Upload
exin
View
154
Download
3
Embed Size (px)
DESCRIPTION
A Pesquisa Nacional de Segurança da Informação é fruto do esforço de um grupo profissional com ampla experiência prática no assunto, além de toda comunidade que se prontificou a contribuir. Realizada entre maio e julho de 2014 pela DARYUS, em parceria com a EXIN e IT Mídia, tinha um objetivo claro: traçar um perfil de como a maioria das empresas brasileiras encara a Segurança da Informação. Os resultados, se não de todo surpreendentes, apontam níveis de maturidade abaixo do esperado na maioria dos casos, o que desperta a pergunta: Estamos realmente preparados para lidar com o amadurecimento constante das ameaças a Segurança da Informação?
Citation preview
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
PESQUISA
NACIONAL DE
SEGURANÇA DA
INFORMAÇÃO
2014
Uma visão estratégica dos principais elementos da
Segurança da Informação no Brasil
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Metodologia
Período da Coleta
30 Junho a
25 de Agosto de 2014
Formato de pesquisa
ON LINERespondentes
Dos 171 respondentes,
122 foram válidos
Abrangência
Convidadas mais de
*500 empresas no
BRASIL
* Quantidade de respondentes baixa frente a importância e quantidade solicitada. Demonstra que as empresas ainda não possuem maturidade para responder ou preferem pesquisas mais técnicas ou sobre controles.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Como foi dividida
GESTÃO CONTROLES CAPACITAÇÃO
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Gás &
Óle
o
Tra
nspo
rte
s
Ma
nufa
tura
Te
lecom
un
icaçõe
s
Te
cno
logia
Com
érc
io
Saú
de
Edu
ca
ção
Fin
ance
iro
Gove
rno
Ind
ústr
ia
Serv
iços
1% 1% 2% 2% 3% 4% 4%7% 8%
11%15%
42%+Maduras em relação ao tema:
•Governo (10,7%);
•Indústria (14,8%) e
•Serviços (41,8%).
Quem respondeu a pesquisa?
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Perfil das empresas e respondentes
27,9% Faturam mais de US$ 100 milhões;
51,6% + 1.000 colaboradores;
32,7% Gerentes e Diretores;
85,2% estão envolvidos na tomada de DECISÃO;
46,72% atuam há mais de 5 anos com SI
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Sua empresa possui um Sistema de Gestão
de Segurança da Informação (SGSI)
11.48%
24.59%
27.87%
36.07%
Sim (aprovado pela TI) Não. Informalmente Sim (aprovado pelaAlta Direção)
52,46%são informais
ou
não existem!
SGSI
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Há quanto tempo um SGSI foi
estabelecido na empresa?
Motivadores
35,25% alinhamento
com as melhores práticas,
5,74% buscam a ISO
27001
40,38% das empresas
participantes possuem a GSI
com foco em TODA A
EMPRESA18.85%
35.25%
8.20%5.74%
31.97%
menos de 1ano
de 1 a 5anos
de 5 a 10anos
mais de 10anos
Não possui
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Tempo de Casa X Tempo de S.I.
A maior parte das equipes tem menos de 5 anos e é formada por
profissionais que tem tempo médio de casa de 5 anos.
18.85%
42.62%
22.95%
15.57%
menos de 1ano
entre 1 e 5anos
entre 5 e 10anos
mais de 10anos
4.10%
38.52%
30.33%
16.39%
10.66%
menos de 1anos
de 1 a 5anos
de 5 a 10anos
mais de 10anos
Não atuacom S.I
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“A Alta Direção deve
demonstrar sua liderança
e comprometimento em
relação ao SGSI”Fonte: ISO 27002
Das empresas entrevistadas apenas 36,07%tiveram sua GSI aprovadas pela Alta Direção.
Em 53,46% a GSI não foi aprovada ou é
informal e ainda parte de TI.
Sim61.48%
Não10.66%
Razoavelmente27.87%
Participação da Alta Administração
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Qual a área atualmente
responsável nas empresas?
Segurança da
Informação
1%
1%
2%
2%
2%
2%
3%
11%
11%
65%
Auditoria
Recursos Humanos
Jurídico
Finanças
Operações
Segurança Patrimonial
Segurança da Informação
Não possuímos uma área responsável
Presidência / Alta Direção
Tecnologia
Pessoas
Processos
Tecnologia TI domina com
ampla margem
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“A Alta Direção deve assegurar que as responsabilidades e autoridades
dos papéis relevantes para a segurança da informação sejam atribuídos
e comunicados”. Fonte: ISO 27002
0.82%
0.82%
1.64%
1.64%
2.46%
3.28%
4.10%
4.10%
4.92%
6.56%
30.33%
39.34%
Finanças
Segurança Patrimonial
Jurídico
Recursos Humanos
Outro
Operações
GRC
Segurança da Informação
Negócios
Auditoria
Alta Direção
Tecnologia
Qual a área os pesquisados
acreditam que deveria ser
responsável?
