pesquisa global de segurança da informação 2013 pwc

www.pwc.com.br

Virando o jogoAs organizações estão confiantes em suas práticas de segurança da informação. Mas os riscos da era digital introduzem regras e adversários novos ao jogo

Principais resultados da Pesquisa Global de Segurança da Informação 2013 – The Global State of Information Security® Survey 2013

1PwC

MetodologiaA Pesquisa Global de Segurança da Informação 2013 (The Global State of Information Security® Survey 2013) é um estudo mundial realizado pela PwC em parceria com as revistas CIO e CSO. A pesquisa foi realizada via internet entre 1º de fevereiro e 15 de abril de 2012. Os leitores de ambas as publicações e os clientes da PwC de todo o mundo foram convidados, por e-mail, a responder a um questionário. Os resultados tratados neste relatório baseiam-se em repostas de mais de 9.300 CEOs, CFOs, CISOs, CIOs, CSOs, vice-presidentes, diretores de TI e de Segurança da Informação de 128 países. Do total de respondentes, 40% são da América do Norte, 26% da Europa, 18% da Ásia, 14% da América do Sul e 2% do Oriente Médio e da África do Sul. A margem de erro é de menos de 1%. Todos os dados e figuras deste documento referem-se aos resultados da pesquisa.

2 Pesquisa Global de Segurança da Informação 2013

3PwC

ApresentaçãoA segurança da informação transformou-se em um jogo cada vez mais complexo e desafiador. Novas ameaças surgem a todo momento, e as empresas correm o risco de ficar para trás em sua capacidade de defesa, comprometendo a reputação e as finanças da organização.

A Pesquisa Global de Segurança da Informação 2013 revela a sofisticação crescente dos adversários levando a crer que eles estão vencendo esse jogo. Entretanto, os mais de 9.300 executivos participantes neste ano não acreditam que haja vencedores e se mostram confiantes nas práticas de segurança de suas empresas. No Brasil, essa confiança é ainda maior.

O risco do excesso de otimismo, contudo, é ofuscar o tamanho do problema e a necessidade de ação. Para muitas organizações, cortes de orçamento levaram à degradação dos programas de segurança e a uma falta de compreensão sobre as verdadeiras ameaças que as empresas enfrentam. Para compor um cenário ainda mais preocupante, os altos executivos são vistos como parte do problema, e não como elementos-chave da solução.

Para ter uma segurança de informação eficaz, é preciso adotar uma nova maneira de pensar: não há mais espaço para apostar na sorte. Este relatório pode ajudar você a entender o contexto atual e o que as empresas líderes estão fazendo para fortalecer suas práticas de segurança.

Esperamos que Pesquisa Global de Segurança da Informação 2013 da PwC possa ajuda-lo a se aprofundar no tema e a traçar uma estratégia de segurança adequada às necessidades da sua organização.

Fernando AlvesSócio-presidentePwC Brasil

5PwC

IntroduçãoÉ com satisfação que divulgamos ao mercado brasileiro os resultados da décima edição da Pesquisa Global de Segurança da Informação - Global State of Information Security Survey® 2013. Um estudo conduzido pela PwC, CIO Magazine e CSO Magazine em 128 países, o maior do gênero no mundo, traz a análise consolidada dos dados fornecidos por mais de 9.300 executivos, entre CEOs, CFOs, CIOs, CSOs, vice-presidentes e diretores de TI de empresas médias, grandes e gigantes de todos os setores da economia.

O Brasil obteve a segunda maior participação relativa na pesquisa deste ano, com 6,2%, superando a de países como China, Índia, Alemanha e Inglaterra e sendo superada apenas pela dos Estados Unidos. Essa posição de destaque se deve ao esforço e à participação de 575 executivos de empresas no país e demonstra que a Pesquisa Global de Segurança da Informação da PwC oferece, ano a ano, contribuições importantes às empresas no Brasil.

O estudo que aqui se apresenta está intrigante e revela um ambiente de disputa, não intencional, entre atacantes e atacados que passamos a nos referir nesse estudo como “jogo”.

A ideia central do estudo deste ano é que as práticas de segurança da informação estão, como nunca, em provação. O momento enseja a existência de um verdadeiro duelo ou “jogo”, cujas regras, jogadores e propósitos mudam de acordo com a relevância e a dependência das empresas na era digital. O simples temor dos tradicionais hackers é coisa do passado. O crime cibernético organizado, o ativismo no ciberespaço, a guerra cibernética e as ameaças emergentes das armas puramente digitais trazem novos e complexos riscos e despertam um estado de alerta em países, sociedades e organizações. As tecnologias emergentes, os dispositivos móveis, a computação na “nuvem”, as redes sociais e o big data são vetores de transformação das empresas na era digital e exigem programas robustos de segurança.

Os incidentes de segurança têm aumentado em todo o mundo. Os ataques de hackers não se limitam mais a empresas. Governos e países sofrem ataques como nunca. A lista de empresas, organizações governamentais e países que têm travado verdadeiros duelos com os “hackerativistas” não para de crescer. Brasil, Estados Unidos, China, e mais recentemente Israel, são alguns exemplos.

A redução dos orçamentos e a degradação dos programas de segurança têm dificultado o tratamento adequado e consistente de novos riscos pelas empresas. De acordo com a Pesquisa Global de Segurança da Informação 2013 da PwC, a maioria dos executivos de vários setores empresariais no mundo, inclusive no Brasil, se sente confiante de que está ganhando o “jogo”, apesar do número crescente de obstáculos.


Segundo nossa pesquisa, as empresas que verdadeiramente lideram na área de segurança da informação empregam, muito mais que as outras, estruturas integradas que combinam gestão de risco, compliance, segurança da informação, privacidade de dados, gestão de identidades digitais e gestão de continuidade de negócios. Além disso, entendem que os objetivos organizacionais devem impulsionar o programa de segurança da informação.

As empresas líderes também têm uma propensão menor de reduzir gastos com segurança e maior de aumentá-los, e são capazes de alcançar resultados melhores que as outras empresas em quase todos os aspectos da prevenção. Avaliam as perdas financeiras de maneira mais pormenorizada e estão muito mais alinhadas com a estratégia de negócio como um todo do que as não líderes, ainda que possam melhorar muito nesse aspecto, em especial com relação a como aplicam os recursos financeiros.

É como se “joga” o “jogo”: alinhamento, liderança e profissionais treinados são fundamentais.

De fato, os modelos adotados em segurança da informação na última década não são mais eficazes. As empresas que desejam ser líderes em segurança devem preparar-se para “jogar” um novo “jogo”, que exige níveis avançados de conhecimento e estratégia para vencer.

É certo que os desafios empresariais são ainda mais complexos. O crescimento pífio da atividade econômica mundial e a dinâmica mercantilista de mercados mais abertos têm exigido que as empresas se transformem. No Brasil, a busca pela eficiência operacional, pela qualidade de classe mundial e pela redução de custos tem direcionado os processos de transformação empresarial.

Nesse sentido, o uso de tecnologias emergentes é um vetor transformacional. De fato, novos modelos de negócios têm sido criados nas empresas com base nas mídias sociais, na computação em “nuvem”, na universalização da banda larga, na convergência das telecomunicações e nos dispositivos móveis com o Bring Your Own Device (BYOD).

Um resultado surpreendente da pesquisa é que a revolução digital e o uso massivo da tecnologia em processos transformacionais avançam de forma muito mais acelerada nas empresas do que a aplicação de práticas e tecnologias de segurança para combater os novos riscos.

Na era do Big Data, a pesquisa que aqui apresentamos revela que a maioria das organizações tem adotado controles menos rígidos na segurança da informação.Enquanto mais de 80% dizem que a proteção de dados de clientes e funcionários é importante, um percentual muito menor de respondentes parece entender onde os dados estão armazenados e qual seria a medida certa de proteção de acordo com a importância relativa dos dados para a organização.

Outro resultado interessante desta pesquisa é que os programas de gestão de continuidade de negócios crescem a cada ano, no Brasil e no mundo, e despontam entre os principais direcionadores de investimento em segurança.

7PwC

Por fim, destacamos que, no âmbito regional, anos de investimento se traduzem em resultados positivos e colocam mais uma vez a Ásia como líder mundial em segurança da informação, seja pelas práticas adotadas seja pelo desempenho demonstrado. A América do Norte permanece em posição estável, mas se observam investimentos crescentes em algumas atividades de segurança. Na Europa, os investimentos estão estagnados, e as medidas de segurança se enfraquecem. A América do Sul acelera os investimentos em segurança e desponta como líder em algumas categorias importantes.

