O caminho para a ciber-resiliênciaPercepção, resistência, reação
19ª Pesquisa Global de Segurança da Informação da EY 2016-17
2
Boas-vindas ......................................... 3
O estado da ciber-resiliência .................. 4
Percepção ............................................ 8
Resistência ........................................ 12
Reação ............................................... 17
Principais características de um empreendimento ciber-resiliente ........ 23
Metodologia da pesquisa ..................... 24
Quer saber mais? ................................ 26
Índice
| 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
3
Toda vez que falo para conselhos de administração, executivos e CIOs, há sempre muito a ser dito sobre a cibersegurança.
A nossa cibersegurança está funcionando, e estamos fazendo as coisas certas? Os executivos e conselheiros atentam para ter um orçamento grande o suficiente, uma equipe com as competências corretas e as mais modernas tecnologias e, acima de tudo, realmente se preocupam em sofrer um ataque cibernético, apesar de todos seus esforços para evitá-los. A verdade é que todo mundo precisa de ajuda. Como estamos todos enfrentando o mesmo “inimigo comum”, quanto mais compartilharmos nossas preocupações
e experiências, nossos sucessos e fracassos, e quanto mais colaborarmos na busca de respostas, mais aprenderemos, e juntos estaremos mais bem protegidos.
Há algumas coisas que sabemos com certeza. A cibersegurança é uma responsabilidade compartilhada por toda a organização.
É preciso que o conselho de administração apoie os esforços que estejam sendo feitos, e que cada funcionário saiba como se manter longe de problemas e não abra um e-mail com phishing nem perca seu dispositivo móvel. Mas, mesmo com tudo isso, você se sente totalmente confiante?
Ninguém gosta de admitir, mas provavelmente não. Porque se há outra coisa que você sabe é que o diabo mora nos detalhes.
E, quando você pensa na cibersegurança que é necessária em todo o seu ecossistema, há detalhes que não acabam mais.
Neste relatório, abordamos os resultados da nossa mais recente Pesquisa Global de Segurança da Informação. Ao olhar as respostas dos 1.735 CIOs, CISOs e outros executivos que generosamente compartilharam suas informações, podemos ver em que ponto se encontram as organizações em termos de força e maturidade de suas competências de cibersegurança, e acreditamos que haja algumas coisas muito específicas que as organizações podem fazer.
• Em primeiro lugar, aguce os sentidos. Você consegue ver o ciberagressor aproximando-se do seu perímetro? Você ainda tem um perímetro? Se alguém estivesse começando a enfraquecer as suas defesas – ou lançando um ataque contra elas –, você saberia? Você conseguiria ver um agressor escondido numa parte remota da sua rede?
• Em segundo lugar, atualize a resistência a ataques. E se o ataque fosse feito usando uma técnica nova e mais sofisticada, que você desconhece? As suas defesas conseguiriam resistir a algo novo e mais poderoso?
• Em terceiro lugar, reaja melhor. Na hipótese de um ciberataque, qual é o plano da organização e qual é o seu papel nele? Você vai focar no reparo rápido de danos ou vai coletar provas meticulosamente para as autoridades policiais? O que você fará primeiro?
Há muitos aspectos positivos. Progredimos bastante num curto espaço de tempo e estamos fazendo um bom trabalho. Mas precisamos continuar sendo melhores do que as ameaças que se renovam constantemente. Por isso, embora as três partes deste relatório – Percepção, Resistência e Reação – possam proporcionar algum material para ser usado na sua organização, também deveríamos permanecer conectados, a fim de poder compartilhar e aprender. Vamos continuar nos ajudando mutuamente.
Paul van KesselLíder global de Consultoria de Cibersegurança da EY [email protected]
Boas-vindas
19ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
4 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
O estado da ciber-resiliência
Ciber-resiliência ou ciberagilidade?
519ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
PercepçãoPercepção é a capacidade das organizações de prever e detectar ciberameaças. As organizações precisam usar a inteligência sobre ciberameaças e medidas de defesa ativa para prever quais ameaças ou ataques estão vindo em sua direção e detectá-los quando eles estiverem vindo, antes que sejam bem-sucedidos. Elas precisam saber o que vai acontecer, e precisam de inteligência analítica sofisticada para receber um alerta antecipado quanto a um risco de disrupção.
ResistênciaOs mecanismos de resistência formam basicamente o escudo de defesa corporativa (corporate shield). Isso começa com o nível de riscos que a organização está preparada para enfrentar em todo o seu ecossistema, seguido pelo estabelecimento de três linhas de defesa:
1. Primeira: Executar medidas de controle nas operações do dia a dia.
2. Segunda: Implementar funções de monitoramento, como controles internos, departamento jurídico, gestão de riscos e cibersegurança.
3. Terceira: Usar um forte departamento interno de auditoria.
ReaçãoCaso a Percepção não funcione (a organização não viu a ameaça chegar) e haja uma falha na Resistência (as medidas de controle não eram fortes o suficiente), as organizações precisam estar preparadas para lidar com a disrupção e gerenciar a crise, além de contar com pronta capacidade de resposta a incidentes. Elas também precisam estar preparadas para preservar provas de maneira segura do ponto de vista forense e, em seguida, investigar a violação, a fim de satisfazer partes interessadas cruciais, como clientes, reguladores, investidores, autoridades policiais e o público em geral, qualquer uma das quais poderia mover ações por perdas e danos ou por descumprimento de obrigações. Caso as partes responsáveis sejam identificadas, a organização poderá mover processos contra elas. Finalmente, elas também precisam estar preparadas para reconduzir a organização para a rotina usual de negócios o mais rapidamente possível, aprender com o que aconteceu e adaptar e transformar a organização, a fim de melhorar a ciber-resiliência a partir disso.
A ciber-resiliência é um subconjunto da resiliência de negócios. Ela está focada no nível de resiliência de uma organização a ciberameaças. Antes de entrar em detalhes, vamos primeiro olhar os três componentes de alto nível da ciber-resiliência e em que medida – de modo geral – as organizações estão apresentando um bom desempenho nestas três áreas:
Mainframes Cliente/Servidor
Década de 1970
Década de 1980
Década de 1990
Década de 2000
Década de 2010
• Prontidão para riscos naturais.
• Medidas de respostas físicas, ex.: evacuação e primeiros-socorros.
• Chamada de assistência externa.
• Dependência de poucas tecnologias novas.
• Recuperação de desastres básica em resposta a falhas do sistema.
• Proteção contra vírus desenvolvida.
• Gestão de identidade e acesso.
• Introdução à gestão de riscos em toda a empresa.
• Conformidade regulatória disseminada.
• Foco na continuidade de negócios.
• Avanços em segurança das informações e cibersegurança.
• Mudança para o mundo online.
• Terceirização, ex.: nuvem.
• Conectividade de dispositivos.
• Choques globais (terrorismo, clima, política).
• Resiliência de negócios.
• Internet das Coisas (IoT).
• Infraestrutura crítica.• Ciberataques e
ciberespionagem patrocinados por Estados.
