Segurança cibernética no setor de tecnologia · O setor de tecnologia fornece grande parte da infraestrutura que impulsiona a transformação digital das empresas e da vida pessoal

Auditoria Interna, Riscos, Consultoria de Negócios e de Tecnologia

Segurança cibernética no setor de tecnologia

Um caminho para acelerar o progresso

protiviti.com.br Um caminho para acelerar o progresso · 1

Introdução

O setor de tecnologia fornece grande parte da infraestrutura que impulsiona a transformação

digital das empresas e da vida pessoal em todo o mundo. Assim, a eficácia dos programas de

segurança cibernética do setor tem consequências que vão muito além do próprio setor de

tecnologia. Para avaliar o estado atual e a direção da segurança cibernética em empresas de

tecnologia em todo o mundo, a Protiviti extraiu as respostas de 250 executivos de software,

hardware e telecomunicações que participaram do The Cybersecurity Imperative, uma pesquisa

on-line global sobre práticas de segurança cibernética.1 As entrevistas aprofundadas com

diretores de segurança da informação (CISOs) e especialistas em segurança cibernética, além

de contribuições de um conselho consultivo executivo, complementam a pesquisa.

Neste white paper, começamos examinando como as empresas de tecnologia avaliam a implementação de seus programas de segurança cibernética em comparação com o Framework de Cybersecurity do National Institute of Standards and Technology (NIST).2 Na sequência, discutimos as descobertas da pesquisa sobre

ameaças e contramedidas e como a segurança cibernética é respaldada internamente pelas políticas e pela estrutura organizacional. O relatório é concluído com as recomendações que as empresas de tecnologia podem usar para ajudar a fortalecer suas práticas de segurança cibernética.

1 The Cybersecurity Imperative: Managing Cyber Risks in a World of Rapid Digital Change, um relatório de pesquisa de uma iniciativa conjunta do ESI ThoughtLab, WSJ Pro Cybersecurity, Protiviti e um grupo de empresas proeminentes para conduzir pesquisas e análises globais rigorosas envolvendo uma pesquisa com 1.300 executivos globais em vários setores, reuniões de consultoria e entrevistas com especialistas e profissionais, bem como ferramentas analíticas para comparar as abordagens e avaliar os impactos de desempenho. A pesquisa está disponível em http://go.dowjones.com/cybersecurity-imperative.

2 O Framework de Cybersecurity do NIST oferece orientações sobre segurança de computadores para organizações do setor privado nos Estados Unidos usarem ao avaliar e melhorar sua capacidade de prevenir, detectar e responder a ataques cibernéticos. Ela está disponível em www.nist.gov/cyberframework.

Tipo de empresa e sede dos participantes da pesquisa Cybersecurity Imperative

Tipo de empresa Localização da sede

20%

Software 28%

32% EUA/CANADÁ

52% Hardware

Telecomunicações

UE/Reino Unido

América Latina

28% 8% Ásia-Pacífico

32%

http://www.protiviti.com/

http://go.dowjones.com/cybersecurity-imperative

http://www.nist.gov/cyberframework

2 · Protiviti

Constatações detalhadas

Maturidade funcional e alocação de recursos

O Framework de Cybersecurity do NIST fornece uma lista de verificação

padrão com 23 atividades recomendadas que são agrupadas em cinco

funções – Identificar, Proteger, Detectar, Responder e Recuperar – que

as organizações podem usar no desenvolvimento de sua estratégia de

segurança cibernética. Em nossa pesquisa, pedimos aos entrevistados

que avaliassem seu progresso em cada uma dessas atividades de

acordo com a escala mostrada à direita.

Essas autoavaliações revelam que a maioria das empresas de

tecnologia tem um trabalho significativo à frente para

desenvolver suas funções de segurança cibernética. Muito poucas

das empresas representadas pelos executivos que pesquisamos

alcançaram o nível avançado em qualquer uma das 23 atividades

de segurança cibernética. Esta constatação foi confirmada

em uma análise mais aprofundada, na qual agregamos os níveis

de maturidade de cada empresa em todo o conjunto de

atividades e, em seguida, categorizamos as empresas como

“iniciantes”, “intermediárias” ou “líderes” em segurança cibernética

com base no total das pontuações no nível de maturidade. Não apenas

o setor de tecnologia ficou um pouco em defasagem em comparação

com outros setores na porcentagem de empresas classificadas como

líderes em segurança cibernética, mas também teve uma porcentagem

muito maior de iniciantes em segurança cibernética.

Maturidade da função de segurança cibernética

Software

Hardware

Telecomunicações

Todas de tecnologia

Não de tecnologia

Iniciantes Intermediárias Líderes

Nível de maturidade da segurança

cibernéticaDescrição

Sem ação

Iniciante Começando a pensar sobre a atividade

Desenvolvimento Planejamento e criação de suporte

Maturação Vendo progresso e benefícios

AvançadoÀ frente da maioria das empresas de mesmo

porte e vendo benefícios significativos

45% 36% 19%

29% 54% 17%

42% 44% 14%

40% 43% 17%

29% 50% 21%


Por um lado, a indicação do setor parece contrária à intuição – seria

de se esperar que as empresas de tecnologia tivessem uma maior

conscientização tanto das ameaças cibernéticas em evolução quanto

do custo de estarem despreparadas para elas. Mas, talvez, a função

de segurança cibernética dentro do setor de tecnologia

simplesmente reflita em maior grau as pressões orçamentárias e de

recursos que a segurança cibernética enfrenta em todos os setores.