Os resultados da pesquisa no Brasil estão cada vez mais sólidos e alinhados com os investimentos, as práticas e o desempenho dos líderes mundiais. Entretanto, assim como nos demais países, aqui a segurança tornou-se também um “jogo”, difícil de vencer, e os riscos nunca foram tão altos.

O propósito deste estudo é permitir reflexões comparativas sobre o estado da segurança da informação nas empresas em todo o mundo, partindo da ideia central de que segurança da informação sempre foi um “jogo” de risco que requer estratégia inteligente, tecnologia apropriada e atenção aos adversários. Para vencer, as empresas devem “jogar” sob novas regras, recorrer a competências técnicas diferenciadas e adotar estratégias sofisticadas. Por isso, o estudo da pesquisa deste ano foi intitulado, exatamente, “Virando o jogo”.

Devido à importância dos resultados do Brasil, decidimos nesta edição apresentar a situação da segurança de informação no nosso país em cada tópico apresentado, para permitir que o leitor analise o resultado do país no contexto e de acordo com os resultados de toda a pesquisa.

Nós da PwC esperamos que você encontre nas próximas páginas informações e análises úteis para a elaboração e a execução da estratégia de segurança da informação de sua empresa. Entender as práticas adotadas pelas empresas líderes nessa área pode contribuir para direcionar a sua organização nesse “jogo”.

A equipe de especialistas em Segurança da Informação da PwC está à sua disposição para discutir temas específicos ou gerais desta pesquisa, compartilhar tendências setoriais ou apoiar a sua organização em análises comparativas sobre o tema.

Obrigado por sua participação e boa leitura!

Edgar R. P. D’AndreaSócio Líder da Prática de Segurança da InformaçãoPwC Brasil


A segurança da informação sempre foi um jogo de risco que requer estratégia inteligente, tecnologia apropriada e atenção aos adversários. Hoje, porém, o jogo em si e os oponentes estão mudados. Para vencer, as empresas devem jogar sob novas regras, recorrer a competências técnicas diferenciadas e adotar estratégias sofisticadas.

9PwC

ConteúdoApresentação .............................................................................................. 3

Introdução ................................................................................................. 5

O cerne da questão .................................................................................... 10

A análise em profundidade ........................................................................ 12I. Um “jogo” de confiança: As empresas avaliam suas práticas de segurança .......13II. Um “jogo” de risco: a perda gradual de competências ao longo do tempo. ....... 19III. É como se joga o “jogo”: Alinhamento, liderança e treinamento

são fundamentais ............................................................................................44IV. A nova ordem mundial: a Ásia avança, a América do Sul se

movimenta e as outras regiões tentam se manter no “jogo” ..............................51

O que isso significa para sua empresa ........................................................ 58


O cerne da questãoPara muitas empresas, a segurança tornou-se um jogo quase impossível de vencer. As regras mudaram, os adversários antigos e novos estão armados com competências e tecnologias especializadas e os riscos nunca foram tão altos.

11PwC

As incertezas econômicas dos últimos quatro anos tornaram a segurança da informação um jogo cada vez mais complexo e desafiador, cujo resultado pode trazer sérias consequências para a sua empresa. No cenário atual, em que as ameaças aumentam com rapidez, as empresas acabaram ficando para trás, com defesas enfraquecidas e práticas de segurança defasadas. Esse cenário é decorrente de um prolongado período de restrições orçamentárias, de projetos com baixa qualidade não finalizados ou incompletos. Ao mesmo tempo, os adversários estão cada vez mais sofisticados para romper as defesas dos ecossistemas empresariais, o que causa danos à reputação, às finanças e à capacidade competitiva das organizações.

Os que acompanham o resultado desse jogo concordam: os “vilões” parecem estar na dianteira.

Entretanto, os participantes da Pesquisa Global de Segurança da Informação® 2013 da PwC demonstram estar se movimentando de acordo com um plano de jogo completamente diferente. Entre mais de 9.300 executivos de 128 países e praticamente todos os setores da economia, a confiança nas práticas de segurança da informação adotadas pelas empresas em que atuam mantém-se em alta. Entre os 575 executivos do Brasil, a confiança nas práticas de segurança é muito elevada.

De fato, muitos acreditam que estejam vencendo o jogo. As estratégias de segurança parecem fazer sentido e os orçamentos estão em recuperação. Quase metade (42%) dos respondentes percebe suas empresas como líderes em termos de estratégia e execução das práticas de segurança da informação.

Contudo, as chances não se mostram a favor desses respondentes. Na maioria das vezes e para muitas organizações, cortes de orçamento resultam em degradação dos programas de segurança, em riscos não compreendidos nem abordados da maneira adequada, bem como em aumento dos incidentes de segurança. Da mesma forma, frequentemente os altos executivos são vistos como parte do problema, e não como elementos essenciais da solução.

Dado o ambiente de risco acentuado nos dias atuais, as empresas não podem mais ficar à mercê da sorte. As organizações devem preparar-se para jogar um novo jogo, que exige níveis avançados de conhecimento e uma estratégia vitoriosa.


A análise em profundidadeAs iniciativas de segurança nas empresas poucas vezes decorrem de um plano de jogo racionalmente estabelecido. Quer um exemplo? O estado de espírito dos executivos é de otimismo em relação à segurança, muito embora os dados concretos nem sempre justifiquem esse sentimento.

13PwC

I. Um jogo de confiança: as empresas avaliam suas práticas de segurança

Resultado nº 1As autoavaliações positivas continuam este ano: uma quantidade considerável de respondentes afirma que suas empresas se qualificam como líderes na área de Segurança da Informação.

Resultado nº 2A confiança continua alta. A maioria dos respondentes acredita que sua empresa foi capaz de solidificar comportamentos eficazes de segurança da informação na cultura organizacional.

Resultado nº 3Bons comportamentos geram bons resultados, por isso não surpreende que a maioria dos participantes afirme adotar práticas eficazes de segurança da informação, muito embora eles não se deem conta de que o nível de confiança nessa área diminuiu com o passar dos anos.


A análise mais cuidadosa dos dados, entretanto, revela otimismo exagerado em muitos desses posicionamentos. A pesquisa incluiu várias perguntas com a finalidade de identificar os verdadeiros líderes no campo da segurança, ao lado de outras para que as empresas autoavaliassem sua prontidão nesse campo. Em geral, as autoavaliações tendem a ser muito mais positivas que os resultados de análises de liderança feitas por nós.

Dividimos os participantes em categorias, de acordo com a forma como encaram a questão da segurança. Os líderes (42%) afirmam que sua empresa tem “uma estratégia eficaz em vigor e é proativa na execução do que está planejado”. Esses são aspectos essenciais das empresas líderes em segurança. Os estrategistas (25%) consideram-se “melhores em definir uma boa estratégia do que em executar o que está planejado”, enquanto os táticos (16%) se avaliam como “melhores na execução das ações do que na definição de uma estratégia eficaz”. Os bombeiros (16%) admitem que “não têm uma estratégia eficaz em vigor e, normalmente, são reativos”.

Mas será que todos os que se consideram líderes merecem realmente essa qualificação? Confrontamos a autoavaliação dos participantes da pesquisa com quatro critérios-chave utilizados para determinar essa posição de destaque. Os verdadeiros líderes devem:

• ter uma estratégia de segurança da informação e adotá-la de forma abrangente;

• possuir um executivo de segurança da informação (CISO) ou executivo com função equivalente, diretamente subordinado à alta administração (por exemplo, ao diretor-presidente (CEO), ao diretor financeiro (CFO), ao diretor de operações (COO) ou ao conselho);

• ter mensurado e avaliado a eficácia dos procedimentos de segurança no último ano; e

• compreender com exatidão os tipos de incidentes de segurança ocorridos no último ano.

Com base nessas qualificações, nossa verificação revela que apenas 8% dos respondentes podem ser considerados verdadeiros líderes. Quando comparamos esse grupo seleto com aquele muito mais amplo que se autoavalia líder, fica evidente que muitas organizações superestimam as suas práticas de segurança da informação.

Resultado nº 1 As autoavaliações positivas continuam este ano: uma quantidade considerável de respondentes afirma que suas empresas se qualificam como líderes na área de Segurança da Informação.