Internet Comércio eletrônico Digital
Todos os dias surgem ameaças de todos os tipos, e as organizações sabem que o cenário de ameaças muda e apresenta novos desafios constantemente. Por isso, ao longo de décadas, elas aprenderam a se defender e a responder melhor, passando de medidas muito básicas e dispersas a processos sofisticados, robustos e formais. Eventos importantes, como o aumento na inovação digital, a expansão de produtos
conectados, a Lei Sarbanes-Oxley, mudanças no ambiente regulatório, crises financeiras repetidas, falhas catastróficas de produtos, ataques terroristas e explosão nos cibercrimes são apenas alguns dos exemplos dos motivos pelos quais as organizações precisavam fazer com que suas medidas de proteção e defesa evoluíssem. Eis uma breve perspectiva desta evolução:
6 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
Escudo de defesa corporativa
Percepção
Recuperar Adaptar e transformar
Apetite pelo risco
Três linhas de defesa
Propriedade Intelectual (PI) Receita Reputação
Ativos cruciais
Ameaças
Resistência
Reação
O quadro geralAntes de entrar em maiores detalhes, vamos primeiro falar sobre o status geral da ciber-resiliência. De modo geral, a mensagem é positiva: as organizações estão se movendo na direção certa. Ao longo dos últimos anos e sob pressão de maior regulamentação, as organizações investiram em seus escudos de defesa corporativa. Foram feitos progressos significativos na tomada de medidas para fortalecer esta proteção e, nos últimos dois a três anos, temos
visto as organizações concentrarem-se mais em suas competências de Percepção. A maioria das organizações, contudo, está ficando para trás na preparação de suas reações a uma violação e continua ignorando a frase bastante familiar: “Não é uma questão de ‘se’ você vai sofrer um ciberataque, mas de ‘quando’ (e é bem provável que você já tenha sofrido um ataque deste tipo)”.
Resumimos o quadro geral, e, nas próximas seções deste relatório, vamos falar sobre os componentes da ciber-resiliência com maior detalhamento.
Percepção (Ver ameaças se
aproximando)
Resistência (Escudo de defesa
corporativa)
Reação (Recuperar-se da disrupção)
Onde as organizações colocam suas prioridades? Média Alta Baixa
Onde as organizações fazem seus investimentos? Média Alta Baixa
Envolvimento do Conselho e da Diretoria Baixa Alta Baixa
Qualidade dos relatórios executivos ou do conselho Baixa Média Baixa
719ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
Ciber-resiliência ou ciberagilidade?As pessoas que viajam de avião atualmente podem ficar bem impressionadas com modo rápido como as empresas aéreas têm incorporado novas medidas de segurança relacionadas à recarga de energia de smartphones durante os voos. Na área da cibersegurança, há um desejo similar. As organizações gostariam de responder a mudanças o mais rapidamente possível. “Como aumentar a agilidade da minha cibersegurança?” e “Como responder rapidamente ao que está acontecendo no ciberespaço?” são perguntas ouvidas frequentemente.
As organizações querem saber como prever a próxima ameaça, e o que há de “mais quente” disponível para prevenir isso. A inteligência de ciberameaças, a gestão de ciberameaças e os softwares e consultorias relacionados, além da implementação de novas ferramentas, tornaram-se prioridade na maioria das organizações. Tudo com o objetivo de aumentar a ciberagilidade, isto é, a capacidade de reagir a mudanças num cenário de ameaças.
Visar maior ciberagilidade é ótimo, e investir recursos nesta direção é um dinheiro bem gasto. Contudo, a principal pergunta que as organizações devem se fazer é: “Você é ciber-resiliente?” Em outras palavras, a sua capacidade de cibersegurança como um todo é forte o suficiente para mitigar todos os ciber-riscos enfrentados pela empresa? A ciber-resiliência não se limita a ter respostas a novas tecnologias e novas ameaças. Se ela se concentrar apenas em respostas, isto resultará em medidas de segurança improvisadas que não criam uma base estável de que uma capacidade de cibersegurança madura necessita.
Ano após ano, a nossa Pesquisa Global de Segurança da Informação lança um foco de luz nas questões de cibersegurança mais preocupantes para as empresas. Ao longo dos últimos dois anos, 87% dos conselheiros e diretores disseram que não confiam no nível de cibersegurança de suas empresas. Então, ainda há muito a fazer. Atenção à ciberagilidade é fundamental, mas não devemos perder o foco e pensar que a ciberagilidade automaticamente resultará numa resposta positiva para a principal pergunta feita por conselhos e diretorias: “Somos ciber-resilientes?”
dos conselheiros e diretores disseram que não confiam no nível de cibersegurança de suas organizações.
87%
8 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
Percepção
919ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
Um elevado nível de confiança?As organizações melhoraram significativamente suas competências de Percepção nos últimos anos. Muitas delas estão usando a inteligência de ciberameaças para prever o que elas devem esperar, implementando mecanismos de monitoramento contínuo, como centros operacionais de segurança (SOCs), identificando e administrando vulnerabilidades, e instituindo uma defesa ativa. Elas se tornaram mais confiantes em sua capacidade de prever e detectar ciberataques sofisticados. Neste ano, 50% das organizações consideravam provável conseguir fazer isso. Trata-se do nível de confiança mais elevado que vimos desde 2013.
Porém, contrapondo-se a estes aspectos positivos, há o simples fato de que, segundo a nossa pesquisa, não há muitas organizações prestando atenção ao que hoje em dia deveria ser o básico. Por isso, todos os dias, elas colocam clientes, funcionários, fornecedores e, em última análise, o próprio futuro em situações de risco considerável. Sem dúvida, ainda há muito a fazer. Principalmente no que diz respeito às capacidades básicas de Percepção. E isso pode ser comprovado pelos seguintes resultados da pesquisa deste ano:
• Quarenta e quatro por cento não têm um SOC.
• Sessenta e quatro por cento não têm ou têm apenas um programa informal de inteligência de ameaças.
• Cinquenta e cinco por cento não têm ou têm apenas uma capacidade informal de identificação de vulnerabilidades.
Além destas áreas básicas, há quatro áreas específicas que requerem especial atenção e poderiam forçar uma organização a repensar o que está fazendo.
Uma violação foi detectada, mas parece não ter havido nenhum prejuízo
Das organizações na nossa pesquisa, 62% não aumentariam seus gastos de cibersegurança depois de experimentar uma violação que aparentemente não tivesse causado nenhum prejuízo. Na maioria dos casos, há prejuízos, mas não se consegue encontrar nenhuma prova imediata que sustente esta hipótese. Muitas vezes, cibercriminosos fazem “ataques-teste” ou usam alguma violação como tática diversionária, a fim de desviar a atenção das organizações daquilo que eles estão realmente planejando fazer. Sempre que houver um ataque, as organizações devem partir da premissa de que algum prejuízo ocorreu. E, caso não tenham descoberto isso, elas devem considerar que não descobriram o prejuízo ainda.
Como proteger o seu ecossistema
No nosso mundo digital e conectado, eventos que ocorram nas redes de fornecedores, clientes, organismos governamentais etc. (o ecossistema) podem exercer impacto na própria organização. Esta é uma importante área de risco que, frequentemente, é subestimada, conforme comprovado pelos seguintes resultados:
• 68% dos entrevistados não aumentariam seus gastos com segurança da informação mesmo se um fornecedor fosse atacado – muito embora um fornecedor represente uma rota direta para um ataque à organização.
• 58% não aumentariam seus gastos se um concorrente importante fosse atacado – embora os cibercriminosos gostem de atacar organizações similares em termos de infraestrutura e estrutura operacional e levem consigo o que aprenderam de um ataque bem-sucedido para o próximo.
O sistema sensorial de uma organização é muito mais forte quando os eventos no ecossistema do entorno são levados em conta.
