• Home

  • Documents

  • Pwc Pesquisa Global de Seguranca da Informacao 2012

If you can't read please download the document

Pwc Pesquisa Global de Seguranca da Informacao 2012

Embed Size (px)

Citation preview

  • 1. www.pwc.com/br O centro do furaco Muitos veem a luz do sol, apesar da nebulosidade causada pela estagnao da economia global e pelo aumento do crime ciberntico e das ameaas de segurana da informaoPrincipais descobertasda Pesquisa Global deSegurana da Informao2012 - Global State ofInformation SecuritySurveyAdvisory Services - IT GRC

2. MetodologiaA Pesquisa Global de Segurana da Informao2012 (Global State of Information SecuritySurvey) uma iniciativa da PwC, da CIOMagazine e da CSO Magazine. Ela foi conduzidaon-line entre 10 de fevereiro e 18 de abril de 2011.Os leitores das revistas CIO e CSO e os clientesda PwC ao redor do mundo foram convidadospor e-mail a responder pesquisa. Os resultadosdiscutidos neste relatrio so baseados nasrespostas de mais de 9.600 CEOs, CFOs, CISOs,CIOs, CSOs, vice-presidentes e diretores de TI ede segurana da informao de 138 pases. Dessetotal, 29% dos respondentes so da Amrica doNorte, 26% da Europa, 21% da Amrica do Sul,20% da sia e 3% do Oriente Mdio e da frica doSul. A margem de erro menor que 1%. PwC 1 3. 1. Centro Nacional de Furaces dos EUA2 Pesquisa Global de Segurana da Informao 2012 4. Variaes rpidas e intensasde presso atmosfrica nostrpicos podem gerar centrosciclnicos ntidos e circulares. Alargura deles varia de 3 a 300quilmetros. Porm, sua intensidade pode flutuar de forma significativa, causando dor de cabea para os meteorologistas.1Previses parte, oque importa realmente a preparao.PwC 3 5. IntroduoFoto: Piti Reali com satisfao que divulgamos ao O estudo deste ano est fascinante. O mercado brasileiro os resultados dacerne da questo : como as empresas nona edio da Pesquisa Global deesto conduzindo a segurana Segurana da Informao - Global da informao em momentos de State of Information Security Surveyinstabilidade? Embora a nebulosidade 2011-2012. O estudo foi conduzido poreconmica de 2008 tenha passado, h PwC, CIO Magazine e CSO Magazine regies, mercados e setores sob forte e o maior do gnero no mundo.influncia de nuvens carregadas, que Ele traz a anlise consolidada dos podem provocar verdadeiros ciclones dados fornecidos por mais de 9.600 em economias regionais, com efeitos executivos, entre CEOs, CFOs, CIOs,devastadores para a economia global. CSOs, vice-presidentes e diretores Alm disso, a previso econmica de TI, de empresas mdias, grandes global para o prximo ano no to e gigantes, representando todos os promissora. setores da economia e 138 pases.Mesmo assim, a maioria dos O Brasil teve uma participao executivos de mercados e setores ao relativa de 10% nesta edio, o queredor do mundo, inclusive no Brasil, representou um salto significativo esto confiantes na eficcia das em comparao aos 3,6% da edio prticas de segurana da informao anterior. Alm do avano quantitativo, adotadas em suas empresas. Eles houve melhora na qualidade dizem contar com uma estratgia dos dados, graas ao esforo e bem implantada e consideram sua participao dos 961 executivos de organizao determinada a execut- empresas do Brasil.la. Outro dado importante que osconhecimentos sobre a frequncia,o tipo e a origem das violaes desegurana aumentaram muito nosltimos 12 meses.4 Pesquisa Global de Segurana da Informao 2012 6. A pesquisa revela, no entanto, uma No ano passado, ainda havia A anlise da pesquisa deste ano,tendncia inquietante de degradaodvidas se o Brasil estaria em um cujo propsito permitir reflexesdas competncias fundamentaiscenrio de acelerao pontual por profundas e comparativas sobre orelacionadas segurana nas empresascausa das demandas reprimidas.estado da segurana da informaodesde 2008, apesar dos investimentos Entretanto, analisando a evoluo nas empresas em todo o mundo, foifeitos pelas organizaes em dos percentuais de investimentos em intitulada O centro do furaco.iniciativas de preveno, deteco segurana no Brasil, fica claro o ritmo O tema introdutrio do estudo tratae nas atividades relacionadas e a consistncia dos investimentosdo cerne da questo, revelando osweb. Entre as competncias emfeitos pelas empresas em segurana. efeitos das condies econmicasdeteriorao esto gesto de Isso tende a contribuir para oglobais nas reas de seguranaidentidades, continuidade de negciosamadurecimento do mercado local e da informao das empresas.e recuperao de desastres.para o desenvolvimento de prticasEm seguida, so apresentadas adequadas de segurana que ajudem as revelaes (descobertas) daUm dado surpreendente a crescentea conter a escalada dos crimes digitais pesquisa em sees especficas:indicao de parceiros, fornecedores no pas.um mundo de lderes, confianae clientes como sendo as origens e progressos, vulnerabilidades emais provveis de incidentes dePor fim, destacamos uma novidadeexposio, janelas de oportunidadesegurana registrados nas empresas.no estudo deste ano. Curiosos sobre e tendncias globais. Devido Tradicionalmente, eles ficavam com como os mais de 9.600 executivosimportncia dos resultados locais, apercentuais bem abaixo de outras caracterizariam a forma de conduzir situao da segurana de informaoorigens, como funcionrios, ex-a segurana da informao em suas nas empresas no Brasil est destacadafuncionrios e hackers, mas isso vem organizaes, analisamos mais em uma seo parte.mudando. No Brasil, o temor em profundamente os dados gerados porrelao a essas fontes se revela ainda esta pesquisa e decidimos organizar osNa ltima seo, denominada O quemais acentuado do que no restante do respondentes em grupos para estudar isso significa para o seu negcio, mundo. determinados comportamentos.apresentada a mensagem final deste estudo: Olhe para os lderes, aprendaA boa notcia da pesquisa deste anoPara tanto, consideramos dois dos com o que eles tm realizado e como que, depois de um perodo de principais fatores de impulso parafazem escolhas para enfrentar oconteno de gastos, h previso a eficcia da segurana, ou seja, sefuturo.de aumento dos investimentos a empresa tem uma estratgia deem segurana da informao pelosegurana da informao em vigorNs da PwC esperamos que vocsegundo ano consecutivo: a maioria e se a executa com determinao encontre nas prximas pginasdos executivos respondentes preve entusiasmo. Entre diversasinformaes e anlises teis para aelevao dos oramentos comcombinaes, encontramos empresas elaborao e a execuo da estratgiainiciativas nessa rea nos prximos 12 que, por exemplo, tm um planode segurana da informao de suameses. mas no o executam ou no tm umempresa. plano e esto permanentementeOs nmeros do Brasil so ainda em modo bombeiro, combatendoA equipe de especialistas emmais otimistas que os globais e estoincndios. Com base nas respostas Segurana da Informao da PwC estdestacados em captulo especficoe para fins analticos, organizamos sua disposio para discutir temasdeste estudo. Se o restante do os respondentes em quatro gruposespecficos ou gerais desta pesquisa,mundo est no centro do furaco, distintos: Lderes, Estrategistas,para compartilhar tendncias setoriaisa meteorologia por aqui no prevTticos e Bombeiros. Os resultadosou para apoiar a sua organizao emprecipitaes maiores do que asdesse trabalho so surpreendentes e anlises comparativas de segurana dachuvas tropicais com as quais j motivadores.informao.estamos acostumados. Obrigado por sua participao e boa leitura! Edgar R. P. DAndrea ScioPwC 5 7. 6 Pesquisa Global de Segurana da Informao 2012 8. ndiceO cerne da questo8Uma discusso profunda10I. Um mundo de lderes: os respondentescategorizam suas empresas 11II. Confiana e progresso: uma dcada de amadurecimento 15III. Vulnerabilidades e exposio: a deteriorao dascompetncias de segurana desde 200818IV. Janelas de oportunidade: onde esto as melhores possibilidades 22V. Tendncias globais: a sia corre na frente enquantoo arsenal de segurana da informao mundial envelhece 26VI. Mercado brasileiro: copo meio cheio? 30O que isso significa para o seu negcio36Contatos 40 PwC 7 9. Tem sido uma prtica comum dasO cerne da questoempresas, durante os perodos denebulosidade econmica, fazercontenes de investimentos, sejapara desenvolver novas competnciase criar mercados, seja para manter asoperaes existentes. Essa situaoprevalece at o momento em que umapreviso clara de crescimento torne osinvestimentos atrativos.Trata-se de uma prtica que no A nebulosidade provocada funciona para a segurana da pela crise econmica de 2008 informao. Alis, sabemos que osriscos cibernticos que ameaam j se dissipou. No entanto,a informao frequentemente nuvens densas continuamaumentam durante os perodosde contraes econmicas. Isso se se formando em regies,torna particularmente real quandoo oramento, base para ao menos mercados e setores mundo se manter as prticas vigentes, fica afora, trazendo incertezas comprometido ou pressionado embenefcio de outras necessidades locais e globais e diferindo empresariais. crescimentos de receita, Afinal, como as empresas esto participao de mercadoconduzindo o tema segurana dainformao neste momento? Embora e de rentabilidade das a nebulosidade econmica de 2008 organizaes. A visibilidade tenha passado, h regies, mercadose setores sob a influncia de nuvens sobre quando e como amuito carregadas que podem provocarverdadeiros ciclones em economias prxima ameaa digital regionais, com efeitos devastadores surgir baixa, na melhor para a economia global. Alm disso,a previso econmica global para o das hipteses. prximo ano no to promissora.8 Pesquisa Global de Segurana da Informao 2012 10. Apesar de tudo, de acordo com osAs tempestades