15PwC

42%

Figura 1: Como os respondentes caracterizam a abordagem de segurança da informação adotada por suas empresas – dados globais

43%

25%27%

15% 16% 16%14%

LíderesTemos uma estratégia eficaz implantada e somos proativos na execução do que está planejado

EstrategistasSomos melhores em definir a estratégia do que em executar o que está planejado

TáticosSomos melhores na execução das ações do que na definição da estratégia eficaz

BombeirosNão temos estratégia eficaz implantada e, normalmente somos reativos

LíderesTemos uma estratégia eficaz implantada e somos proativos na execução do que está planejado

EstrategistasSomos melhores em definir a estratégia do que em executar o que está planejado

TáticosSomos melhores na execução das ações do que na definição da estratégia eficaz

BombeirosNão temos estratégia eficaz implantada e, normalmente somos reativos

2011

2012

2011

2012

Figura 2: Como os respondentes caracterizam a abordagem de segurança da informação adotada por suas empresas – dados Brasil

33%

45%

25%

40%

13%

16% 16%

11%

Observação: Por terem sido arredondados, os números relatados talvez não correspondam exatamente aos dados brutos.


Resultado nº 2A confiança continua alta. A maioria dos respondentes acredita que sua empresa foi capaz de solidificar comportamentos eficazes de segurança da informação na cultura organizacional.

Para ser realmente eficaz, a segurança tem que estar integrada à maneira de pensar e trabalhar dos colaboradores. Ela não pode ser apenas uma preocupação posterior ou um item a mais de uma lista de atividades. A maioria dos participantes acredita ter atingido esse nível de comprometimento: 29% e 39% têm, respectivamente, muita ou alguma certeza de haver incorporado comportamentos eficazes de segurança à cultura de sua empresa. Apenas 20% têm pouca ou nenhuma certeza nesse sentido e 12% não sabem.

Porém, há menos clareza quanto ao fato de a segurança ter se tornado, efetivamente, parte do dia a dia. Um exame das rotinas e interações de que consiste um dia típico de trabalho revela uma discrepância entre a percepção e a realidade. Por exemplo, apenas um de cada quatro respondentes afirma que, nos grandes projetos, a segurança é levada em consideração desde a fase de concepção do projeto. Uma porcentagem ligeiramente menor relata que isso ocorre de modo recorrente durante as fases de análise e desenvolvimento, e 12% informam que isso ocorre na implantação. Mais de 20% dizem que a segurança é envolvida quando necessário, e 18% não sabem.

Quando analisamos os dados obtidos no Brasil, grande parte dos respondentes também afirma que a área de Segurança da Informação é envolvida no início do projeto. Porém, diferente dos dados globais, o segundo comportamento predominante é o envolvimento da área de segurança sob demanda, o que caracteriza um grau inferior de maturidade das organizações no Brasil comparadas com os dados globais.

Em geral, o envolvimento tardio da equipe de segurança nos grandes projetos traz riscos adicionais ao processo e impactos na qualidade, no prazo, nos custos e nos objetivos do projeto.

Figura 3: Certeza de que comportamentos eficazes de segurança da informação fazem parte da cultura organizacional da companhia

29%Muita certeza

Alguma certeza 39%

17PwC

A forma como as organizações estão interagindo com as empresas terceiras também reflete a falta de comprometimento generalizada em relação à segurança da informação. A maioria delas não tem um processo definido de resposta a incidentes que permita ter conhecimento de falhas na manipulação de dados ocorridas em empresas terceiras (parceiros) e preparo para reagir adequadamente às circunstâncias. Além disso, menos de um terço das empresas respondentes exige que seus parceiros (inclusive os fornecedores de serviços de terceirização) cumpram as mesmas políticas de privacidade da contratante. Ademais, menos da metade (44%) dos respondentes revela que sua empresa coleta, armazena e acessa apenas os dados pessoais de clientes que são necessários para conduzir as atividades de negócio. Portanto, é de se supor que o restante (56%) das empresas solicita mais informações de clientes do que o necessário.

35%30%25%20%15%10%5%0%

Figura 4: O momento em que a segurança da informação é envolvida nos projetos

21%Quando necessário

22%

análise e desenvolvimentoDurante as fases de

9%

18%Não sabem

25%No início do projeto

12%12%

Durante a implantação

Brasil

Global

23%

24%

33%


Estratégia e cultura empresarial geram resultados somente quando a execução é exemplar. A maioria dos respondentes da pesquisa tem uma forte convicção de que, em sua empresa, a segurança da informação é boa no nível básico. Mais de 70% dos respondentes estão muito (32%) ou de alguma forma (39%) confiantes em que as atividades de segurança da informação nas suas empresas são efetivas.

No entanto, por maiores que sejam esses números, um exame dos últimos anos demonstra uma queda nos níveis de confiança. Embora se verifique uma estabilidade em relação ao resultado de 2011, a porcentagem de executivos confiantes na segurança em suas empresas ultrapassava, em geral, os 80%, entre 2006 e 2009, e caiu para 74% em 2010.

Surgiu uma ponta de dúvida nesse campo. Conforme apresentado abaixo, esse sentimento é justificável.

Resultado nº 3Bons comportamentos geram bons resultados, por isso, não surpreende que a maioria dos participantes afirme adotar práticas eficazes de segurança da informação, muito embora eles não se deem conta de que o nível de confiança nessa área diminuiu com o passar dos anos.

Figura 5: Nível de confiança na eficácia das práticas de segurança da informação

32%Muito confiante

De alguma forma confiante 39%

19PwC

II. Um jogo de risco: a perda gradual de competências ao longo do tempo

Resultado nº 4Os orçamentos têm crescido menos, mas os recursos financeiros voltaram a ser aplicados em projetos de segurança à medida que se observa um declínio no adiamento dos projetos de investimento em capital (CAPEX) ou operacionais (OPEX).

Resultado nº 5O número de incidentes de segurança cresce ligeiramente e, ao mesmo tempo, as perdas financeiras decorrentes de falhas de segurança diminuem de modo significativo. Os métodos de mensuração dessas perdas ainda são, quase sempre, incompletos.

Resultado nº 6A conjuntura econômica é o primeiro de vários fatores que determinam os orçamentos de segurança. Já o valor da segurança da informação para o negócio é um dos últimos fatores da lista.

Resultado nº 7Há algum tempo se observa o declínio na utilização de tecnologias básicas de detecção de falhas de segurança. É como disputar o campeonato profissional utilizando equipamento esportivo amador. Em que medida a terceirização e a nuvem estariam suprindo esse declínio?

Resultado nº 8As empresas têm suprimido regras, e, com isso, certos elementos antes bem estabelecidos nas políticas de segurança da informação estão cada vez mais raros.

Resultado nº 9É mais fácil proteger a informação quando se sabe onde ela está armazenada. Contudo, a maioria das empresas não mantém um controle tão rígido de seus dados como fazia há alguns anos. Como esse fato impacta a prontidão em segurança na era do Big Data?


Resultado nº 10O uso massivo, dentro e fora das empresas, das mídias sociais, da computação em nuvem e dos dispositivos móveis (Bring Your Own Device - BYOD) avança de forma muito mais acelerada que a evolução das tecnologias e práticas de segurança aplicadas aos riscos desse movimento.

Resultado nº 11O crime cibernético organizado é uma realidade global. O avanço e a complexidade dos ataques de “hackerativismo” e de criminosos no ciberespaço têm sido assustadores nos últimos dois anos, o que, frequentemente, produz impactos e perdas relevantes para as organizações que são alvo desses ataques. Trata-se de um verdadeiro jogo, em que estratégia, recursos, movimentos e alvos mudam sistematicamente, o que exige níveis sofisticados de prontidão empresarial, de aptidão tecnológica e de conhecimento estratégico e tático dos ataques criminosos.

Resultado nº 12A adoção de procedimentos estruturados de resposta a incidentes exige informação precisa sobre os desdobramentos dos incidentes de segurança. O percentual de casos em que a fraude foi decorrência de um incidente variou pouco nos últimos anos. Em outros casos, como roubo de propriedade intelectual ou comprometimento da imagem (marca ou reputação), houve quedas acentuadas nos percentuais, principalmente no Brasil. Essas quedas representam um avanço, pela precisão das informações coletadas, ou um retrocesso, pela deterioração nos procedimentos de resposta?

Resultado nº 13As organizações estão cada vez mais preocupadas em preservar a confidencialidade das informações tratadas em suas operações de negócio. Os modelos operacionais e a tecnologia de gestão de acessos de usuários aos sistemas da companhia e de gestão de identidades para recursos tecnológicos exercem papel fundamental na preservação da confidencialidade dos dados.