Fora do setor de tecnologia, a segurança cibernética deve competir

com outras funções e iniciativas de tecnologia, como pesquisa e

desenvolvimento, transformação digital e melhorias na experiência

do usuário – todos os itens da linha orçamentária nos quais é mais

fácil criar entusiasmo e adesão entre os vários responsáveis pela tomada

de decisões. Essas pressões são ainda mais agudas no setor de tecnologia,

no qual os fatores como pesquisa e desenvolvimento e experiência do

usuário impulsionam a presença no mercado de uma empresa.

Mesmo assim, poderíamos argumentar que isso simplesmente

torna mais imperativo que os líderes de segurança cibernética

defendam efetivamente suas funções dentro de suas empresas. Os

resultados da pesquisa mostram como a maturidade da função de

segurança cibernética está correlacionada com a adequação do

investimento em segurança cibernética (ver o gráfico abaixo).

Executivos que informaram orçamentos adequados para a segurança cibernética

Líder

Intermediária

Iniciante

Em alguns casos, o déficit orçamentário é significativo: entre os

executivos das empresas iniciantes em segurança cibernética que

consideraram que seu investimento cibernético era inadequado,

28% disseram que era necessário um aumento de 21% a 30% no

orçamento. Em outros casos, no entanto, as requisições eram mais

modestas: 37% indicaram um aumento do orçamento de

segurança cibernética de 6% a 10%.

Particularmente em empresas de tecnologia nas quais a função

de segurança cibernética está nos estágios iniciais de

desenvolvimento, os membros do conselho, CEOs, CFOs e outros

responsáveis pela tomada de decisões devem ser proativos sobre

a avaliação do orçamento da segurança cibernética para que a

função reflita adequadamente o papel central que a tecnologia

digital desempenha nos negócios atualmente. Os resultados da

pesquisa mostram uma diferença significativa em como a

segurança cibernética é considerada no setor de tecnologia,

dependendo do nível de maturidade da segurança cibernética da

empresa. Enquanto os executivos de empresas com funções de

segurança cibernética em estágio inicial pensem principalmente

em segurança cibernética em termos de prevenção de incidentes

e redução de riscos, os executivos de empresas com segurança

cibernética mais avançada veem a função de forma mais

estratégica, como impulsionadores de velocidade de chegada ao

mercado, envolvimento do cliente e participação de mercado.

86%

76%

28%


4 · Protiviti

83%

57%

52%

64%

44%

20%

20%

Benefícios percebidos da segurança cibernética

Redução de riscos

Prevenção de incidentes

Aumento da participação de mercado

Enfatizado por intermediárias e líderes

Melhoria do envolvimento

do cliente

Velocidade mais rápida em relação

ao mercado


12%

24%

32%

6%

8%

27%

8%

23%

Enfatizado por iniciantes


Implementação do Framework de Cybersecurity do NIST

Talvez a descoberta de alto nível mais notável da pesquisa seja a

semelhança do setor de tecnologia com outros setores em seu

progresso em relação ao Framework de Cybersecurity do NIST.

Isso pode refletir o fato de que, como a segurança cibernética se

tornou estrategicamente importante em toda a economia,

nenhum setor tem uma posição privilegiada em reter o

conhecimento especializado em segurança cibernética. Também

pode ser o caso em que, conforme sugerido anteriormente, a

segurança cibernética dentro do setor de tecnologia enfrente um

nível mais alto de concorrência entre os recursos internos. Em

qualquer caso, no entanto, esses resultados devem ser

considerados como uma razão para avaliar de perto o papel da

segurança cibernética nas empresas de tecnologia.

Identificar

Desenvolvimento de uma compreensão organizacional

para gerenciar os riscos de segurança cibernética em

sistemas, pessoas, ativos, dados e capacidades.

Entre as empresas de tecnologia, a maior parte do progresso na

função de identificação foi feita em atividades com base no risco –

um padrão que também ocorre em outros setores. (As empresas de

hardware fazem uma indicação particularmente forte nesse

quesito). Porém, embora o gerenciamento e a avaliação

de riscos forneçam uma base sólida para muitos aspectos da

função de segurança cibernética, eles precisam estar

alinhados com uma forte governança e integração das

preocupações cibernéticas com os negócios em geral.

Posicionado para melhoria

• Estratégia de gerenciamento de riscos: atualmente, 54% das

empresas de telecomunicações estão em fase de

desenvolvimento, em comparação com 38% das empresas

de software e 39% das empresas de hardware.

• Governança: 53% das empresas de hardware e 56% das empresas

de telecomunicações estão em fase de desenvolvimento.

Áreas de preocupação

• Gestão de ativos: 40% das empresas de tecnologia ainda estão

no estágio inicial, em comparação com 31% das empresas não

relacionadas à tecnologia.

• Estratégia de gerenciamento de riscos: 31% das empresas de software

ainda estão no estágio inicial, em comparação com 16% das empresas

de hardware e 18% das empresas de telecomunicações.

• Ambiente de negócios: 30% das empresas de software ainda

estão no estágio inicial, em comparação com 20% das empresas



Atividade

Maturação

Empresas não relacionadas à

tecnologia

Todas de tecnologia

Software Hardware Telecomunicações

Estratégia de gerenciamento de riscos Estabelecer prioridades, restrições, tolerâncias a riscos e premissas para gerenciar os riscos operacionais.