da crise de 2008resultados da Pesquisa Global dese foram, mas as instabilidadesSegurana da Informao 2012decorrentes continuam presentes em(Global State of Information Security certos setores, mercados e regies doSurvey), a maioria dos executivosmundo. Neste cenrio, preparaode mercados e setores ao redor do e execuo so movimentosmundo est confiantes na eficcia das fundamentais. Considerando oprticas de segurana da informao crescimento acelerado e a amplitudeque esto sendo adotadas em suasde atuao do crime ciberntico noempresas. Esse grupo inclui maismundo, com atividades como asde 9.600 CEOs, CFOs, CIOs, CISOs, Ameaas Persistentes AvanadasCSOs e outros executivos responsveis (Advanced Persistent Threats - APT) epelos investimentos de segurana eos vazamentos constantes e sbitostecnologia da informao em suasde grandes volumes de dadosempresas em mais de 138 pases. confidenciais, estar preparado umdiferencial estratgico.Eles possuem uma estratgia eficaz emvigor. Eles consideram suas empresasPor que os executivos estodeterminadas na execuo dessaconfiantes? No que as empresasestratgia. E suas percepes quantoavanaram no ltimo ano em frequncia, ao tipo e origem dassegurana da informao? Quaisfalhas de segurana, tm melhoradoso os sinais de deteriorao dasdrasticamente nos ltimos 12 meses. competncias de segurana? E aquais prioridades e oportunidadesPorm, nem tudo est em ordem.os executivos devem se dedicar nesteAlguns elementos indicam crise namomento, a fim de se prepararem paraliderana e uma deficincia perigosa as ameaas digitais que esto por vir?na estratgia. As competnciasempresariais em segurana esto sedeteriorando. Os riscos de seguranarelacionados a terceiros (fornecedores,clientes, prestadores de servios etc.)esto em alta.Ter a expectativa deque o sol brilhar novamente podeser ilusrio, sobretudo em momentosde baixa presso baromtrica. PwC 9 11. Uma discusso profunda As ameaas segurana da informao,assim como o clima, so difceis de prever. Muitos executivos fazem a previso de sol e cu claro. Outros observam o comportamento da baixa presso baromtrica.10 Pesquisa Global de Segurana da Informao 2012 12. I. Um mundo de lderes: os respondentescategorizam suas empresasDescoberta #1 Descoberta #2Este ano, um percentual Esses lderes consideram asurpreendentemente alto dedemanda do cliente como a maisrespondentes considera que suas relevante justificativa para os gastosempresas, na prtica, so lderes com segurana da informao ena estratgia e na execuo daesto entusiasmados em relao segurana da informao.proteo de dados. Descoberta #3 Curiosamente, o grupo que engloba os estrategistas est mais suscetvel a impor restries no oramento de segurana da informao do que os outros trs grupos. PwC 11 13. Dois dos principais fatores de Outros 27% se identificaram comoimpulso para a eficcia da segurana Estrategistas. Isto , so melhores emda informao so (1) se a empresa estabelecer a estratgia apropriadatem uma estratgia de segurana do que na execuo do plano.da informao em vigor, e (2) se Somente 15% foram categorizadosa empresa executa essa estratgia no grupo dos Tticos, compostocom determinao e entusiasmo. pelos respondentes que se disseramGeralmente encontramos empresas, melhores na realizao do que na Descoberta #1por exemplo, que tm um plano definio de uma estratgia eficaz. Emas no o executam ou no tm Este ano, um percentual os 14% que chamamos de Bombeirosum plano e esto constantemente surpreendentemente alto deadmitem que no possuem umaem modo bombeiro, combatendo estratgia eficaz em vigor e que respondentes considera que incndios, entre outras combinaes normalmente atuam reativamente. suas empresas, na prtica, dessas variveis. (Figura 1) so lderes na estratgia eNeste ano, curiosos sobre como na execuo da segurana da O que esses dados nos mostram?os mais de 9.600 respondentes Afinal, do ponto de vista estatstico, informao.caracterizariam a forma de conduzir eles no trazem semelhana com aa segurana da informao em suas curva em forma de sino da distribuioorganizaes, inclumos perguntas normal padro. Entretanto, elesespecficas na pesquisa. Com base nos fornecem algumas informaesnas respostas e para fins analticos, intrigantes a respeito das percepesorganizamos os respondentes em dos respondentes e de como elesquatro grupos distintos: Lderes, avaliam alguns aspectos essenciais daEstrategistas, Tticos e Bombeiros. postura de suas empresas em relao Surpreendentemente, quase asegurana da informao.metade (43%) dos respondentesse identificou com a categoria deLderes. Isto , suas organizaespossuem um plano estratgico desegurana eficaz em vigor e estodeterminadas e entusiasmadas naexecuo desse plano.Figura 1: Como os respondentes caracterizam a abordagem de seguranada informao adotada por suas empresas Temos uma estratgia eficaz em vigor e somos 43% Lderesproativos na execuo do plano Somos melhores em acertar a estratgia27% Estrategistas do que em executar o planoSomos melhores na execuo das aes15% Tticos do que na definio da estratgia eficaz No temos estratgia eficaz em vigor e normalmente somos reativos14% BombeirosFonte: 2012 Global State of Information Security SurveyOs nmeros relatados talvez no sejam exatamente iguaisaos dados brutos por causa do arredondamento.12 Pesquisa Global de Segurana da Informao 2012 14. Os quatro grupos concordam queDe forma similar, os Lderes os dois temas mais importantesnitidamente se entusiasmam mais que fundamentaram os gastos em proteger todos os tipos de com segurana da informao eminformao, desde dados financeiros suas empresas so as condies da e de propriedade intelectual, at economia global e a necessidade deinformaes da empresa, de clientes e garantir a continuidade dos negcios ede funcionrios. (Figura 3) a recuperao de desastres. Esses resultados chamam ateno eDescoberta #2Porm, quando perguntados sobre so animadores pelo senso de negcioEsses lderes consideram a como a segurana da informaocada vez mais presente na seguranademanda do cliente como a justificada em suas empresas, da informao das empresas.mais relevante justificativa as respostas variaram nitidamente.Conforme indicamos pela primeirapara os gastos com segurana (Figura 2)vez no ano passado, depois de cerca de 15 anos, a vanguarda das prticasda informao e estoEnquanto os Estrategistas, os Tticos e de segurana da informao passaentusiasmados em relao os Bombeiros indicam acima de tudoa ter um papel mais orientado aoproteo de dados. como justificativa o atendimentoatendimento das demandas do cliente, s exigncias legais e regulatrias a das necessidades empresariais e da punio, por assim dizer os Lderes criao de valor estratgico para a indicam que a segurana tem sidoorganizao. justificada pela demanda do cliente, ou seja, a recompensa.Figura 2: Como a segurana da informao justificada em sua empresaLderes EstrategistasTticos Bombeiros Demanda do cliente 50% 32% 27% 21% Exigncia legal ou regulatria 45% 36% 44% 24% Julgamento profissional43% 36% 37% 22% Potencial responsabilizao ou exposio 41% 30% 40% 22% Prticas comuns no setor 41% 35% 30% 17%Fonte: 2012 Global State of Information Security SurveyNem todos os fatores so ilustrados. Os valores totais no somam 100%.Figura 3: Percentual dos respondentes que consideram extremamente importantes os tipos de informao a seguirLderes EstrategistasTticos Bombeiros Informaes de clientes73% 57% 63% 45% Dados financeiros65% 43% 48% 40% Segredos de propriedade intelectual e63% 42% 42% 34% comerciais Informaes corporativas 60% 41% 42% 31% Informaes de funcionrios51% 37% 40% 28%Fonte: 2012 Global State of Information Security SurveyOs valores totais no somam 100%. Os respondentes puderam indicar diversos fatores. PwC 13 15. H outras ideias provocativasPor que motivo? Temos algumasimplcitas nas respostas apresentadaspistas. O conhecimento duramentepor esses quatro grupos de conquistado sobre a frequncia, o tiporespondentes. Uma delas, na verdade, e a origem dos crimes cibernticosnos remete a uma tendncia global nase das violaes de segurana fazprticas de segurana e na preveno dos Lderes o grupo em melhoresao crime que persiste desde 2008.condies de informar perdasIsto , a relutncia em se empenharfinanceiras. No outro extremo, os Descoberta #3recursos suficientes para a misso daBombeiros representam empresassegurana da informao mesmo sobtipicamente menores que, em geral, Curiosamente o grupo queesto sujeitas a limitaes financeiras.o risco de degradao da segurana e engloba os estrategistas suas competncias. est mais suscetvel a imporE quanto aos Tticos? Se no restries no oramento de Todos os quatro grupos Lderes,h estratgia eficaz em vigor,Estrategistas, Tticos e Bombeiros provavelmente no haver percepo segurana da informao do esto ativamente reduzindo osestratgica sobre por que os que os outros trs gruposoramentos e protelando as iniciativas investimentos so crticos e devem serde segurana. Mas um grupo emfeitos. Ento por que os Estrategistasparticular, os Estrategistas, est so mais suscetveis a impor restriestomando tais medidas de forma mais aos investimentos de segurana daacentuada. (Figura 4)informao do que os outros trs grupos? difcil saber. Talvez alguns, sem um foco constante na execuo, simplesmente no estejam vendo o valor dos resultados em termos prticos. E talvez outros confiem em suas estratgias e simplesmente se concentrem em gastar exclusivamente nas reas mais importantes. Figura 4: Percentual dos respondentes que relatam reduo de oramento ou adiamento de iniciativas de segurana em suas empresas A sua empresa protelou algumaLderesEstrategistas Tticos Bombeiros iniciativa relacionada segurana? Sim, para iniciativas que exigem despesa 47%69%54% 