Resultado nº 14Os investimentos em programas de gestão de continuidade de negócios crescem a cada ano e despontam entre os principais direcionadores em segurança. Todavia, a efetividade desses programas ainda é questionada.

21PwC

O arrocho orçamentário está menor do que na época da recessão econômica. Mesmo assim, a tendência para os grandes orçamentos de segurança é manterem-se nos mesmos patamares. Menos da metade (45%) dos participantes da pesquisa prevê um aumento dos orçamentos nos próximos 12 meses, abaixo dos 51% registrados no ano passado e dos 52% de 2010. Mais de um quarto planeja uma contenção de despesas com segurança, e quase 10% esperam uma queda. Cerca de 18% não sabem para onde os gastos com segurança estão sendo direcionados.

A boa notícia é que a postergação dos investimentos em capital e das despesas operacionais está sendo menor quando comparada com anos anteriores. Além disso, os orçamentos de segurança têm sofrido menos cortes. Cerca de 60% dos respondentes revelam que a empresa em que atuam não postergou investimentos em capital para segurança de TI. Outros 20% afirmam que os projetos foram postergados por menos de seis meses, e apenas 8% tiveram seus projetos adiados por um ou mais anos. A postergação de despesas operacionais foi ainda menos comum, por uma pequena margem de diferença.

O orçamento para projetos esteve bem protegido de cortes. Dois terços dos respondentes revelam não ter sofrido cortes orçamentários, e 15% tiveram cortes de menos de 10%. Entretanto, quase um de cada nove projetos de investimento em capital sofreu cortes de mais de 20%. Mais uma vez, os números são semelhantes no caso dos orçamentos operacionais da área de Segurança de TI.

Resultado nº 4Os orçamentos têm crescido menos, mas os recursos financeiros voltaram a ser aplicados em projetos de segurança à medida que se observa um declínio no adiamento dos projetos de investimento em capital (CAPEX) ou operacionais (OPEX).

Figura 6: Porcentagem dos respondentes que preveem aumento dos gastos com segurança da informação nos próximos 12 meses

44%

2007 2008

38%

2009

52%

2010

51%

2011

45%

2012

44%


No Brasil, os resultados da pesquisa mostram que os investimentos em segurança da informação têm alcançado volumes significativos: 16% dos respondentes afirmam contar com orçamentos entre 1 e 9 milhões de dólares, enquanto 28,2% revelam que os gastos com segurança da informação sofreram elevação de até 10%. Uma parcela muito pequena dos participantes (4,4%) espera uma redução acima de 11%.

No país, o cenário é de otimismo. Mais de 70% dos respondentes pretendem ampliar os investimentos em segurança da informação, principalmente em áreas emergentes, como dispositivos móveis (77%), redes sociais (74%) e proteção de dados (80%). Em contrapartida, para as práticas já consolidadas, como análise de vulnerabilidades e monitoramento das atividades de terceiros, o percentual de respondentes que aponta a elevação nos investimentos é inferior (60%).

23PwC

Houve um aumento marginal do número de incidentes de segurança, em comparação com o ano passado. Um total de 13% dos respondentes relata ter tido 50 ou mais incidentes, um pouco acima do observado em 2011, porém muito mais do que os níveis informados em pesquisas anteriores. Cerca de um terço dos participantes da pesquisa afirma não ter havido incidentes em sua empresa, e mais de 14% admitem não saber.

No Brasil, parece haver maior preocupação das organizações com o acompanhamento dos incidentes de segurança. O percentual de empresas que admitem desconhecer se sofreram incidentes de segurança é de apenas 6%, muito inferior aos 14% globais, enquanto 28% dizem não ter sofrido qualquer incidente. Dos 10% respondentes que passaram por 50 ou mais ataques, 1,3% revela ter tido mais de 100.000 incidentes no ano.

Entre os que revelaram ter tido incidentes de segurança, 14% sofreram perdas financeiras como decorrência de falhas, em comparação com 20% nos dois anos anteriores e com 10% em 2008. Apenas 7% relataram perdas de valor para os acionistas decorrentes de falhas de segurança, apenas um pouco menos do que no ano passado.

Esses resultados parecem positivos, mas há uma questão: muitas organizações não realizam uma avaliação profunda dos fatores que podem contribuir para essas perdas. Por exemplo, apenas 25% dos respondentes consideram danos à marca e à reputação quando estimam o impacto total de uma falha de segurança, e pouco mais da metade computa as perdas de negócios com clientes. Isso é significativo porque a proteção de dados é essencial na fidelização de clientes. De fato, em uma pesquisa recente da PwC, 61% dos participantes responderam que deixariam de utilizar os produtos ou serviços de determinada empresa após uma falha de segurança.1

Da mesma forma, a inclusão de custos relacionados a incidentes de segurança também tem sido limitada. Somente um terço dos respondentes considera os gastos com investigações e perícia na apuração, e aproximadamente o mesmo percentual ponderou os serviços jurídicos, de auditoria e de consultoria.

Resultado nº 5O número de incidentes de segurança cresce ligeiramente. Ao mesmo tempo, as perdas financeiras decorrentes de falhas de segurança diminuem de modo significativo. Os métodos de mensuração dessas perdas ainda são, quase sempre, incompletos.

1PwC, Consumer Privacy: What Are Consumers Willing to Share? [Privacidade do consumidor: O que os consumidores estão dispostos a compartilhar?] (julho de 2012).

Resultado nº 6


Os dados dos Brasil em relação à consequência dos incidentes de segurança são mais impactantes e concentram-se em sua maioria em: (1) perdas financeiras (37%); (2) perdas de clientes (24%) e; (3) comprometimento da marca/reputação (21%). Além disso, cerca de 20% dos respondentes dizem ter tido até três horas de indisponibilidade em suas operações em decorrência de incidentes de segurança.

No Brasil, 31% dos respondentes afirmam que as perdas financeiras decorrentes de incidentes de segurança foram inferiores a dez mil dólares. Entretanto, 4% mensuram as perdas decorrentes em níveis acima de 10 milhões de dólares. Ou seja, a sofisticação e a profissionalização dos “criminosos” têm causado prejuízos relevantes para determinadas organizações.

O Brasil considera os mesmos fatores indicados globalmente na composição e nos cálculos das perdas financeiras. O percentual que leva em consideração a perda de negócios com clientes se destaca dentre os fatores.

70%60%50%40%30%20%10%0%

Figura 7: Fatores incluídos no cálculo das perdas financeiras decorrentes de falhas de segurança

23%

26%Acordos judiciais

31%

Utilização de programas, serviços e procedimentos de detecção

24%

35%Investigações e perícia

35%

35%Serviços jurídicos

60%

52%Perda de negócios juntoa clientes

32%

34%Serviços de auditoria e consultoria

26%

27%Danos à marca/reputação

Brasil

Global

Observação: Nem todos os fatores estão demonstrados no gráfico. O total não atinge 100%. Os participantes puderam indicar diversos fatores.

34%

25PwC

Que fatores e questões de negócio direcionam os investimentos em segurança? Observamos uma grande variedade de respostas a essa questão, mas as mais citadas não dizem respeito ao benefício que uma boa gestão de segurança da informação proporciona à empresa. De fato, a conjuntura econômica é, de longe, o principal determinante dos investimentos em segurança, tendo sido citada por 46% dos respondentes. Esse percentual representa uma queda em relação a 2011 e 2010.

É certo que todos os departamentos são afetados durante as fases difíceis, mas os “criminosos” não descansam. A vinculação muito rígida entre o orçamento e a economia é uma forma arriscada de estabelecer prioridades para a área de Segurança da Informação.

O fator diretamente relacionado à segurança mais citado foi a continuidade dos negócios/recuperação de desastres, com 31% de respostas, muito abaixo dos 40% registrados há apenas dois anos. A reputação da empresa tem aproximadamente a mesma importância, tendo sido citada por 30% dos respondentes. Em contrapartida, algumas empresas só investem em segurança por exigência dos órgãos reguladores (29%) ou das políticas internas de compliance (28%).

Resultado nº 6A conjuntura econômica é o primeiro de vários fatores que determinam os orçamentos de segurança. Já o valor da segurança da informação para o negócio é um dos últimos fatores da lista.