33% 33% 29% 44% 28%

Gerenciamento de riscos da supply chain Estabelecer prioridades, restrições, tolerâncias a riscos e premissas para o gerenciamento do risco da supply chain, bem como estabelecer e implementar os processos para identificar, avaliar e gerenciar os riscos da supply chain.

30% 29% 25% 37% 26%

Avaliação de riscos Identificar os riscos de segurança cibernética em operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais e pessoas.

32% 27% 21% 41% 22%

Ambiente de negócios Compreender e priorizar os objetivos, as partes interessadas e as atividades da organização.

18% 16% 15% 13% 22%

Funções organizacionais Definir funções e responsabilidades para toda a força de trabalho e partes interessadas de terceiros.

19% 15% 16% 13% 14% Gestão de ativosIdentificar os dados, fluxos de dados, dispositivos, pessoal e sistemas que possam afetar a segurança cibernética.

17% 10% 10% 7% 16%

GovernançaEntender as políticas, procedimentos e processos para gerenciar e monitorar os requisitos regulatórios, legais, de risco e operacionais da empresa.

12% 10% 12% 17% 6%

Média 23% 20% 18% 23% 19%

6 · Protiviti

Proteger

Desenvolver e implementar medidas de segurança

apropriadas para garantir a prestação de serviços

críticos.

Assim como acontece com outros setores, as empresas de

tecnologia tendem a ser mais fortes no geral no âmbito da

proteção, que é onde a maioria das organizações tradicionalmente

começa a criar sua função de segurança cibernética. Mas há uma

queda notável nas atividades necessárias para apoiar os esforços

de proteção da linha de frente. O estado de conscientização e de

treinamento são particularmente preocupantes, dado o risco de

segurança cibernética representado pela equipe geral não treinada

(veja a barra lateral na página 9), assim como a manutenção – a

porcentagem de empresas de hardware e telecomunicações nos

níveis de maturação que está com um único dígito, destaca a

necessidade de mais recursos aqui.


• Gerenciamento de identidades e controle de acesso:

atualmente, 47% das empresas de software e 42% das

empresas de telecomunicações estão em fase de

desenvolvimento.

• Tecnologia de proteção: dois terços das empresas de

telecomunicações e de hardware estão em fase de desenvolvimento,

em comparação com 51% das empresas de software.


• Manutenção: apenas 10% das empresas de tecnologia

atingiram o estágio de maturação, em comparação com 15%

das empresas não relacionadas à tecnologia.

• Tecnologia de proteção: 31% das empresas de software ainda



Há uma escassez global de talentos em tecnologia – não apenas para startups, mas também para empresas legadas

que estão passando por transformações digitais. Essa escassez forçou as empresas de tecnologia a implantarem seus

preciosos recursos humanos em atividades essenciais, como desenvolvimento de produtos e aquisição de clientes,

enquanto adotam um modelo de trabalho flexível, que inclui terceiros confiáveis, sempre que possível.

— Gordon Tucker, Diretor Geral, Global Technology Industry Practice Leader



Atividade

Maturação


tecnologia

Todas de tecnologia


Gerenciamento de identidades e controle de acesso Limitar o acesso a ativos físicos e lógicos e instalações associadas a usuários,

processos e dispositivos autorizados.

38% 36% 28% 51% 34%

Processos e procedimentos de proteção das informaçõesManter políticas, processos e procedimentos de segurança

para proteger os sistemas e ativos da informação.

34% 35% 30% 43% 36%

Segurança de dados Gerenciar dados de acordo com a estratégia de riscos para proteger a

confidencialidade, a integridade e a disponibilidade das informações e os

direitos de privacidade dos titulares dos dados.

33% 33% 32% 41% 26%

Tecnologia de proteção Gerenciar soluções técnicas de

segurança de acordo com políticas,

procedimentos e contratos para garantir a segurança e a resiliência

dos sistemas e dos ativos.

20% 16% 18% 16% 14%

Conscientização e treinamento Treinar o pessoal e os parceiros na conscientização sobre segurança cibernética e executar as tarefas de segurança cibernética, de acordo com políticas, procedimentos e contratos.

17% 16% 15% 16% 18%

ManutençãoRealizar manutenção e reparos dos

componentes de sistemas da informação e dos controles industriais de acordo com as políticas e os procedimentos.

15% 10% 13% 6% 8%

Média 26% 24% 23% 29% 23%

8 · Protiviti


Os funcionários são o elo mais fraco

Os profissionais de segurança cibernética argumentam há muito tempo que ela precisa ser vista como “o trabalho de todos” e uma

parte integrante da cultura da empresa. Essa mensagem parece começar a surtir efeito: quando solicitados a nomear seu maior risco

interno de segurança cibernética, os executivos de tecnologia, como os de outros setores, têm maior probabilidade de nomear

funcionários em geral não treinados do que qualquer outra fonte. No entanto, embora a conscientização sobre esse problema seja alta,

o combate ao problema ainda está em andamento. Assim, a aceleração do investimento em conscientização e treinamento nessa área

provavelmente produzirá um retorno perceptível.

• As empresas de telecomunicações também estão preocupadas com insiders maliciosos, com quase metade (48%) dos executivos dessas empresas apontando esse risco.

• As empresas de software também estão preocupadas com insiders privilegiados, citadas por 43% desses executivos.

