques eInvasesA evoluo do mercado de tecnologia e a maiorconscientizao sobre a necessidade de investimentos emSegurana da Informao ajudaram as empresas a estaremmais preparadas para enfrentar algumas falhas desegurana. No entanto, ainda grande o nmero decompanhias (33%) que no sabem quantificar as perdasou sequer identificar os responsveis pelo problema(21%). O motivo pode ser a falta de um planejamentoformal de segurana, que muitas destas empresas nopossuem (35%) ou usam h apenas um ano (31%).

Por conta desta dificuldade em apontar responsveis, ascompanhias acabam se dedicando apenas a corrigir a falha(48%), quando descoberta, ou tomam providnciasinternas (25%), acionando por conta prpria o causadordo problema.

Quando conseguem identificar os responsveis, asempresas descobrem que a maioria das falhas de segurana causada por funcionrios (24%) e hackers (20%) e queproblemas como vrus (15%), spam (10%) e fraudes (8%)

so os que mais causam danos financeiros. E os prejuzospor conta destes problemas continuam considerveis. Noentanto, pelo modesto percentual - apenas 2% - nota-seque as empresas ainda no percebem que a noconformidade com a nova Legislao especfica para reade segurana uma possvel causa de perdas financeiras.

Para o futuro, a expectativa dos gestores que aumentemos problemas relacionados Segurana da Informao(77%) e as companhias acreditam que podem enfrentar

problemas com vrus (10%), spam (11%), vazamento deinformaes (7%) e acesso remoto indevido (7%), entreoutros.

A maioria (55%) considera a falta de conscientizao dosexecutivos e usurios o principal obstculo para aimplementao da segurana na empresa, seguido pelafalta de oramento (28%). E o maior motivador para atomada de decises visando a segurana o nvel deconscincia dos executivos e usurios (31%), segundo ospesquisados. A imagem da empresa no mercado (23%) e o

valor agregado aos produtos e negcios (19%) tambminfluenciam.


7/20


As organizaes do Governo so as que menosquantificaram as perdas causadas por problemas desegurana. 56% delas no sabem dizer em quanto ficou oprejuzo causado por ataques e invases. No setorComrcio, apenas 26%; no setor Financeiro, 24%; e nosetor Indstria, 36%.

Quando conseguiram identificar os causadores dosproblemas de segurana, quase todos os setoresapontaram hackers e funcionrios como responsveis. Noentanto, no setor Financeiro os maiores causadores deproblemas so os fraudadores (31% - o maior ndice) e osetor Indstria enfrenta problemas com ex-funcionrios(19% das citaes).

Praticamente todos os segmentos sofreram perdasfinanceiras com vrus, mas para o setor Indstria oproblema mais crtico foi o de vazamento de informaes.O setor Comrcio tambm sofre com os acessos remotosindevidos, o Financeiro com as fraudes, o Telecom comerros e acidentes e os setores Governo e de Servios com

falhas na segurana fsica.

As empresas do setor Financeiro so as que mais tomamprovidncias legais em relao aos responsveis porproblemas de segurana (36%), seguidas pelas companhiasdos segmentos Comrcio (27%) e Governo (23%).

Todos os setores so unnimes em apontar o spam comoum dos possveis problemas a que eles esto mais sujeitosa enfrentar nos prximos 12 meses. Para os setoresIndstria e Comrcio tambm preocupam os boatos via e-mail e o lixo informtico. Segmentos como Governo eTelecom acham que vo enfrentar problemas com asegurana fsica. E ao setor Financeiro preocupam asfraudes (via e-mail ou no).

O setor de Servios o mais pessimista em relao aocenrio da Segurana da Informao. 86% das empresasacham que estes problemas iro aumentar, seguidos pelossegmentos Telecom (81%) e Governo (78%).

Para o setor Financeiro a imagem no mercado o maiormotivador para a implementao da segurana e para oGoverno a fora da legislao. Para os segmentos deServios, Indstria e Comrcio o valor agregado aosprodutos e negcios o segundo fator que mais influenciaa implementao da segurana, sendo o nvel de

conscincia dos executivos e usurios o mais relevante.