Figura 8: Fatores que determinam os gastos da empresa com segurança da informação

2009 2010 2011 2012

Conjuntura econômica

Continuidade dos negócios/recuperação de desastres

Reputação da empresa

Mudanças na empresa e no setor

Políticas internas

Exigência regulatória

39%

49%50%

46%

41% 40%

34%31% 32% 32%

35%

30% 30% 30%29% 28%28% 27%

38% 37%

33%

29%

34%33%


No Brasil, 41% dos respondentes consideram que a preservação da reputação da empresa é um dos principais fatores que direcionam os investimentos em segurança da informação. Entretanto, a conjuntura econômica ainda é o fator predominante na determinação dos orçamentos, o que também representa um risco, dado que a instabilidade do fator econômico e a atividade de hackers, do “hackeativismo” e dos criminosos cibernéticos são ainda mais acentuadas nos países emergentes.

Outro fator destacado pelos respondentes do Brasil é a terceirização, indicada por 32% dos participantes.


Figura 9: Fatores que determinam os gastos da empresa com segurança da informação no Brasil

51%Conjuntura econômica

Reputação da empresa

Continuidade dos negócios/recuperação de desastresMudanças na empresa e no setor

Políticas internas

Terceirização

Exigência regulatória

42%

41%

35%

33%

32%

32%

27PwC

Uma tendência inesperada nos dias atuais é a redução no uso de muitas ferramentas essenciais de segurança e privacidade da informação. É provável que isso se deva, em certa medida, aos vários anos de restrições orçamentárias. Se isso também reflete uma mudança tática e estratégica, a direção de tais mudanças ainda permanece obscura.

O que está evidente é a diminuição dos arsenais de tecnologia de detecção nos últimos anos. Entre as categorias afetadas estão as ferramentas de detecção de códigos maliciosos de spyware e adware, utilizadas por 71% dos participantes, contra 83% registrados em anos anteriores, e as ferramentas de detecção de intrusão, antes usadas por quase dois terços dos respondentes e, atualmente, apenas por pouco mais da metade. Quedas semelhantes foram observadas no uso de programas de varredura de vulnerabilidades, de correlação de eventos e de prevenção contra a perda de dados.

Em que medida a terceirização e a computação em nuvem estariam suprindo esse declínio? Quase 69% dos respondentes têm serviços de SAAS na nuvem, e 51% declaram que os serviços da nuvem ajudaram a melhorar a segurança na empresa.

No Brasil, observamos que o comportamento é semelhante ao dos demais países: componentes tecnológicos básicos que preservam o nível mínimo de segurança para a infraestrutura, como a varredura de vulnerabilidades, foram relatados por apenas 50% dos respondentes, o que é de fato um número baixo. Cabe destacar que esse número pode ser justificado pelo fato de que, no Brasil, muitas empresas preferem contratar serviços de empresas especializadas no tema a conduzir as análises isoladamente.

Outro ponto que chama atenção é o fato de 38% dos respondentes afirmarem utilizar ferramentas específicas para proteção e privacidade dos dados (DLP). Merecem destaque outros mecanismos indicados pelos respondentes, especificamente para proteção da privacidade dos dados: medidas seguras de controles de acesso (61%), protocolos seguros de autenticação (62%) e segurança nos dispositivos móveis (42%).

Um aspecto relevante apresentado nos dados do Brasil é que 49% dos respondentes dizem possuir ferramentas de detecção de códigos maliciosos para dispositivos móveis, um aspecto que não foi mencionado nos anos anteriores.

Resultado nº 7Há algum tempo se observa o declínio na utilização de tecnologias básicas de detecção de falhas de segurança. É como disputar o campeonato profissional utilizando equipamento esportivo amador. Em que medida a terceirização e a nuvem estariam suprindo esse declínio?


Figura 10: Tecnologias de segurança da informação utilizadas atualmente – dados globais

36%

47%

47%

53%

62%

71%

83%

Ferramentas de correlação de eventos

Ferramentas de prevenção de perda de dados (DLP)

Assinatura de serviço(s) de alerta de vulnerabilidades

Ferramentas de varredura de vulnerabilidades

Ferramentas para a descoberta de dispositivos não autorizados

Ferramentas de detecção de intrusão

Ferramentas de detecção de códicos mal-intencionados (spyware e adware)

46%

59%

57%

39%

48%

41%

49%

2012

2011

Figura 11: Tecnologias de segurança da informação utilizadas atualmente – dados Brasil

40%

40%

50%

60%

55%

78%

80%

Ferramentas de correlação de eventos

Ferramentas de prevenção de perda de dados (DLP)

Assinatura de serviço(s) de alerta de vulnerabilidades

Ferramentas de varredura de vulnerabilidades

Ferramentas para a descoberta de dispositivos não autorizados

Ferramentas de detecção de intrusão

Ferramentas de detecção de códicos mal-intencionados (spyware e adware)

50%

50%

46%

38%

35%

47%

45%

2012

2011

Observação: Nem todos os fatores estão demonstrados nos gráficos. O total não atinge 100%. Os participantes puderam indicar diversos fatores.

29PwC

Além da queda no uso de ferramentas de segurança da informação, também se observa um relaxamento das políticas que estabelecem padrões nas organizações. Muitos dos elementos fundamentais contidos nas políticas de segurança vêm sendo excluídos nos últimos anos – em alguns casos de forma muito radical. Por exemplo, apenas 51% dos participantes da pesquisa afirmam que as políticas relativas a backup e recuperação e a continuidade dos negócios permanecem em vigor em suas empresas. Observa-se também relaxamento em questões importantes, como gestão de usuários, segurança de aplicações, segurança física e práticas segregação de funções.

Isso pode ser efeito do movimento pendular que leva organizações a atuarem nos extremos, ora enrijecendo os padrões de segurança ao máximo, ora relaxando-os de maneira excessiva. De fato, os extremos frequentemente representam o engessamento ou o aumento de riscos para o negócio. O desafio está em obter o equilíbrio.

No Brasil, os dados demonstram que ainda existem algumas preocupações específicas com temas relativamente antigos, entre eles o uso adequado de Internet e e-mail.

Resultado nº 8As empresas têm suprimido regras, e, com isso, certos elementos antes bem estabelecidos nas políticas de segurança da informação estão cada vez mais raros.

Figura 12: Elementos que compõem as políticas de segurança no mundo

16%22%

Classificação do valor dos dados para o negócio

22%26%

Gestão de mudanças

24%29%

Inventário e gestão de ativos

32%36%

Segurança física

32%37%

Revisão periódica de usuários e acessos

33%38%

Registro e controle

35%38%

Segurança de aplicações

48%49%

Administração de usuários

51%53%

Backup e recuperação/continuidade dos negócios

2012

2011

Figura 13: Elementos que compõem as políticas de segurança no Brasil

66%51%


59%47%


44%41%

Controle de acesso baseado em função

42%33%

Uso apropriado da tecnologia(Internet, e-mail, etc.)

40%36%


39%35%

Segurança física

39%0%

Criptografia

39%26%

Log e monitoramento

37%32%


2012

2011



Figura 12: Elementos que compõem as políticas de segurança no mundo

16%22%

Classificação do valor dos dados para o negócio

22%26%

Gestão de mudanças

24%29%

Inventário e gestão de ativos

32%36%

Segurança física

32%37%


33%38%

Registro e controle

35%38%


48%49%


51%53%


2012

2011

Figura 13: Elementos que compõem as políticas de segurança no Brasil

66%51%


59%47%


44%41%

Controle de acesso baseado em função

42%33%

Uso apropriado da tecnologia(Internet, e-mail, etc.)

40%36%


39%35%

Segurança física

39%0%

Criptografia

39%26%

Log e monitoramento

37%32%


2012

2011


31PwC

Os dados da pesquisa mostram que um número cada vez maior de empresas tem adotado controles menos rígidos na proteção de dados. Embora mais de 80% admitam a importância da proteção dos dados de clientes e colaboradores, um percentual muito menor conhece as implicações e a localização desses dados. Esse fato é importante porque os clientes, cada vez mais, desejam ter o controle de seus dados pessoais e do uso que as empresas fazem deles.2

A proporção de respondentes que revelam manter um registro preciso de informações de colaboradores e clientes aumentou em relação ao ano passado, mas permanece abaixo dos 40% e dos resultados das pesquisas anteriores. Tendência semelhante observa-se no que diz respeito ao registro correto da localização e da jurisdição dos dados armazenados, que mal atingiu os 30% este ano.