37% de capital Sim, para iniciativas que exigem despesa 44%67%48% 36% operacional A sua empresa reduziu o oramentoLderesEstrategistas Tticos Bombeiros para as iniciativas relacionadas segurana? Sim, para iniciativas que exigem despesa 47%69%52% 35% de capital Sim, para iniciativas que exigem despesa 47%68%50% 36% operacional Fonte: 2012 Global State of Information Security Survey Os valores totais no somam 100%. Os respondentes puderam indicar diversos fatores.14Pesquisa Global de Segurana da Informao 2012 16. II. Confiana e progresso: uma dcada de amadurecimentoDescoberta #4 Descoberta #5Descoberta #6A ntida maioria dos respondentes As empresas possuem hoje maisAps trs anos de reduo deest segura de que as atividades de conhecimento como jamais tiveram oramentos e adiamento dassegurana da informao das suassobre crimes digitais e outros iniciativas de segurana daempresas so efetivas.incidentes de segurana. Elas estoinformao, os respondentes estoaproveitando esse conhecimento paraotimistas em relao aos gastos comdirecionar investimentos a trs reassegurana.especficas: tecnologia de preveno,tecnologia de deteco e tecnologiasrelacionadas web.Mais de sete em cada dez respondentes admitem que esto confiantes, emalgum nvel, na efetividade das competncias de segurana da informao desuas empresas. (Figura 5)Isso faz sentido. Afinal de contas, a segurana da informao passou a serDescoberta #4 considerada atividade essencial do negcio e mais bem compreendida agoraA ntida maioria dosdo que em qualquer outro momento nas ltimas dcadas. Ela deixou derespondentes est segura de que ser uma colcha de retalhos de palpites tcnicos ou, meramente, um itemindividual no oramento do CIO.as atividades de segurana dainformao das suas empresasEm muitos aspectos, os respondentes na realidade parecem acreditar queso efetivas. na nossa empresa, dado o que conhecemos a respeito do crime ciberntico,violaes de dados e outras ameaas, a segurana da informao estfazendo o seu trabalho.Figura 5: Percentual dos respondentes que esto confiantes na efetividade dasatividades de segurana da informao de suas empresas28% Muito confiantes2011 39% Um tanto confiantes Outros 33% Total 72%Fonte: 2012 Global State of Information Security Survey PwC 15 17. H alguns anos, quase metade dosIsso representa um grande avano Descoberta #5 respondentes desta pesquisa no e, aparentemente, esse avano As empresas possuem hoje mais conseguia responder s perguntas fruto das escolhas feitas pelas conhecimento como jamaismais bsicas sobre a natureza das empresas em momentos nos quais os violaes relacionadas segurana. investimentos para a segurana se tiveram sobre crimes digitais e (Figura 6)tornaram limitados, diferentemente outros incidentes de segurana. do que acontecia antes de 2008. Elas esto aproveitando esseAgora, aproximadamente 80% ou maisOnde exatamente esses investimentos dos respondentes podem fornecer conhecimento para direcionaresto sendo feitos? Nas tecnologias informaes especficas sobre a de preveno, deteco e naquelas investimentos a trs reasfrequncia, o tipo e a origem do evento relacionadas web, trs reas de especficas: tecnologia dede segurana. interesse que, em todas as regies, preveno, tecnologia detodos os setores e todos os tamanhos deteco e tecnologiasde empresa, esto atraindo mais relacionadas web. ateno neste ano do que qualquer outra rea essencial relacionada segurana. (Figura 7) Figura 6: Percentual dos respondentes que no souberam responder (no sei, desconheo) a perguntas sobre a frequncia, o tipo e a origem das violaes de segurana nos ltimos 12 meses Respondentes que indicaram2007 2008 2009 20102011 No sei ou Desconheo Quantos incidentes ocorreram nos ltimos 12 meses?40%35%32%23% 9% Qual tipo de incidente ocorreu? 45%44%39%33% 14% Qual foi a origem do incidente?N/A 42%39%34% 22% Fonte: 2012 Global State of Information Security Survey Os valores totais no somam 100%. Os respondentes puderam indicar diversos fatores. Figura 7: Percentual dos respondentes que relataram salvaguardas de segurana da informao relacionadas s seguintes reas de deteco, preveno e web 72% 2010 Ferramentas de deteco de cdigo malicioso 83% 2011 56%Ferramentas de deteco de intruso 62% 61% Ferramentas de preveno intruso 74% 65%Filtros de contedo da web 75% 62%Navegadores seguros72% 55% Servios de segurana da web 62%Fonte: 2012 Global State of Information Security SurveyNem todos os fatores so ilustrados. Os valores totais no somam 100%.16 Pesquisa Global de Segurana da Informao 2012 18. Ser que a seca nos investimentos O que evidente, de qualquer est prestes a diminuir? Metade dos maneira, que a maioria das respondentes acredita que sim, em vulnerabilidades de segurana que algum momento nos prximos 12 comearam a surgir no ano passado, meses. (Figura 8) isto , dois anos aps a retrao econmica global, ainda est presente O que no est totalmente claro que nas organizaes e, assim como as fatores esto motivando esse nvelpersianas que batem mais forte com o de expectativa. Alguns respondentes aumento da intensidade do vento, elasDescoberta #6podem estar prevendo que as exigem ateno.Aps trs anos de reduo de restries de investimentos serooramentos e adiamento das mais brandas nos prximos meses, talvez porque o negcio atualmenteiniciativas de segurana daesteja melhor. Outros podem estarinformao, os respondentesfundamentando suas previses naesto otimistas em relao aos necessidade e na crena de que,gastos com segurana.dada a evoluo e a sofisticao do crime ciberntico e das ameaas de segurana, os investimentos precisam melhorar. Figura 8: Percentual dos respondentes para os quais os gastos com a segurana da informao aumentaro nos prximos 12 meses 52% 51%46%44%44%38% 2006 200720082009 20102011 Fonte: 2012 Global State of Information Security Survey PwC 17 19. Descoberta #9 III. Vulnerabilidades e exposio: a deterioraoGerenciar os riscos de segurana associados s relaes de negcios das competncias de segurana desde 2008mantidas com parceiros, clientes e fornecedores sempre foi um problema. E est piorando. Descoberta #7Descoberta #8Descoberta #10 Uma das ameaas digitais maisAps trs anos de volatilidade O ndice global de 72% de confiana perigosas da atualidade o ataque econmica mundial e de resistncia das empresas em suas prticas de conhecido como Ameaa Persistentea se promover investimentos em segurana pode ser interpretado Avanada (APT - Advanced Persistentsegurana da informao, continuacomo alto, mas ele vem diminuindo Threat). Poucas empresas esto a deteriorao das competnciasnitidamente desde 2006. preparadas para se prevenir contra principais de segurana nas empresas. esse tipo de ataque.Contudo, o APT no ameaaAs empresas esto preparadas? Descoberta #7somente para o setor pblico e para as Somente 16% dos respondentes Uma das ameaas digitais instituies de defesa nacional. Ele disseram que os programas de ao de mais perigosas da atualidade tambm uma questo cada vez mais segurana de suas empresas abordamcrtica para todo o setor privado. ataques APT. Alm disso, mais da o ataque conhecido como metade de todos os respondentes Ameaa Persistente AvanadaEste ano, percentuais significativos relatou que suas empresas (APT - Advanced Persistent de respondentes, em diversos setores,no possuem as competnciasapontam que o ataque APT tem fundamentais necessrias, direta ou Threat). Poucas empresas estodirecionado os gastos com a seguranaindiretamente, para o combate a essa preparadas para se prevenirda empresa. Mais precisamente, ameaa estratgica, tais como teste contra esse tipo de ataque.destacam-se 43% dos respondentes de penetrao, tecnologia de gestodo setor de produtos de consumo ede identidades ou processos de gestode varejo, 45% do setor de servioscentralizados de informaes definanceiros, 49% da indstria de segurana. (Figura 9) A espcie mais sofisticada, adaptvelentretenimento e mdia e 64% do setor e persistente de ameaas digitais node fabricao industrial. mais uma raridade. As principais empresas ao redor do mundo foramFigura 9: Percentual dos respondentes segundo os quais suas empresas possuem alvo de ataques do tipo APT em 2011: internamente as competncias relacionadas preveno, deteco e ao combate ao APT desde entidades governamentais, laboratrios nucleares, firmas de 2010 53% segurana, fornecedores militares, 49%48% 47% 2011 45% at uma organizao internacional 43%43%41% 38% 38% que supervisiona o sistema monetrio internacional.Software de controle de acesso rede Tecnologia de gesto de identidadesProgramas de conscientizaosobre segurana Processo centralizado de gesto de informaesde seguranaTestes de penetrao de funcionriosFonte: 2012 Global State of Information Security SurveyNem todos os fatores so ilustrados. Os valores totais no somam 100%.18 Pesquisa Global de Segurana da Informao 2012 20. Embora tenha havido avanos significativos na capacidade das empresas para aplicar tecnologias de preveno, deteco e relacionadas web, os nveis de maturidade em outras disciplinas de segurana continuam em declnio. A deteriorao evidente em disciplinas de segurana como gesto de identidades, gesto de continuidade de negcios e planejamento para a recuperao de desastres, assim como naquelas disciplinas relacionadas a verificaes do histrico pessoal e monitorao do uso da Internet e dos ativos da informao pelos funcionrios da empresa. As prticas relacionadas Descoberta #8privacidade, tais como a reviso de polticas de privacidade pelo menos umaAps trs anos de volatilidade vez ao ano e a manuteno de inventrios de locais e jurisdies onde os dadoseconmica mundial e de pessoais so armazenados, tambm tiveram evidente deteriorao.resistncia a se promoverinvestimentos em seguranada informao, continua aFigura 10: Percentual dos respondentes que relataram dispor das seguintesdeteriorao das competnciascompetncias de segurana e privacidade em suas organizaesprincipais da segurana nasempresas. 