Brasil: O investimento proativo em segurança pode evitar perdas e sustentar o crescimento

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 14

White Paper

Brasil: o investimento proativo em segurança pode evitar perdas e sustentar o crescimento

O Brasil atualmente enfrenta um conjunto de desafios econômicos e políticos que podem minar sua posição como a oitava maior economia do mundo. Esses desafios também podem prejudicar a capacidade do país de continuar seu investimento em modernização. Grandes cidades como Rio de Janeiro e São Paulo costumam receber investimentos prioritários, mas algumas áreas carecem até mesmo de infraestrutura básica.

Tendo em conta os desafios da conexão de um país tão grande, não é de estranhar que muitas empresas brasileiras ainda são inexperientes quando se trata de segurança digital. Elas parecem ter uma abordagem reativa e empregam menos defesas do que outros países. No entanto, a segurança física é constantemente discutida.

O crime digital no Brasil aumentou 197% em um único ano, de 2013 a 2014.1 Em resposta, as empresas brasileiras precisam mudar a abordagem à segurança de TI e considerá-la uma prioridade tão alta quanto a segurança física. É necessário pensar de modo mais estratégico a respeito da segurança, o que inclui vê-la como um facilitador do crescimento empresarial.

Principais constatações Neste artigo, os especialistas da Cisco analisam os recursos de segurança de TI das empresas no Brasil com dados do Estudo comparativo de recursos de segurança da Cisco de 2014.2 Nós descobrimos que:

● As empresas no Brasil usam menos defesas contra ameaças do que as empresas de outros países, tanto em termos gerais como na nuvem. Elas também adotam menos processos para analisar comprometimentos, eliminar causas e restaurar os sistemas afetados. O Brasil também está atrasado no uso de políticas padronizadas, como a ISO 27001.

1 "Onda de crimes praticados por hackers cresceu 197% no Brasil em um ano", Globo.com, 16 de agosto de 2015, http://oglobo.globo.com/sociedade/tecnologia/onda-de-crimes-praticados-por-hackers-cresceu-197-no-brasil-em-um-ano-17197361. 2 Para obter mais informações sobre o estudo e sobre outros white papers desta série, consulte as seções finais deste documento.

http://oglobo.globo.com/sociedade/tecnologia/onda-de-crimes-praticados-por-hackers-cresceu-197-no-brasil-em-um-ano-17197361


● Dois terços das equipes de segurança de empresas que sofreram violações públicas no Brasil dizem acreditar que as empresas onde trabalham contam com a infraestrutura mais atualizada. Por outro lado, apenas cerca de metade dessas empresas poderia ser incluída em um nível "médio-alto" ou "alto" de sofisticação de segurança.

● No Brasil, a dependência de terceiros para monitoramento e auditoria de segurança é maior do que em outros países. A falta de profissionais de segurança de TI qualificados e os desafios gerais de contratação no país são fatores prováveis nessa tendência.

● As empresas no Brasil que incluímos em níveis altos de sofisticação de segurança compartilham várias características. Elas contam com a confiança de parte da equipe de segurança de que suas instalações de informática estão bem protegidas e de que os controles de segurança técnica em sistemas e redes são bem gerenciados.

O panorama desafiador e as percepções culturais podem influenciar a decisão de segurança Os desafios econômicos e políticos recentes não são as únicas dificuldades de fazer negócios no Brasil. Burocracia, leis trabalhistas rígidas e altos impostos são algumas das complicações enfrentadas por empresas locais e investidores estrangeiros. Para manter seu desenvolvimento econômico, o Brasil precisa se tornar um lugar para fazer negócios de maneira mais simples.

A tecnologia pode ajudar a aperfeiçoar o país em muitos níveis, do transporte às comunicações. Mas a implementação da tecnologia moderna em 27 estados e uma área de aproximadamente 8,5 milhões de quilômetros quadrados é lenta e desigual. Grandes cidades como Rio de Janeiro e São Paulo costumam receber investimento de tier um, mas algumas áreas carecem de eletricidade e de outros itens de infraestrutura básica. A contínua expansão da digitalização em todo o país depende de conectividade.