Na era do Big Data, é essencial saber onde os dados foram originados, onde estão armazenados e a importância relativa deles para a organização. As medidas certas de proteção devem ser estabelecidas de acordo com a importância relativa dos dados. O fato é que, para o Big Data, essa importância relativa e a aplicação do mecanismo adequado de proteção estão sujeitas a uma dinâmica muito mais acentuada de mudanças do que os dados estruturados gerados em sistemas transacionais. Por isso, a forma e as técnicas de proteção de dados da era do Big Data são diferentes daquelas adotadas na proteção tradicional, feita com base na classificação estática da informação.

Big Data é um termo que não tem em si uma definição precisa. Ele tem sido utilizado para caracterizar o resultado da acumulação contínua de todos os tipos de dados pouco estruturados e que forma conjuntos de dados na ordem de terabytes ou pentabytes. O fato é que a natureza e o tamanho preciso do Big Data são questões menos relevantes diante da oportunidade de criação de valor que a exploração e a análise desses dados apresentam para as organizações.

As centenas de milhares de dados menos estruturados capturados de redes sociais, de empresas web, de web servers log files, de outros serviços (self-service advertising, search engine, RSS feeds, view videos, e-mail etc.) e de repositórios web (home pages, sites de relacionamento corporativo etc.), assim como os milhares de dados departamentais e operacionais gerados nas empresas, são exemplos de elementos que compõem esses conjuntos de dados ou Big Data.

Resultado nº 9É mais fácil proteger a informação quando se sabe onde ela está armazenada. Contudo, a maioria das empresas não mantém um controle tão rígido de seus dados quanto faziam há alguns anos. Como esse fato impacta a prontidão em segurança na era do Big Data?

2Fonte: PwC, ConsumerPrivacy: What AreConsumersWillingtoShare? (julho de 2012).


As técnicas de exploração do Big Data complementam as técnicas existentes (BI, DW etc.) e permitem a análise sistemática com dados que não foram formalmente modelados por arquitetos de dados. Portanto, eles podem ser analisados e comparados de diferentes maneiras e níveis de rigor, preservando muitas vezes o contexto original do dado. A era do Big Data exigirá uma nova dinâmica de proteção de dados nas organizações.

Os dados do Brasil, quando comparados aos dos demais países, mostram uma preocupação maior em relação às práticas de segurança que estão sendo adotadas por terceiros ou por parceiros de negócio, visto que 39% dos respondentes indicaram esse aspecto como uma das medidas de proteção empregadas.

Possivelmente, esse fato seja decorrente do volume de atividades de tecnologia da informação terceirizadas ao longo dos últimos anos e que, em alguns casos, representam atividades core da empresa. Assim, no Brasil, o modelo de gestão adotado visando maior controle sobre os terceiros tem amadurecido significativamente.

Embora apontada por 51% dos respondentes, a efetividade da revisão periódica das políticas de segurança e privacidade, publicadas como medida preventiva na contenção de vazamentos de informações, é um aspecto que merece reflexão. De forma consistente, nos dados globais e nos do Brasil, essa questão apareceu como uma das principais iniciativas adotadas pelas empresas.

Figura 14: Medidas de proteção para privacidade dos dados – Dados Globais

2011 2012

Revisão da política de privacidade ao menos uma vez por ano

39%

49%

Política de privacidade em vigor publicada na intranet e site institucional

53%

41%

Registro adequado dos locais em que os dados pessoais de colaboradores e clientes são coletados, transmitidos e armazenados

33% 34%

Exigência de que terceiros (inclusive fornecedores de outsourcing) sigam as políticas de privacidade da empresa

29% 29% 29%27% 27%32%

Auditoria dos padrões de privacidade por meio de avaliações de terceiros

25%31%

Registros corretos da localização ou jurisdição onde os dados estão armazenados

31%

Processo de resposta a incidentes para relatar falhas ocorridas em terceiros que lidam com dados e tratar dessas questões

Inventário de todos os terceiros que manuseiam dados pessoais de colaboradores e clientes

24%26%

Auditoria de terceiros que manuseiam dados pessoais de clientes e colaboradores

26%

Figura 15: Medidas de proteção para privacidade dos dados – Dados Brasil

2011 2012


32%30%

51%


42%


23% 23%

31%


28% 29%27%

30%

46%


26% 27%

40%




23%

28%


30%

Observação: Nem todos os fatores estão demonstrados nos gráficos. O total não atinge 100%.

33PwC

Figura 14: Medidas de proteção para privacidade dos dados – Dados Globais

2011 2012


39%

49%


53%

41%


33% 34%


29% 29% 29%27% 27%32%


25%31%


31%



24%26%


26%

Figura 15: Medidas de proteção para privacidade dos dados – Dados Brasil

2011 2012


32%30%

51%


42%


23% 23%

31%


28% 29%27%

30%

46%


26% 27%

40%




23%

28%


30%

Observação: Nem todos os fatores estão demonstrados nos gráficos. O total não atinge 100%.


Parece quase desnecessário destacar a popularidade das tecnologias móveis e das mídias sociais em uma época em que o lançamento da última versão do iPhone e a abertura de capital do Facebook são considerados verdadeiros acontecimentos. A nuvem pode até ter um significado cultural menor, mas também se tornou parte da infraestrutura da vida cotidiana e do mundo dos negócios.

Como os usuários querem integrar suas atividades pessoais e profissionais em um único dispositivo móvel, quase sempre de propriedade deles mesmos, o movimento revolucionário do BYOD (Bring your own device) tem se fortalecido. O desafio está em como estabelecer padrões técnicos corporativos que permitam estabelecer níveis de segurança adequados para uma enormidade de dispositivos móveis. E mais: é difícil assegurar que as políticas de segurança serão minimamente cumpridas na utilização desses dispositivos empregados em atividades pessoais e corporativas em um mesmo dispositivo.

Nesse contexto, não surpreende a quantidade cada vez maior de empresas que adotam medidas de proteção para tecnologias móveis, mídias sociais e computação na nuvem e políticas de segurança específicas para o uso de dispositivos pessoais dos colaboradores. Contudo, esses números ainda são persistentemente baixos: apenas 44% têm uma estratégia de segurança para dispositivos móveis e 40% têm uma estratégia de segurança para o uso de mídias sociais e da computação em nuvem, o que representa percentuais muito abaixo da própria taxa de adoção dessas tecnologias nas empresas.

Os dados demonstram, por exemplo, que 88% dos consumidores utilizam dispositivos móveis para fins pessoais e profissionais.3 Contudo, apenas 45% dos respondentes adotam medidas de segurança para aparelhos de uso pessoal no ambiente de trabalho, e apenas 37% têm mecanismos de proteção contra malware para dispositivos móveis.

No Brasil, 32% dos participantes dizem que estabelecer uma estratégia de segurança para a computação em nuvem é prioridade para o próximo ano. Em seguida, com cerca de 30%, está a prioridade na implementação de soluções tecnológicas para suportar modelos integrados das práticas de GRC (Governança, Risco e Compliance), prioridade essa que não figura entre as mencionadas no âmbito global.

Resultado nº 10O uso massivo, dentro e fora das empresas, das mídias sociais, da computação em nuvem e dos dispositivos móveis (Bring your own Device - BYOD) avança de forma muito mais acelerada que a evolução das tecnologias e práticas de segurança aplicadas aos riscos desse movimento.

3PwC, ConsumerPrivacy: What AreConsumersWilling toShare? (julho de 2012).

Figura 16: Principais prioridades tecnológicas nos próximos 12 meses – dados Brasil

Estratégia de segurança nuvem

Estratégia de segurança para mídias sociais

2011 2012

Figura 17: Salvaguardas de segurança atualmente existentes – dados globais

26%

29%

38%

32%

Estratégia de segurança para dispositivos móveis

44%

37%

Estratégia de segurança para uso de dispositivos pessoais no ambiente de trabalho

45%

43%




2011 2012

Figura 18: Salvaguardas de segurança atualmente existentes – dados Brasil

25%28%

40%

31%


44%

32%


48%

38%

21%Software de controle de acesso à rede

Ferramenta de análise de código

Ferramentas de gestão de configuração

Ferramentas de gestão de ativos

Tecnologias de segurança suportando Web 2.0

Ferramentas de Governance, Risk and Compliance (GRC)Política de segurança para Cloud

23%

23%

26%

27%

30%

32%

35PwC

Figura 16: Principais prioridades tecnológicas nos próximos 12 meses – dados Brasil



2011 2012

Figura 17: Salvaguardas de segurança atualmente existentes – dados globais

26%

29%

38%

32%


44%

37%


45%

43%




2011 2012

Figura 18: Salvaguardas de segurança atualmente existentes – dados Brasil

25%28%

40%

31%


44%

32%


48%

38%

21%Software de controle de acesso à rede

Ferramenta de análise de código

Ferramentas de gestão de configuração

Ferramentas de gestão de ativos

Tecnologias de segurança suportando Web 2.0

Ferramentas de Governance, Risk and Compliance (GRC)Política de segurança para Cloud

23%

23%

26%

27%

30%

32%


Por um lado, a universalização da internet via banda larga, a proliferação da computação em nuvem, a explosão dos tablets, smartphones, notebooks, memory sticks, a socialização da informação por meio do Google e os avanços das redes sociais, como Facebook, Twitter e Orkut, têm permitido às organizações públicas e privadas criar diferenciais competitivos e introduzir novos modelos de gestão, de operação e de controle de seus negócios.