• A preocupação com os terceiros variam muito. Mais de um quarto (26%) das empresas de hardware citou-os como riscospotenciais, enquanto apenas 4% das empresas de telecomunicações o fizeram.

Ameaças internas que apresentam riscos significativos

Equipe geral não treinada

Insiders privilegiados

Insiders maliciosos

Terceiros

Observação: essas porcentagens se aplicam a todas as organizações de tecnologia.

90%

37%

27%

15%


10 · Protiviti

Detectar

Desenvolver e implementar atividades apropriadas

para identificar a ocorrência de um evento de

segurança cibernética.

Como as atividades de detecção são principalmente orientadas pela

tecnologia, as atividades do setor de tecnologia aqui devem se

expandir nos próximos dois anos, à medida que novas abordagens

forem incorporadas (consulte a seção Ferramentas e tecnologias).

No entanto, há uma ressalva importante: a adoção de tecnologias

precisa ser combinada com a capacidade de usar essas tecnologias

estrategicamente. Como mostram os dados atuais, os benefícios dos

processos contínuos de monitoramento e detecção de segurança são

atenuados sem a capacidade paralela de compreender o impacto dos

eventos detectados (a atividade de “anomalias e eventos”).


• Monitoramento contínuo da segurança: 50% das empresas

de telecomunicações estão em fase de desenvolvimento,

em comparação com 44% das empresas de software e 33%

das empresas de hardware.

• Anomalias e eventos: enquanto apenas 3% das empresas de

hardware estão na fase de maturação, 57% estão em fase de

desenvolvimento.


• Processos de detecção: 35% das empresas de software ainda



• Análise preditiva: enquanto 26% das empresas de

telecomunicações atingiram o estágio de maturação, 38%

ainda estão no estágio inicial.

Atividade

Maturação


tecnologia

Todas de tecnologia


Monitoramento contínuo da segurançaMonitorar sistemas e ativos da informação para identificar eventos de segurança cibernética e verificar a eficácia das medidas de proteção.

36% 30% 27% 41% 24%

Processos de detecção Manter e testar os processos e os procedimentos de detecção para

garantir a conscientização sobre eventos anômalos.

25% 23% 19% 27% 26%

Análise preditiva Prever ataques cibernéticos futuros analisando altos volumes de dados usando IA e outras tecnologias avançadas.

21% 20% 19% 16% 26% Anomalias e eventos Detectar a atividade anômala e

entender o potencial impacto dos eventos.

13% 12% 17% 3% 14%

Média 24% 21% 21% 22% 23%


O paradoxo da segurança cibernética

Nossa pesquisa revelou uma constatação contrária à intuição: quanto mais avançadas as iniciativas de segurança cibernética de empresas de

tecnologia, mais violações cibernéticas elas sofrem. É provável que isso ocorra porque as empresas com funções de segurança cibernética mais

maduras têm melhor detecção, enquanto aquelas nos estágios iniciais simplesmente não estão conscientes de intrusões. Embora 30% das

empresas de tecnologia tenham um monitoramento de segurança contínuo no nível de maturidade, apenas 1% daquelas que são categorizadas

como iniciantes em segurança cibernética o tenha, em comparação com 75% dos líderes de segurança cibernética da tecnologia.

Incidentes de segurança cibernética no último ano fiscal

Três ou mais violações que exigiram desenvolvimento de plano de resposta

emergencial

Mais de 1.000 registros roubados envolvendo informações pessoais identificáveis


17%

37%

45%

2%

19%

25%


12 · Protiviti

Responder


para agir em relação a um incidente de segurança

cibernética detectado.

Embora a porcentagem de empresas de tecnologia que atingiram o

estágio de maturidade em análise forneça uma base, há um trabalho

significativo a ser feito em resposta a violações cibernéticas. Em

particular, as empresas devem aumentar seu foco no planejamento de

resposta, o que pode impulsionar melhorias em outras áreas colaterais.

As empresas de software e hardware devem seguir o exemplo das

empresas de telecomunicações e redobrar suas iniciativas de mitigação.


• Comunicações: 63% das empresas de hardware estão em fase de

desenvolvimento, em comparação com 51% das empresas de

software e 44% das empresas de telecomunicações.


• Comunicações: 42% das empresas de telecomunicações

ainda estão no estágio inicial, em comparação com 29% das

empresas de software e 21% das empresas de hardware.

Atividade

Maturação


tecnologia

Todas de tecnologia


Análise Analise os incidentes para garantir uma resposta eficaz e auxiliar a recuperação.

39% 35% 32% 41% 36%

Melhorias contínuasMelhorar a resposta organizacional, incorporando as lições aprendidas

das atividades atuais e anteriores da segurança cibernética.

24% 20% 15% 30% 18%

Planejamento da respostaManter e executar processos e procedimentos para garantir a resposta para detectar incidentes de segurança cibernética.

18% 20% 21% 21% 14%

Comunicações Coordenar a resposta com as partes interessadas internas e externas, como agências de

aplicação da lei.

23% 16% 17% 16% 12%

MitigaçãoAgir para impedir a expansão

de um evento, mitigar seus efeitos e resolver o incidente.

11% 7% 11% 1% 6%

Média 23% 20% 19% 22% 17%


Recuperar


para manter planos de resiliência e restaurar

quaisquer recursos ou serviços que foram

prejudicados devido a um incidente de segurança

cibernética.