48% Estratgia de gesto de identidades46%41%53% Continuidade do negcio/recuperao 44%de desastres 39%60%Verificao do histrico pessoal56%54% 57% Pessoas dedicadas ao monitoramentodo uso da internet pelos funcionrios 53%49%52%Reviso da poltica de privacidade pelo menos uma vez ao ano46% 39% Inventrio preciso das localizaes ou39% jurisdies onde os dados esto 35%armazenados 29%20092010 2011Fonte: 2012 Global State of Information Security SurveyNem todos os fatores so ilustrados. Os valores totais no somam 100%. PwC 19 21. Os riscos internos organizaoDe fato, o salto nos percentuais Descoberta #9sempre estiveram em evidncia paramostra mudanas rpidas deste Gerenciar os riscos de os CISOs, CSOs e outros encarregadoscenrio (Figura 11). Com o aumento segurana associados sde proteger a casa. Por muitos anos das suspeitas, devem aumentaras suspeitas de violao de segurana nos prximos 12 meses os nveis relaes de negcios mantidasocorridas na empresa recaram com de maturidade do conjunto de com parceiros, clientes efrequncia sobre funcionrios oucompetncias de segurana que fornecedores sempre foi um ex-funcionrios. E ainda assim. representa a linha de frente na problema. E est piorando. No entanto, h outras categorias de gesto dos riscos relacionados apessoal interno s quais sempre seterceiros (Figura 12).deu menos ateno, como terceiros,fornecedores e at mesmo clientes.Figura 11: Percentual de respondentes que estimam as seguintes origens paraas violaes de segurana ocorridas na empresa 17%2011Cliente 12%201010%2009 15% Parceiro ou Fornecedor 11%8%Fonte: 2012 Global State of Information Security Survey Figura 12: Percentual de respondentes que relataram a existncia das seguintes capacidades ativas em suas empresas para conter os riscos associados a terceiros57%2009 53% 49%201039%201135% 35% 34%32% 30% 29%29% 29% 28%27%24% lidam com informaes pessoais de clientes ou funcionrios Inventrio de todos os terceiros que lidam com informaes pessoais de clientes oufuncionriosExigncia de que terceirosestejam em conformidade comas polticas de privacidadePessoas dedicadas ao monitoramento do uso daInternet pelos funcionriosProcesso de resposta a incidentes para relatar e lidar com violaesa dados manipulados por terceirosDue diligence de terceiros que Fonte: 2012 Global State of Information Security Survey Nem todos os fatores so ilustrados. Os valores totais no somam 100%.20 Pesquisa Global de Segurana da Informao 2012 22. Confiana geralmente um bomEra de se esperar. Com a conteno Descoberta #10 trao, contanto que no se baseie em dos investimentos em segurana O ndice global de 72% dearrogncia, esperana ou informaes pelas empresas nos ltimos anos e confiana das empresas em suas incorretas. Mas a queda na confiana o surgimento contnuo de desafios, reveladora. O ndice global de como os APTs, os crimes cibernticos prticas de segurana pode ser confiana de 72% talvez parea refletire outras ameaas digitais, impossvel interpretado como alto, mas elenveis slidos de autoconfiana, pelode se evitar a concluso de que as vem diminuindo nitidamente menos em relao segurana dareas de negcio e de TI esto menos desde 2006.informao. Entretanto, esse ndiceconfiantes que sua empresa estejaest 12 pontos abaixo (84% em 2006)preparada para enfrentar as ameaasdo registrado h alguns anos.de segurana que pem em risco a(Figura 13)informao, a operao e a marca. Figura 13: Percentual dos respondentes que esto confiantes na eficcia das atividades deFigura 13: Percentual dos respondentes que esto confiantes na eficcia das atividades de segurana da informao de suas empresassegurana da informao de suas empresasMuito confiantes 2006 Um tanto confiantes28%28%26%Outros 51%Muito confiantes Muito confiantes Muit2011 2011 39%39% Um pouco2010confiantes Um pouco confiantes 39% Um Outros Outros OutrState of Information Security Survey33%33%35%18% 17% Muito confiantes Muito 200943% Um pouco confiantes 200850% Um p Outros Outro33% 39%16%16%Muito confiantesMui20072006Um pouco confiantes UmOutrosOut52%51% 32%33%Fonte: 2012 Global State of Information Security SurveyPwC 21 23. IV. Janelas de oportunidade: onde esto as melhores possibilidades Descoberta #11 Descoberta #12 Descoberta #13 Quais so os maiores obstculos para Os dispositivos mveis e as mdias A computao em nuvem est uma segurana da informao eficaz?sociais representam uma forma nova e melhorando a segurana. Entretanto, Os lderes indicam a falta de capital, significativa de risco e de defesa. Este o que se quer mais determinao entre outros fatores, e lanam a luz ano, o uso seguro desses dispositivosdos fornecedores na aplicao das dos holofotes no alto escalo. est sob novas regras em diversaspolticas de segurana, entre outrasempresas, embora ainda no estejaprioridades.para a maioria delas.22 Pesquisa Global de Segurana da Informao 2012 24. Por um lado, difcil no notar aDescoberta #11falta de coerncia: se a definioQuais so os maiores obstculos para uma segurana da clara da viso e da estratgia no informao eficaz? Os lderes indicam a falta de capital, entre um dever do CISO, ento de quem? Por outro lado, a oportunidadeoutros fatores, e lanam a luz dos holofotes no alto escalo. que esse conjunto de respostas revela estimulante. A austeridade naalocao dos investimentos umacondio que poucos executivosEsta uma questo fascinante, poisE quanto aos CFOs? Seria natural podem modificar. Mas a definiorevela uma rica composio deprever que, com a responsabilidade clara da viso e da estratgia defalta de alinhamento e disfuno final de definir cortes, redues ou segurana um procedimento para oorganizacionais e, ao mesmo tempo, diferimentos nos investimentos emqual existe possibilidade de escolha.indica oportunidades atraentes parasegurana, eles apontariam, assimaprimorar a segurana da informaocomo os CEOs, as limitaes de capital O quanto a segurana da informaode forma transversal, considerando como principal obstculo. No o queseria radicalmente mais eficaz se todadesafios externos, recursos internos e acontece. Eles tambm colocam o nus a equipe executiva snior se dirigissefunes-chave de liderana.nos CEOs e na Diretoria. ao CISO em conjunto e, de formabastante cooperativa, apoiasse a visoOs CEOs acreditam que o principalSendo assim, como os principaise a estratgia de trs a cinco anosobstculo a falta de capital e,representantes da equipe tcnicasobre como a prtica de seguranaem seguida, apontam para siexecutiva, isto , CIOs e CISOs,da informao deve ser mais bemmesmos e para a diretoria. Issoclassificam os maiores obstculos empreendida, aparelhada e dotada dereflete honestidade e, certamente, eficcia da segurana da informao? recursos para viabilizar e proteger aresponsabilidade. Esta a surpresa: o Curiosamente, e talvez naturalmente, empresa?ltimo obstculo na lista dos CEOs eles se pem no fim da lista de o CISO. Isso, aparentemente, obstculos e colocam o CEO e a Como o CISO pode fazer issouma iluso, como os prprios CISOs diretoria quase no topo. Mas os CIOs acontecer? Comunicando comrevelam indiretamente em suase os CISOs aparentemente concordam muito mais nfase a importnciarespostas mesma pergunta.que o maior obstculo eficcia dada segurana da informao para(Figura 14)segurana da informao a falta de o CEO, o CFO e outros diretores, viso realista dessa prtica, seguidaalm de tomar o cuidado de fazer de perto pela falta de uma estratgiaessa comunicao na linguagem eficaz de segurana da informao. apropriada ao executivo em questo.Figura 14: Percentual de CEOs, CFOs, CIOs e CISOs que identificam os fatores abaixo como os maiores obstculos ao aprimoramentogeral da eficcia estratgica da prtica de segurana da informao de suas empresas CEOCFOCIOCISO Liderana - CEO, presidente, diretoria ou equivalente25% 27%25%25% Liderana - CIO ou equivalente 14% 23%18%21% Liderana - CISO, CSO ou equivalente 12% 22%16%17% Falta de estratgia eficaz de segurana da informao18% 25%25%30% Falta de viso e ou de entendimento17% 25%30%37% Oramento insuficiente para os investimentos 27% 23%29%29% Oramento insuficiente para os gastos operacionais 23% 16%23%22% Ausncia ou escassez de especialistas na empresa 23% 19%25%23% Sistemas de informao/TI mal integrados ou excessivamente complexos 13% 14%19%30%Fonte: 2012 Global State of Information Security SurveyOs valores totais no somam 100%. Os respondentes puderam indicar diversos fatores. PwC 23 25. Diversas empresas ao redor doMais da metade dos respondentes, Descoberta #12mundo esto implementandoentretanto, relatou que as suas Os dispositivos mveis e as estratgias de segurana paraempresas ainda no tm estratgia mdias sociais representamacompanhar a adoo de novas de segurana para o uso de tecnologias por parte dosdispositivos pessoais, inclusive uma forma nova efuncionrios, sobretudo o uso de mveis, e redes sociais na empresa significativa de risco e de dispositivos mveis e de redes pelos funcionrios. (Figura 15) defesa. Este ano, o uso segurosociais. Elas tambm esto criando desses dispositivos est sobregras sobre como os funcionrios novas regras em diversaspodem usar tecnologias pessoais dentro da empresa. empresas, embora ainda no esteja para a maioria delas. Figura 15: Percentual dos respondentes segundo os quais suas empresas apresentam os seguintes recursos em vigor para abordar os riscos relacionados aos dispositivos mveis e s mdias sociaisTm uma estratgia de segurana para que o funcionrio utilize dispositivos pessoais43% Tm uma estratgia de segurana para37%dispositivos mveisTm uma estratgia de segurana para as32%mdias sociais Fonte: 2012 Global State of Information Security Survey Nem todos os fatores so ilustrados. Os valores totais no somam 100%.24Pesquisa Global de Segurana da Informao 2012 26. Mais de quatro em cada dez E quanto aos principais riscosDescoberta #13 respondentes relataram que suasrelacionados s estratgias deA computao em nuvem est empresas utilizam a computao computao em nuvem? O maiormelhorando a segurana.em nuvem, sendo 69% para risco percebido foi a incerteza software como servio, 47% paraquanto possibilidade de imporEntretanto, o que se quer mais infraestrutura como servio e 33%polticas de segurana s instalaesdeterminao dos fornecedorespara plataforma como servio.dos fornecedores. Outros riscosna aplicao das polticasincluem treinamento e auditoria A nuvem melhorou a segurana?de segurana, entre outrasde TI inadequados, privilgios Mais da metade (54%) diz que sim,problemticos no controle de acessoprioridades. 