Por outro lado, os avanços do crime cibernético e das atividades de “hackerativismo”, os inúmeros casos de fraudes contra países, empresas e pessoas físicas, envolvendo roubo de identidades e senhas digitais, apropriação e uso de informação privilegiada, têm preocupado estados, organizações públicas e privadas e a sociedade em todo o mundo.

As ameaças cibernéticas são variadas, complexas e estão em constante evolução. Muitas vezes, os atacantes evoluem tecnologicamente de modo mais rápido que as empresas. Algumas falhas não são acidentais, mas habilmente planejadas e organizadas. “Programas” são inseridos no ambiente tecnológico de uma empresa, “aprendem” sobre a tecnologia em uso e desenvolvem malware personalizados em tempo real, muitas vezes com abordagem híbrida, para atacar pessoas, processos e tecnologias.

As organizações públicas e privadas devem estar preparadas para identificar incidentes de segurança e conduzir análises de causa-raiz e investigações forenses dos incidentes provocados por fraudes, por violações cibernéticas, por roubo de dados e por uso de informação privilegiada.

A pesquisa mostra que 67% (média global) das organizações têm muita ou alguma ciência dos riscos cibernéticos. O Brasil alcança 73%, a China quase 85%. Ainda há quase 12% das empresas (média global) que revelam falta de ciência dos seus riscos, contrapondo-se aos quase 5% do Brasil, 1% da China, aos 0% da África do Sul, mas alinhando-se aos quase 14% que responderam “Não sei” nos Estados Unidos.

Resultado nº 11 O crime cibernético organizado é uma realidade global. O avanço e a complexidade dos ataques de “hackerativismo” e de criminosos no ciberespaço têm sido assustadores nos últimos dois anos, o que, frequentemente, produz impactos e perdas relevantes para as organizações que são alvo desses ataques. Trata-se de um verdadeiro jogo em que estratégia, recursos, movimentos e alvos mudam sistematicamente, o que exige níveis sofisticados de prontidão empresarial, de aptidão tecnológica e de conhecimento estratégico e tático dos ataques criminosos.

37PwC

O mais curioso é que, dada a intensificação dos crimes cibernéticos e do “hackerativismo” nos últimos dois anos, com o consequente aumento da percepção de risco por parte das organizações, apenas 3,6% dos respondentes apontaram como prioritário o estabelecimento de um comando para a gestão dos riscos do ciberespaço em suas empresas nos próximos 12 meses.

O crime cibernético traz riscos incontestáveis às inovações e transformações proporcionadas pela tecnologia. Entretanto, a grande maioria dos respondentes aponta, de longe, o compliance regulatório e a mitigação de riscos como principais motivadores de investimentos em segurança do ciberespaço na empresa.

Figura 19: Nível de ciência da organização a respeito dos riscos cibernéticos

Muita ou alguma ciência Pouca ou nenhuma ciência Não sabe

Figura 20: Quais são os direcionadores primários de investimento para a segurança do ciberespaço

90,0%80,0%70,0%60,0%50,0%40,0%30,0%20,0%10,0%0,0%

Global Brasil Índia China Áfricado Sul

Estados Unidos

Compliance regulatório e legal

Mitigação de riscos conhecidos de segurança

Suporte às iniciativas de inovação e modernização

Outros

Não sabe

Global

Brasil

Índia

China

África do Sul

Estados Unidos

0,0 25,0 50,0 75,0 100,0


Muito tem sido feito nas organizações para estabelecer procedimentos estruturados de resposta a incidentes. Aliás, 83% dos respondentes declaram ter esses procedimentos na prática. Com a ocorrência de incidentes, é preciso fazer uma avaliação dos impactos e desdobramentos, bem como uma análise precisa da causa raiz, isto é da falha que levou ao incidente.

A fraude tem sido apontada de forma consistente nos últimos três anos como um dos desdobramentos ou impactos dos incidentes de segurança. Os percentuais globais atribuídos à fraude, como decorrência, têm sofrido variações mínimas. No Brasil, por outro lado, esses valores cresceram dois pontos percentuais em relação ao ano passado. Com 17%, o Brasil fica acima da média global.

Em relação a outros desdobramentos de incidentes de segurança, como roubo de propriedade intelectual, exposição legal ou ação judicial e comprometimento da imagem (marca ou reputação), os percentuais globais apontados pelos respondentes sofreram quedas acentuadas no último ano. De 33% para 24%; de 10% para 8%; e de 31% para 24%, respectivamente.

Resultado nº 12A adoção de procedimentos estruturados de resposta a incidentes exige informação precisa sobre os desdobramentos dos incidentes de segurança. O percentual de casos em que a fraude foi decorrência de um incidente variou pouco nos últimos anos. Em outros casos, como o roubo de propriedade intelectual ou o comprometimento da imagem (marca ou reputação), houve quedas acentuadas nos percentuais, principalmente no Brasil. Essas quedas representam um avanço, pela precisão das informações coletadas, ou um retrocesso, pela deterioração nos procedimentos de resposta?

Figura 21: Global – Quais foram os impactos dos incidentes de segurança?

Roubo de propriedade intelectual

32%

2010 2011 2012

Fraude

Exposição legal/Ação judicial

Comprometimento da Marca/Reputação

33%24%

17%15%15%

13%10%

8%

30%31%

24%

Figura 22: Brasil – Quais foram os impactos dos incidentes de segurança?


31%

2010 2011 2012

Fraude



33%19%

15%15%17%

23%8%10%

23%29%

21%

39PwC

No Brasil, os dados referentes a esses outros impactos também chamam atenção. O percentual de roubo de propriedade intelectual, por exemplo, caiu de 33% para 19%. O de comprometimento da marca ou reputação caiu de 29% para 21%. O de exposição legal, por outro lado, sofreu uma alta de dois pontos percentuais.

As quedas acentuadas dos percentuais seriam resultantes da apuração precisa dos dados com base em práticas preventivas e detectivas ou em procedimentos avançados de resposta a incidentes? Ou, então, seriam as quedas um indicativo de deterioração nos procedimentos existentes?

Figura 21: Global – Quais foram os impactos dos incidentes de segurança?


32%

2010 2011 2012

Fraude



33%24%

17%15%15%

13%10%

8%

30%31%

24%

Figura 22: Brasil – Quais foram os impactos dos incidentes de segurança?


31%

2010 2011 2012

Fraude



33%19%

15%15%17%

23%8%10%

23%29%

21%


A pesquisa mostra que 52% dos respondentes consideram que as soluções de gestão de acessos e de identidades são um dos principais componentes de tecnologia empregados para assegurar a confidencialidade e a privacidade dos dados. Outros 41% afirmam que possuem uma estratégia de gestão de identidades desenvolvida para a organização. Ao compararmos os dados acima, concluímos que ainda existem companhias que adquiriram tecnologias de gestão de acesso, porém não definiram a melhor forma implantá-las a fim de abranger todos os aplicativos da organização.

Entre os pesquisados, apenas 32% afirmam possuir os serviços de gestão de identidades e acessos contratados de empresas terceiras. Isso demonstra cautela em autorizar o acesso irrestrito de terceiros aos sistemas aplicativos da organização.

Dos que ainda não possuem esses serviços, cerca de 30% declaram que a gestão de identidades será uma prioridade nos próximos 12 meses, figurando entre outras áreas prioritárias como computação em nuvem, mídias sociais e plano de contingência.

