o caminho para a ciber-resiliência - eyfile/giss_2016_report... · resistir a algo novo e mais...

O caminho para a ciber-resiliênciaPercepção, resistência, reação

19ª Pesquisa Global de Segurança da Informação da EY 2016-17

2

Boas-vindas ......................................... 3

O estado da ciber-resiliência .................. 4

Percepção ............................................ 8

Resistência ........................................ 12

Reação ............................................... 17

Principais características de um empreendimento ciber-resiliente ........ 23

Metodologia da pesquisa ..................... 24

Quer saber mais? ................................ 26

Índice

| 19ª Pesquisa Global de Segurança da Informação da EY 2016-17

3

Toda vez que falo para conselhos de administração, executivos e CIOs, há sempre muito a ser dito sobre a cibersegurança.

A nossa cibersegurança está funcionando, e estamos fazendo as coisas certas? Os executivos e conselheiros atentam para ter um orçamento grande o suficiente, uma equipe com as competências corretas e as mais modernas tecnologias e, acima de tudo, realmente se preocupam em sofrer um ataque cibernético, apesar de todos seus esforços para evitá-los. A verdade é que todo mundo precisa de ajuda. Como estamos todos enfrentando o mesmo “inimigo comum”, quanto mais compartilharmos nossas preocupações

e experiências, nossos sucessos e fracassos, e quanto mais colaborarmos na busca de respostas, mais aprenderemos, e juntos estaremos mais bem protegidos.

Há algumas coisas que sabemos com certeza. A cibersegurança é uma responsabilidade compartilhada por toda a organização.

É preciso que o conselho de administração apoie os esforços que estejam sendo feitos, e que cada funcionário saiba como se manter longe de problemas e não abra um e-mail com phishing nem perca seu dispositivo móvel. Mas, mesmo com tudo isso, você se sente totalmente confiante?

Ninguém gosta de admitir, mas provavelmente não. Porque se há outra coisa que você sabe é que o diabo mora nos detalhes.

E, quando você pensa na cibersegurança que é necessária em todo o seu ecossistema, há detalhes que não acabam mais.

Neste relatório, abordamos os resultados da nossa mais recente Pesquisa Global de Segurança da Informação. Ao olhar as respostas dos 1.735 CIOs, CISOs e outros executivos que generosamente compartilharam suas informações, podemos ver em que ponto se encontram as organizações em termos de força e maturidade de suas competências de cibersegurança, e acreditamos que haja algumas coisas muito específicas que as organizações podem fazer.

• Em primeiro lugar, aguce os sentidos. Você consegue ver o ciberagressor aproximando-se do seu perímetro? Você ainda tem um perímetro? Se alguém estivesse começando a enfraquecer as suas defesas – ou lançando um ataque contra elas –, você saberia? Você conseguiria ver um agressor escondido numa parte remota da sua rede?

• Em segundo lugar, atualize a resistência a ataques. E se o ataque fosse feito usando uma técnica nova e mais sofisticada, que você desconhece? As suas defesas conseguiriam resistir a algo novo e mais poderoso?

• Em terceiro lugar, reaja melhor. Na hipótese de um ciberataque, qual é o plano da organização e qual é o seu papel nele? Você vai focar no reparo rápido de danos ou vai coletar provas meticulosamente para as autoridades policiais? O que você fará primeiro?

Há muitos aspectos positivos. Progredimos bastante num curto espaço de tempo e estamos fazendo um bom trabalho. Mas precisamos continuar sendo melhores do que as ameaças que se renovam constantemente. Por isso, embora as três partes deste relatório – Percepção, Resistência e Reação – possam proporcionar algum material para ser usado na sua organização, também deveríamos permanecer conectados, a fim de poder compartilhar e aprender. Vamos continuar nos ajudando mutuamente.

Paul van KesselLíder global de Consultoria de Cibersegurança da EY [email protected]

Boas-vindas

19ª Pesquisa Global de Segurança da Informação da EY 2016-17 |

4 | 19ª Pesquisa Global de Segurança da Informação da EY 2016-17

O estado da ciber-resiliência

Ciber-resiliência ou ciberagilidade?


PercepçãoPercepção é a capacidade das organizações de prever e detectar ciberameaças. As organizações precisam usar a inteligência sobre ciberameaças e medidas de defesa ativa para prever quais ameaças ou ataques estão vindo em sua direção e detectá-los quando eles estiverem vindo, antes que sejam bem-sucedidos. Elas precisam saber o que vai acontecer, e precisam de inteligência analítica sofisticada para receber um alerta antecipado quanto a um risco de disrupção.

ResistênciaOs mecanismos de resistência formam basicamente o escudo de defesa corporativa (corporate shield). Isso começa com o nível de riscos que a organização está preparada para enfrentar em todo o seu ecossistema, seguido pelo estabelecimento de três linhas de defesa:

1. Primeira: Executar medidas de controle nas operações do dia a dia.

2. Segunda: Implementar funções de monitoramento, como controles internos, departamento jurídico, gestão de riscos e cibersegurança.

3. Terceira: Usar um forte departamento interno de auditoria.

ReaçãoCaso a Percepção não funcione (a organização não viu a ameaça chegar) e haja uma falha na Resistência (as medidas de controle não eram fortes o suficiente), as organizações precisam estar preparadas para lidar com a disrupção e gerenciar a crise, além de contar com pronta capacidade de resposta a incidentes. Elas também precisam estar preparadas para preservar provas de maneira segura do ponto de vista forense e, em seguida, investigar a violação, a fim de satisfazer partes interessadas cruciais, como clientes, reguladores, investidores, autoridades policiais e o público em geral, qualquer uma das quais poderia mover ações por perdas e danos ou por descumprimento de obrigações. Caso as partes responsáveis sejam identificadas, a organização poderá mover processos contra elas. Finalmente, elas também precisam estar preparadas para reconduzir a organização para a rotina usual de negócios o mais rapidamente possível, aprender com o que aconteceu e adaptar e transformar a organização, a fim de melhorar a ciber-resiliência a partir disso.

A ciber-resiliência é um subconjunto da resiliência de negócios. Ela está focada no nível de resiliência de uma organização a ciberameaças. Antes de entrar em detalhes, vamos primeiro olhar os três componentes de alto nível da ciber-resiliência e em que medida – de modo geral – as organizações estão apresentando um bom desempenho nestas três áreas:

Mainframes Cliente/Servidor

Década de 1970

Década de 1980

Década de 1990

Década de 2000

Década de 2010

• Prontidão para riscos naturais.

• Medidas de respostas físicas, ex.: evacuação e primeiros-socorros.

• Chamada de assistência externa.

• Dependência de poucas tecnologias novas.

• Recuperação de desastres básica em resposta a falhas do sistema.

• Proteção contra vírus desenvolvida.

• Gestão de identidade e acesso.

• Introdução à gestão de riscos em toda a empresa.

• Conformidade regulatória disseminada.

• Foco na continuidade de negócios.

• Avanços em segurança das informações e cibersegurança.

• Mudança para o mundo online.

• Terceirização, ex.: nuvem.

• Conectividade de dispositivos.

• Choques globais (terrorismo, clima, política).

• Resiliência de negócios.

• Internet das Coisas (IoT).

• Infraestrutura crítica.• Ciberataques e

ciberespionagem patrocinados por Estados.