44%não têm um SOC.
64%não têm ou têm apenas um programa informal de inteligência de ameaças.
62%não aumentariam seus gastos de cibersegurança depois de experimentar uma violação que não parecesse causar nenhum prejuízo.
10 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
O impacto da Internet das Coisas (IoT)O surgimento da Internet das Coisas e a explosão no número de dispositivos conectados vão colocar mais pressão sobre as capacidades de Percepção de uma organização. A seguir, apresentamos alguns dos desafios que isso cria para as organizações:
• Desafios relacionados ao número de dispositivosAs organizações estão enfrentando dificuldades com o número enorme de dispositivos que farão parte de suas redes muito em breve. Os resultados da nossa pesquisa indicam que 73% estão preocupadas com a baixa conscientização e o comportamento dos usuários ao interagirem com dispositivos móveis. Muitas organizações também estão preocupadas com sua capacidade de conhecer todos seus ativos (46%), como farão para manter esses ativos livres de bugs (43%), como conseguirão consertar vulnerabilidades com rapidez suficiente (43%) e com sua capacidade de administrar o crescimento nos pontos de acesso a suas organizações (35%).
• Desafios relacionados ao tamanho do tráfego de dadosAs organizações duvidam de que continuarão conseguindo identificar tráfego suspeito em suas redes (49%), monitorar quem tem acesso a seus dados (44%) ou descobrir ataques de Zero Day ou desconhecidos (40%).
• Desafios relacionados ao ecossistemaO ecossistema vai crescer substancialmente à medida que a conectividade com outras organizações for se expandindo e o volume de dados trocado nele aumente. Vai ficar cada vez mais difícil identificar qual parte do ecossistema vai ter impacto sobre a organização e qual não terá. E a dificuldade será dobrada, caso a cibersegurança da própria organização esteja fragmentada e não seja articulada. Assim, muitas organizações esperam enfrentar dificuldades com o monitoramento do perímetro de seus ecossistemas (34%).
Quais são os desafios à segurança da informação da IoT para a sua organização? (Selecione todas as respostas válidas.)
49%
46%
46%
44%
43%
40%
34%
Identificar tráfego suspeito na rede
Conhecer todos os seus ativos
Monitorar o acesso a dados na sua organização
Manter o elevado número de dispositivos conectados à IoT atualizado com a versão mais recente do código e
livre de bugs de segurança
Encontrar ataques de Zero Day ou desconhecidos ocultos
Assegurar que os controles de segurança implementados estejam atendendo às exigências atuais
35%Administrar o crescimento nos pontos de acesso à sua organização
Definir e monitorar os perímetros do ecossistema dos seus negócios
10%Não sabe
4%Outro (especifique)
O compartilhamento de informações e a colaboração estão em ascensão
Os governos e outras entidades estão todos cada vez mais preocupados com a sua cibersegurança. Os regulamentos específicos do setor relativos a ciber-riscos estão ganhando embalo, e o interesse legislativo está aumentando. Assim, novos regulamentos e novas leis devem ser esperados. Em muitas partes do mundo, normas estão sendo desenvolvidas
73%estão preocupados com a baixa conscientização e o comportamento dos usuários ao interagir com dispositivos móveis.
49%duvidam que continuarão conseguindo identificar tráfego suspeito em suas redes.
1119ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
Quais os principais riscos para a sua organização associados ao crescente uso de dispositivos móveis (exs.: laptops, tablets, smartphones)? (Selecione todas as respostas válidas.)
73%
50%
32%
31%
27%
19%
16%
3%
Baixa conscientização/comportamento dos usuários
A perda de um único dispositivo móvel não significasimplesmente a perda de informações, mas,
cada vez mais, também leva a uma perda de identidade
Sequestro de dispositivos
Os engenheiros de rede não conseguem consertarvulnerabilidades rápido o bastante
O firmware ou o software instaladosnos dispositivos não são os mesmos
Cibercriminosos organizados vendem hardwarecom cavalos de troia ou backdoors já instalados
Problemas de interoperabilidade de hardware de dispositivos
Outro (especifique)
Os cibercriminosos da atualidade podem ser implacáveis, e seu comportamento e seus métodos são quase impossíveis de ser previstosOs cibercriminosos – como outros criminosos organizados – estão preparados para se comportar de maneiras que a maioria de nós não consegue compreender. Suas ações expressam um conjunto diferente de valores, ética e moralidade, e, muitas vezes, eles são movidos por motivações difíceis de entender. Além das fraudes e dos roubos mais comuns e já esperados, cada vez mais os consumidores têm medo de carros ser hackeados, com o intuito de causar acidentes, e algumas organizações de infraestrutura crítica estão vendo o sequestro de dados tronar-se realidade. Tamanha é a criatividade das redes de criminosos que eles sempre descobrem novos meios de lançar ataques para obter lucro pessoal ou para alcançar as manchetes para uma causa. Percepção, Resistência e Reação têm um papel fundamentalmente importante a desempenhar na proteção do ciberecossistema, especialmente com o crescimento da IoT. Sem medidas de cibersegurança eficazes, muitas organizações e governos não apenas estão arriscando seus dados e propriedade intelectual (PI) mas podem estar colocando pessoas em risco. No futuro, devemos esperar ver ainda mais danos colaterais.
para organizações de infraestrutura crítica, e há pedidos por maior compartilhamento de informações e colaboração, além da obrigação de relatar ciberataques para que o cibercrime possa ser combatido por todos.
A expectativa é que isso se torne compulsório. E, ainda que isso não ocorra no curto prazo, o ambiente atual fará com que reguladores, partes interessadas, parceiros de negócios e mesmo clientes queiram saber mais sobre a sua cibersegurança.
Por isso, esteja pronto para informar sobre ciberataques e procure agora por oportunidades de compartilhamento e colaboração.
A nossa pesquisa revelou o seguinte:
• 49% dos SOCs dos nossos entrevistados colaboram e compartilham dados com outras organizações no mesmo setor.
• 38% dos SOCs dos nossos entrevistados colaboram e compartilham dados com outros SOCs públicos.
49%dos SOCs dos nossos entrevistados colaboram e compartilham dados com outras organizações no mesmo setor.
12 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
Resistência
Foco nos ciber-riscos, e não apenas na cibersegurança
1319ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
De modo geral, as organizações melhoraram enormemente suas capacidades de resistir a ataques, e muitas delas podem afirmar que estão conseguindo ter sucesso na defesa contra milhares de ataques todos os dias. Mas os ataques vêm de formas muito diversas e cada vez mais complexas, e, embora a execução de medidas de controle no escudo de defesa corporativa possa funcionar contra Ataques Distribuídos de Negação de Serviço ou vírus, ela pode não estar funcionando tão bem quanto deveria contra ataques sofisticados e persistentes que cibercriminosos dedicados e organizados estão lançando contra seus alvos todos os dias.
No ano passado, 88% dos entrevistados da nossa pesquisa disseram que as áreas encarregadas da cibersegurança de suas empresas não atenderam integralmente às necessidades da organização. Neste ano, este número caiu para 86%, o que não representa uma melhora significativa. Apesar das medidas tomadas pelas organizações, elas ainda não são suficientes para lidar com a piora da situação.