23% acreditam que a seguranas instalaes do fornecedor, a piorou e 18% no observaramproximidade dos dados da empresa mudanas. (Figura 16)com os de outras empresas e a falta deconfiana na recuperao de dados,caso seja necessrio. (Figura 17) Figura 16: Os impactos da computao em nuvem na segurana da informaoA segurana da informao melhorou54%A segurana da informao piorou23% Sem mudanas na segurana da informao18% No sabe 5% Fonte: 2012 Global State of Information Security Survey Figura 17: Percentual de respondentes que identificaram os itens abaixo como principal risco de segurana estratgia de computao em nuvem nas suas organizaes 32% 19%15%11%9% Incerteza sobre a capacidade de impor polticas de segurananas instalaes do fornecedor Treinamento e auditoriade TI inadequados Privilgios problemticos nocontrole de acesso s instalaes do fornecedorProximidade dos dados com os de outras empresasFalta de confiana na recuperao de dadosFonte: 2012 Global State of Information Security SurveyNem todos os fatores so ilustrados. Os valores totais no somam 100%.PwC 25 27. Descoberta #14 Descoberta #16 V. Tendncias H vrios anos a sia vem estimulandoDiante da incerteza econmica, aos investimentos em segurana. OsEuropa aperta ainda mais o cinto, globais: a siaresultados deste ano revelam at que apesar do conjunto de competncias corre na frenteponto a regio tem evoludo em suasem segurana estar se deteriorando.competncias. enquanto o arsenalDescoberta #17Descoberta #15 Como na maior parte do mundo, o de segurana Na Amrica do Norte, como as arsenal de defesas de segurana da da informaoempresas continuam relutando emAmrica do Sul est enferrujando. investir nos fundamentos da seguranamedida que cai o nvel de confiana da mundial envelhecenos mesmos nveis do passado, as regio em sua segurana, aumenta acompetncias e a eficincia da regionecessidade de investimentos.continuam piorando.H dois anos, quando a maior parte de risco elevado potencializadodo mundo reduziu ou bloqueou seuspela retrao econmica global nosinvestimentos em segurana, a sia ltimos anos promoveu o papel e acomeou a incentiv-los. Os dadosimportncia da prtica de segurana.deste ano, em comparao comos nveis de resposta de 2009, por No de se surpreender que osexemplo, revelam de forma notvelinvestimentos da sia em seguranaat que ponto a sia evoluiu emtenham continuado, com resultados Descoberta #14 suas prprias competncias no curtoextraordinrios para as empresasperodo de 24 meses. da regio. Embora os ganhos em H vrios anos, a sia vemcompetncias e eficincia sejam estimulando os investimentos Os nmeros so impressionantes.evidentes em todas as categorias, os em segurana. Os resultadosPrimeiramente, as percepes resultados mais significativos desde deste ano revelam at que pontoda regio quanto aos incidentes2009 incluem elevaes maiores que a regio tem evoludo em suasde segurana melhoraram, o que dez pontos percentuais em reas comose mostra na queda significativa estratgia de segurana, prticas de competncias.do percentual de respondentesprivacidade, tecnologia de intrusoasiticos que no tiveram condiese de deteco, medidas de defesade responder s perguntas sobre orelacionadas web e de proteo denmero, o tipo e a origem provvel dos dados.incidentes em alguns casos, para afaixa de um dgito.Como esse sucesso no fosse bastante, a sia deve intensificarComo decorrncia da nova seus compromissos com a seguranavisibilidade dos incidentes, surgiuda informao no prximo ano.uma nova conscincia sobre o O percentual de respondentesvalor da segurana da informao.asiticos que esperam um aumentoTrs em cada quatro respondentes do oramento de segurana nosasiticos (74%), o que representa um prximos 12 meses pulou de 53% empercentual maior do que os nveis de 2009 para 74% este ano, um ndiceresposta de qualquer outra regio do de expectativa bem maior que o demundo, concordam que o ambientequalquer outra regio no mundo. (Figura 18)26 Pesquisa Global de Segurana da Informao 2012 28. Em ntido contraste com as tendncias De fato, h alguns sinais deDescoberta #15 evidentes na sia, o histrico de revigorao, especialmente comNa Amrica do Norte, como as avanos em segurana da informao, relao adoo de tecnologias deempresas continuam relutando registrado por anos na Amrica do preveno, de deteco e relacionadas Norte, comeou a sofrer eroso. De web. Por exemplo, os ndices deem investir nos fundamentos da fato, comearam a surgir muitas adoo das ferramentas de detecosegurana nos mesmos nveisbrechas na defesa da segurana de de cdigos maliciosos aumentaram dedo passado, as competncias e ainformao na Amrica do Norte. 78% em 2009 para 86% neste ano.eficincia da regio continuam Como ocorre na sia e em outras Mesmo assim, pelo segundo anopiorando.regies, as empresas da Amrica doconsecutivo, muitas das competncias Norte esto compreendendo melhorem segurana da Amrica do Norte os incidentes de segurana e relatamaparentemente esto sofrendo impactos de maior sofisticao para degradao. Isso ocorre em reas o negcio. Em vez de fortalecer seu como estratgia, gesto de identidades compromisso com a segurana dae controle de acesso, proteo de informao, porm, as empresasdados, segurana de terceiros e, at da regio esto menos propensas a mesmo, compliance de segurana. defender a importncia da prtica de(Figura 18) segurana como faziam em 2009.Figura 18: Diferenas nas prticas regionais de segurana da informao siaAmrica do Norte20092011 20092011 Os gastos com segurana aumentaro nos prximos 12 meses 53% 74%29% 31% O ambiente de risco elevado aumentou a importncia da prtica de segurana 62% 74%50% 45% No sabe o nmero de incidentes de segurana nos ltimos 12 meses21% 3% 41% 17% No sabe os tipos de incidentes de segurana nos ltimos 12 meses30% 6% 47% 20% No sabe a provvel origem dos incidentes nos ltimos 12 meses 32% 17%45% 37% Possui uma estratgia geral de segurana 66% 76%73% 58% Utiliza solues de gesto de identidades49% 62%47% 33% Dedica pessoal de segurana s reas de negcio48% 61%42% 36% Possui ferramentas de deteco de cdigo malicioso 70% 81%78% 86% Possui ferramentas para a descoberta de dispositivos no autorizados 54% 65%57% 58% Possui ferramentas de varredura de vulnerabilidades55% 71%59% 59% Estabelece uma poltica formal de privacidade59% 70%65% 57% Realiza a due diligence de terceiros que lidam com dados pessoais33% 43%45% 27% Utiliza as ferramentas de preveno de perda de dados (DLP)44% 57%49% 48% Codifica os bancos de dados65% 76%59% 50% Utiliza navegadores seguros63% 78%68% 77% Implementa segurana de servios da web57% 71%58% 58%Fonte: 2012 Global State of Information Security SurveyOs valores totais no somam 100%. Os respondentes puderam indicar diversos fatores.PwC 27 29. Descoberta #16 Diante da incerteza econmica, a Europa aperta ainda mais o cinto, apesar do conjunto de competncias em segurana estar se deteriorando.A Europa tem dificuldades em manterEntretanto, as notcias no so dea fora das suas prticas de segurana todo ruins. Como outras regies aoda informao. Perguntados sobre osredor do mundo, a Europa passa a terimpactos das condies econmicasmaior compreenso sobre o tipo, aatuais sobre a prtica de segurana, frequncia e a origem dos incidentes.os respondentes europeus so Houve avanos ao longo do anomais propensos este ano do que passado nas tecnologias de preveno,em 2009 a apontar os impactos na deteco e relacionadas web. Esegurana provenientes das condies as empresas da regio esto maiseconmicas.propensas a contratar um CISO (Chief Information Security Officer) do queEles relatam que o ambiente reguladorestavam em todos os anos anteriores.tornou-se mais complexo e oneroso.Os riscos de segurana dos dados Mesmo assim, um dos sinais deaumentaram por causa das demisses preocupao para o ano seguintede funcionrios. E os esforos para a nitidamente o risco relacionadoreduo de custos tornam ainda maisa terceiros e a percepo de quedifcil obter a segurana adequada,os parceiros de negcio, clientes eentre outros impactos. fornecedores das empresas tambm enfraqueceram sua segurana aoO prximo ano pode ser ainda maislongo dos ltimos anos. Esse riscodifcil para a segurana nas empresas ainda maior na Europa, de mododa regio. Em relao a 2009, as geral, do que em outras regies, poisorganizaes europeias esto bem os controles e as medidas defensivasmais propensas a protelar iniciativasde segurana relacionadas a terceirose reduzir investimentos e despesas ficaram para trs em comparao aosoperacionais de segurana. controles e s medidas defensivas do resto do mundo. (Figura 19)28 Pesquisa Global de Segurana da Informao 2012 30. Embora os impactos negativos da economia sobre a segurana da informao estejam diminuindo