As empresas do setor Financeiro so as que mais possuemum planejamento formal de segurana e h mais tempo(mais de 2 anos). J no segmento Indstria quase metadedas companhias tm o plano h 1 ano. Nos outros setoresa maioria das organizaes no possui planejamento.

Viso por segmento


8/20


Estruturao da rea deSegurana da InformaoObserva-se atualmente um progresso em relao estruturao da rea de Segurana da Informao, mas emboa parte das empresas (28%) a tarefa de cuidar dodepartamento ainda pertence ao Gerente de TI/Redes. Emalgumas (16%), o principal responsvel o Diretor de TI/CIO e, somente em poucas (13%), o cargo de CSO/Diretorde Segurana existe.

Quase a metade das empresas (43%) possui departamentoestruturado e responsvel pela execuo de todos os

projetos. Algumas (26%) tambm estruturam seusdepartamentos, mas terceirizam parte dos projetos. Ainda considervel o nmero de companhias (19%) que notm departamento e que terceirizam as aespontualmente.

Algumas empresas (25%) preferem no terceirizar a rea deSegurana da Informao. Quando a preferncia aterceirizao, as companhias selecionam servios comoadministrao e suporte a firewall e IDS (16%), helpdesks(13%) e anlise de riscos (9%).

Por enquanto, em boa parte delas o departamento desegurana est ligado estrutura de TI (36%), mas hcasos de organizaes em que o departamento est ligadodiretamente presidncia (11%). Em outras companhias,a relao com a rea de Tecnologia (23%) ouAdministrao (14%).


9/20


A maioria das empresas do setor Financeiro apresenta umprofissional dedicado especificamente rea de segurana,seguido pelo setor de Telecomunicaes. Nestessegmentos, a maior parte das companhias tambm possuium departamento estruturado, responsvel por todos osprojetos. No segmento Indstria, a maioria dasorganizaes (44%) revelou no ter um departamento

estruturado, terceirizando suas aes pontualmente.

De todos os segmentos, o Governo o que tem maisorganizaes onde a rea de segurana est ligada estrutura da presidncia (14%) e o setor Indstria o queapresenta mais companhias com o departamento ligado rea financeira (15%).

Viso por segmento


10/20


Conformidade com Normas,Regulamentaes e LegislaoAs Normas e Leis relacionadas rea de Segurana daInformao e TI tm sido observadas com ateno pelasorganizaes pesquisadas. Muitas empresas j estoadotando padres internacionais para estruturarem seusprocessos internos e capacitar suas equipes. A maioria(83%) acredita que as novas Regulamentaescontribuiro para a reduo do nmero de ataques,fraudes e crimes.

O nvel de conhecimento sobre as Normas e Legislao

especficas, por exemplo, alto em boa parte dasempresas (43%), mas ainda existem aquelas que sabempouco a respeito do assunto (25%) ou as que conhecem,mas ainda no adotaram nenhuma medida especfica parase adequarem (24%). Praticamente a maioria das empresas(94%) entende que a anlise de riscos em TI uma formade atender aos requisitos impostos por Normas como aSarbanes-Oxley e Basilia II.

Boa parte das empresas (43%) conhece as conseqnciasdo no cumprimento destas Leis, Regulamentaes e

Normas e priorizam suas aes em relao a elas. Em outrascompanhias (26%) o nvel de conhecimento parcial ealgumas (16%) sequer conhecem tais conseqncias.Ainda existem as que conhecem, mas que ainda notomaram nenhuma providncia especfica (15%).

Sobre o grau de conformidade com as novas Leis, Normase Regulamentaes em que as organizaes se encontram,19% informaram estar em fase de planejamento. Boa partedas empresas informou estar em conformidade (10%), em

processo de conformidade (10%) ou usando normas comoboa prtica (10%). Apenas 8% no possuemconhecimento.