Foco nos riscos cibernéticos e não somente em cibersegurança Na nossa pesquisa de 2016, cerca da metade (48%) dos entrevistados disse que sua arquitetura e seus controles de segurança da informação estão ultrapassados e são uma área de alta vulnerabilidade, em sintonia com os resultados de 2013 e 2014, ao passo que em 2015 apenas 34% classificaram este item como uma área de alta vulnerabilidade. De modo geral, 2015 viu um aumento substancial na confiança, com as organizações percebendo muitas vulnerabilidades e ameaças como um desafio menor do que em anos anteriores. Porém, esta confiança em seguir resistindo a ataques tem sido pouco duradoura em vista do crescimento nos riscos e nas ameaças relativas a funcionários e o conhecimento crescente de como os criminosos estão mirando especificamente nessa fraqueza humana. Neste ano, houve um aumento significativo no modo como eles classificam sua exposição a riscos. Em 2015, as organizações pareciam pensar que estavam começando a solucionar o problema da cibersegurança e conseguindo uma melhora na resistência a ataques, apenas para ser pegas desprevenidas, ou simplesmente tornarem-se mais cientes das ameaças.
Quais ameaças e vulnerabilidades mais aumentaram a sua exposição ao risco nos últimos 12 meses? O gráfico mostra a porcentagem total para os itens classificados como 1 (mais altos) e 2 (altos) de 2013 a 2016.
2013 2014 2015 2016
Vulnerabilidades
Funcionários descuidados ou alheios 53% 57% 44% 55%
Arquitetura ou controles de segurança da informação ultrapassados 51% 52% 34% 48%
Acesso não autorizado 34% 34% 32% 54%
Ameaças
Malware 41% 34% 43% 52%
Phishing 39% 39% 44% 51%
Ciberataques para roubar informações financeiras 46% 51% 33% 45%
Ciberataques para roubar PI ou dados 41% 44% 30% 42%
Ataques internos 28% 31% 27% 33%
86%dizem que as áreas encarregadas da cibersegurança de suas empresas não atendem integralmente às necessidades da organização.
14 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
Onde as organizações devem se concentrar para melhor resistir a ataques hoje em dia?
Ative as suas defesas
Embora a natureza dos ataques tenha mudado, já faz muito tempo que resistir, defender, mitigar e neutralizar ataques representa um requisito essencial da cibersegurança. Os serviços e as ferramentas que uma organização pode usar para se defender têm, em sua maioria, acompanhado o ritmo das mudanças, e muitas soluções altamente eficazes estão disponíveis atualmente. No entanto, a nossa pesquisa revelou que 57% dos entrevistados tiveram recentemente um incidente de cibersegurança significativo, o que mostra que ainda há muito a fazer para fortalecer o escudo de defesa corporativa. Os níveis de maturidade ainda são muito baixos em muitas áreas cruciais, e melhorar cada uma delas representaria um passo adiante significativo para qualquer organização.
Porcentagem de entrevistados que classificariam estes processos de gestão de segurança da informação como maduros:
• Segurança de software: 29%.
• Monitoramento de segurança: 38%.
• Gestão de incidentes: 38%.
• Gestão de identidade e acesso: 38%.
• Segurança da rede: 52%.
Adote uma abordagem não ortodoxa
A capacidade de resistir a ataques requer uma abordagem multifacetada. As defesas são normalmente vistas como barreiras mais concretas, como criptografia ou firewalls, que param e neutralizam um ataque, mas há outras maneiras de minimizar o impacto de um ataque e ajudar a organização a resistir:
• Passar de um sistema à prova de falhas (fail-safe) para um que seja “seguro-para-falhar” (safe-to-fail)
Até agora as organizações estiveram certas em se concentrar no desenvolvimento de operações à prova de falhas robustas, seguras e resilientes que podem aguentar ciberataques repentinos. Mas, diante das ciberameaças imprevisíveis e sem precedentes da atualidade, uma abordagem à prova de falhas pode não ser mais a única opção. A nova meta deverá ser conceber um sistema que seja “seguro-para-falhar”. A cibersegurança futura precisa ser mais inteligente, além de mais forte, com uma abordagem branda de resiliência. Isso significa que, ao perceber uma ameaça, há mecanismos que foram concebidos para absorver o ataque, reduzir sua velocidade e impacto. Além disso, é preciso aceitar a possibilidade de uma falha parcial do sistema como um meio de limitar os danos para o todo.
• Da proteção ao sacrifício
As tecnologias de hoje em dia tornam possível o sacrifício parcial da informação ou das operações com o objetivo de proteger a maior parte da rede. Se configurado corretamente, de acordo com o apetite por risco da organização, isso pode ser programado como uma resposta automática. Quando o SOC reconhece uma ameaça de alto nível ao sistema, o dono do sistema recebe um alerta, e o sistema é desativado, para prevenir a disseminação da ameaça.
57%dos entrevistados experimentaram um incidente de cibersegurança recente significativo.
1519ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
O aumento anual dos orçamentos é suficiente?
Entre 2013 e 2016, observamos aumentos ano a ano nos orçamentos, com 53% dos entrevistados neste ano dizendo que seus orçamentos aumentaram ao longo dos últimos 12 meses, comparado a 43% em 2013, e com 55% dos entrevistados atualmente dizendo que seus orçamentos aumentarão nos próximos 12 meses, comparado a 50% em 2013. Os montantes gastos também estão aumentando: em 2013, 76% dos entrevistados gastaram menos de US$ 2 milhões no total (incluindo pessoal, processos e tecnologia). Atualmente, apenas 64% estão gastando menos de US$ 2 milhões, e tem havido um aumento no número de organizações que estão gastando de US$ 10 milhões a US$ 50 milhões.
Ainda assim, contudo, as organizações dizem que mais recursos serão necessários, com 61% citando limitações orçamentárias como um desafio, e 69% delas afirmando que precisarão de um orçamento até 50% maior. Mas as necessidades não se limitam ao orçamento. Embora orçamentos adicionais possam ajudar a aliviar a escassez de competências, o dinheiro não consegue comprar o apoio executivo que também é necessário.
Quais os principais obstáculos ou razões que desafiam a contribuição e o valor da sua operação de segurança da informação para a organização? (Selecione todas as respostas válidas.)
61%
56%
32%
30%
28%
19%
6%
Limitações orçamentárias
Falta de recursos capacitados
Falta de conscientização ou apoio executivo
Falta de ferramentas de qualidade para gerenciara segurança da informação
Questões administrativas e de governança
Fragmentação da conformidade/regulamentação
Outro (especifique)
53%dos entrevistados neste ano estão dizendo que seus orçamentos aumentaram ao longo dos últimos 12 meses.
86%dos entrevistados dizem que precisam de um orçamento até 50% maior.
16 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
O papel da liderança
A liderança e o apoio dos executivos são fundamentais para uma ciber-resiliência efetiva. Diferentemente da Percepção e das atividades de Resistência tradicionais, que podem ser vistas como pertencendo ao domínio do(a) CISO ou do(a) CIO, a ciber-resiliência requer que a alta administração participe e lidere ativamente a fase de Reação. Desde 2013, a pesquisa informou que de 31% a 32% dos entrevistados disseram haver escassez de conscientização e apoio dos executivos que estão desafiando a efetividade da cibersegurança. Esta uniformidade ano a ano sugere que as iniciativas para tratar disso não estão sendo suficientes, ou as tentativas chegaram a um impasse, e a mensagem não está sendo absorvida.
A importância de informar
Entre os nossos entrevistados, 75% disseram que os responsáveis pela segurança da informação não têm uma cadeira no conselho de administração. Com isso, o conselho acaba ficando dependente de relatórios. A nossa pesquisa revelou o seguinte:
• Apenas 25% dos informes apresentam um nível de ameaça geral.