Internet Comércio eletrônico Digital

Todos os dias surgem ameaças de todos os tipos, e as organizações sabem que o cenário de ameaças muda e apresenta novos desafios constantemente. Por isso, ao longo de décadas, elas aprenderam a se defender e a responder melhor, passando de medidas muito básicas e dispersas a processos sofisticados, robustos e formais. Eventos importantes, como o aumento na inovação digital, a expansão de produtos

conectados, a Lei Sarbanes-Oxley, mudanças no ambiente regulatório, crises financeiras repetidas, falhas catastróficas de produtos, ataques terroristas e explosão nos cibercrimes são apenas alguns dos exemplos dos motivos pelos quais as organizações precisavam fazer com que suas medidas de proteção e defesa evoluíssem. Eis uma breve perspectiva desta evolução:


Escudo de defesa corporativa

Percepção

Recuperar Adaptar e transformar

Apetite pelo risco

Três linhas de defesa

Propriedade Intelectual (PI) Receita Reputação

Ativos cruciais

Ameaças

Resistência

Reação

O quadro geralAntes de entrar em maiores detalhes, vamos primeiro falar sobre o status geral da ciber-resiliência. De modo geral, a mensagem é positiva: as organizações estão se movendo na direção certa. Ao longo dos últimos anos e sob pressão de maior regulamentação, as organizações investiram em seus escudos de defesa corporativa. Foram feitos progressos significativos na tomada de medidas para fortalecer esta proteção e, nos últimos dois a três anos, temos

visto as organizações concentrarem-se mais em suas competências de Percepção. A maioria das organizações, contudo, está ficando para trás na preparação de suas reações a uma violação e continua ignorando a frase bastante familiar: “Não é uma questão de ‘se’ você vai sofrer um ciberataque, mas de ‘quando’ (e é bem provável que você já tenha sofrido um ataque deste tipo)”.

Resumimos o quadro geral, e, nas próximas seções deste relatório, vamos falar sobre os componentes da ciber-resiliência com maior detalhamento.

Percepção (Ver ameaças se

aproximando)

Resistência (Escudo de defesa

corporativa)

Reação (Recuperar-se da disrupção)

Onde as organizações colocam suas prioridades? Média Alta Baixa

Onde as organizações fazem seus investimentos? Média Alta Baixa

Envolvimento do Conselho e da Diretoria Baixa Alta Baixa

Qualidade dos relatórios executivos ou do conselho Baixa Média Baixa


Ciber-resiliência ou ciberagilidade?As pessoas que viajam de avião atualmente podem ficar bem impressionadas com modo rápido como as empresas aéreas têm incorporado novas medidas de segurança relacionadas à recarga de energia de smartphones durante os voos. Na área da cibersegurança, há um desejo similar. As organizações gostariam de responder a mudanças o mais rapidamente possível. “Como aumentar a agilidade da minha cibersegurança?” e “Como responder rapidamente ao que está acontecendo no ciberespaço?” são perguntas ouvidas frequentemente.

As organizações querem saber como prever a próxima ameaça, e o que há de “mais quente” disponível para prevenir isso. A inteligência de ciberameaças, a gestão de ciberameaças e os softwares e consultorias relacionados, além da implementação de novas ferramentas, tornaram-se prioridade na maioria das organizações. Tudo com o objetivo de aumentar a ciberagilidade, isto é, a capacidade de reagir a mudanças num cenário de ameaças.

Visar maior ciberagilidade é ótimo, e investir recursos nesta direção é um dinheiro bem gasto. Contudo, a principal pergunta que as organizações devem se fazer é: “Você é ciber-resiliente?” Em outras palavras, a sua capacidade de cibersegurança como um todo é forte o suficiente para mitigar todos os ciber-riscos enfrentados pela empresa? A ciber-resiliência não se limita a ter respostas a novas tecnologias e novas ameaças. Se ela se concentrar apenas em respostas, isto resultará em medidas de segurança improvisadas que não criam uma base estável de que uma capacidade de cibersegurança madura necessita.

Ano após ano, a nossa Pesquisa Global de Segurança da Informação lança um foco de luz nas questões de cibersegurança mais preocupantes para as empresas. Ao longo dos últimos dois anos, 87% dos conselheiros e diretores disseram que não confiam no nível de cibersegurança de suas empresas. Então, ainda há muito a fazer. Atenção à ciberagilidade é fundamental, mas não devemos perder o foco e pensar que a ciberagilidade automaticamente resultará numa resposta positiva para a principal pergunta feita por conselhos e diretorias: “Somos ciber-resilientes?”

dos conselheiros e diretores disseram que não confiam no nível de cibersegurança de suas organizações.

87%


Percepção


Um elevado nível de confiança?As organizações melhoraram significativamente suas competências de Percepção nos últimos anos. Muitas delas estão usando a inteligência de ciberameaças para prever o que elas devem esperar, implementando mecanismos de monitoramento contínuo, como centros operacionais de segurança (SOCs), identificando e administrando vulnerabilidades, e instituindo uma defesa ativa. Elas se tornaram mais confiantes em sua capacidade de prever e detectar ciberataques sofisticados. Neste ano, 50% das organizações consideravam provável conseguir fazer isso. Trata-se do nível de confiança mais elevado que vimos desde 2013.

Porém, contrapondo-se a estes aspectos positivos, há o simples fato de que, segundo a nossa pesquisa, não há muitas organizações prestando atenção ao que hoje em dia deveria ser o básico. Por isso, todos os dias, elas colocam clientes, funcionários, fornecedores e, em última análise, o próprio futuro em situações de risco considerável. Sem dúvida, ainda há muito a fazer. Principalmente no que diz respeito às capacidades básicas de Percepção. E isso pode ser comprovado pelos seguintes resultados da pesquisa deste ano:

• Quarenta e quatro por cento não têm um SOC.

• Sessenta e quatro por cento não têm ou têm apenas um programa informal de inteligência de ameaças.

• Cinquenta e cinco por cento não têm ou têm apenas uma capacidade informal de identificação de vulnerabilidades.

Além destas áreas básicas, há quatro áreas específicas que requerem especial atenção e poderiam forçar uma organização a repensar o que está fazendo.

Uma violação foi detectada, mas parece não ter havido nenhum prejuízo

Das organizações na nossa pesquisa, 62% não aumentariam seus gastos de cibersegurança depois de experimentar uma violação que aparentemente não tivesse causado nenhum prejuízo. Na maioria dos casos, há prejuízos, mas não se consegue encontrar nenhuma prova imediata que sustente esta hipótese. Muitas vezes, cibercriminosos fazem “ataques-teste” ou usam alguma violação como tática diversionária, a fim de desviar a atenção das organizações daquilo que eles estão realmente planejando fazer. Sempre que houver um ataque, as organizações devem partir da premissa de que algum prejuízo ocorreu. E, caso não tenham descoberto isso, elas devem considerar que não descobriram o prejuízo ainda.

Como proteger o seu ecossistema

No nosso mundo digital e conectado, eventos que ocorram nas redes de fornecedores, clientes, organismos governamentais etc. (o ecossistema) podem exercer impacto na própria organização. Esta é uma importante área de risco que, frequentemente, é subestimada, conforme comprovado pelos seguintes resultados:

• 68% dos entrevistados não aumentariam seus gastos com segurança da informação mesmo se um fornecedor fosse atacado – muito embora um fornecedor represente uma rota direta para um ataque à organização.