na Amrica do Sul, a maioria dos nveis de impacto relatados na regio so to altos, ou ainda maiores, que os da Europa. Quem sabe isso ajude a explicar o motivo de os oramentos para a segurana continuarem extremamente apertados. De fato, o diferimento dosDescoberta #17 investimentos e os cortes nas iniciativas de segurana tm crescido de formaComo na maior parte do considervel desde 2009.mundo, o arsenal de defesas de Ponto por ponto, observa-se que os nveis das principais competncias desegurana da Amrica do Sulsegurana na regio continuam a cair, para medidas de segurana e deest enferrujando. medidaprivacidade e para competncias relacionadas s pessoas e aos processos.que cai o nvel de confiana Em alguns casos, as quedas tm sido mais leves, como na realizao deda regio em sua segurana,verificaes do histrico pessoal, que era de 55% em 2009 e passou para 53%aumenta a necessidade de este ano. Em outros casos, a queda foi mais acentuada, como a reduo de 50% para 38% dos respondentes que relataram a utilizao de um processoinvestimentos. de gesto de segurana de informaes centralizado em suas empresas. Pelo menos dois indicadores apresentaram uma melhora neste ano. As empresas da Amrica do Sul so mais propensas hoje do que eram em 2009 a ter um CISO na liderana e uma estratgia geral de segurana da informao. So avanos positivos, especialmente quando se tem em conta outra revelao da pesquisa deste ano: os sul-americanos relataram uma enorme queda de confiana na eficcia da segurana da informao de suas empresas (71% versus 89% em 2009) e de seus parceiros e fornecedores (70% versus 86% em 2009). (Figura 19)Figura 19: Diferenas nas prticas regionais de segurana da informaoEuropa Amrica do Sul 2009 201120092011 O ambiente regulador tornou-se mais complexo e oneroso47%53%61%58% Os riscos de segurana dos dados da empresa aumentaram por causa das demisses de 34%42%52%48% funcionrios Os esforos para reduo de custos tornam mais difcil obter a segurana adequada 42%46%61%53% Tm crescido as ameaas segurana dos ativos de informao da empresa 32%38%50%44% A segurana nos parceiros da empresa foi enfraquecida pelas condies econmicas33%51%53%48% A segurana nos fornecedores foi enfraquecida pelas condies econmicas33%48%52%46% Iniciativas de segurana proteladas relacionadas com CAPEX (Capital Expenditures) 39%56%49%68% Iniciativas de segurana proteladas - relacionadas com OPEX (Operating Expenditures)35%54%44%63% Oramentos de segurana reduzidos - relacionadas com CAPEX (Capital Expenditures) 43%57%50%66% Oramentos de segurana reduzidos - relacionadas com OPEX (Operating Expenditures)41%56%48%66% Tem uma estratgia geral de segurana em vigor59%59%56%60% Emprega um CISO (Chief Information Security Officer)45%51%45%53% Implementou um processo de gesto de segurana da informao centralizado 43%34%50%38% Realiza verificaes do histrico pessoal 44%44%55%53% Tem um inventrio de todos os terceiros que lidam com os dados pessoais de funcionrios/20%18%27%25% clientes Exige que terceiros estejam em conformidade com as polticas de privacidade 31%22%32%28% Utiliza ferramentas de deteco de intruso 50%58%59%57% Tem filtros de contedo da web55%72%64%72% Acredita que a segurana da informao da empresa eficaz73%62%89%71% Acredita que a segurana da informao dos parceiros/fornecedores eficaz65%62%86%70%Fonte: 2012 Global State of Information Security SurveyOs valores totais no somam 100%. Os respondentes puderam indicar diversos fatores.PwC 29 31. A participao do Brasil este ano merece grande destaque. Quase mil executivos VI. Mercado brasileiro: que responderam Pesquisa Global de Segurana da Informao deste ano(961, para ser mais exato) informaram ocupar posies de trabalho no Brasil.copo meio cheio?Isso significa que nesta edio o pas colaborou com 10% da massa de dadosfornecidos, representatividade nunca antes alcanada neste estudo.O otimismo tambm continua em alta. Se o restante do mundo est no centrodo furaco, a meteorologia por aqui no prev precipitaes maiores do que aschuvas tropicais com as quais j estamos acostumados. A projeo oramentriade despesas e investimentos em segurana da informao no Brasil manteve-seno patamar dos anos anteriores: do total de respondentes, 55% em 2009, 66%em 2010 e, novamente, 66% em 2011 acreditam que os gastos com seguranaaumentaro nos prximos 12 meses. A edio do estudo do ano passado foia primeira em que inclumos este captulo com uma anlise dos nmeros doBrasil. Naquele momento, ainda havia dvidas se estvamos em um cenriode acelerao pontual em resposta a demandas reprimidas. Aparentementeno. Quando nos defrontamos com slidos 2/3 de respostas positivas para asperspectivas de gastos em dois anos consecutivos, fica claro que as empresas noBrasil esto em um ritmo firme de crescimento em segurana da informao.Figura 20: Projeo dos gastos com segurana da informao nos prximos 12 meses51%Aumentar66%Diminuir ou 33% permanecer igual 26% 16%No sei 8% Total GlobalBrasil Fonte: 2012 Global State of Information Security Survey30 Pesquisa Global de Segurana da Informao 2012 32. Por outro lado, crescimento no significa, necessariamente, maturidade. Na pergunta sobre as salvaguardas que aorganizao ainda no possui, chama ateno a lacuna existente entre as empresas do Brasil e tambm as da Amrica doSul e as do resto do mundo. Diferenas de maturidade em disciplinas mais recentes, como procedimentos de seguranapara dispositivos portteis, so normais e aceitveis, uma vez que a tendncia que o mercado norte-americano e oasitico puxem padronizaes nesse sentido. Mas existe ainda uma diferena significativa em temas que j esto napauta da segurana da informao h muitos anos, como gesto de identidades, plano de continuidade de negcios eavaliaes de riscos internos. De certa forma, isso surpreendente e, por que no dizer, frustrante.Figura 21: Salvaguardas de segurana da informao que a organizao no possui, mas so de alta prioridade nos prximos 12 meses Total AmricaBrasilglobaldo Sul Estratgia geral de segurana da informao11% 12% 12% Estratgia de gesto de identidades18% 22% 22% Plano de continuidade de negcios e recuperao de desastres 19% 22% 24% Procedimentos e padres de segurana para dispositivos portteis 19% 22% 23% Programa de conscientizao em segurana para funcionrios 14% 18% 19% Estratgia de segurana para nuvem 27% 26% 25% Estratgia de segurana para mdias sociais24% 24% 24% Estratgia de segurana para uso de dispositivos pessoais16% 18% 18% Testes de invaso26% 25% 26% Avaliaes de risco (internas) 17% 19% 23% Avaliaes de risco (externas) 24% 24% 26%Fonte: 2012 Global State of Information Security SurveyOs valores totais no somam 100%. Os respondentes puderam indicar diversos fatores.Outra particularidade do cenrio brasileiro que chamaFigura 22: Fontes mais provveis dos incidentesateno refere-se s origens mais provveis dos incidentesde seguranade segurana ocorridos. Da mesma forma que no restantedo mundo, grande parte das suspeitas recai nos ditosinsiders (funcionrios e ex-funcionrios). Porm, os58%respondentes do Brasil apontam que 60% dos problemasFuncionrio/Ex-funcionrio55%tm como origem provedores de servios, consultores,terceiros, parceiros, fornecedores e, at mesmo, clientes!17%Uma vez que o percentual das origens desconhecidas Cliente27% dez pontos menor que o global, acredita-se que acapacidade detectiva (ou investigativa) das empresas 15%locais esteja mais desenvolvida.Parceiro/Fornecedor20% Provedor de servio/ 11%consultor terceiro 13%41% Hacker/terrorista42% 22%Desconhecido 12% Total Global BrasilPwC 31 33. Ao questionarmos os executivos brasileiros a respeito de salvaguardas que aempresa possuiu, chamam a ateno alguns aspectos: no que diz respeito existncia de estratgias de segurana para mdias sociais e computao emnuvem, as diferenas para o resultado global de apenas um ponto percentual.Ento podemos considerar que estamos no mesmo patamar. J com relao existncia de estratgia de segurana para o uso de dispositivos pessoais edispositivos mveis, a diferena sobe para cinco pontos. Ou seja, no tocante anovas tecnologias e novos desafios para a segurana, como se as empresasno Brasil estivessem fazendo a sua lio de casa com foco no ambiente externo(nuvem e Web 2.0), mas ainda um pouco defasadas no que diz respeito gestodos riscos trazidos pelas novas solues de mobilidade. Figura 23: Percentual dos respondentes segundo os quais suas empresas apresentam os seguintes recursos em vigor para abordar os riscos relacionados aos dispositivos mveis, s mdias sociais e computao em nuvem Total Global Brasil 43% 38%37%32% 32% 31%26% 25%Tm uma estratgia de segurana para o usode dispositivos pessoais Tm uma estratgiade segurana para dispositivos mveis Tm uma estratgiade segurnaa paramdias sociaisTm uma estratgia de segurana para a computao em nuvem32 Pesquisa Global de Segurana da Informao 2012 34. No que tange preocupao relacionada ao risco de vazamento de informaesconfidenciais, como na ltima edio, os resultados deste ano indicam queesse problema considerado maior pelos executivos do Brasil. O cenrioaltamente competitivo encontrado por aqui, por si s, j motivo de sobra paraexplicar as preocupaes. Mas a diferena significativa para os nmeros globaisprovavelmente se justifica pela insuficincia de controles efetivos nas empresas.Esta constatao evidente quando observamos, por exemplo, que muitasorganizaes de mdio e grande porte ainda se encontram em estgios iniciaisde implantao de solues de DLP (Data Loss Prevention). Figura 24: Como o risco de um grande vazamento de informaes confidenciais (i.e. WikiLeaks) afeta as organizaes70% 59%Total GlobalBrasil27% 18%14%11% Esta uma questo estratgica oumuito importanteEste no um problema para a organizao No sei Fonte: 2012 Global State of Information Security Survey Nem todos os fatores so ilustrados. Os valores totais no somam 100%. Os respondentes puderam indicar diversos fatores. PwC 33 35. 