Em relao s Regulamentaes em fase de planejamentoou em processo de conformidade, as Leis e Normas maisapontadas foram: Novo Cdigo Civil, COBIT e ISO 17799.Uma pequena parte das empresas pesquisadas j est emconformidade com o Novo Cdigo Civil (18%) e com aspublicaes do Banco Central (13%) e do Governo Federal(13%). Apenas uma pequena parcela est em

conformidade com a ISO 17799 (8%) ou com o COBIT(5%), mas boa parte delas utiliza estas regulamentaes


11/20


O setor Financeiro o que tem maior conhecimento sobreRegulamentaes especficas para a rea de Segurana daInformao e TI e as conseqncias pelo no cumprimentodelas. O que menos conhece a nova Legislao o setorComrcio.

A maioria dos segmentos est capacitando seusfuncionrios para atender as novas exigncias, comexceo dos setores Comrcio e Telecom, cuja maioriainformou ainda no ter tomado providncias neste sentido.

Os segmentos Telecom e Comrcio so os mais otimistascom relao reduo do nmero de ataques, fraudes ecrimes com a adequao s Normas e Leis.

Viso por segmentocomo boa prtica (20% e 14% respectivamente).Implementar estas Regulamentaes trazem mudanassignificativas para a rea de Segurana da Informao eas empresas consideram a necessidade de conscientizaodos funcionrios (34%), a capacitao da equipe (25%) e

o aumento da responsabilidade dos administradores(29%), os principais impactos no cotidiano da rea. E amaioria das organizaes (41%) est iniciando acapacitao de sua equipe, enquanto boa parte delas(30%) j tm funcionrios preparados e uma parcelaconsidervel (27%) das companhias reconheceu que aindano foram tomadas providncias a respeito.


12/20


Anlise de Riscos, Auditoria eCompliance em Tecnologia da

InformaoO crescente aumento das ameaas ao ambientetecnolgico exige que as organizaes desenvolvamprocessos cada vez mais eficientes para manter asinformaes seguras. A anlise de riscos uma importanteferramenta para diagnosticar a situao da segurana naempresa e recomendar aes para cada vulnerabilidademapeada.

A maior parte dos entrevistados entende que a Anlise deRiscos em TI uma forma de atender aos requisitosimpostos pelas novas Normas. A maioria das companhias(39%) executa a anlise sem regularidade e boa partenunca fez (22%). Nas organizaes que a realizam, aperiodicidade mais citada a anual (15%).

A maioria das empresas (70%) informou que os relatriosextrados desta anlise permitem que seja dadacontinuidade ao processo de acompanhamento da

evoluo dos riscos, s que de forma manual, o que podeinfluenciar diretamente a produtividade da equipe. Amaioria (65%) delas tambm no usa um procedimento oumetodologia formalizada para realizar esta anlise.

Apesar dos avanos em relao ao conhecimento dasnovas Normas, Leis e Regulamentaes na rea desegurana, ainda pequeno o nmero de companhias(18%) que usam uma ferramenta automatizada pararealizar a anlise de riscos, auditoria ou compliance.


13/20


Sobre a freqncia com que as empresas realizam anlisede riscos em TI, no setor de Telecomunicaes a maiorianunca fez e no setor Financeiro que existem maiscompanhias que realizam a anlise com freqncia mensal.

no segmento Financeiro a maior incidncia deorganizaes que conseguem se basear nos relatriosextrados na anlise de riscos para dar continuidade aoprocesso de acompanhamento da evoluo dos riscos deforma automtica e que possuem procedimento/metodologia formalizada para realizar a anlise.

Viso por segmento


14/20


Capacitao

O cenrio de segurana atual - com o crescimento dosriscos das empresas frente a ataques, invases evazamentos de informaes - parece estar incentivando asorganizaes a capacitarem suas equipes. Metade dasempresas pesquisadas informou que os profissionais quelidam diretamente com a rea se encontram parcialmentecapacitados e em boa parte delas (18%) plenamentecapacitados.