• Apenas 35% dos informes mostravam onde melhorias eram necessárias na segurança de informação da organização.
• Oitenta e nove por cento das organizações não avaliam o impacto financeiro de cada violação significativa, e entre as que experimentaram um incidente de segurança no ano passado, cerca da metade (49%) não faz ideia de quanto foi o dano financeiro ou de quanto ele poderia ser.
Com a qualidade dos relatórios sendo tão ruim, não é surpresa que 52% dos entrevistados pensem que seus conselhos de administração não estão bem informados quanto aos riscos que a organização está assumindo e as medidas de segurança existentes. Em outras palavras, a nossa pesquisa sugere que cerca da metade de todos os conselhos de administração está voando às cegas diante da maior ameaça da atualidade para suas organizações.
89%das organizações não avaliam o impacto financeiro de cada violação significativa.
49%não fazem ideia dos danos financeiros que um ciberataque causa ou pode causar.
1719ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
Reação
18 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
Os serviços de emergência de hoje: o programa de resposta à ciberviolaçãoTendo em vista a probabilidade de que todas as empresas acabarão enfrentando uma ciberviolação, é fundamental que elas desenvolvam uma estrutura de resposta sólida é centralizada como parte de sua estratégia geral de gestão de riscos empresariais.
Um programa de respostas a ciberviolações (CBRP) centralizado que abranja toda a empresa é o ponto focal que reúne uma ampla variedade de partes interessadas que precisam colaborar para resolver a violação. O CBRP deve ser liderado por alguém com experiência em tecnologia e que consiga administrar a resposta tática e operacional do dia a dia, além de contar com conhecimentos profundos da área jurídica e de conformidade, uma vez que estes eventos podem dar origem a questões complexas de natureza jurídica e regulatória com impactos nas demonstrações financeiras.
O CBRP vai além da capacidade de um escritório de gestão de programas tradicional. Em sua função de coordenação e supervisão, o CBRP pode ajudar a assegurar que o plano de continuidade de negócios de uma organização seja implementado de maneira apropriada, que um plano de comunicação e orientação entre todas as partes interessadas internas seja desenvolvido e aplicado e que todas as consultas referentes a violações, recebidas de grupos internos ou externos, sejam administradas centralmente. Em suma, o CBRP proporciona orientação para todas as linhas de negócios envolvidas na resposta. O programa define um nível de entendimento sobre quais informações são de conhecimento essencial para a alta administração – além de quando e como expressá-las –, e permite uma reação contínua, com precisão e velocidade, já que uma violação continua a se prolongar por dias, semanas ou até mesmo meses.
Um CBRP eficaz precisa incluir as principais partes afetadas numa violação de alto impacto. Mesmo que os investigadores precisem trabalhar de perto com o pessoal de TI e de segurança da informação, para determinar o vetor do ataque, as redes e sistemas explorados, além do escopo de ativos roubados ou impactados, um CBRP é o fulcro da resposta. O CBRP não apenas supervisiona o processo de identificação, coleta e preservação de provas, análise de dados forenses, e avaliação de impactos, mas também dirige e modifica a investigação com base na análise de padrões factuais.
O CBRP ajuda a assegurar um fluxo fluido e oportuno de informações entre as partes interessadas internas, além de auxiliar a organização a vencer as complexidades de trabalhar com advogados externos, reguladores e agências de segurança pública. Um CBRP robusto, portanto, permite uma resposta eficaz em termos de custos que mitiga os impactos da violação, ao integrar as partes interessadas e seu conhecimento.
1919ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
Quais as prioridades da Reação?
Já faz muitos anos que a gestão da continuidade de negócios (BCM) está no cerne da capacidade de uma organização de reagir a uma ameaça, ataque ou outra disrupção. Como uma área essencial da cibersegurança, ela tem sido a prioridade número 1 ou 2 na nossa pesquisa desde 2013. Assim, compreende-se a importância de ter algumas capacidades de Reação. Neste ano, mais uma vez, 57% das organizações a classificaram como sua maior prioridade conjunta, ao lado da prevenção à perda/ao vazamento de dados.
O gerenciamento de eventos e informações de segurança (SIEM), junto com os centros de operações de segurança (SOCs), foi classificado em 6º lugar, com 46% dos entrevistados dizendo que vão gastar mais nessas duas áreas nos próximos 12 meses, ficando apenas atrás do treinamento e da conscientização de segurança.
57%das organizações consideram a BCM como sendo sua maior prioridade conjunta, ao lado da prevenção à perda/ao vazamento de dados.
1. Resiliência de recuperação de desastres/continuidade de negócios
2. Prevenção à perda/ao vazamento de dados
3. Conscientização e treinamento de segurança
4. Operações de segurança (exs.: antivírus, correções, criptografia)
5. Gestão de identidade e acesso
7. Capacidades de resposta a incidentes
8. Testes de segurança (ex.: ataque e penetração)
9. Gestão de acesso privilegiado
11. Computação na nuvem
12. Integração de tecnologia operacional e segurança de TI
13. Dispositivos móveis
14. Medidas de privacidade
15. Gestão de riscos de terceiros
17. Redesenho da arquitetura de segurança
18. Riscos/ameaças de alguém com informações privilegiadas
19. Apoio contra fraudes
21. Propriedade Intelectual (PI)
22. Apoio forense
23. Mídias sociais
24. Proteção de dispositivos conectados à IoT
25. Automação de processos de robótica
27. Proteção de criptomoedas (ex.: Bitcoin)
Legenda: Alta BaixaMédia
57%
57%
55%
52%
50%
48%
48%
46%
43%
42%
39%
33%
29%
29%
27%
26%
25%
24%
23%
21%
16%
15%
14%
13%
8%
8%
6%
33%
34%
38%
39%
40%
38%
42%
44%
41%
45%
35%
49%
49%
46%
48%
41%
46%
50%
41%
42%
37%
39%
43%
33%
23%
25%
18%
10%
10%
9%
7%
10%
14%
11%
10%
15%
13%
27%
18%
22%
25%
25%
33%
29%
26%
36%
37%
47%
46%
44%
54%
69%
67%
76%
6. Gerenciamento de eventos e informações de segurança (SIEM) e SOC
10. Gestão de ameaças de vulnerabilidades (exs.: inteli- gência analítica de segurança, inteligência de ameaças)
16. Transformação da segurança da informação (redesenho fundamental)
26. Proteção de tecnologias emergentes (ex.: aprendizado de máquina avançado)
20. Atividades de segurança terceirizadas/realizadas no exterior, inclusive risco de fornecedor externo
Quais das seguintes áreas de segurança você definiria como sendo “de alta, média ou baixa prioridades” para a sua organização nos próximos 12 meses? (Selecione uma resposta para cada tipo de prioridade.)
20 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
Em comparação ao ano anterior, a sua organização planeja gastar mais, menos ou relativamente o mesmo montante ao longo do próximo ano, nas seguintes atividades? (Selecione uma resposta para cada tópico.)