34 Pesquisa Global de Segurana da Informao 2012 36. Outra constatao interessante diz respeito a como os executivos do Brasilentendem que a abordagem de segurana da informao de suas empresas estestabelecida. Existe uma inverso clara entre a primeira a segunda posio desteresultado no Brasil na comparao com o resto do mundo. Enquanto a maioriados respondentes, na viso global, se considera Lder sendo Estrategistasa segunda categoria no Brasil ocorre justamente o contrrio: os que seconsideram Estrategistas so a maioria, ficando os Lderes em segundo lugar.Ou seja, planejamento da segurana da informao existe, mas estamos pecandoao executar a estratgia definida. Talvez isso seja um reflexo daquilo que acabaacontecendo com muitos de nossos planos: no saem do papel!De qualquer forma, os resultados do Brasil esto muito mais prximos deuma curva de distribuio normal do que os resultados globais. Isto , osresultados do Brasil parecem ser mais realistas. No entanto, fica a reflexose o comportamento dos Estrategistas e Tticos, diante de situaes de crise,de estresse ou de limitaes, ou mesmo do dia a dia, permanece estvel ou seaproxima mais ao dos Bombeiros. Figura 25: Como os respondentes da pesquisa caracterizam a abordagem de segurana da informao adotada por suas empresas LderesEstrategistasTotal GlobalBrasil 43%Bombeiros40% Tticos33%27%16% 15% 14% 11% Temos uma estratgia eficazem vigor e somos proativos naexecuo das aesSomos melhores em acertar a estratgia do que emexecutar as aes definio da estratgia eficazNo possumos uma estratgia eficaz em vigor enormalmente somos reativosSomos melhores na realizao da estratgia do que na Fonte: 2012 Global State of Information Security Survey Os nmeros relatados podem no ser comparveis exatamente com os dados brutos por conta do arredondamento.De qualquer forma, a existncia de lacunas pode ser considerada uma grandeoportunidade de crescimento. A maturidade do mercado local vem aumentandode forma consistente a cada ano. As perspectivas de crescimento da seguranada informao no Brasil so animadoras e, sem dvida alguma, os CISOs e CIOstm muito trabalho pela frente.PwC 35 37. O que isso significa para o seu negcio36 Pesquisa Global de Segurana da Informao 2012 38. Olhe para os lderes. Aprenda com o que elestm realizado e como fazem escolhas paraenfrentar o futuro.Usamos uma lupa para analisar mais profundamente a enorme quantidadede dados gerados por esta pesquisa e decidimos classificar os respondentesem grupos. O agrupamento foi feito com base nas respostas dadas a quatroperguntas selecionadas em uma pequena lista que, em nossa opinio, melhorrefletem ideias, trade-offs e compromissos, duramente conquistados, capazesde diferenciar executivos e organizaes que consideramos lderes emsegurana da informao.Uma nova definio prtica de lderForam includos em nosso grupo de lderes todos os participantes querelataram: A existncia de uma estratgia geral de segurana da informao em vigor em suas empresas. A subordinao do CISO ou de um lder de segurana equivalente ao alto escalo, isto , CEO, CFO, COO ou Conselho. A medio e a anlise da eficcia das suas polticas e procedimentos de segurana da informao no ltimo ano. Uma compreenso precisa sobre que tipos de eventos de segurana ocorridos nos ltimos 12 meses. PwC 37 39. O perfil do nosso novo grupo O que h de diferente no quede liderana esses lderes veem e fazemO grupo representa 13% da pesquisa.Eles relatam, em mdia, metadeDo total, 40% so executivos dados incidentes do estudo (1.274empresa e 60% so executivos depor ano, em comparao comTI. No mbito regional, 39% so da 2.562 para todos os respondentes).sia, 25% da Amrica do Sul, 19% Mesmo assim, eles se deparam comda Europa e 16% da Amrica donveis significantemente maiores deNorte. Os setores mais representados explorao de dados (45% vs. 26%),so tecnologia (15%), fabricao de dispositivos mveis (36% vs. 23%),industrial (13%) e serviosde aplicativos (30% vs. 20%), definanceiros (10%) seguidos pelos sistemas (40% vs. 29%) e de redessetores de engenharia e construo (40% vs. 28%). Os lderes tambm(9%), telecomunicao (8%) e esto mais propensos a suspeitarprodutos de consumo e varejo (8%). que os ataques sejam iniciados porCuriosamente, os setores com baixosfuncionrios (38% vs. 32%), ex-nveis de participao nesse grupo funcionrios (41% vs. 26%) e hackersincluem sade (4%), governo (4%),(50% vs. 35%).energia e servios pblicos (4%) edefesa e espao areo (2%).Como eles tratam esses riscos? Como era de se esperar, os lderes relatam nveis de competncia e eficincia que so, em geral, 15 a 25 pontos percentuais superiores s mdias da pesquisa. Essa diferena diminuiu para aproximadamente 10 pontos percentuais em algumas reas nas quais muitas empresas tm concentrado seus investimentos no ltimo ano: tecnologias de preveno, de deteco e relacionadas web.38 Pesquisa Global de Segurana da Informao 2012 40. As maiores diferenas entre as As implicaes para o seurespostas desses lderes e as da negciopesquisa global, de modo geral, so as Por mais que os resultadosseguintes: aqui apresentados possam ser Contratar um CISO (84% vs. 45%).interessantes, eles no representam o roteiro padro de execuo para Contratar um CSO (75% vs. 40%). a sua empresa ou para qualquer outra. As aes que esses lderes Ter uma estratgia geral de esto planejando e executando se segurana da informao baseiam em uma base mais ampla de (100% vs. 63%). competncias e eficincias do que a maioria das empresas dispe e que Medir e analisar a eficcia das levou anos para ser desenvolvida. Ela polticas e dos procedimentos de tem sido cuidadosamente trabalhada segurana no ltimo ano (100% vs. para refletir cada uma das demandas 54%). e cada um dos cenrios de negcios Contratar pessoal dedicado exclusivos dessas organizaes. segurana que presta suporte aos Voc pode usar estas informaes, departamentos de negcio da no entanto, como suporte na empresa (72% vs. 46%). definio de uma viso de futuroFinalmente, 93% dos lderes acreditampara o seu programa de seguranana eficcia da sua segurana dada informao. Entre em contatoinformao. E quanto s expectativas conosco se desejar obter maioresde gastos para os prximos 12 meses? informaes sobre esse grupo deTrs em cada quatro (76%) esperamlderes em reas crticas para a gesto,que haja aumento.a operao e o controle da segurana em sua empresa. Depois, defina ou aprimore a sua prpria estratgia de segurana da informao. Certifique- se de que ela tenha, ao menos, um foco crtico e priorizado sobre estes quatro elementos fundamentais: (1) liderana, (2) estratgia, (3) cooperao com o negcio e (4) uma abordagem centrada no cliente.PwC 39 41. Contatos Para obter mais informaes, entre em contato com: So Paulo e BarueriRio de Janeiro Braslia Av. Francisco Matarazzo, 1400Av. Jos Silva de Azevedo Neto 200, 1 e 2 SHS - Quadra 6 - Conjunto A - Bloco C 05001-903 - So Paulo/SP Torre Evolution IV, Barra da Tijuca Edifcio Business Center Tower Torre Torino - gua Branca 22775-056 - Rio de Janeiro/RJ Salas 801 a 811 Braslia/DF Telefone: (11) 3674-2000 Telefone: (21) 3232-611270322-915 - Caixa Postal 08850Telefone (61) 2196-1800Fax (61) 2196-1820 Edgar R. P. DAndrea Ronaldo Valio [email protected] [email protected] [email protected] Eliane KiharaRodrigo Milo [email protected]@br.pwc.comAfonso [email protected] Sergio Alexandre Eduardo Luczinski [email protected]. [email protected] Regio Nordeste e Norte Ana Rosa Interior de So PauloAv. Tancredo Neves, 620 - 30 e 34 [email protected]. Empresarial Mundo PlazaRua Jos Pires Neto, 314 - 1041820-020 Salvador/BA13025-170 - Campinas/SP Telefone: (71) 3319-1900 Claudinei VieiraTelefone: (19) 3794-5400 [email protected] ReisEdmilson [email protected] Maria [email protected] [email protected] BarrosMarcelo [email protected] Viviane [email protected] [email protected] Regio Sul Afonso Coelho Belo Horizonte [email protected] Al. Dr. Carlos de Carvalho, 417 - 10Rua dos Inconfidentes, 1190 - 9Curitiba Trade Center30140-120 - Belo Horizonte/MG 80410-180 - Curitiba/PR Joo CastilhoTelefone: (31) 3269-1500Telefone: (41) 3883-1600 [email protected] Fax: (41) 3222-6514Francisco [email protected] Jerri [email protected] [email protected] Ricardo [email protected] [email protected] Ou visite: www.pwc.com/br40 Pesquisa Global de Segurana da Informao 2012 42. 2011 PricewaterhouseCoopers Servios Profissionais Ltda. Todos os direitos reservados. Neste documento, PwC refere-se PricewaterhouseCoopers Servios Profissionais Ltda., firma membro da PricewaterhouseCoopers International Limited, constituindo-se cada firmamembro da PricewaterhouseCoopers International Limited pessoa jurdica separada e independente.O termo PwC refere-se rede (network) de firmas membro da PricewaterhouseCoopers International Limited (PwCIL) ou, conforme o contexto deter-mina, a cada uma das firmas membro participantes da rede da PwC. Cada firma membro da rede constitui uma pessoa jurdica separada e independentee que no atua como agente da PwCIL nem de qualquer outra firma membro. A PwCIL no presta servios a clientes. A PwCIL no responsvel ou seobriga pelos atos ou omisses de qualquer de suas firmas membro, tampouco controla o julgamento profissional das referidas firmas ou pode obrig-lasde qualquer forma. Nenhuma firma membro responsvel pelos atos ou omisses de outra firma membro, nem controla o julgamento profissional deoutra firma membro ou da PwCIL, nem pode obrig-las de qualquer forma.