No entanto, a maioria das empresas (45%) informou queos profissionais da equipe de Segurana da Informaono possuem certificao especfica na rea. Quando

possuem, a maioria (21%) Mdulo Certified SecurityOfficer (MCSO). Alguns possuem certificao CISSP (9%),CISM (4%) e CISA (7%). 14% informaram outrascertificaes.

O aumento do nvel de conscientizao dos altosexecutivos das empresas para os problemas de seguranafavoreceu o investimento nas capacitaes especficaspara os profissionais da rea. Mais da metade dascompanhias (53%) investe em capacitao e boa parte(26%) pretende investir. Quanto aos valores orados por

funcionrio/ano, algumas organizaes (29%) informaramser de at R$ 1 mil e outras de acima de R$ 5 mil (28%).Investimento de at R$ 5 mil tambm foi citado por umaparte das companhias (24%).


15/20


Todos os setores consideram os profissionais que lidamcom Segurana da Informao nas organizaesparcialmente capacitados, no entanto, o setor deServios que mais trabalha com profissionais poucocapacitados. O inverso acontece com o segmentoFinanceiro, que j possui funcionrios plenamentecapacitados e o que tem mais companhias que investem

em capacitao especfica.

Os setores Governo e Comrcio so os que esto em fasede planejamento de investimentos em capacitao.

As companhias dos segmentos Financeiro e Indstria soas que possuem maior valor orado ano/funcionrio paracapacitao: acima de R$ 5.000,00. As que possuem menorvalor (at R$ 1.000,00) so do setor Comrcio.

Os setores que mais possuem profissionais com certificaode segurana so o de Telecomunicaes e Financeiro. Oque possui menos o segmento Comrcio.

Viso por segmento

obs.:ototaldecitaessuperior

a100%d

evidoaquestoaceitarmltiplasrespostas.


16/20


Informaes bsicas de segurana j so difundidas pormuitas empresas, mas para a implementao de umplanejamento formal de segurana necessrio que osfuncionrios sejam sensibilizados. Quando consultadas seos funcionrios da sua companhia esto conscientizadossobre a importncia da Segurana da Informao para aorganizao, mais da metade das empresas (55%) disseque sim.

A maioria tambm (57%) j realizou campanha desensibilizao e considerou o resultado satisfatrio(66%). No entanto, grande parte das empresas (37%) no

imprime uma regularidade para realizar esta campanha euma parte realiza semestralmente (22%).

As campanhas so normalmente preparadas pela prpriarea de segurana na maior parte das companhias (54%),mas j h um avano na relao entre o departamento e asreas de RH e Marketing. Em boa parte das companhias(23%) planejar a sensibilizao dos funcionrios tarefapara os trs departamentos.

Nos ltimos anos vem crescendo o valor mdio dedicado

para a Segurana da Informao tirado do valor total doinvestimento da rea de TI. Boa parte (27%) dedica de 1a 5% e algumas (21%) dedicam de 5 a 10%.

Justificar e priorizar aes integrando tecnologia com osnegcios ainda desafio para algumas empresas, mas estcrescendo o nmero de organizaes que j conseguemter o alinhamento dos investimentos em Segurana daInformao com seus objetivos de negcio. A maioriadelas (40%) disse que eles esto parcialmente alinhados,

enquanto uma boa parcela (33%) informou que eles soplenamente alinhados.

Acreditando que os problemas com segurana iroaumentar, as empresas planejam providncias paramelhorar esta situao. Anlise de riscos no ambiente deTI, adequao s Normas/Regulamentaes/Legislao,anlise de vulnerabilidades, campanha de sensibilizao epoltica de segurana aparecem entre as medidas desegurana que sero adotadas pelas companhias nosprximos 12 meses.

Conscientizao


17/20


O setor Governo o nico onde a maioria das organizaesdeclarou que a maior parte de seus funcionrios precisamser mais conscientizados sobre a importncia da Seguranada Informao.

O segmento Financeiro o que mais realiza campanha desensibilizao sobre Segurana da Informao entre seusfuncionrios. J no setor de Telecomunicaes, a maioriadas empresas nunca realizou tal campanha.