43%49%
46%
45%
44%
43%
42%
41%
40%
39%
39%
35%
34%
32%
32%
29%
25%
25%
22%
21%
20%
17%
14%
12%
12%
9%
5%
8%
9%
9%
8%
8%
7%
8%
8%
7%
8%
9%
10%
10%
13%
12%
10%
11%
10%
12%
10%
12%
13%
13%
12%
10% 15%
16%
16%
45%
46%
48%
49%
51%
51%
52%
54%
53%
56%
56%
58%
55%
59%
65%
64%
68%
66%
70%
71%
72%
74%
76%
75%
74%
78%
1. Conscientização e treinamento de segurança
3. Computação na nuvem
4. Testes de segurança (ex.: ataque e penetração)
5. Gestão de identidade e acesso
6. Prevenção à perda/ao vazamento de dados
7. Operações de segurança (exs.: antivírus, correções, criptografia)
9. Resiliência de recuperação de desastres /continuidade de negócios
10. Capacidades de resposta a incidentes
11. Gestão de acesso privilegiado
12. Integração de tecnologia operacional e segurança de TI
13. Dispositivos móveis
14. Redesenho da arquitetura de segurança
16. Medidas de privacidade
17. Gestão de riscos de terceiros
18. Riscos/ameaças de alguém com informações privilegiadas
20. Apoio contra fraudes
21. Apoio forense
22. Proteção de dispositivos conectados à IoT
23. Mídias sociais
24. Propriedade Intelectual (PI)
26. Automação de processos de robótica
27. Proteção de criptomoedas (ex.: Bitcoin)
Legenda: Gastar mais Mesmo ou constanteGastar menos
2. SIEM e SOC
8. Gestão de ameaças de vulnerabilidades (exs.: inteligência analítica de segurança, inteligência de ameaças)
15. Transformação da segurança da informação (redesenho fundamental)
19. Atividades de segurança terceirizadas/realizadas no exterior, inclusive risco de fornecedor externo
25. Proteção de tecnologias emergentes (ex.: aprendizado de máquina avançado)
Não há muito apetite para investir em outras capacidades de adaptação e transformação:
• Adaptação: Ao olhar para o horizonte de ameaças e para os atores da ameaça, a organização resiliente precisa ser ágil e flexível para adaptar seus mecanismos de proteção e processos de negócios.
• Transformação: Esta é a reengenharia necessária para aprimorar tanto os mecanismos operacionais quanto os de resiliência, a fim de criar uma organização cada vez mais segura e sustentável.
Apesar da arquitetura e de controles de segurança da informação ultrapassados ser a segunda maior vulnerabilidade, 74% disseram que uma transformação da segurança da informação (redesenho fundamental) é uma prioridade média ou baixa, e 75% disseram que um redesenho da arquitetura de segurança é uma prioridade média ou baixa.
Onde o dinheiro é gasto?
O local onde as organizações decidem alocar seus orçamentos é uma conversa totalmente diferente. Ao olhar onde as organizações pretendem gastar mais, a BCM aparece em 9º lugar. As organizações podem entender que a BCM foi bem financiada no passado e que, agora, elas estão investindo em outras capacidades de Reação.
2119ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
O quê, como e quando comunicar podem apresentar desafios significativos• Hoje em dia, muitos dos regulamentos ou das legislações propostos relativos à
informação de ciberataques dizem que você precisa notificar os clientes dentro de um determinado número de dias – 60 dias, por exemplo*. O problema é que muitos ciberataques só são descobertos depois de meses. Às vezes, apenas depois de anos. E, nos casos em que as autoridades policiais estejam envolvidas, elas podem solicitar que você não notifique os seus clientes enquanto continuarem as investigações.
• Os clientes podem fazer jus – ou sentir que têm direito – a uma indenização pela violação de suas informações. Nos EUA, por exemplo, está em discussão o recebimento por um cliente de um ano de seguro gratuito contra roubo de identidade. Mas nem todas as violações criam uma situação na qual um cliente precisa disso, ou de algo parecido. Por isso, há uma sensação de que este tipo de indenização aumentaria os custos sem realmente oferecer um benefício palpável para o cliente, podendo ser prejudicial para a marca e a reputação da empresa.
• Finalmente, há um reconhecimento crescente de que pode ser perigoso notificar os clientes todas as vezes, especialmente se o risco for baixo, já que eles podem se dessensibilizar e não responder quando um incidente mais grave ocorrer. Se pensarmos nos últimos dois anos, não é impossível que a mesma pessoa tenha sido notificada sobre um ataque no provedor de seu telefone celular, no varejista online que ela usa ou até mesmo em seu provedor de e-mail. Ela também pode ter sido alertada de que os detalhes de seu cartão de crédito possivelmente podem ter sido vendidos e seus registros do seguro social talvez estejam nas mãos de criminosos, e que não há nada a ser feito a respeito. São coisas demais, e as pessoas começarão a ignorá-las.
* Como no caso do Guia da NAIC para as Proteções de Cibersegurança do Consumidor nos EUA.
Ao reagir a um ataque, o conselho de administração precisa mostrar liderança
Quando se trata de lidar imediatamente com um ciberataque que tenha prejudicado a organização, não há onde o conselho possa se esconder. Caso alguma fragilidade ou falha nos planos de recuperação se tornem conhecidas, e quanto mais tempo estes problemas persistirem, pior ficará a situação. Algumas organizações podem até se recuperar fisicamente de um ataque, mas sua reputação e confiança poderão acabar sendo destruídas. O segredo é comunicar-se e tomar a frente das comunicações antes que a força da mídia tradicional e da mídia social assuma o comando. Muitas organizações ainda estão despreparadas.
• 42% não têm uma estratégia ou plano de comunicações acertados para o caso de um ataque significativo.
• Nos primeiros sete dias após um ataque:
• 39% disseram que fariam um anúncio público para a mídia.
• 70% notificariam as autoridades reguladoras e as organizações de conformidade.
• 46% não notificariam clientes, mesmo quando os dados dos clientes tiverem sido comprometidos.
• 56% não notificariam fornecedores, mesmo quando os dados dos fornecedores tiverem sido comprometidos.
42%não têm uma estratégia ou plano de comunicações acertados para o caso de um ataque significativo.
39%disseram que fariam um anúncio público para a mídia.
22 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
Liderança da recuperação da organização
Para que o CIO ou o CISO consigam dar suporte à empresa durante a fase de adaptação e transformação, eles precisam entender integralmente a direção estratégica, o apetite por risco e as operações da organização. Ao reunir os estrategistas corporativos e a equipe de segurança corporativa, a solução de cibersegurança e a estratégia geral da organização podem ser alinhadas. Porém, a nossa pesquisa mostra que não há uma boa conexão entre a função de cibersegurança e a estratégia e planejamento da organização.
• Apenas 5% dos entrevistados fizeram recentemente uma mudança substancial na estratégia e nos planos da organização depois de perceber que estavam expostos a riscos excessivos.
• Apenas 22% disseram que avaliaram integralmente as implicações de segurança da informação da estratégia e dos planos atuais de suas organizações.
Fazer as perguntas mais difíceis e fechar os vãos
A nossa pesquisa revelou o quanto as organizações gostam de depender delas mesmas para testar ou administrar sua própria cibersegurança. Na fase de recuperação, pode valer a pena considerar se isso deveria continuar. Atualmente, a situação é a seguinte:
• 79% implementam seu próprio programa de avaliação de phishing (self-phishing).
• 64% realizam seus próprios testes de penetração.
• 81% realizam suas próprias investigações de incidentes.
• 83% fazem suas próprias análises de inteligência de ameaças.