Segurança da
Informação
Segurança ainda é
vista como uma
disciplina
primariamente de
tecnologia!
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Avaliação da confiança
4,92% não confiam nas leis e
regulamentos que afetam a segurança
da informação.
5,74% não confiam na capacidade
organizacional atual para contramedidas
para prevenção/proteção contra
incidentes de segurança.
8,20% não confiam na área de
segurança da informação para evitar ou
tratar ataque cibernético de origem
interna ou externa.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Investimentos em segurança
mais de 10% de 1 a 5milhões de
Reais
mais de 5milhões de
Reais
de 5 a 10%do
faturamento
de 500 a 1milhão de
Reais
de 3 a 5% dofaturamento
até 500 milReais
até 3% dofaturamento
N/A
1.6%3.3%
4.1% 4.9% 4.9%6.6%
9.8%
27.0%
37.7%37,7% não realizam previsões de investimentos relacionados ao tema.
68,03% dos participantes não acredita que o percentual investido em
segurança da informação seja o ideal para a sua organização.
+ 85% considera que o principal fator crítico para a segurança da informação está
contido nos temas: Capacitação e mudança de Cultura
Organizacional.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Os incidentes de mais frequentes
Mais de 40% das falhas relacionadas à
segurança da informação não está associada à
tecnologias, mas sim em torno de pessoas e a
maneira na qual os dados, informações e
sistemas são utilizados nas organizações.Acesso não autorizado (físico)
Guerra Cibernética
Hacktivismo
Investigação (incidentes não confirmados)
Acesso não autorizado (lógico)
Engenharia Social
Negação de Serviço (DoS)
Varredura/Tentativas de Invasão
Falhas em Equipamentos
Códigos Maliciosos
N/A
Perda de Informação
Mal Uso
Vazamento de Informação
0.8%
0.8%
2.5%
3.3%
4.1%
4.1%
5.0%
5.0%
6.6%
9.9%
12.4%
12.4%
16.5%
16.5%
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Certificação ISO 27001Sistema de Gestão de Segurança da Informação (SGSI)
• Redução de custos financeiros relacionados a incidentes de segurança da informação;
• Promove a melhoria continuada nos controles e políticas de segurança da informação;
Benefícios:
53.28%
23.77%
9.84%
7.38%
5.74%
Não possuímos mas temos interesse
Não possuímos e não temos interesse
Não possuímos mas já temos um projeto de certificação em andamento
Possuímos a certificação ISO 27001:2005
Possuímos a certificação ISO 27001:2013
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Política de Segurança da Informação (PSI)
“Prover orientações da Direção e apoio para a segurança da informação de acordo
com os requisitos do negócio e com as leis e regulamentos relevantes”
63.11%
17.21%
19.67%
Sim
Em desenvolvimento
Não
A PSI é o principal ativo estratégico da Alta Direção para definição das diretrizes básicas
de Segurança da Informação.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Competências e
responsabilidades
32% das organizações não definiram papéis e
responsabilidades;
Em 59,84% das organizações a contratação é
utilizada como o momento para comunicação dos
papéis e responsabilidades, embora em 23,77% das
organizações os mesmos não sejam comunicados;
A ação de conscientização mais utilizada (99,99%) é o meio eletrônico (e-mail) enquanto as demais ações
não ultrapassam a marca de 55% de utilização.
Em apenas 39,34% das organizações é utilizado um
processo disciplinar, e apenas 17,21% dos
respondentes acredita que é o mesmo seja seguido
corretamente.
Principais papéis definidos nas organizações
Analista de SI Proprietário deInformação
Usuário deInformação
39.3%
41.0%
41.8%
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Principais certificações dos pesquisados
0.89%
0.89%
0.89%
0.89%
0.89%
0.89%
2.68%
2.68%
2.68%
2.68%
3.57%
4.46%
5.36%
6.25%
6.25%
7.14%
7.14%
8.04%
25.89%
55.36%
57.14%
ABCP (DRII)
Agile Scrum
Integrator Cloud Service
ISMES (EXIN - ISO 27002 Expert)
ITIL Expert
ITMP
CISA (ISACA)
CISM (ISACA)
Green IT
Security +
ITIL Practicioner
CRISC (ISACA)
Certificações Microsoft
CISSP (ISC2)
ISO 20000
ISMAS (EXIN - ISO 27002 Advanced)
PMP (PMI)
Lead Auditor (BSI)
Cobit Foundation (ISACA)
ISFS (EXIN - ISO 27002 Foundation)
ITIL Foundation
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
1
5
9
12
29
76
84
Continuidade de Negócios
Gestão de Riscos
Gerenciamento de Projetos
Auditoria
Governança de TI
Gestão de Serviços de TI
Segurança da Informação
Principais certificações dos pesquisados
Por domínio:
39% 39%
22%
Básico Intermediário Avançado
Apenas 16,96% dos pesquisados ainda não possui nenhum tipo de certificação reconhecida
internacionalmente.