Na maioria das companhias dos setores Financeiro e deServios as campanhas de sensibilizao so preparadaspelas reas de segurana, RH e comunicao em conjunto.

Empresas do segmento Indstria possuem o valor doinvestimento da rea de TI dedicado Segurana daInformao acima de 20%, seguido pelas companhias dosetor de Telecomunicaes.

no segmento Financeiro que a maioria das empresas

possui seus investimentos em Segurana da Informaoplenamente alinhados com os objetivos de negcio. Nosetor Comrcio, a maioria das companhias ou no tem seusinvestimentos alinhados ou informa estar pouco alinhadoscom os objetivos de negcios.

Trs principais medidas de segurana planejadas para osprximos 12 meses por segmento (citadas pela maioria dasempresas):

Comrcio: Poltica de segurana; Anlise de riscos noambiente de TI; Capacitao da equipe tcnica.

Financeiro: Adequao s Normas, Regulamentaes e

Legislao; Anlise de riscos no ambiente de TI;Certificado digital.Governo: Campanha de sensibilizao eresponsabilizao de funcionrios; Anlise de riscos noambiente de TI; Adequao a Normas,Regulamentaes e Legislao.Indstria: Anlise de vulnerabilidades; Anlise deriscos no ambiente de TI; Campanha de sensibilizao eresponsabilizao de funcionrios.Servios: Anlise de riscos no ambiente de TI; Anlisede vulnerabilidades; Poltica de segurana.

Telecomunicaes: Adequao s Normas,Regulamentaes e Legislao; Anlise de riscos noambiente de TI; Plano de continuidade.

Viso por segmento

obs.:ototaldecitaessuperiora100%d

evidoaquestoaceitarmltiplasrespostas.


18/20


Concluses

A 10 Pesquisa Nacional de Segurana da Informaomostra que nos ltimos anos houve um avano na

conscientizao das empresas em relao importncia daSegurana da Informao para seus negcios. No entanto,a maioria delas ainda no possui planejamento formal desegurana e as aes implementadas normalmente sopontuais.

Muitas companhias j conseguem quantificar perdas eidentificar responsveis por problemas de segurana etomam providncias legais para punir os responsveis,agindo na correo das falhas.

A rea de Segurana da Informao tem se consolidadocom o aumento de empresas que possuem o SecurityOfficer como principal responsvel pelo departamento.

A anlise de riscos tem sido percebida como umimportante recurso para atender aos requisitos impostospor novas Leis, Normas e Regulamentaes de mercado.

A Legislao e as Normas especficas esto ajudando asempresas a estruturarem melhor seus departamentos. Por

conta desta necessidade de adequao esto sendo feitosinvestimentos em capacitao de profissionais.

Quanto maior a prioridade dada Segurana daInformao pelos altos executivos, mais a companhia estempenhada em educar seus funcionrios. E a falta deconscientizao deles considerada um dos principaisobstculos para a implementao da segurana na maioriadas companhias.

Em relao aos segmentos de mercado, o Financeiro se

mostrou mais consciente sobre Normas eRegulamentaes. tambm o que mais investe emcapacitao de equipe e sensibilizao de funcionrios.Com isso, o setor apresenta tambm um melhor resultadona identificao dos problemas, dos responsveis e naquantificao das perdas.

Rio de JaneiroRua da Quitanda, 106 - 1 e 2 andares - Centro

Rio de Janeiro - RJ - CEP: 20091-005Telefone: (21) 2206-4600

Fax: (21) 2206-4720

BrasliaSCN, Quadra 5, Bloco A

Centro Empresarial Braslia Shopping and TowersTorre Norte, Sala 918

Braslia - DF - CEP: 70715-900Telefone: (61) 3218-7500

Fax: (61) 3218-7506

So PauloAv. Eng Luis Carlos Berrini, 550 - 5 andar, Conjunto 51

BrooklinSo Paulo - SP - CEP: 04571-000

Telefone : (11) 5504-3600Fax : (11) 5504-3601

0800 7070 853www.modulo.com


19/20



20/20

Documents

10a Pesquisa Nacional[1]