Nossa pesquisa também encontrou problemas que precisam ser resolvidos. Apesar de funcionários descuidados e de o phishing e de o malware ser ameaças conhecidas e muito importantes, somente 24% contam com um plano de resposta a incidentes que os ajudaria na recuperação de ataques por malware e comportamentos inadequados de funcionários.
De modo geral, ainda são necessárias melhorias consideráveis
Embora as capacidades de Reação se saiam bem nas classificações de prioridade, os volumes absolutos de dinheiro gasto nessa área ainda são relativamente baixos. Ficou claro – com base no estado geral da ciber-resiliência (seção 1) – que a Reação é a área em que a maior parte do trabalho ainda precisa ser feita. Quanto mais fica claro que a proteção corporativa não consegue resistir a todas as ameaças, maior a atenção que as capacidades de Reação vai receber.
5%dos entrevistados fizeram recentemente uma mudança significativa na estratégia e nos planos de sua organização.
79%implementam seu próprio programa de avaliação de phishing (self-phishing).
81%realizam suas próprias investigações de incidentes.
23
Principais características de um empreendimento ciber-resilienteCompreende o negócio
A ciber-resiliência demanda uma resposta de “toda a organização”. Ela começa com um entendimento profundo do negócio e do cenário operacional para saber quais fluxos de trabalho do negócio precisam ser preservados para que a organização consiga continuar operando e protegendo o pessoal, os ativos e o valor da marca de modo geral, apesar do ciberataque.
Entende o ciberecossistema
Mapear e avaliar os relacionamentos que a organização tem no ciberecossistema e identificar quais os riscos existentes. Realizar uma avaliação de riscos da ciberpresença da organização no ecossistema, determinar os fatores que afetam a dimensão do controle da organização sobre seu ecossistema.
Determina os ativos críticos – as joias da coroa A maioria das organizações protege excessivamente alguns ativos e não protege outros como deveria. Na pesquisa:
• 51% classificaram as informações pessoais identificáveis de clientes em primeiro e segundo lugar como as informações mais valiosas para cibercriminosos na organização.
• Apenas 11% classificaram a PI patenteada em primeiro e segundo lugar como as informações mais valiosas.
• As informações pessoais de diretores/conselheiros foram consideradas mais valiosas do que as informações sobre P&D, PI patenteada e PI não patenteada, e, de modo geral, em linha com os planos estratégicos corporativos.
Determina os fatores de risco
Quando as funções de cibersegurança têm uma visão limitada do cenário de riscos e ameaças, só conseguem alcançar um sucesso limitado. Acima de todas as tecnologias e ferramentas que possam oferecer melhor conscientização, inteligência e identificação de ameaças está o conceito de colaboração. Compartilhar informações sobre o cenário de riscos e ameaças de todas as funções de negócios permite que a organização entenda seu cenário mais amplo de riscos e exponha eventuais falhas de segurança. Este compartilhamento e esta colaboração podem então ser estendidos a outras organizações (parceiros, fornecedores) no mesmo ecossistema.
As organizações, então, precisam fazer as seguintes perguntas:
• Quanto podemos fazer para administrar eventuais riscos residuais?
• Estamos preparados para aceitar um determinado nível de riscos?
• O que podemos tentar fazer para controlar e o que precisamos fazer para aceitar que isso é algo fora do nosso controle?
Administra o elemento humano com liderança excepcionalDepois de um ciberataque, como em qualquer situação caótica, as pessoas precisam estar preparadas e treinadas para saber como reagir e se comportar. Com a tecnologia presente em toda a organização, todos os funcionários serão impactados. A clara comunicação, a orientação e a definição de exemplos por parte da liderança serão essenciais, além de papéis ou tarefas claramente definidos que ela consiga realizar, para ajudar a organização a se tornar operacional novamente.
Cria uma cultura de prontidão para a mudançaA capacidade de reagir rapidamente a um ciberataque minimizará a possibilidade de impactos relevantes de longo prazo. Organizações que desenvolvem capacidades de resposta superiores, integradas e automáticas podem ativar lideranças não rotineiras, administração de crises e coordenação de recursos que abranjam toda a empresa. Como um exercício de simulação, as organizações podem questionar a administração de crises existente, as práticas correntes e o perfil de riscos, a fim de se certificar de que elas estejam todas alinhadas com a estratégia de negócios e o apetite por riscos da organização.
As organizações também deveriam desenvolver e implementar jogos de guerra personalizados que incluiriam uma avaliação de todos os planos e manuais de centros de comando e controle e de ciber-resiliência.
Conduz investigações formais e se prepara para mover processos A fim de proteger os interesses da organização, no caso de uma importante ciberviolação, o CIO e o CISO devem estar preparados para fazer a ligação com a maioria dos executivos seniores das áreas de Segurança, Jurídica (interna e externa), Investigações e Conformidade. Juntos eles irão:
• Coletar provas de maneira segura do ponto de vista forense, a fim de proporcionar apoio a uma investigação mais ampla.
• Determinar se os responsáveis pelo ataque ainda estão presentes nas redes e nos sistemas da organização, e se malware prejudicial ou ransom-ware poderiam sabotar a organização novamente no futuro.
• Realizar investigações mais profundas para entender quem realizou o ataque, como ele foi realizado, para benefício de quem e por que motivo.
• Conseguir mover ações e/ou um processo criminal contra o responsável pelo ataque, além daqueles que tenham auxiliado o responsável pelo ataque ou que de outro modo tenham permitido o ataque. Ações também podem ser movidas contra os provedores de produtos e serviços que deixaram de atender obrigações contratuais de construir, operar, testar ou manter a cibersegurança.
19ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
24 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
Metodologia da pesquisa
A 19ª Pesquisa Global de Segurança da Informação da EY captou as respostas de 1.735 líderes da diretoria e executivos/gerentes de Segurança da Informação e de TI, representando muitas das maiores e mais reconhecidas empresas globais. Ela foi realizada entre junho e agosto de 2016.