Com tantas disparidades e com a falta de tecnologia básica em muitas áreas do país, a baixa sofisticação da segurança no Brasil não causa surpresas. As restrições orçamentárias e as políticas de aquisição fazem o governo brasileiro voltar-se para a aquisição de soluções de segurança a um baixo custo. Mas o baixo custo não significa que a tecnologia é eficaz. O governo também favorece o uso de software de código aberto, cuja correção de falhas e atualizações pode ser um desafio. A abordagem de priorizar o baixo custo em detrimento da funcionalidade pode tornar as empresas vulneráveis. Cidades menores sofrem ainda mais com a falta de recursos.

Um exemplo foi um ataque de ransomware em Pratânia, uma pequena cidade de 5.000 habitantes no estado de São Paulo. Os hackers criptografaram o sistema da cidade e pediram um resgate de US$ 3.000, que a cidade não pagou. Logo, o sistema sofreu danos irreversíveis e perdeu todos os dados.3 Outra cidade pequena no mesmo estado, Japorã, foi vítima duas vezes.4

Esses casos não são isolados. Ambos os setores público e privado são alvos, assim como os cidadãos. Na verdade, o crime digital no Brasil aumentou 197% de 2013 a 2014. A maioria das empresas no país não parece estar preparada para enfrentar essas ameaças.

3 "Hackers invadem e bloqueiam sistema interno da Prefeitura de Pratânia", G1, 4 de setembro de 2015, http://g1.globo.com/sp/bauru-marilia/noticia/2015/09/hackers-bloqueiam-sistema-interno-da-prefeitura-de-pratania.html. 4 "Hackers invadem computadores e celulares e sequestram dados", G1, 25 de outubro de 2015, http://g1.globo.com/fantastico/noticia/2015/10/hackers-invadem-computadores-e-celulares-e-sequestram-dados.html.

http://g1.globo.com/sp/bauru-marilia/noticia/2015/09/hackers-bloqueiam-sistema-interno-da-prefeitura-de-pratania.html

http://g1.globo.com/fantastico/noticia/2015/10/hackers-invadem-computadores-e-celulares-e-sequestram-dados.html


As empresas estão atrasadas no uso de defesas de segurança, inclusive soluções em nuvem As empresas brasileiras parecem usar menos defesas de segurança do que as empresas que pesquisamos em outros países (Figura 1). Observamos lacunas consideráveis na utilização de soluções seguras sem fio e de autenticação. Aparentemente, as empresas neste país não estão investindo tanto em segurança quanto outros países. Esse atraso pode ser causado por uma combinação dos desafios econômicos recentes e de uma prioridade mais baixa em relação à segurança. Além disso, o Brasil não dispõe de leis que obriguem a divulgação de violações de dados, logo as empresas podem ter menos incentivos para investir em segurança.

No entanto, as empresas no Brasil registram uma maior utilização de soluções de computação forense de rede. Quase metade (49%) das empresas afirma empregar essa defesa de segurança, em comparação com 41% das empresas nos outros países analisados. Uma possível explicação para esse último número é que o Brasil tem alguns provedores de rede de operadoras bem estabelecidos, que poderiam estar consumindo esses serviços.

Figura 1. Percentuais de empresas que usam várias defesas contra ameaças


O uso de defesas contra ameaças em nuvem no Brasil também é baixo. Ele está em um nível semelhante ou mais baixo do que o de outros países (Figura 2). O teste de penetração é a única categoria na qual as empresas brasileiras parecem superar ligeiramente as empresas em outros países: 23% das empresas brasileiras afirmam usar tecnologia em nuvem para essa tarefa, em comparação com 19% das empresas fora do Brasil.