• 58% não aumentariam seus gastos se um concorrente importante fosse atacado – embora os cibercriminosos gostem de atacar organizações similares em termos de infraestrutura e estrutura operacional e levem consigo o que aprenderam de um ataque bem-sucedido para o próximo.

O sistema sensorial de uma organização é muito mais forte quando os eventos no ecossistema do entorno são levados em conta.

44%não têm um SOC.

64%não têm ou têm apenas um programa informal de inteligência de ameaças.

62%não aumentariam seus gastos de cibersegurança depois de experimentar uma violação que não parecesse causar nenhum prejuízo.


O impacto da Internet das Coisas (IoT)O surgimento da Internet das Coisas e a explosão no número de dispositivos conectados vão colocar mais pressão sobre as capacidades de Percepção de uma organização. A seguir, apresentamos alguns dos desafios que isso cria para as organizações:

• Desafios relacionados ao número de dispositivosAs organizações estão enfrentando dificuldades com o número enorme de dispositivos que farão parte de suas redes muito em breve. Os resultados da nossa pesquisa indicam que 73% estão preocupadas com a baixa conscientização e o comportamento dos usuários ao interagirem com dispositivos móveis. Muitas organizações também estão preocupadas com sua capacidade de conhecer todos seus ativos (46%), como farão para manter esses ativos livres de bugs (43%), como conseguirão consertar vulnerabilidades com rapidez suficiente (43%) e com sua capacidade de administrar o crescimento nos pontos de acesso a suas organizações (35%).

• Desafios relacionados ao tamanho do tráfego de dadosAs organizações duvidam de que continuarão conseguindo identificar tráfego suspeito em suas redes (49%), monitorar quem tem acesso a seus dados (44%) ou descobrir ataques de Zero Day ou desconhecidos (40%).

• Desafios relacionados ao ecossistemaO ecossistema vai crescer substancialmente à medida que a conectividade com outras organizações for se expandindo e o volume de dados trocado nele aumente. Vai ficar cada vez mais difícil identificar qual parte do ecossistema vai ter impacto sobre a organização e qual não terá. E a dificuldade será dobrada, caso a cibersegurança da própria organização esteja fragmentada e não seja articulada. Assim, muitas organizações esperam enfrentar dificuldades com o monitoramento do perímetro de seus ecossistemas (34%).

Quais são os desafios à segurança da informação da IoT para a sua organização? (Selecione todas as respostas válidas.)

49%

46%

46%

44%

43%

40%

34%

Identificar tráfego suspeito na rede

Conhecer todos os seus ativos

Monitorar o acesso a dados na sua organização

Manter o elevado número de dispositivos conectados à IoT atualizado com a versão mais recente do código e

livre de bugs de segurança

Encontrar ataques de Zero Day ou desconhecidos ocultos

Assegurar que os controles de segurança implementados estejam atendendo às exigências atuais

35%Administrar o crescimento nos pontos de acesso à sua organização

Definir e monitorar os perímetros do ecossistema dos seus negócios

10%Não sabe

4%Outro (especifique)

O compartilhamento de informações e a colaboração estão em ascensão

Os governos e outras entidades estão todos cada vez mais preocupados com a sua cibersegurança. Os regulamentos específicos do setor relativos a ciber-riscos estão ganhando embalo, e o interesse legislativo está aumentando. Assim, novos regulamentos e novas leis devem ser esperados. Em muitas partes do mundo, normas estão sendo desenvolvidas

73%estão preocupados com a baixa conscientização e o comportamento dos usuários ao interagir com dispositivos móveis.

49%duvidam que continuarão conseguindo identificar tráfego suspeito em suas redes.


Quais os principais riscos para a sua organização associados ao crescente uso de dispositivos móveis (exs.: laptops, tablets, smartphones)? (Selecione todas as respostas válidas.)

73%

50%

32%

31%

27%

19%

16%

3%

Baixa conscientização/comportamento dos usuários

A perda de um único dispositivo móvel não significasimplesmente a perda de informações, mas,

cada vez mais, também leva a uma perda de identidade

Sequestro de dispositivos

Os engenheiros de rede não conseguem consertarvulnerabilidades rápido o bastante

O firmware ou o software instaladosnos dispositivos não são os mesmos

Cibercriminosos organizados vendem hardwarecom cavalos de troia ou backdoors já instalados

Problemas de interoperabilidade de hardware de dispositivos

Outro (especifique)

Os cibercriminosos da atualidade podem ser implacáveis, e seu comportamento e seus métodos são quase impossíveis de ser previstosOs cibercriminosos – como outros criminosos organizados – estão preparados para se comportar de maneiras que a maioria de nós não consegue compreender. Suas ações expressam um conjunto diferente de valores, ética e moralidade, e, muitas vezes, eles são movidos por motivações difíceis de entender. Além das fraudes e dos roubos mais comuns e já esperados, cada vez mais os consumidores têm medo de carros ser hackeados, com o intuito de causar acidentes, e algumas organizações de infraestrutura crítica estão vendo o sequestro de dados tronar-se realidade. Tamanha é a criatividade das redes de criminosos que eles sempre descobrem novos meios de lançar ataques para obter lucro pessoal ou para alcançar as manchetes para uma causa. Percepção, Resistência e Reação têm um papel fundamentalmente importante a desempenhar na proteção do ciberecossistema, especialmente com o crescimento da IoT. Sem medidas de cibersegurança eficazes, muitas organizações e governos não apenas estão arriscando seus dados e propriedade intelectual (PI) mas podem estar colocando pessoas em risco. No futuro, devemos esperar ver ainda mais danos colaterais.

para organizações de infraestrutura crítica, e há pedidos por maior compartilhamento de informações e colaboração, além da obrigação de relatar ciberataques para que o cibercrime possa ser combatido por todos.

A expectativa é que isso se torne compulsório. E, ainda que isso não ocorra no curto prazo, o ambiente atual fará com que reguladores, partes interessadas, parceiros de negócios e mesmo clientes queiram saber mais sobre a sua cibersegurança.

Por isso, esteja pronto para informar sobre ciberataques e procure agora por oportunidades de compartilhamento e colaboração.

A nossa pesquisa revelou o seguinte:

• 49% dos SOCs dos nossos entrevistados colaboram e compartilham dados com outras organizações no mesmo setor.

• 38% dos SOCs dos nossos entrevistados colaboram e compartilham dados com outros SOCs públicos.

49%dos SOCs dos nossos entrevistados colaboram e compartilham dados com outras organizações no mesmo setor.


Resistência

Foco nos ciber-riscos, e não apenas na cibersegurança


De modo geral, as organizações melhoraram enormemente suas capacidades de resistir a ataques, e muitas delas podem afirmar que estão conseguindo ter sucesso na defesa contra milhares de ataques todos os dias. Mas os ataques vêm de formas muito diversas e cada vez mais complexas, e, embora a execução de medidas de controle no escudo de defesa corporativa possa funcionar contra Ataques Distribuídos de Negação de Serviço ou vírus, ela pode não estar funcionando tão bem quanto deveria contra ataques sofisticados e persistentes que cibercriminosos dedicados e organizados estão lançando contra seus alvos todos os dias.

No ano passado, 88% dos entrevistados da nossa pesquisa disseram que as áreas encarregadas da cibersegurança de suas empresas não atenderam integralmente às necessidades da organização. Neste ano, este número caiu para 86%, o que não representa uma melhora significativa. Apesar das medidas tomadas pelas organizações, elas ainda não são suficientes para lidar com a piora da situação.