Por nível:
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Gestão Ativos + BYOD
BYOD e Ativos Corporativos
Em 25,41% existe políticas relacionadas ao tema e 46,72% das
organizações permitem acesso aos em dispositivos pessoais.
Mesmo nas organizações em que não é permitido o acesso aos
dados, 45,90% dos entrevistados acreditam que seja possível o
acesso.
Sua empresa faz uso de dispositivos móveis no
ambiente de trabalho?
3.3%
36.9%
59.8%
Não
Apenas dispositivos Corporativos
Dispositivos Corporativos e Pessoais
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Controles de Segurança
da Informação
Vazamento de informaçõesOs controles mais utilizados contra vazamento de informação são a
conscientização (57,02%) e a
criptografia (44,63%);
Acesso lógico
28,10% das organizações não adotam controles de gestão de
acesso, enquanto que
33,88% utilizam trilhas de auditoria e revisão manual;
Acesso físico
10,74% não utilizam controles de acesso físico.
Proteção contra Códigos maliciosos,
vírus, vermes...
57,02% disseminados nos principais ambientes;
31,40% Completamente disseminados;4,96% apenas em ambientes críticos
6,61% não usam
Cópias de Segurança (Backup) e Restauração
23,97% acreditam que irão proteger a organização em
caso de falhas nos ambientes produtivos.
48,76% armazenamento em locais fora do escritório,
16,53% realizam seus backups em nuvem privada.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“Responsabilidades e procedimentos
devem ser estabelecidos para assegurar
respostas rápidas e efetivas aos
incidentes de SI”ISO 27001:2013
Impactos mais severos segundo osrespondentes:
Gestão de Incidentes
35.54%
25.62%
13.22%
Operacionais Marca/Reputação Financeiros
Das empresas entrevistadas apenas 36,36%possui um processo formal para gestão de
incidentes de SI.
A frequência na qual os incidentes são relatados é
baixa 56,20%.
Mais de 50% dos entrevistados considera mais
severo o impacto operacional dos incidentes,
embora 54,55% não saiba informar como é
considerado o impacto financeiro.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Continuidade de
negócios
55,46% das organizações afirma
possuir um plano de continuidade, e
42,86% considera em seu plano
pessoas, processos e tecnologia
52,10% das organizações não realizam
testes de seus planos. 19,33% (maior
índice de testes) realiza anualmente.
Mais de 35% não possuem local
alternativo para recuperação.
47,90% das organizações
contemplam aspectos de segurança
da informação em seus planos de
continuidade de negócio;
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Análise de vulnerabilidade
“O objetivo da Análise de vulnerabilidade é reduzir o risco em relação aos incidentes de segurança, seja tanto na rede interna quanto na
externa, é necessário detectar essas possíveis falhas e corrigi-las para garantir que a rede esteja em um nível de segurança adequada.”
37,8% das empresas não realizam
análise de vulnerabilidade técnica!
2.52%
4.20%
15.13%
15.97%
24.37%
37.82%
Não soubeinformar
Bienal
Anual
Semestral
Mensal
Não Realiza
Quando realizadas, as mesmas são concretizadas por
equipe interna em 46,22% das vezes.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“As organizações
devem conduzir
auditorias a
intervalos
planejados para
prover
informações
sobre o quanto a
gestão de
segurança
encontra-se em
conformidade e
está sendo
mantida.”
Bienal Mensal Semestral Anual Não é realizada
4.2% 5.0%
20.2%
23.5%
47.1%
Auditorias internas para S.I.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Pensamentos e Conclusões
Das instituições respondentes:
• 64% NÃO possui Gestão de Segurança
• 38% NÃO fazem Investimentos em Segurança
• 64% NÃO fazem Gestão de Incidentes
• 50% dos incidentes Não são tecnologia
Como vamos mudar isso?
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Pensamentos e Conclusões
Segurança
da
Informação
Políticas
Visão
holística é
essencial!
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Pensamentos e Conclusões
Confidencialidade
Integridade Disponibilidade
Segurançada
Informação
Pessoas Processos Tecnologia
Operacional
Tático
Estratégico
Segurança da
Informação em
todos os níveis
hierárquicos
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Perguntas?
Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para
digitar) ou do hands on (para pedir acesso e perguntar diretamente ao
palestrante.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Obrigado!
Milena Andrade
Regional Manager
www.exin.com
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Acesso ao material
• Vamos Vamos disponibilizar o link com Cópia desta apresentação +
Certificado de Participação para todos que responderem nossa pesquisa de
satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato
ao de desconectar da sessão ao final da apresentação).
• Você também pode acessar nosso canal do YouTube e Slide Share para ter
acesso a todas as apresentações realizadas em 2012 e 2013.
• Mais Informações?