Os líderes de segurança cibernética e outros executivos de nível de

diretoria reconheceram há muito tempo que, no ambiente atual,

sofrer uma violação de segurança cibernética é uma questão de

“quando” e não de “se”. Os recursos de recuperação de uma

empresa serão testados – e poderão determinar o impacto de

longo prazo da violação nos negócios. Portanto, as empresas de

tecnologia em geral precisam priorizar este conjunto de atividades

de segurança

cibernética – começando com iniciativas crescentes para se

tornarem organizações de “aprendizagem contínua” em relação aos

seus processos de recuperação.


• Planejamento da recuperação: 61% das empresas de

hardware e 58% das empresas de telecomunicações estão

em fase de desenvolvimento, em comparação com

48% das empresas de software.

• Melhorias contínuas: 70% das empresas de hardware estão

em fase de desenvolvimento, em comparação com 61% das

empresas de software e 52% das empresas de

telecomunicações.

Atividade

Maturação


tecnologia

Todas de tecnologia


Comunicações Coordenar as iniciativas de restauração – incluindo relações públicas e gestão de reputação – interna e externamente com provedores de serviços de internet (ISPs).

26% 22% 19% 27% 22%

Planejamento da recuperaçãoManter e executar planos de recuperação – durante ou após um incidente de segurança cibernética – para garantir a restauração de sistemas ou ativos afetados.

20% 20% 25% 20% 10%

Melhorias contínuasIncorporar as lições aprendidas no planejamento e no processo de recuperação futuros.

23% 14% 12% 17% 18%

Média 23% 19% 19% 21%17%


14 · Protiviti

Ameaças emergentes e contramedidas

A natureza evolutiva dos ataques cibernéticos

À medida que a transformação digital do setor de tecnologia

continua, espera-se que os ataques cibernéticos evoluam da

mesma maneira. Hoje, a ameaça de ataques diretos de malware,

ransomware, cavalos de Troia, entre outros,

domina o cenário de segurança cibernética. Nos próximos dois

anos, os participantes da pesquisa esperam que surjam novas

vulnerabilidades em função da conectividade e da complexidade

maiores do sistema.

Ataques com o maior impacto

Agora Em dois anos

01 Malware/spyware 01 Ataques por meio de aplicativos móveis

02 Ataques por meio de aplicativos móveis 02 Ataques a aplicações Web

03 Ransomware 03 Ataques por meio de software e hardware da supply chain

04 Phishing/spoofing/engenharia social 04 Ataques por meio de sistemas incorporados (embedded systems)

05 Cavalos de Troia/vírus/worms 05 Ataque de negação de serviço (DoS)/ataque distribuído de negação de serviço (DDoS)

No entanto, essa mudança reflete a inclusão esperada de novas

ameaças, em vez de qualquer redução das atuais. Duas possíveis

interpretações emergem destes dados. A primeira é que há uma

dificuldade inerente na priorização de ameaças futuras. A

segunda é que o perfil de ameaças daqui a dois anos será, de

fato, significativamente mais multidimensional. Ambas

interpretações apresentam um desafio ao planejamento estratégico

da segurança cibernética.


Ataques com impacto significativo

Malware/spyware

Ataques por meio de aplicativos móveis

Ransomware

Phishing/spoofing/engenharia social

Cavalos de Troia/vírus/worms

Ataques a aplicações Web

Ataques por meio de sistemas incorporados (embedded systems)

Dispositivos perdidos/roubados

DoS/DDoS

Ataques por meio de software e hardware da supply chain

Agora Em dois anos

81%

71%

69%

86%

67%

70%

65%

66%

64%

66%

43%

84%

39%

79%

28%

61%

27%

75%

27%

80%

23%

67%

16%

66%

Abuso do acesso legítimo

Ataques por meio de terceiros


16 · Protiviti

Efeito das tendências internas e externas

Do ponto de vista da segurança cibernética, os avanços

tecnológicos são uma faca de dois gumes, proporcionando maior

capacidade e controle, mas também criando novos canais de

intrusão. Refletindo isso, quando questionados sobre quais

tendências internas e externas estavam afetando a segurança

cibernética, os executivos de tecnologia deram muito mais ênfase

às novas tecnologias, como inteligência artificial (IA) e blockchain,

bem como fatores tecnologicamente impulsionados como

plataformas abertas e interconectividade, do que

a fatores comerciais como fusões e aquisições (F&A) e

supplies chain expandidas.

A ênfase nos fatores tecnológicos ao avaliar o cenário da segurança

cibernética não é surpreendente. Porém, as empresas de tecnologia

devem lembrar que as combinações de negócios, o alongamento

das supplies chain e as operações globais expandem

significativamente a superfície de ataque de uma organização e, ao

mesmo tempo, introduzem uma série de desafios de controle.

Impacto das tendências sobre a segurança cibernética

Fatores tecnológicos

Uso de plataformas abertas, interfaces de programação de

aplicativos (APIs) e nuvem

Novas tecnologias (IA, Internet das coisas (IoT) e blockchain)

Interconectividade e tecnologias móveis

Produtos, serviços e interfaces ativados digitalmente

Supply chain expandida

Transformação digital da empresa

Crescimento por meio de F&A, joint ventures e parcerias

Fatores corporativos

58%

54%

40%

29%

20%

18%

16%


Ferramentas e tecnologias

As empresas de tecnologia tendem a contar com um conjunto

básico de cinco tecnologias para suas iniciativas de segurança

cibernética. No entanto, há outro conjunto de ferramentas que as

líderes e as intermediárias de segurança cibernética usam, mas

que as iniciantes ainda precisam adotar amplamente. Empresas

que estão no início do desenvolvimento de segurança cibernética

devem considerar a expansão de seu arsenal de segurança

cibernética.