Foco nos riscos cibernéticos e não somente em cibersegurança Na nossa pesquisa de 2016, cerca da metade (48%) dos entrevistados disse que sua arquitetura e seus controles de segurança da informação estão ultrapassados e são uma área de alta vulnerabilidade, em sintonia com os resultados de 2013 e 2014, ao passo que em 2015 apenas 34% classificaram este item como uma área de alta vulnerabilidade. De modo geral, 2015 viu um aumento substancial na confiança, com as organizações percebendo muitas vulnerabilidades e ameaças como um desafio menor do que em anos anteriores. Porém, esta confiança em seguir resistindo a ataques tem sido pouco duradoura em vista do crescimento nos riscos e nas ameaças relativas a funcionários e o conhecimento crescente de como os criminosos estão mirando especificamente nessa fraqueza humana. Neste ano, houve um aumento significativo no modo como eles classificam sua exposição a riscos. Em 2015, as organizações pareciam pensar que estavam começando a solucionar o problema da cibersegurança e conseguindo uma melhora na resistência a ataques, apenas para ser pegas desprevenidas, ou simplesmente tornarem-se mais cientes das ameaças.

Quais ameaças e vulnerabilidades mais aumentaram a sua exposição ao risco nos últimos 12 meses? O gráfico mostra a porcentagem total para os itens classificados como 1 (mais altos) e 2 (altos) de 2013 a 2016.

2013 2014 2015 2016

Vulnerabilidades

Funcionários descuidados ou alheios 53% 57% 44% 55%

Arquitetura ou controles de segurança da informação ultrapassados 51% 52% 34% 48%

Acesso não autorizado 34% 34% 32% 54%

Ameaças

Malware 41% 34% 43% 52%

Phishing 39% 39% 44% 51%

Ciberataques para roubar informações financeiras 46% 51% 33% 45%

Ciberataques para roubar PI ou dados 41% 44% 30% 42%

Ataques internos 28% 31% 27% 33%

86%dizem que as áreas encarregadas da cibersegurança de suas empresas não atendem integralmente às necessidades da organização.


Onde as organizações devem se concentrar para melhor resistir a ataques hoje em dia?

Ative as suas defesas

Embora a natureza dos ataques tenha mudado, já faz muito tempo que resistir, defender, mitigar e neutralizar ataques representa um requisito essencial da cibersegurança. Os serviços e as ferramentas que uma organização pode usar para se defender têm, em sua maioria, acompanhado o ritmo das mudanças, e muitas soluções altamente eficazes estão disponíveis atualmente. No entanto, a nossa pesquisa revelou que 57% dos entrevistados tiveram recentemente um incidente de cibersegurança significativo, o que mostra que ainda há muito a fazer para fortalecer o escudo de defesa corporativa. Os níveis de maturidade ainda são muito baixos em muitas áreas cruciais, e melhorar cada uma delas representaria um passo adiante significativo para qualquer organização.

Porcentagem de entrevistados que classificariam estes processos de gestão de segurança da informação como maduros:

• Segurança de software: 29%.

• Monitoramento de segurança: 38%.

• Gestão de incidentes: 38%.

• Gestão de identidade e acesso: 38%.

• Segurança da rede: 52%.

Adote uma abordagem não ortodoxa

A capacidade de resistir a ataques requer uma abordagem multifacetada. As defesas são normalmente vistas como barreiras mais concretas, como criptografia ou firewalls, que param e neutralizam um ataque, mas há outras maneiras de minimizar o impacto de um ataque e ajudar a organização a resistir:

• Passar de um sistema à prova de falhas (fail-safe) para um que seja “seguro-para-falhar” (safe-to-fail)

Até agora as organizações estiveram certas em se concentrar no desenvolvimento de operações à prova de falhas robustas, seguras e resilientes que podem aguentar ciberataques repentinos. Mas, diante das ciberameaças imprevisíveis e sem precedentes da atualidade, uma abordagem à prova de falhas pode não ser mais a única opção. A nova meta deverá ser conceber um sistema que seja “seguro-para-falhar”. A cibersegurança futura precisa ser mais inteligente, além de mais forte, com uma abordagem branda de resiliência. Isso significa que, ao perceber uma ameaça, há mecanismos que foram concebidos para absorver o ataque, reduzir sua velocidade e impacto. Além disso, é preciso aceitar a possibilidade de uma falha parcial do sistema como um meio de limitar os danos para o todo.

• Da proteção ao sacrifício

As tecnologias de hoje em dia tornam possível o sacrifício parcial da informação ou das operações com o objetivo de proteger a maior parte da rede. Se configurado corretamente, de acordo com o apetite por risco da organização, isso pode ser programado como uma resposta automática. Quando o SOC reconhece uma ameaça de alto nível ao sistema, o dono do sistema recebe um alerta, e o sistema é desativado, para prevenir a disseminação da ameaça.

57%dos entrevistados experimentaram um incidente de cibersegurança recente significativo.


O aumento anual dos orçamentos é suficiente?

Entre 2013 e 2016, observamos aumentos ano a ano nos orçamentos, com 53% dos entrevistados neste ano dizendo que seus orçamentos aumentaram ao longo dos últimos 12 meses, comparado a 43% em 2013, e com 55% dos entrevistados atualmente dizendo que seus orçamentos aumentarão nos próximos 12 meses, comparado a 50% em 2013. Os montantes gastos também estão aumentando: em 2013, 76% dos entrevistados gastaram menos de US$ 2 milhões no total (incluindo pessoal, processos e tecnologia). Atualmente, apenas 64% estão gastando menos de US$ 2 milhões, e tem havido um aumento no número de organizações que estão gastando de US$ 10 milhões a US$ 50 milhões.

Ainda assim, contudo, as organizações dizem que mais recursos serão necessários, com 61% citando limitações orçamentárias como um desafio, e 69% delas afirmando que precisarão de um orçamento até 50% maior. Mas as necessidades não se limitam ao orçamento. Embora orçamentos adicionais possam ajudar a aliviar a escassez de competências, o dinheiro não consegue comprar o apoio executivo que também é necessário.

Quais os principais obstáculos ou razões que desafiam a contribuição e o valor da sua operação de segurança da informação para a organização? (Selecione todas as respostas válidas.)

61%

56%

32%

30%

28%

19%

6%

Limitações orçamentárias

Falta de recursos capacitados

Falta de conscientização ou apoio executivo

Falta de ferramentas de qualidade para gerenciara segurança da informação

Questões administrativas e de governança

Fragmentação da conformidade/regulamentação

Outro (especifique)

53%dos entrevistados neste ano estão dizendo que seus orçamentos aumentaram ao longo dos últimos 12 meses.

86%dos entrevistados dizem que precisam de um orçamento até 50% maior.


O papel da liderança

A liderança e o apoio dos executivos são fundamentais para uma ciber-resiliência efetiva. Diferentemente da Percepção e das atividades de Resistência tradicionais, que podem ser vistas como pertencendo ao domínio do(a) CISO ou do(a) CIO, a ciber-resiliência requer que a alta administração participe e lidere ativamente a fase de Reação. Desde 2013, a pesquisa informou que de 31% a 32% dos entrevistados disseram haver escassez de conscientização e apoio dos executivos que estão desafiando a efetividade da cibersegurança. Esta uniformidade ano a ano sugere que as iniciativas para tratar disso não estão sendo suficientes, ou as tentativas chegaram a um impasse, e a mensagem não está sendo absorvida.