Entrevistados por cargo Entrevistados por região
38%Europa, Oriente Médio, Índia e África (EMEIA)
38%Américas
24%Ásia-Pacífico e Japão
Legenda:
23%
12%
12%
11%
3%
3%
3%
2%
2%
1%
1%
27%
Diretor de Segurançada Informação
Executivo de Segurançada Informação
Diretor de Informação
Executivo de Tecnologiada Informação
Diretor de Segurança
Gerente/Diretor deAuditoria Interna
Diretor de Tecnologia
Administrador deRede/Sistema
Vice-Presidente/Executivoda Unidade de Negócios
Diretor Financeiro
Diretor de Riscos
Outro
2519ª Pesquisa Global de Segurança da Informação da EY 2016-17 |
Entrevistados pela receita anual total da empresa
Entrevistados por número de funcionários Entrevistados por setor industrial
20%Serviços bancários emercados de capitais
Seguros
Tecnologia
Produtos de consumo
Governo e setor público
Produtos industriaisdiversificados
Energia elétrica e serviçosde utilidade pública
Varejo e atacado
Telecomunicações
Saúde
Mídia e entretenimento
Serviços e firmasprofissionais
Mercado imobiliário (incluindo construção, hospitalidade e lazer)
Petróleo e gás
Automotiva
Transportes
Mineração e metais
Gestão patrimonial e de ativos
Ciências da vida
Companhias aéreas
Química
6%
Aeroespacial e defesa
Outro
7%
7%
6%
6%
5%
5%
4%
4%
4%
3%
3%
3%
3%
3%
2%
2%
2%
2%
1%
1%
1%
7%Menos de US$ 10 milhões
De US$ 10 milhões a menosde US$ 25 milhões
De US$ 25 milhões a menosde US$ 50 milhões
De US$ 50 milhões a menosde US$ 100 milhões
De US$ 100 milhões a menosde US$ 250 milhões
De US$ 250 milhões a menosde US$ 500 milhões
De US$ 500 milhões amenos de US$ 1 bilhão
De US$ 1 bilhão a menosde US$ 2 bilhões
De US$ 2 bilhões a menosde US$ 3 bilhões
De US$ 3 bilhões a menosde US$ 4 bilhões
De US$ 4 bilhões a menos deUS$ 5 bilhões
De US$ 5 bilhões a menos deUS$ 7,5 bilhões
De US$ 7,5 bilhões a menosde US$ 10 bilhões
De US$ 10 bilhões a menosde US$ 15 bilhões
De US$ 15 bilhões a menosde US$ 20 bilhões
7%
De US$ 20 bilhões a menos de US$ 50 bilhões
US$ 50 bilhões ou mais
Governo, sem fins lucrativos
Não aplicável
4%
5%
4%
9%
9%
10%
9%
5%
3%
2%
3%
3%
5%
2%
3%
3%
7%
34%
4%
Menos de 1.000
De 1.000 a 1.999
De 2.000 a 2.999
De 3.000 a 3.999
De 4.000 a 4.999
De 5.000 a 7.499
De 7.500 a 9.999
De 10.000 a 14.999
De 15.000 a 19.999
De 20.000 a 29.999
De 30.000 a 39.999
De 40.000 a 49.999
De 50.000 a 74.999
De 75.000 a 99.999
100.000 ou mais
14%
7%
5%
4%
7%
6%
6%
4%
3%
3%
2%
2%
1%
Quer saber mais?As nossas publicações e os relatórios de liderança inovadora sobre cibersegurança foram concebidos para ajudar os nossos clientes a entender estas questões e fornecer insights valiosos sobre as nossas perspectivas. Visite a nossa série Insights sobre governança, riscos e conformidade na página ey.com/GRCinsights e o nosso website ey.com/cybersecurity.
Como você descobre os criminosos antes que eles cometam um cibercrime?
ey.com/cti
Serviços de segurança de software gerenciados: como construir um centro de excelência de segurança de software
ey.com/GRCinsights
Resposta a incidentes
ey.com/GRCinsights
Incident responsePreparing for and responding to a cyber attack
SOC gerenciado: Centro de Segurança Avançada da EY
ey.com/soc
Quando a privacidade é algo sobre o qual não se deve ficar quieto?: a Regulação Geral de Proteção de Dados da UE
ey.com/GRCinsights
Tendências de privacidade em 2016: a privacidade pode realmente continuar sendo protegida?
ey.com/privacytrends
Defesa Ativa
ey.com/activedefense
Como criar confiança no mundo digital: Pesquisa Global de Segurança da Informação da EY 2015
ey.com/giss2015
Como usar a ciberinteligência analítica para ajudar a controlar o cibercrime: Centros de Operações de Segurança de terceira geração
ey.com/soc
26 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17
Caso estivesse sofrendo um ciberataque, você saberia?
Para a área de Consultoria da EY, um mundo de negócios melhor significa resolver problemas grandes e complexos de setores e tirar proveito de oportunidades a fim de oferecer resultados que ajudem na expansão, na otimização e na proteção dos negócios dos nossos clientes. Desenvolvemos um ecossistema global de consultores, profissionais de setores industriais e alianças de negócios com o foco centrado em você.
Acreditamos que a antecipação e a defesa ativa contra ciberataques são as únicas maneiras de estar à frente dos cibercriminosos. Com o nosso foco em você, fazemos perguntas melhores sobre as suas operações, prioridades e vulnerabilidades. Trabalhamos, então, com você, a fim de criar respostas mais inovadoras, para ajudar a proporcionar as abordagens de que você precisa. Juntos, ajudamos você a obter melhores soluções e resultados duradouros, da estratégia à execução.
Acreditamos que, quando organizações administram melhor a cibersegurança, o mundo funciona melhor.
Afinal de contas, caso você estivesse sofrendo um ciberataque, você saberia? Pergunte à EY.
Quanto melhor a pergunta. Melhor a resposta. Melhor o mundo de negócios.
EY | Auditoria | Consultoria | Impostos | Transações Corporativas
Sobre a EY
A EY é líder global nas áreas de Auditoria, Consultoria, Impostos, Transações Corporativas. Os insights e os serviços de qualidade que oferecemos ajudam a promover a segurança e a confiança nos mercados de capitais e na economia mundial. Além disso, desenvolvemos líderes excepcionais, que trabalham em equipe, para cumprir as nossas promessas a todas as nossas partes interessadas. Com isso, desempenhamos um papel fundamental na construção de um mundo de negócios melhor para o nosso pessoal, os nossos clientes e as nossas comunidades.
O nome EY refere-se a uma organização global e pode fazer referência a uma ou mais das firmas da Ernst & Young Global Limited, cada uma das quais constituindo uma pessoa jurídica independente. A Ernst & Young Global Limited, uma sociedade limitada por garantia constituída no Reino Unido, não presta serviços a clientes. Para maiores informações sobre a nossa organização, visite ey.com.
© 2017 EYGM Limited. Todos os direitos reservados.
EYG nº 04260-163GBL
Agência BMC.
ED Nenhum
Este material foi preparado apenas para fins de informações gerais e não tem o propósito de ser entendido como aconselhamento profissional contábil,
tributário ou de outra natureza. Fale com os seus consultores para obter orientação específica.
ey.com/giss
Sobre os serviços de Consultoria da EY Num mundo de mudanças sem precedentes, a área de Consultoria da EY acredita que um mundo de negócios melhor significa ajudar clientes a solucionar questões grandes e complexas e a tirar proveito de oportunidades para expandir, otimizar e proteger seus negócios.
Da diretoria e de líderes funcionais de multinacionais da lista da Fortune 100 a inovadores revolucionários e empresas de pequeno e médio portes de mercados emergentes, a área de Consultoria da EY trabalha com clientes – da estratégia à execução –, para ajudá-los a conceber melhores soluções e a obter resultados duradouros.
Uma mentalidade global, diversidade e cultura colaborativa inspiram os consultores da EY a fazer perguntas melhores. Eles trabalham com seus clientes, além de interagir com um ecossistema de especialistas internos e externos, a fim de criar respostas inovadoras. Juntos, a EY ajuda os negócios dos clientes a funcionar melhor.
Para perguntas sobre cibersegurança, entre em contato com os nossos líderes de cibersegurança:
Global
Paul van Kessel +31 88 40 71271 [email protected]
David Remnitz +1 212 773 1311 [email protected]
Américas
Bob Sydow +1 513 612 1591 [email protected]
Timothy Ryan +1 212 773 0410 [email protected]
Brasil
Rene Martinez +55 11 2573 3277 [email protected]
EMEIA
Jonathan Blackmore +971 4 312 9921 [email protected]
Paul Walker +44 207 951 6935 [email protected]
Ásia-Pacífico
Richard Watson +61 2 9276 9926 [email protected]
Reuben Khoo +65 6309 8099 [email protected]
Japão
Yoshihiro Azuma +81 3 3503 3500 [email protected]
Ichiro Sugiyama +81 3 3503 3500 [email protected]