Figura 2. Percentuais de empresas que usam várias defesas de segurança na nuvem

Além disso, as empresas brasileiras parecem empregar menos processos de segurança para analisar sistemas comprometidos. É importante observar que menos da metade (45%) das empresas brasileiras afirmam usar logs de firewall, em comparação com 63% das empresas fora do Brasil. E apenas 29% das empresas no Brasil contam com equipes externas para análise, em comparação com 38% das empresas estrangeiras.

Há algumas exceções, como mostra a Figura 3. O uso de computação forense de disco, computação forense de memória e análise de registro é maior no Brasil do que em outros países. A computação forense de disco mostra um percentual consideravelmente maior: 50% no Brasil, em comparação com 38% em outros países. Segundo nossos especialistas, as empresas no Brasil adotam essas soluções para analisar e corrigir falhas localmente no endpoint como uma resposta a danos.


Figura 3. Percentuais de empresas que usam processos específicos para analisar sistemas comprometidos

As empresas no Brasil também usam menos processos, em geral, para eliminar as causas de incidentes de

segurança do que as empresas em outros países (Figura 4). Em particular, elas parecem ser muito menos

propensas a usar processos como atualizações de políticas e quarentena ou remoção de aplicativos mal-

intencionados. O monitoramento adicional é o único processo usado com mais frequência por empresas

brasileiras do que por empresas estrangeiras: 57% contra 51%.

Análise de disco

Análise de memória

Análise do Registro

Análise de fluxo de rede

Detecção de IOCs

Análise de captura do pacote

completo

Análise de log do sistema

Análise de regressão de arquivo ou

malware

Análise de log/evento correlacionado

Equipes de análise/resposta a

incidentes externas (ou terceirizadas)

Log de firewall

Brasil

Outros


Figura 4. Percentuais de empresas que usam processos específicos para eliminar as causas de incidentes de segurança

As empresas brasileiras tendem a ser mais reativas do que proativas em relação à segurança. Elas normalmente dependem de recursos externos quando têm um problema e precisam restaurar sistemas. Essa abordagem sugere uma falta de sintonia entre as equipes de segurança e o gerenciamento de riscos. A análise de risco ajudaria as empresas a entender o possível impacto de uma violação e incentivaria o investimento antecipado.

Em comparação com empresas fora do país, as empresas brasileiras parecem estar mais propensas a usar restauração da Gold Image para restaurar os níveis pré-incidente dos sistemas afetados (Figura 5). Elas também relatam um uso um pouco maior de correção de falhas e atualização de aplicativos considerados vulneráveis, o que pode estar ligado ao maior uso de software de código aberto em todo o Brasil. O Brasil está um pouco atrás de outros países no uso de outros tipos de processos líderes para restauração de sistemas.

Figura 5. Percentuais de empresas que usam processos selecionados para restaurar os níveis pré-incidente dos sistemas afetados

Em geral, muitas empresas no Brasil não descrevem sistematicamente seus processos com antecedência nem gastam muitos recursos na coleta de inteligência para aperfeiçoar o planejamento para futuros incidentes. Essa é uma área na qual as empresas brasileiras devem se concentrar.


A abordagem reativa dos brasileiros também pode estar por trás da baixa adoção de políticas padronizadas. Menos da metade (43%) das empresas brasileiras segue uma prática padronizada de política de segurança da informação, como a ISO 27001, em comparação com mais da metade (54%) das empresas de outros países. Como não é obrigatório seguir práticas padronizadas de segurança da informação, as empresas com recursos limitados no Brasil podem simplesmente optar por não fazer o investimento. Elas podem não ter uma compreensão de como essas políticas podem ajudá-las a reforçar seus recursos.

Em comparação com empresas de outros países, as empresas brasileiras dependem muito mais de terceiros para tarefas como monitoramento de segurança e auditoria (Figura 6). Sua dependência de recursos externos provavelmente deve-se à falta de talentos de TI qualificados disponíveis para contratação no país.