A importância de informar

Entre os nossos entrevistados, 75% disseram que os responsáveis pela segurança da informação não têm uma cadeira no conselho de administração. Com isso, o conselho acaba ficando dependente de relatórios. A nossa pesquisa revelou o seguinte:

• Apenas 25% dos informes apresentam um nível de ameaça geral.

• Apenas 35% dos informes mostravam onde melhorias eram necessárias na segurança de informação da organização.

• Oitenta e nove por cento das organizações não avaliam o impacto financeiro de cada violação significativa, e entre as que experimentaram um incidente de segurança no ano passado, cerca da metade (49%) não faz ideia de quanto foi o dano financeiro ou de quanto ele poderia ser.

Com a qualidade dos relatórios sendo tão ruim, não é surpresa que 52% dos entrevistados pensem que seus conselhos de administração não estão bem informados quanto aos riscos que a organização está assumindo e as medidas de segurança existentes. Em outras palavras, a nossa pesquisa sugere que cerca da metade de todos os conselhos de administração está voando às cegas diante da maior ameaça da atualidade para suas organizações.

89%das organizações não avaliam o impacto financeiro de cada violação significativa.

49%não fazem ideia dos danos financeiros que um ciberataque causa ou pode causar.


Reação


Os serviços de emergência de hoje: o programa de resposta à ciberviolaçãoTendo em vista a probabilidade de que todas as empresas acabarão enfrentando uma ciberviolação, é fundamental que elas desenvolvam uma estrutura de resposta sólida é centralizada como parte de sua estratégia geral de gestão de riscos empresariais.

Um programa de respostas a ciberviolações (CBRP) centralizado que abranja toda a empresa é o ponto focal que reúne uma ampla variedade de partes interessadas que precisam colaborar para resolver a violação. O CBRP deve ser liderado por alguém com experiência em tecnologia e que consiga administrar a resposta tática e operacional do dia a dia, além de contar com conhecimentos profundos da área jurídica e de conformidade, uma vez que estes eventos podem dar origem a questões complexas de natureza jurídica e regulatória com impactos nas demonstrações financeiras.

O CBRP vai além da capacidade de um escritório de gestão de programas tradicional. Em sua função de coordenação e supervisão, o CBRP pode ajudar a assegurar que o plano de continuidade de negócios de uma organização seja implementado de maneira apropriada, que um plano de comunicação e orientação entre todas as partes interessadas internas seja desenvolvido e aplicado e que todas as consultas referentes a violações, recebidas de grupos internos ou externos, sejam administradas centralmente. Em suma, o CBRP proporciona orientação para todas as linhas de negócios envolvidas na resposta. O programa define um nível de entendimento sobre quais informações são de conhecimento essencial para a alta administração – além de quando e como expressá-las –, e permite uma reação contínua, com precisão e velocidade, já que uma violação continua a se prolongar por dias, semanas ou até mesmo meses.

Um CBRP eficaz precisa incluir as principais partes afetadas numa violação de alto impacto. Mesmo que os investigadores precisem trabalhar de perto com o pessoal de TI e de segurança da informação, para determinar o vetor do ataque, as redes e sistemas explorados, além do escopo de ativos roubados ou impactados, um CBRP é o fulcro da resposta. O CBRP não apenas supervisiona o processo de identificação, coleta e preservação de provas, análise de dados forenses, e avaliação de impactos, mas também dirige e modifica a investigação com base na análise de padrões factuais.

O CBRP ajuda a assegurar um fluxo fluido e oportuno de informações entre as partes interessadas internas, além de auxiliar a organização a vencer as complexidades de trabalhar com advogados externos, reguladores e agências de segurança pública. Um CBRP robusto, portanto, permite uma resposta eficaz em termos de custos que mitiga os impactos da violação, ao integrar as partes interessadas e seu conhecimento.


Quais as prioridades da Reação?

Já faz muitos anos que a gestão da continuidade de negócios (BCM) está no cerne da capacidade de uma organização de reagir a uma ameaça, ataque ou outra disrupção. Como uma área essencial da cibersegurança, ela tem sido a prioridade número 1 ou 2 na nossa pesquisa desde 2013. Assim, compreende-se a importância de ter algumas capacidades de Reação. Neste ano, mais uma vez, 57% das organizações a classificaram como sua maior prioridade conjunta, ao lado da prevenção à perda/ao vazamento de dados.

O gerenciamento de eventos e informações de segurança (SIEM), junto com os centros de operações de segurança (SOCs), foi classificado em 6º lugar, com 46% dos entrevistados dizendo que vão gastar mais nessas duas áreas nos próximos 12 meses, ficando apenas atrás do treinamento e da conscientização de segurança.

57%das organizações consideram a BCM como sendo sua maior prioridade conjunta, ao lado da prevenção à perda/ao vazamento de dados.

1. Resiliência de recuperação de desastres/continuidade de negócios

2. Prevenção à perda/ao vazamento de dados

3. Conscientização e treinamento de segurança

4. Operações de segurança (exs.: antivírus, correções, criptografia)

5. Gestão de identidade e acesso

7. Capacidades de resposta a incidentes

8. Testes de segurança (ex.: ataque e penetração)

9. Gestão de acesso privilegiado

11. Computação na nuvem

12. Integração de tecnologia operacional e segurança de TI

13. Dispositivos móveis

14. Medidas de privacidade

15. Gestão de riscos de terceiros

17. Redesenho da arquitetura de segurança

18. Riscos/ameaças de alguém com informações privilegiadas

19. Apoio contra fraudes

21. Propriedade Intelectual (PI)

22. Apoio forense

23. Mídias sociais

24. Proteção de dispositivos conectados à IoT

25. Automação de processos de robótica

27. Proteção de criptomoedas (ex.: Bitcoin)

Legenda: Alta BaixaMédia

57%

57%

55%

52%

50%

48%

48%

46%

43%

42%

39%

33%

29%

29%

27%

26%

25%

24%

23%

21%

16%

15%

14%

13%

8%

8%

6%

33%

34%

38%

39%

40%

38%

42%

44%

41%

45%

35%

49%

49%

46%

48%

41%

46%

50%

41%

42%

37%

39%

43%

33%

23%

25%

18%

10%

10%

9%

7%

10%

14%

11%

10%

15%

13%

27%

18%

22%

25%

25%

33%

29%

26%

36%

37%

47%

46%

44%

54%

69%

67%

76%

6. Gerenciamento de eventos e informações de segurança (SIEM) e SOC

10. Gestão de ameaças de vulnerabilidades (exs.: inteli- gência analítica de segurança, inteligência de ameaças)

16. Transformação da segurança da informação (redesenho fundamental)

26. Proteção de tecnologias emergentes (ex.: aprendizado de máquina avançado)

20. Atividades de segurança terceirizadas/realizadas no exterior, inclusive risco de fornecedor externo

Quais das seguintes áreas de segurança você definiria como sendo “de alta, média ou baixa prioridades” para a sua organização nos próximos 12 meses? (Selecione uma resposta para cada tipo de prioridade.)


Em comparação ao ano anterior, a sua organização planeja gastar mais, menos ou relativamente o mesmo montante ao longo do próximo ano, nas seguintes atividades? (Selecione uma resposta para cada tópico.)