• As empresas de telecomunicações são muito mais propensas a

usar soluções e sensores de IoT (80%) do que empresas de

software (65%) ou empresas de hardware (53%).

• Há várias tecnologias com maior probabilidade de serem usadas

por empresas de hardware do que por empresas de software ou

de telecomunicações, incluindo navegadores seguros, análise de

tráfego de rede, práticas de segurança de informações de

terceiros, CASB (Cloud Access Security Brokers) e software de

detecção e resposta de endpoint (EDR).

Algumas tecnologias são usadas por muitos...

Autenticação multifator/biometria

Blockchain

Soluções/sensores de IoT

IA/machine learning

Navegadores seguros

Machine learning, análise avançada, inteligência artificial e outras tecnologias, antes consideradas como

experimentais, são competências essenciais atualmente. Elas precisam de recursos para gerar novos insights

de clientes e para oferecer novas experiências aos clientes.

— Ron Lefferts, Diretor geral, Diretor global da Protiviti Technology Consulting

87%

67%

64%

52%

51%


18 · Protiviti

... Enquanto outras são favorecidas por aqueles com mais experiência

Software de proteção de endpoint

CASB (Cloud Access Security Brokers)

Práticas de segurança de informações de terceiros

Análise de tráfego de rede

Software de detecção e resposta de endpoints

Provedores de serviços gerenciados de segurança

Iniciantes Intermediárias e líderes

As constatações da nossa pesquisa sugerem que as empresas do

setor de tecnologia estão preparadas para uma expansão

significativa do conjunto de ferramentas de segurança cibernética:

as três abordagens que são menos utilizadas hoje – análise do

comportamento do usuário, tecnologias de redes inteligentes e a

tecnologia deception – são aquelas que as empresas de tecnologia

dizem que provavelmente adotarão nos próximos dois anos. É

interessante notar que os iniciantes na segurança

cibernética estão liderando a cobrança pela adoção dessas

novas tecnologias. Este poderia ser um caso de

“ultrapassagem”, em que um grupo atrasado acelera sua sofisticação

tecnológica por meio de uma adoção precoce agressiva – desde que

essas empresas garantam que terão a infraestrutura e o pessoal

adequados para absorver essa rápida mudança.

7%

50%

6%

49%

4%

48%

7%

46%

8%

43%

5%

41%


Novas tecnologias no horizonte

Análise de comportamento do usuário

Tecnologias de redes inteligentes

Tecnologia deception

Agora Daqui a dois anos — Iniciantes

Daqui a dois anos — Intermediárias e líderes

Imagine um cenário em que 50 analistas de segurança estão constantemente pesquisando ameaças em

milhares de eventos dentro do ambiente de TI de uma empresa. Não é apenas uma proposta cara, mas é quase

certeza que deixariam de detectar todos os perigos. Por outro lado, as tecnologias de IA, como a machine

learning, podem rapidamente vasculhar dados e direcionar os analistas a padrões de comportamento anormais

ou suspeitos de máquinas e/ou humanos.

— Tom Lemon, Diretor geral, Technology Consulting

4%

82%

68%

5%

56%

27%

8%

71%

52%


20 · Protiviti

Métodos quantitativos trazem benefícios de longo alcance

Enquanto outras tecnologias e métodos verão um salto maior na adoção nos próximos dois anos, a porcentagem de empresas de

tecnologia que agora usa métodos quantitativos para análise de riscos de segurança cibernética, combinadas com aquelas que planejam

adotá-las nos próximos dois anos fará disso um pilar da segurança cibernética até 2020. Esse desenvolvimento melhorará a capacidade

do setor de responder rapidamente a ameaças cibernéticas em um nível prático, ao mesmo tempo em que solidificará uma abordagem

mais holística e analítica da segurança cibernética.

Menos de um dia para...

Descoberta de um incidente

Mitigação de vulnerabilidades

Implementação de patches

Recuperação de dados

Empresas que utilizam métodos quantitativos para a avaliação de riscos

Agora Em dois anos Nenhum

49%

30%

29%

33%

23%

20%

32%

21%

23%

26%

18%

15%


80%

48%

91%

80%

50%

88%

79%

51%

87%

82%

48%

Uso de métricas na estratégia de segurança cibernética

Nossas métricas de segurança nos ajudam a avaliar o progresso real em alcançar nossas

metas de segurança cibernética

Nossas métricas priorizam nossos controles e processos de segurança

As métricas são bem compreendidas pela alta administração e pelo conselho

Nossas métricas de segurança nos ajudam a determinar os recursos que precisamos

aplicar ao nosso programa de segurança

Empresas que utilizam métodos quantitativos para a avaliação de riscos

Agora Em dois anos Nenhum

91%

Aquelas empresas que ainda não incorporaram métodos quantitativos para análise de riscos mostram que os benefícios abaixo sugerem que elas já começaram o processo de serem mais orientadas a dados em sua estratégia de segurança cibernética.