ITIL na Gestao da Seguranca da Informacao - teraits.com€¦ · ITIL na Gestão da Segurança da Informação ITIL on Security Information Management Rogério Mendes & Márcio Moreira

ITIL na Gestao da Seguranca da Informacao - teraits.com€¦ · ITIL na Gestão da Segurança da Informação ITIL on Security Information Management Rogério Mendes & Márcio Moreira

Documents
22221996 Impactos Da Virtualizacao Na Seguranca Informacao

22221996 Impactos Da Virtualizacao Na Seguranca Informacao

Documents
ABC Aberta S.A. - PwC

ABC Aberta S.A. - PwC

Documents
Nota de aula seguranca da informacao - politica de segurança da informação

Nota de aula seguranca da informacao - politica de segurança da informação

Technology
O Bovespa Mais - PwC

O Bovespa Mais - PwC

Documents
Débora Accioly - PWC

Débora Accioly - PWC

Business
Banca e seguros - PwC

Banca e seguros - PwC

Documents
Estágio Remunerado - PwC

Estágio Remunerado - PwC

Documents
Pwc pesquisa-global-seguranca-informacao-2011

Pwc pesquisa-global-seguranca-informacao-2011

Technology
Manual de Seguranca Da Informacao

Manual de Seguranca Da Informacao

Documents
Administracao de Sistemas de Informacao Seguranca e Os Desafios Eticos Da Tecnologia Da Informacao

Administracao de Sistemas de Informacao Seguranca e Os Desafios Eticos Da Tecnologia Da Informacao

Documents
[ Seguranca ] Seguranca da Informacao

[ Seguranca ] Seguranca da Informacao

Documents
Nota de aula seguranca da informacao - criptografia

Nota de aula seguranca da informacao - criptografia

Documents
Caminho das Exportações, PwC

Caminho das Exportações, PwC

Documents
ITIL na Gestao da Seguranca da Informacao - teraits.com · seado em hardware específico, ou em software , com a utilização de siste-mas operacionais de apoio. O princípio básico

ITIL na Gestao da Seguranca da Informacao - teraits.com · seado em hardware específico, ou em software , com a utilização de siste-mas operacionais de apoio. O princípio básico

Documents
Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008

Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008

Technology
47688440 Seguranca Da Informacao

47688440 Seguranca Da Informacao

Documents
Gerenciamento Risco Pwc

Gerenciamento Risco Pwc

Economy & Finance
Miguel Marques | PWC

Miguel Marques | PWC

Documents
Palestra pt5 Estrategias de Saude - Desafio da Seguranca da Informacao

Palestra pt5 Estrategias de Saude - Desafio da Seguranca da Informacao

Technology
PWC - IFRS e CPCs

PWC - IFRS e CPCs

Documents
Apresentação PwC

Apresentação PwC

Documents
Normas de Seguranca Da Informacao

Normas de Seguranca Da Informacao

Documents
Data Protection 360º - pwc.pt · PwC, pwc, PWC, price, pricewaterhouse, waterhouse, coopers, pricewaterhousecoopers, auditoria, consultoria, advisory, fiscalidade, big four, financial,

Data Protection 360º - pwc.pt · PwC, pwc, PWC, price, pricewaterhouse, waterhouse, coopers, pricewaterhousecoopers, auditoria, consultoria, advisory, fiscalidade, big four, financial,

Documents
Praticas Gestao Seguranca Informacao FATEC - São Caetano do Sul

Praticas Gestao Seguranca Informacao FATEC - São Caetano do Sul

Documents
Tratamento de assuntos reservados e seguranca da informacao na Industria Farmaceutica

Tratamento de assuntos reservados e seguranca da informacao na Industria Farmaceutica

Business
Seguranca da informação seguranca em_redes_parte_03praticas

Seguranca da informação seguranca em_redes_parte_03praticas

Documents
96642208 Conceitos de Seguranca Da Informacao

96642208 Conceitos de Seguranca Da Informacao

Documents
ABNT NBR 17799 - Tecnologia Da Informacao - Codigo de Pratica Para a Gestao Da Seguranca Da Informacao

ABNT NBR 17799 - Tecnologia Da Informacao - Codigo de Pratica Para a Gestao Da Seguranca Da Informacao

Documents
Estudo Pwc Biominas 11

Estudo Pwc Biominas 11

Documents