43%49%

46%

45%

44%

43%

42%

41%

40%

39%

39%

35%

34%

32%

32%

29%

25%

25%

22%

21%

20%

17%

14%

12%

12%

9%

5%

8%

9%

9%

8%

8%

7%

8%

8%

7%

8%

9%

10%

10%

13%

12%

10%

11%

10%

12%

10%

12%

13%

13%

12%

10% 15%

16%

16%

45%

46%

48%

49%

51%

51%

52%

54%

53%

56%

56%

58%

55%

59%

65%

64%

68%

66%

70%

71%

72%

74%

76%

75%

74%

78%

1. Conscientização e treinamento de segurança

3. Computação na nuvem

4. Testes de segurança (ex.: ataque e penetração)

5. Gestão de identidade e acesso

6. Prevenção à perda/ao vazamento de dados

7. Operações de segurança (exs.: antivírus, correções, criptografia)

9. Resiliência de recuperação de desastres /continuidade de negócios

10. Capacidades de resposta a incidentes

11. Gestão de acesso privilegiado

12. Integração de tecnologia operacional e segurança de TI

13. Dispositivos móveis

14. Redesenho da arquitetura de segurança

16. Medidas de privacidade

17. Gestão de riscos de terceiros

18. Riscos/ameaças de alguém com informações privilegiadas

20. Apoio contra fraudes

21. Apoio forense

22. Proteção de dispositivos conectados à IoT

23. Mídias sociais

24. Propriedade Intelectual (PI)

26. Automação de processos de robótica

27. Proteção de criptomoedas (ex.: Bitcoin)

Legenda: Gastar mais Mesmo ou constanteGastar menos

2. SIEM e SOC

8. Gestão de ameaças de vulnerabilidades (exs.: inteligência analítica de segurança, inteligência de ameaças)

15. Transformação da segurança da informação (redesenho fundamental)

19. Atividades de segurança terceirizadas/realizadas no exterior, inclusive risco de fornecedor externo

25. Proteção de tecnologias emergentes (ex.: aprendizado de máquina avançado)

Não há muito apetite para investir em outras capacidades de adaptação e transformação:

• Adaptação: Ao olhar para o horizonte de ameaças e para os atores da ameaça, a organização resiliente precisa ser ágil e flexível para adaptar seus mecanismos de proteção e processos de negócios.

• Transformação: Esta é a reengenharia necessária para aprimorar tanto os mecanismos operacionais quanto os de resiliência, a fim de criar uma organização cada vez mais segura e sustentável.

Apesar da arquitetura e de controles de segurança da informação ultrapassados ser a segunda maior vulnerabilidade, 74% disseram que uma transformação da segurança da informação (redesenho fundamental) é uma prioridade média ou baixa, e 75% disseram que um redesenho da arquitetura de segurança é uma prioridade média ou baixa.

Onde o dinheiro é gasto?

O local onde as organizações decidem alocar seus orçamentos é uma conversa totalmente diferente. Ao olhar onde as organizações pretendem gastar mais, a BCM aparece em 9º lugar. As organizações podem entender que a BCM foi bem financiada no passado e que, agora, elas estão investindo em outras capacidades de Reação.


O quê, como e quando comunicar podem apresentar desafios significativos• Hoje em dia, muitos dos regulamentos ou das legislações propostos relativos à

informação de ciberataques dizem que você precisa notificar os clientes dentro de um determinado número de dias – 60 dias, por exemplo*. O problema é que muitos ciberataques só são descobertos depois de meses. Às vezes, apenas depois de anos. E, nos casos em que as autoridades policiais estejam envolvidas, elas podem solicitar que você não notifique os seus clientes enquanto continuarem as investigações.

• Os clientes podem fazer jus – ou sentir que têm direito – a uma indenização pela violação de suas informações. Nos EUA, por exemplo, está em discussão o recebimento por um cliente de um ano de seguro gratuito contra roubo de identidade. Mas nem todas as violações criam uma situação na qual um cliente precisa disso, ou de algo parecido. Por isso, há uma sensação de que este tipo de indenização aumentaria os custos sem realmente oferecer um benefício palpável para o cliente, podendo ser prejudicial para a marca e a reputação da empresa.

• Finalmente, há um reconhecimento crescente de que pode ser perigoso notificar os clientes todas as vezes, especialmente se o risco for baixo, já que eles podem se dessensibilizar e não responder quando um incidente mais grave ocorrer. Se pensarmos nos últimos dois anos, não é impossível que a mesma pessoa tenha sido notificada sobre um ataque no provedor de seu telefone celular, no varejista online que ela usa ou até mesmo em seu provedor de e-mail. Ela também pode ter sido alertada de que os detalhes de seu cartão de crédito possivelmente podem ter sido vendidos e seus registros do seguro social talvez estejam nas mãos de criminosos, e que não há nada a ser feito a respeito. São coisas demais, e as pessoas começarão a ignorá-las.

* Como no caso do Guia da NAIC para as Proteções de Cibersegurança do Consumidor nos EUA.

Ao reagir a um ataque, o conselho de administração precisa mostrar liderança

Quando se trata de lidar imediatamente com um ciberataque que tenha prejudicado a organização, não há onde o conselho possa se esconder. Caso alguma fragilidade ou falha nos planos de recuperação se tornem conhecidas, e quanto mais tempo estes problemas persistirem, pior ficará a situação. Algumas organizações podem até se recuperar fisicamente de um ataque, mas sua reputação e confiança poderão acabar sendo destruídas. O segredo é comunicar-se e tomar a frente das comunicações antes que a força da mídia tradicional e da mídia social assuma o comando. Muitas organizações ainda estão despreparadas.

• 42% não têm uma estratégia ou plano de comunicações acertados para o caso de um ataque significativo.

• Nos primeiros sete dias após um ataque:

• 39% disseram que fariam um anúncio público para a mídia.

• 70% notificariam as autoridades reguladoras e as organizações de conformidade.

• 46% não notificariam clientes, mesmo quando os dados dos clientes tiverem sido comprometidos.

• 56% não notificariam fornecedores, mesmo quando os dados dos fornecedores tiverem sido comprometidos.

42%não têm uma estratégia ou plano de comunicações acertados para o caso de um ataque significativo.

39%disseram que fariam um anúncio público para a mídia.


Liderança da recuperação da organização

Para que o CIO ou o CISO consigam dar suporte à empresa durante a fase de adaptação e transformação, eles precisam entender integralmente a direção estratégica, o apetite por risco e as operações da organização. Ao reunir os estrategistas corporativos e a equipe de segurança corporativa, a solução de cibersegurança e a estratégia geral da organização podem ser alinhadas. Porém, a nossa pesquisa mostra que não há uma boa conexão entre a função de cibersegurança e a estratégia e planejamento da organização.

• Apenas 5% dos entrevistados fizeram recentemente uma mudança substancial na estratégia e nos planos da organização depois de perceber que estavam expostos a riscos excessivos.

• Apenas 22% disseram que avaliaram integralmente as implicações de segurança da informação da estratégia e dos planos atuais de suas organizações.

Fazer as perguntas mais difíceis e fechar os vãos

A nossa pesquisa revelou o quanto as organizações gostam de depender delas mesmas para testar ou administrar sua própria cibersegurança. Na fase de recuperação, pode valer a pena considerar se isso deveria continuar. Atualmente, a situação é a seguinte:

• 79% implementam seu próprio programa de avaliação de phishing (self-phishing).