Figura 6. Percentuais de empresas que terceirizam as tarefas de segurança

No entanto, também observamos que as empresas brasileiras parecem menos propensas a avaliar o desempenho dos terceiros que realizam seus serviços de monitoramento de segurança. Algumas podem erroneamente pressupor que, ao terceirizarem serviços, estão transferindo a responsabilidade a terceiros. É importante salientar que não é assim. As empresas são responsáveis por sua segurança, independentemente de gerenciá-la internamente ou terceirizá-la.

A terceirização pode ser uma ótima maneira de aumentar a segurança, mas as empresas ainda devem investir no monitoramento do desempenho.

As empresas que sofreram violações públicas no Brasil usam menos defesas de segurança As empresas no Brasil que sofreram uma violação pública usam menos ferramentas de prevenção de perda de dados, autenticação, controle de acesso e criptografia do que as empresas brasileiras que não sofreram uma violação pública (Figura 7). Por exemplo, embora 61% das empresas no Brasil que ainda não passaram por uma violação pública afirmam usar tecnologia de prevenção de perda de dados, menos da metade (45%) das empresas que sofreram violações públicas fazem o mesmo.

Uma das exceções parece ser um maior uso de defesa contra DDoS por empresas que sofreram violações públicas. Uma possível explicação para essa descoberta específica é a natureza dos ataques de DDoS. Muitos desses ataques tendem a interromper os serviços voltados ao público. Depois de ser exposta a críticas após uma violação, as empresas brasileiras podem investir mais nessa solução.


Figura 7. Percentuais de empresas que usam várias defesas de segurança: violação pública contra nenhuma violação pública

Por outro lado, observamos que as empresas no Brasil que sofreram violações públicas usam mais defesas de segurança na nuvem, inclusive soluções para varredura de vulnerabilidades, autenticação e outras tarefas (Figura 8). Uma possível razão: a implantação de soluções em nuvem é normalmente mais rápida.


Figura 8. Percentuais de empresas que usam várias defesas de segurança na nuvem: violação pública contra nenhuma violação pública

Apesar das diferenças no uso de defesas de segurança, as empresas brasileiras que foram expostas a uma violação pública parecem em posição semelhante às empresas que não sofreram violações públicas em termos dos processos usados para analisar os danos, eliminar as causas e restaurar os sistemas afetados. Como mostra a Figura 9, no entanto, o primeiro grupo relata um uso ligeiramente maior de processos, como detecção de indicadores de comprometimento (IOC) e computação forense de memória.


Figura 9. Percentuais de empresas que usam processos selecionados para analisar sistemas comprometidos: violação pública contra nenhuma violação pública

Para eliminar as causas de incidentes de segurança, as empresas brasileiras que foram expostas a uma violação

pública relatam um maior uso do desenvolvimento de correções a longo prazo do que as empresas que não

sofreram violações públicas: 53% contra 32%, respectivamente (Figura 10). As empresas que sofreram violações

públicas no Brasil também relatam um maior uso de processos como monitoramento adicional, atualizações de

política e quarentena ou remoção de aplicativos mal-intencionados. A experiência impactante de uma violação

pública provavelmente coloca o foco dessas empresas na tomada de medidas para evitar futuros incidentes.

Curiosamente, enquanto as equipes de segurança em dois terços (67%) das empresas que sofreram violações

públicas no Brasil afirmam acreditar que suas empresas contam com a infraestrutura mais atualizada,

descobrimos que apenas cerca de metade (56%) dessas mesmas empresas poderiam ser incluídas em nível

"médio-alto" ou "alto" de sofisticação de segurança. Essa constatação sugere que algumas dessas empresas

que sofreram violações públicas podem confiar excessivamente em sua infraestrutura.

Análise de disco

Análise de memória

Detecção de IOCs

Análise do Registro

Análise de log do sistema

Análise de fluxo de rede

Log de firewall

Análise de regressão de arquivo ou malware

Equipes de análise/resposta a incidentes externas (ou terceirizadas)

Análise de log/evento correlacionado

Análise de captura do pacote completo

Violação pública

Inexistência de violação pública


Figura 10. Percentuais de empresas que usam processos selecionados para eliminar as causas de incidentes de segurança: violação pública contra nenhuma violação pública

Recomendações para aumentar a segurança As empresas brasileiras têm uma clara oportunidade de aperfeiçoar suas defesas e práticas de segurança. Nossos resultados sugerem que as empresas no Brasil implementam menos ferramentas e processos e adotam menos políticas padronizadas do que as empresas em outros países. Mesmo quando afetadas por uma violação pública, as empresas brasileiras não parecem investir muito mais em suas ferramentas, embora seja possível ver algumas melhorias em seus processos.