22 · Protiviti

Suporte à segurança cibernética em toda a organização

É evidente que a função de segurança cibernética de uma

organização não existe no vácuo. Assim como em outros setores, as

empresas de tecnologia precisam garantir que outras partes da

organização estejam alinhadas com a missão de segurança

cibernética. Por exemplo, dada a quantidade de dados de clientes

que as empresas de software e de telecomunicações mantêm,

é notável que menos de um quarto das empresas de software e de

telecomunicações tenham nomeado um responsável pela proteção

de dados. As organizações que não fizeram isso (e que não são

legalmente obrigadas a fazê-lo com base em que operam) precisam

examinar de perto como escolheram estruturar sua função de

privacidade de dados para garantir que ela seja adequada.

Esses dados também mostram que as empresas de tecnologia têm

a oportunidade de aumentar o envolvimento do conselho e da

equipe de administração mais ampla em relação à segurança

cibernética. Quarenta e quatro por cento das empresas de

tecnologia têm sua função de auditoria revisando a declaração de

apetite ao risco da empresa e incorporando lacunas na estratégia

de auditoria, indicando que quase metade das empresas

representadas na pesquisa têm uma abordagem bastante

sofisticada ao risco. No entanto, menos da metade desse número

incorporou sua declaração de risco cibernético em sua declaração

de risco em toda a empresa, ou teve a declaração de risco

cibernético aprovada pelo conselho. As empresas de tecnologia

devem se esforçar para integrar risco cibernético em considerações

de maior risco. Fazer isso fará com que as discussões de riscos da

empresa reflitam melhor a realidade, aumentando a

conscientização sobre questões de segurança cibernética entre os

responsáveis pela tomada de decisões da empresa.


tecnologia

Todas de tecnologia


Liderança Um executivo com responsabilidade exclusiva por garantir a segurança das informações foi nomeado.

Um diretor de proteção de dados foi nomeado para supervisionar a conformidade com a privacidade dos dados.

40% 37% 33% 46% 34%

19% 21% 23% 16% 22% Suporte O departamento de RH tem um orçamento para recrutar, treinar e desenvolver funcionários para melhorar a segurança cibernética.

39% 46% 43% 41% 58% Um provedor forense terceirizado é utilizado. 9% 7% 10% 4% 2% GovernançaUma auditoria independente revisa regularmente a declaração de apetite ao risco e incorpora as lacunas na estratégia de auditoria.

40% 44% 45% 33% 54%

Uma declaração de apetite ao risco cibernético foi aprovada pelo conselho.

20% 20% 21% 21% 14% A declaração de apetite ao risco cibernético é parte da declaração de risco em toda a empresa.

15% 22% 26% 17% 18%


Recomendações

As constatações da pesquisa destacam uma série de medidas que os responsáveis pela tomada de decisões do setor de tecnologia podem

considerar para que suas funções de segurança cibernética permaneçam à frente das ameaças em evolução:

01Examinar como a segurança cibernética é considerada dentro da organização. As empresas que a veem como um potencial diferenciador de negócios, em vez de uma obrigação de manutenção, têm maior probabilidade de fornecer o nível apropriado de recursos e de atenção. A segurança cibernética deve ser levada em conta na auditoria e nas discussões em nível de diretoria e, juntamente com a privacidade de dados, deve receber atenção dedicada da gerência sênior.

02Analisar criticamente o progresso que está sendo feito na implementação das várias atividades do Framework de Cybersecurity do NIST e considerar adotar metas mais agressivas. A porcentagem de empresas de tecnologia que ainda são “iniciantes em segurança cibernética” é problemática, dado o papel do setor em possibilitar a maior digitalização dos negócios.

03A importância do investimento adequado não pode ser subestimada, especialmente para as empresas que buscam obter a massa crítica necessária para passar da fase iniciante. É provável que isso exija que o CEO e, possivelmente, o conselho defendam a responsabilidade da organização sobre seu risco cibernético.

04Examinar o planejamento estratégico de segurança cibernética para refinar como ele prioriza as ameaças potenciais que podem surgir nos próximos anos. Inventariar o conjunto de ferramentas utilizadas atualmente e considerar o benefício de adotar uma gama mais ampla de soluções. Analisar os recursos atuais de infraestrutura e de pessoal para garantir que eles sejam capazes de se adaptar à próxima geração de ameaças e contramedidas de segurança cibernética.

05As empresas que ainda não estão usando, ou não fizeram planos para usar, métodos quantitativos para avaliação de riscos de segurança cibernética devem considerar fazê-lo. Abordar a segurança cibernética com uma mentalidade quantitativa traz uma série de benefícios, incluindo melhor desempenho na segurança cibernética e no processo de tomada de decisões.


24 · Protiviti

Como a Protiviti pode ajudar

A Protiviti trabalha com organizações com foco em

questões fundamentais de segurança das informações:

• Sabemos o que precisamos proteger (por exemplo, os ativos

de sistemas de dados e informações mais importantes – as

“joias da coroa”) e onde esses ativos estão localizados? Com

relação a esses ativos:

– Estamos cuidando deles de forma adequada?Como sabemos?

– De quem os estamos protegendo, a quem devemos permitir

o acesso a eles e como podemos dizer a diferença?

– Nossas defesas são eficazes? Elas estão funcionandoconforme o esperado?

– Como saberemos se não estão funcionando comoplanejamos?

• Somos capazes de reconhecer uma nova ameaça ao nosso

ambiente e detectar prováveis técnicas de ataque em tempo

hábil, bem como alinhar nossas medidas de proteção para

enfrentar a ameaça?