• 64% realizam seus próprios testes de penetração.

• 81% realizam suas próprias investigações de incidentes.

• 83% fazem suas próprias análises de inteligência de ameaças.

Nossa pesquisa também encontrou problemas que precisam ser resolvidos. Apesar de funcionários descuidados e de o phishing e de o malware ser ameaças conhecidas e muito importantes, somente 24% contam com um plano de resposta a incidentes que os ajudaria na recuperação de ataques por malware e comportamentos inadequados de funcionários.

De modo geral, ainda são necessárias melhorias consideráveis

Embora as capacidades de Reação se saiam bem nas classificações de prioridade, os volumes absolutos de dinheiro gasto nessa área ainda são relativamente baixos. Ficou claro – com base no estado geral da ciber-resiliência (seção 1) – que a Reação é a área em que a maior parte do trabalho ainda precisa ser feita. Quanto mais fica claro que a proteção corporativa não consegue resistir a todas as ameaças, maior a atenção que as capacidades de Reação vai receber.

5%dos entrevistados fizeram recentemente uma mudança significativa na estratégia e nos planos de sua organização.

79%implementam seu próprio programa de avaliação de phishing (self-phishing).

81%realizam suas próprias investigações de incidentes.

23

Principais características de um empreendimento ciber-resilienteCompreende o negócio

A ciber-resiliência demanda uma resposta de “toda a organização”. Ela começa com um entendimento profundo do negócio e do cenário operacional para saber quais fluxos de trabalho do negócio precisam ser preservados para que a organização consiga continuar operando e protegendo o pessoal, os ativos e o valor da marca de modo geral, apesar do ciberataque.

Entende o ciberecossistema

Mapear e avaliar os relacionamentos que a organização tem no ciberecossistema e identificar quais os riscos existentes. Realizar uma avaliação de riscos da ciberpresença da organização no ecossistema, determinar os fatores que afetam a dimensão do controle da organização sobre seu ecossistema.

Determina os ativos críticos – as joias da coroa A maioria das organizações protege excessivamente alguns ativos e não protege outros como deveria. Na pesquisa:

• 51% classificaram as informações pessoais identificáveis de clientes em primeiro e segundo lugar como as informações mais valiosas para cibercriminosos na organização.

• Apenas 11% classificaram a PI patenteada em primeiro e segundo lugar como as informações mais valiosas.

• As informações pessoais de diretores/conselheiros foram consideradas mais valiosas do que as informações sobre P&D, PI patenteada e PI não patenteada, e, de modo geral, em linha com os planos estratégicos corporativos.

Determina os fatores de risco

Quando as funções de cibersegurança têm uma visão limitada do cenário de riscos e ameaças, só conseguem alcançar um sucesso limitado. Acima de todas as tecnologias e ferramentas que possam oferecer melhor conscientização, inteligência e identificação de ameaças está o conceito de colaboração. Compartilhar informações sobre o cenário de riscos e ameaças de todas as funções de negócios permite que a organização entenda seu cenário mais amplo de riscos e exponha eventuais falhas de segurança. Este compartilhamento e esta colaboração podem então ser estendidos a outras organizações (parceiros, fornecedores) no mesmo ecossistema.

As organizações, então, precisam fazer as seguintes perguntas:

• Quanto podemos fazer para administrar eventuais riscos residuais?

• Estamos preparados para aceitar um determinado nível de riscos?

• O que podemos tentar fazer para controlar e o que precisamos fazer para aceitar que isso é algo fora do nosso controle?

Administra o elemento humano com liderança excepcionalDepois de um ciberataque, como em qualquer situação caótica, as pessoas precisam estar preparadas e treinadas para saber como reagir e se comportar. Com a tecnologia presente em toda a organização, todos os funcionários serão impactados. A clara comunicação, a orientação e a definição de exemplos por parte da liderança serão essenciais, além de papéis ou tarefas claramente definidos que ela consiga realizar, para ajudar a organização a se tornar operacional novamente.

Cria uma cultura de prontidão para a mudançaA capacidade de reagir rapidamente a um ciberataque minimizará a possibilidade de impactos relevantes de longo prazo. Organizações que desenvolvem capacidades de resposta superiores, integradas e automáticas podem ativar lideranças não rotineiras, administração de crises e coordenação de recursos que abranjam toda a empresa. Como um exercício de simulação, as organizações podem questionar a administração de crises existente, as práticas correntes e o perfil de riscos, a fim de se certificar de que elas estejam todas alinhadas com a estratégia de negócios e o apetite por riscos da organização.

As organizações também deveriam desenvolver e implementar jogos de guerra personalizados que incluiriam uma avaliação de todos os planos e manuais de centros de comando e controle e de ciber-resiliência.

Conduz investigações formais e se prepara para mover processos A fim de proteger os interesses da organização, no caso de uma importante ciberviolação, o CIO e o CISO devem estar preparados para fazer a ligação com a maioria dos executivos seniores das áreas de Segurança, Jurídica (interna e externa), Investigações e Conformidade. Juntos eles irão:

• Coletar provas de maneira segura do ponto de vista forense, a fim de proporcionar apoio a uma investigação mais ampla.

• Determinar se os responsáveis pelo ataque ainda estão presentes nas redes e nos sistemas da organização, e se malware prejudicial ou ransom-ware poderiam sabotar a organização novamente no futuro.

• Realizar investigações mais profundas para entender quem realizou o ataque, como ele foi realizado, para benefício de quem e por que motivo.

• Conseguir mover ações e/ou um processo criminal contra o responsável pelo ataque, além daqueles que tenham auxiliado o responsável pelo ataque ou que de outro modo tenham permitido o ataque. Ações também podem ser movidas contra os provedores de produtos e serviços que deixaram de atender obrigações contratuais de construir, operar, testar ou manter a cibersegurança.



Metodologia da pesquisa

A 19ª Pesquisa Global de Segurança da Informação da EY captou as respostas de 1.735 líderes da diretoria e executivos/gerentes de Segurança da Informação e de TI, representando muitas das maiores e mais reconhecidas empresas globais. Ela foi realizada entre junho e agosto de 2016.

Entrevistados por cargo Entrevistados por região

38%Europa, Oriente Médio, Índia e África (EMEIA)

38%Américas

24%Ásia-Pacífico e Japão

Legenda:

23%

12%

12%

11%

3%

3%

3%

2%

2%

1%

1%

27%

Diretor de Segurançada Informação

Executivo de Segurançada Informação

Diretor de Informação

Executivo de Tecnologiada Informação

Diretor de Segurança

Gerente/Diretor deAuditoria Interna

Diretor de Tecnologia

Administrador deRede/Sistema

Vice-Presidente/Executivoda Unidade de Negócios

Diretor Financeiro

Diretor de Riscos

Outro


Entrevistados pela receita anual total da empresa

Entrevistados por número de funcionários Entrevistados por setor industrial

20%Serviços bancários emercados de capitais

Seguros

Tecnologia

Produtos de consumo

Governo e setor público

Produtos industriaisdiversificados

Energia elétrica e serviçosde utilidade pública

Varejo e atacado

Telecomunicações

Saúde

Mídia e entretenimento

Serviços e firmasprofissionais

Mercado imobiliário (incluindo construção, hospitalidade e lazer)