No entanto, mais empresas no Brasil do que em outros países que analisamos expressam uma forte confiança de que contam com bons sistemas para verificar a ocorrência de incidentes de segurança e de que suas ferramentas são eficazes na aplicação de políticas de segurança (Figura 11).

Essa alta confiança em seus sistemas e ferramentas pode ser um equívoco. Também pode indicar uma falta de compreensão sobre quais processos e equipes são necessários para ajudar a garantir uma forte segurança de TI para a empresa.


Figura 11. Empresas brasileiras expressam forte confiança em sistemas e ferramentas

As empresas brasileiras devem observar as características compartilhadas por empresas com altos níveis de maturidade da segurança:

● Três quartos das empresas altamente sofisticadas concordam fortemente que seguem uma prática de resposta a incidentes, como RFC2350, ISO/IEC 27035:2011 ou US Cert. Menos de 40% das empresas menos sofisticadas afirmaram seguir essas práticas.

● Das empresas altamente sofisticadas no Brasil, 85% expressam forte confiança de que suas instalações de informática estão bem protegidas. Esse número é consideravelmente maior do que nas empresas menos sofisticadas (50%).

● Da mesma forma, 89% das empresas altamente sofisticadas concordam expressamente que seus controles de segurança técnica em sistemas e redes são bem gerenciados. Isso se compara com apenas 50% das empresas menos sofisticadas.

● Além disso, 79% das empresas altamente sofisticadas sentem que fazem um bom trabalho na criação da segurança em sistemas e aplicativos. Esse número cai para 42% entre as empresas menos sofisticadas.

Além de emular as principais características das empresas mais maduras, as empresas no Brasil devem considerar tomar as seguintes medidas para aperfeiçoar a postura de segurança geral:

● Esforçar-se para se tornarem mais proativas na abordagem ao reforço das defesas. Uma violação da segurança, especialmente uma que provoque críticas da população, não deve ser o impulso para aperfeiçoar as práticas de segurança de TI. Além disso, se a empresa sofrer uma violação, a normalização dos sistemas não deve ser o único foco. A empresa também deve analisar a ocorrência e tomar medidas que possam ajudar a evitar incidentes semelhantes no futuro.

● A segurança de TI deve se tornar uma prioridade tão alta quanto a segurança física. As empresas brasileiras e até mesmo as residências investem muito em segurança física sofisticada, especialmente nas capitais. Desde guardas a câmeras, detectores de metal e controle de acesso, muito esforço é empregado para deter criminosos e proteger pertences. No entanto, muitas empresas no Brasil subestimam as habilidades dos hackers. Os criminosos digitais podem roubar dados valiosos e até mesmo dinheiro, sem nunca entrar nas instalações. Eles também podem realizar ataques que podem causar tantos danos à empresa quanto uma invasão física — ou até mais.


● É preciso pensar mais estrategicamente na segurança de TI e vê-la como um facilitador do crescimento empresarial. Restrições orçamentárias podem ser uma barreira, mas pode ser mais econômico fazer os investimentos necessários com antecedência em tecnologia, pessoal e políticas do que reparar os danos mais tarde. Além disso, pode ser difícil reverter os danos que não são materiais, como o impacto na marca e na reputação. E se o dano se estende aos clientes, a empresa também pode ser responsabilizada por suas perdas.

Saiba mais Para aprender como se tornar mais resistente a novos ataques e competir com mais segurança na era digital, baixe o Relatório Anual de Segurança 2016 em http://www.cisco.com/go/asr2016.