• Estamos prontos para responder se algo indesejado acontecer?

Somos capazes de gerenciar esses incidentes? E quando ocorrem

incidentes, somos capazes de impedir que aconteçam novamente?

A Protiviti oferece uma ampla variedade de serviços de avaliação,

arquitetura, transformação e gerenciamento de segurança e de

privacidade para ajudar as organizações a identificar e abordar as

exposições de segurança e privacidade (por exemplo,

perda de dados de clientes, perda de receita ou prejuízo da reputação)

antes que se tornem problemas. Ao trabalharmos com empresas de

todos os setores, avaliamos a maturidade de seus programas de

segurança das informações e a eficácia de seus controles – e as

ajudamos a projetar e desenvolver melhorias quando necessário.

Temos um histórico comprovado de ajudar as empresas a reagir a

incidentes de segurança, estabelecer programas de segurança

proativos, lidar com o gerenciamento de identidades e de acesso, bem

como administrar os problemas de privacidade e de segurança de

dados específicos do setor. Nossa experiência e dedicação para

desenvolver respostas a incidentes de classe mundial resultaram em

uma profunda especialização em estratégias de segurança, execução de

respostas, análise forense e desenvolvimento de planos de resposta.


SOBRE A PROTIVITI

A Protiviti é uma empresa de consultoria global que oferece amplos conhecimentos, insights objetivos, uma abordagem personalizada e colaboração inigualável para ajudar os líderes a encarar o futuro com confiança. A Protiviti e as empresas-membro de propriedade independente fornecem soluções de consultoria em finanças, tecnologia, operações, dados, análises, governança, riscos e auditoria interna para nossos clientes por meio de nossa rede de mais de 75 escritórios em mais de 20 países.

Atendemos mais de 60% das empresas da Fortune 1000® e 35% das empresas da Fortune Global 500®. Também trabalhamos com empresas menores e em crescimento, incluindo aquelas que querem abrir seu capital, bem como com agências governamentais. A Protiviti é uma subsidiária integral da Robert Half (NYSE: RHI). Fundada em 1948, Robert Half é membro do índice S&P 500.

CONTATOS

Brasil

Protiviti BR

SÃO PAULORua James Joule, 65,5º andar • Cidade MonçõesSão Paulo • SP • BrasilCEP: 04576-080Tel: +55 11 2198 4200

RIO DE JANEIROAv. Rio Branco, 1097º andar • Centro Conj. 702 - CentroRio de Janeiro • RJ • BrasilCEP: 20040-004Tel: +55 21 2511 2651

ALPHAVILLEAlameda Araguaia, 21047º andar • Alphaville IndustrialBarueri • SP • BrasilCEP: 06455-000Tel: +55 11 2198 4200

BELO HORIZONTERua Antonio de Albuquerque, 3308º andar • SavassiBelo Horizonte • MG • BrasilCEP: 30112-010Tel: +55 31 3181 0144


mailto:[email protected]
















AMÉRICAS ESTADOS UNIDOS

Alexandria

Atlanta

Baltimore

Boston

Charlotte

Chicago

Cincinnati

Cleveland

Dallas

Denver

Fort Lauderdale

Houston

Kansas City

Los Angeles

Milwaukee

Minneapolis

Nova York

Orlando

Filadélfia

Phoenix

Pittsburgh

Portland

Richmond

Sacramento

Salt Lake City

San Francisco

San Jose

Seattle

Stamford

St. Louis

Tampa

Washington, D.C.

Winchester

Woodbridge

ARGENTINA*

Buenos Aires

BRASIL*

AlphavilleBelo Horizonte Rio de JaneiroSão Paulo

CANADÁ

Kitchener-Waterloo Toronto

CHILE*

Santiago

COLÔMBIA*

Bogotá

MÉXICO*

Cidade do México

PERU*

Lima

VENEZUELA*

Caracas

FRANÇA

Paris

HOLANDA

Amsterdam

BAHRAIN*

Manama

ARÁBIA SAUDITA*

Riyadh

ÁFRICA DO SUL*

DurbanEUROPA, ORIENTE MÉDIO E ÁFRICA

ALEMANHA REINO UNIDO KUWAIT* EMIRADOS ÁRABESJohannesburg

Frankfurt Birmingham Kuwait City UNIDOS*

Monique Bristol Abu Dhabi

Leeds OMAN* Dubai

ITÁLIA Londres

Milão Manchester

Roma Milton Keynes

Turin Swindon

Muscat EGITO*

QATAR* CairoDoha

ÁSIA-PACÍFICO AUSTRÁLIA

Brisbane

Canberra

Melbourne

Sydney

CHINA

Beijing

Hong Kong

Shanghai

Shenzhen

ÍNDIA*

Bengaluru

Hyderabad

Kolkata

Mumbai

Nova Delhi

JAPÃO

Osaka

Tóquio

SINGAPURA

Singapura

* EMPRESA-MEMBRO

© 2019 Protiviti Inc. Empregador de Oportunidades Iguais M/F/Deficiências/Veteranos. PRO-0319-103131 A Protiviti não é licenciada ou registrada como uma firma de contabilidade pública e não emite pareceres sobre demonstrações financeiras ou oferece serviços de certificação.

Documents

Segurança cibernética no setor de tecnologia · O setor de tecnologia fornece grande parte da infraestrutura que impulsiona a transformação digital das empresas e da vida pessoal