Petróleo e gás

Automotiva

Transportes

Mineração e metais

Gestão patrimonial e de ativos

Ciências da vida

Companhias aéreas

Química

6%

Aeroespacial e defesa

Outro

7%

7%

6%

6%

5%

5%

4%

4%

4%

3%

3%

3%

3%

3%

2%

2%

2%

2%

1%

1%

1%

7%Menos de US$ 10 milhões

De US$ 10 milhões a menosde US$ 25 milhões





De US$ 500 milhões amenos de US$ 1 bilhão

De US$ 1 bilhão a menosde US$ 2 bilhões

De US$ 2 bilhões a menosde US$ 3 bilhões


De US$ 4 bilhões a menos deUS$ 5 bilhões

De US$ 5 bilhões a menos deUS$ 7,5 bilhões

De US$ 7,5 bilhões a menosde US$ 10 bilhões



7%

De US$ 20 bilhões a menos de US$ 50 bilhões

US$ 50 bilhões ou mais

Governo, sem fins lucrativos

Não aplicável

4%

5%

4%

9%

9%

10%

9%

5%

3%

2%

3%

3%

5%

2%

3%

3%

7%

34%

4%

Menos de 1.000

De 1.000 a 1.999

De 2.000 a 2.999

De 3.000 a 3.999

De 4.000 a 4.999

De 5.000 a 7.499

De 7.500 a 9.999

De 10.000 a 14.999

De 15.000 a 19.999

De 20.000 a 29.999

De 30.000 a 39.999

De 40.000 a 49.999

De 50.000 a 74.999

De 75.000 a 99.999

100.000 ou mais

14%

7%

5%

4%

7%

6%

6%

4%

3%

3%

2%

2%

1%

Quer saber mais?As nossas publicações e os relatórios de liderança inovadora sobre cibersegurança foram concebidos para ajudar os nossos clientes a entender estas questões e fornecer insights valiosos sobre as nossas perspectivas. Visite a nossa série Insights sobre governança, riscos e conformidade na página ey.com/GRCinsights e o nosso website ey.com/cybersecurity.

Como você descobre os criminosos antes que eles cometam um cibercrime?

ey.com/cti

Serviços de segurança de software gerenciados: como construir um centro de excelência de segurança de software

ey.com/GRCinsights

Resposta a incidentes

ey.com/GRCinsights

Incident responsePreparing for and responding to a cyber attack

SOC gerenciado: Centro de Segurança Avançada da EY

ey.com/soc

Quando a privacidade é algo sobre o qual não se deve ficar quieto?: a Regulação Geral de Proteção de Dados da UE

ey.com/GRCinsights

Tendências de privacidade em 2016: a privacidade pode realmente continuar sendo protegida?

ey.com/privacytrends

Defesa Ativa

ey.com/activedefense

Como criar confiança no mundo digital: Pesquisa Global de Segurança da Informação da EY 2015

ey.com/giss2015

Como usar a ciberinteligência analítica para ajudar a controlar o cibercrime: Centros de Operações de Segurança de terceira geração

ey.com/soc


Caso estivesse sofrendo um ciberataque, você saberia?

Para a área de Consultoria da EY, um mundo de negócios melhor significa resolver problemas grandes e complexos de setores e tirar proveito de oportunidades a fim de oferecer resultados que ajudem na expansão, na otimização e na proteção dos negócios dos nossos clientes. Desenvolvemos um ecossistema global de consultores, profissionais de setores industriais e alianças de negócios com o foco centrado em você.

Acreditamos que a antecipação e a defesa ativa contra ciberataques são as únicas maneiras de estar à frente dos cibercriminosos. Com o nosso foco em você, fazemos perguntas melhores sobre as suas operações, prioridades e vulnerabilidades. Trabalhamos, então, com você, a fim de criar respostas mais inovadoras, para ajudar a proporcionar as abordagens de que você precisa. Juntos, ajudamos você a obter melhores soluções e resultados duradouros, da estratégia à execução.

Acreditamos que, quando organizações administram melhor a cibersegurança, o mundo funciona melhor.

Afinal de contas, caso você estivesse sofrendo um ciberataque, você saberia? Pergunte à EY.

Quanto melhor a pergunta. Melhor a resposta. Melhor o mundo de negócios.

EY | Auditoria | Consultoria | Impostos | Transações Corporativas

Sobre a EY

A EY é líder global nas áreas de Auditoria, Consultoria, Impostos, Transações Corporativas. Os insights e os serviços de qualidade que oferecemos ajudam a promover a segurança e a confiança nos mercados de capitais e na economia mundial. Além disso, desenvolvemos líderes excepcionais, que trabalham em equipe, para cumprir as nossas promessas a todas as nossas partes interessadas. Com isso, desempenhamos um papel fundamental na construção de um mundo de negócios melhor para o nosso pessoal, os nossos clientes e as nossas comunidades.

O nome EY refere-se a uma organização global e pode fazer referência a uma ou mais das firmas da Ernst & Young Global Limited, cada uma das quais constituindo uma pessoa jurídica independente. A Ernst & Young Global Limited, uma sociedade limitada por garantia constituída no Reino Unido, não presta serviços a clientes. Para maiores informações sobre a nossa organização, visite ey.com.

© 2017 EYGM Limited. Todos os direitos reservados.

EYG nº 04260-163GBL

Agência BMC.

ED Nenhum

Este material foi preparado apenas para fins de informações gerais e não tem o propósito de ser entendido como aconselhamento profissional contábil,

tributário ou de outra natureza. Fale com os seus consultores para obter orientação específica.

ey.com/giss

Sobre os serviços de Consultoria da EY Num mundo de mudanças sem precedentes, a área de Consultoria da EY acredita que um mundo de negócios melhor significa ajudar clientes a solucionar questões grandes e complexas e a tirar proveito de oportunidades para expandir, otimizar e proteger seus negócios.

Da diretoria e de líderes funcionais de multinacionais da lista da Fortune 100 a inovadores revolucionários e empresas de pequeno e médio portes de mercados emergentes, a área de Consultoria da EY trabalha com clientes – da estratégia à execução –, para ajudá-los a conceber melhores soluções e a obter resultados duradouros.

Uma mentalidade global, diversidade e cultura colaborativa inspiram os consultores da EY a fazer perguntas melhores. Eles trabalham com seus clientes, além de interagir com um ecossistema de especialistas internos e externos, a fim de criar respostas inovadoras. Juntos, a EY ajuda os negócios dos clientes a funcionar melhor.

Para perguntas sobre cibersegurança, entre em contato com os nossos líderes de cibersegurança:

Global

Paul van Kessel +31 88 40 71271 [email protected]

David Remnitz +1 212 773 1311 [email protected]

Américas

Bob Sydow +1 513 612 1591 [email protected]

Timothy Ryan +1 212 773 0410 [email protected]

Brasil

Rene Martinez +55 11 2573 3277 [email protected]

EMEIA

Jonathan Blackmore +971 4 312 9921 [email protected]

Paul Walker +44 207 951 6935 [email protected]

Ásia-Pacífico

Richard Watson +61 2 9276 9926 [email protected]

Reuben Khoo +65 6309 8099 [email protected]

Japão

Yoshihiro Azuma +81 3 3503 3500 [email protected]

Ichiro Sugiyama +81 3 3503 3500 [email protected]

o caminho para a ciber-resiliência - eyfile/giss_2016_report... · resistir a algo novo e mais...

Documents