Para saber mais sobre o amplo portfólio avançado de proteção contra ameaças de produtos e soluções da Cisco, visite http://www.cisco.com/web/BR/produtos/security/index.html.

Sobre o estudo comparativo de recursos de segurança da Cisco de 2014 O estudo comparativo de recursos de segurança da Cisco de 2014 examina os defensores em três dimensões: recursos, habilidades e sofisticação. O estudo inclui empresas em diversos setores, em nove países.

No total, foram entrevistados mais de 1.700 profissionais de segurança, inclusive diretores executivos de segurança da informação (CISOs) e gerentes de operações de segurança (SecOps). Entrevistamos profissionais nos seguintes países: Austrália, Brasil, China, Alemanha, Índia, Itália, Japão, Reino Unido e Estados Unidos. Os países foram selecionados por sua importância econômica e diversidade geográfica.

Este white paper foi escrito com base nos dados do Estudo Comparativo de Recursos de Segurança 2014, publicado originalmente no Relatório Anual de Segurança 2015. Para ler o relatório completo, visite http://www.cisco.com/web/BR/offers/lp/2015-annual-security-report/index.html.

Uma versão mais recente do estudo está disponível no Relatório Anual de Segurança 2016.

Sobre esta série de white papers

Uma equipe de especialistas em setores e países na Cisco analisou o Estudo comparativo de recursos de segurança da Cisco de 2014. Eles oferecem uma visão sobre o panorama da segurança em nove países e seis setores (serviços financeiros, governo, serviços de saúde, telecomunicações, transporte e serviços públicos). Os white papers desta série analisam o nível de maturidade e sofisticação dos participantes da pesquisa e identificam os elementos comuns que indicam níveis mais elevados de sofisticação da segurança. Esse processo ajudou a contextualizar as conclusões do estudo e colocou em perspectiva os tópicos relevantes de cada setor e mercado.

Sobre a Cisco A Cisco oferece segurança digital inteligente para o mundo real, proporcionando uma das abordagens mais amplas e operacionalizadas do setor à segurança, reduz a complexidade e a fragmentação, ao mesmo tempo em que oferece maior visibilidade, controle constante e proteção avançada contra ameaças antes, durante e depois de um ataque.

Os pesquisadores de ameaças do ecossistema da Inteligência de segurança coletiva (CSI) reúnem, em uma mesma área, a inteligência de ameaças líder do setor, usando a telemetria obtida da ampla variedade de dispositivos e sensores, de feeds públicos e privados e da comunidade de código aberto da Cisco.

http://www.cisco.com/go/asr2016

http://www.cisco.com/web/BR/produtos/security/index.html

http://www.cisco.com/web/BR/offers/lp/2015-annual-security-report/index.html


Essa inteligência equivale à entrada diária de bilhões de solicitações da Web e milhões de e-mails, amostras de malware e invasões de rede. Nossa infraestrutura e nossos sistemas sofisticados consomem essa telemetria, capacitando pesquisadores e sistemas de aprendizado em máquina a monitorar ameaças em redes, data centers, endpoints, dispositivos móveis, sistemas virtuais, Web, e-mail e na nuvem, a fim de identificar as causas iniciais e o escopo de ataques. A inteligência resultante é convertida em proteções em tempo real para nossas ofertas de produtos e serviços, que são fornecidos de imediato para clientes da Cisco no mundo inteiro.

O ecossistema CSI é composto de vários grupos com estatutos distintos: Talos, Security and Trust Organization, Análise ativa de ameaças e Operações de pesquisa e segurança.

Para obter mais informações sobre a abordagem de segurança focada em ameaças da Cisco, visite http://www.cisco.com/web/BR/produtos/security/benefits.html.

Impresso nos EUA 12/15

http://www.cisco.com/web/BR/produtos/security/benefits.html

http://www.cisco.com/go/offices

http://www.cisco.com/go/trademarks

Technology

Brasil: O investimento proativo em segurança pode evitar perdas e sustentar o crescimento