Resultado nº 13As organizações estão cada vez mais preocupadas em preservar a confidencialidade das informações tratadas em suas operações de negócio. Os modelos operacionais e a tecnologia de gestão de acessos de usuários aos sistemas da companhia e de gestão de identidades para recursos tecnológicos exercem papel fundamental na preservação da confidencialidade dos dados.

Cloud computing

Mídias sociais

Global Brasil

Figura 23: Principais processos de segurança da informação que as organizações não possuem, mas que são prioridade para os próximos 12 meses

Gestão dedispositivos móveis

Gestão deidentidades

Plano de continuidade de negócios

34% 34%

27%

33%

29%30%

23%

29%

22%

28%

41PwC


Um contraponto à eficiência das iniciativas de gestão de acesso a usuários que foram estabelecidas pelas empresas é que, de forma consistente ao longo dos últimos anos, a principal origem dos incidentes de segurança continua sendo internas, isto é, funcionários ativos (37%), ex-funcionários (36%), prestadores de serviços/terceiros (16%), sendo que aos hackers se atribui o percentual de 36% dos casos. Esses dados confirmam o quanto é importante estabelecer uma gestão de identidades robusta.

Como pode ser observado em ambos os gráficos ao lado, o tema Gestão de Identidades continua na agenda dos CIOs e CISO como uma prioridade a ser tratada pelas corporações no próximo ano. Cada vez mais as organizações buscam prover mecanismos que automatizem os serviços disponibilizados aos usuários finais, visando reduzir o tempo de atendimento dos chamados e, ao mesmo tempo, garantir a concessão de acesso via matrizes de segregação de funções e a segurança da informação nos processos de negócios no ambiente de TI.

Figura 24: Principais tecnologias relativas aos usuários finais a serem disponibilizadas nos próximos 12 meses

Figura 25: Principais origens dos incidentes de segurança da informação

Single Sign On

Biometria

Ferramentas de monitoramento das atividades dos usuários

Adoção de smartcards, tokens para autenticação

Provisionamento automático

Desbloqueio automático de senha

Repositório centralizado de dados de usuários

Nenhuma das opções anteriores

Tecnologia de Gestão Identidades

Federação de Identidades

Brasil

Global29%

35%

29%28%

24%24%

23%40%

39%23%

20%33%

40%19%

18%

16%

43%

45%

24%24%

Colaboradores ativos

Ex-funcionários Hackers Prestadores de serviço

Global Brasil

37% 37%

27%

36%

25%

36%

13%16%


A Gestão de Continuidade de Negócios (GCN) é uma abordagem integrada de gerenciamento de crises e recuperação das operações que mobiliza toda a organização após a ocorrência de qualquer evento que cause uma ruptura operacional.

Um Plano de Continuidade de Negócios (PCN) descreve as ações e os processos necessários para recuperar as operações em caso de ruptura. Um plano de recuperação de desastres em TI (PRD) descreve os procedimentos para recuperar os sistemas e componentes de infraestrutura em casos de desastre. Já o Plano de Gestão de Crises (PGC) aborda todos os elementos necessários à atuação coordenada durante a crise, à tomada de decisão de contingência e ao acionamento das equipes.

Juntos, esses planos representam o mecanismo necessário para garantir que uma organização possa se recuperar de forma eficaz após um desastre. As organizações que não possuem planos estão sujeitas a impactos significativos e atrasos no processo de recuperação após um evento de catástrofe.

Muitas dessas organizações podem nunca se recuperar. As empresas, portanto, precisam assegurar a existência de planos adequados para facilitar sua recuperação. Essa é uma questão relevante para todas as organizações.

É responsabilidade de cada organização também garantir que seu programa de continuidade de negócios seja adequado e reflita a sua realidade. Sabemos que, à medida que o tempo passa, surgem novos e sofisticados cenários de risco. Essa situação torna a gestão eficaz da continuidade uma tarefa cada vez mais complexa.

Os resultados da pesquisa demonstram que, para 31% dos respondentes, a questão “contingência e continuidade de negócios” é considerada o terceiro principal direcionador dos investimentos em segurança da informação. No Brasil, esse percentual corresponde a 41%, estando atrás apenas da conjuntura econômica (51%) e da reputação da companhia (41%).

Comparativamente, o percentual de empresas que possuem um Plano de Continuidade de Negócios de negócios é maior nas outras regiões, correspondendo a 49% dos respondentes. No Brasil, esse percentual é de apenas 40%, mas vem crescendo em virtude de aspectos regulatórios que passaram a demandar o aprimoramento desse controle e também por causa de diversas catástrofes naturais ocorridas nos últimos anos.

Resultado nº 14Os investimentos em programas de gestão de continuidade de negócios crescem a cada ano e despontam entre os principais direcionadores em segurança. Todavia, a efetividade desses programas ainda é questionada.

43PwC

No Brasil, aproximadamente 66% dos respondentes consideram que os planos de continuidade de negócios e contingência são “muito efetivos”, e apenas 2,4% consideram que ele não é efetivo.

No Brasil, o fator que mais se destaca para justificar a não efetividade dos planos é o fato de eles estarem incompletos, conforme mencionado por 42% dos respondentes. Em seguida, está a ausência de treinamento, com 40% das respostas. De fato, a ausência de uma infraestrutura adequada de contingência impossibilita que os profissionais sejam treinados e que a abrangência e a efetividade das ações propostas nos planos sejam validadas.

Embora 67% dos respondentes afirmem ter planos de contingência e continuidade efetivos, apenas 59% deles consideram que seus planos estão adequados para responder a incidentes de segurança da informação. A divergência entre esses dois indicadores põe em xeque a afirmativa inicial sobre a sua efetividade.

Figura 26: Percepção dos respondentes sobre a efetividade dos planos de continuidade de negócios e contingência

Figura 27: Principais razões para a não efetividade dos planos de contingência e continuidade de negócios

Figura 28: Existência de um plano de contingência adequado para responder aos incidentes de segurança

Não efetivo

Muito efetivo

Não sabe

Parcialmente efetivo

Brasil Global

Brasil Global

2%2%

25%20%

7%10%

66%68%

Ausência de apoio dos parceiros

Ausência de suporte da Administração

Ausência de treinamento

Plano incompleto

Não sabe

Atraso na implementação

10%11%

37%33%

26%

33%

40%46%

42%42%

8%

3%

Brasil GlobalNão

Não sabe

Sim

28%

25%

59%54%

13%

20%


III. É como se joga o jogo: alinhamento, liderança e treinamento são fundamentais

Resultado nº 15O alcance dos objetivos organizacionais deve impulsionar todas as atividades da companhia. A maioria dos participantes da pesquisa afirma que as estratégias e os investimentos de segurança estão alinhados aos objetivos de negócio.

Resultado nº 16Ter um técnico eficaz é fundamental para uma equipe vitoriosa. Os respondentes apontam que os executivos ainda precisam demonstrar liderança em estratégia de segurança. Os executivos líderes de segurança, entretanto, ainda carecem de acesso adequado à alta administração.

Resultado nº 17Quem não sabe como fazer determinada atividade raramente consegue fazê-la bem. Por isso, a falta de profissionais e de recursos disponíveis para treinamento em segurança é um problema grave.

45PwC

O valor das estratégias mais ousadas e dos orçamentos mais expressivos deve ser medido de acordo com sua adequação aos objetivos da empresa. Por essa medida, a maioria dos respondentes acredita que as iniciativas de segurança de sua empresa estão sendo bem encaminhadas. Um terço declara que o programa de segurança está completamente alinhado com os objetivos da empresa. Outros 46% dizem que existe algum nível de alinhamento e apenas 21% estão pouco ou nada alinhados.

Traduzir essas iniciativas em investimentos bem direcionados é a tarefa seguinte, e o alinhamento dos gastos de segurança com os objetivos do negócio alcança resultados semelhantes: 46% declaram que estão relativamente alinhados; um grupo menor (30%) está plenamente alinhado; 14% têm baixo alinhamento; e 10% se declaram não alinhados.

Segundo os respondentes do Brasil, a estratégia, as práticas e os orçamentos estão alinhados às demandas das áreas de negócio, de forma semelhante ao que evidenciam os dados dos demais países.

Resultado nº 15O alcance dos objetivos organizacionais deve sempre impulsionar todas as atividades da companhia. A maioria dos participantes da pesquisa afirma que as estratégias e os investimentos de segurança estão alinhados aos objetivos de negócio.

Observação: Por terem sido arredondados, os números acima talvez não correspondam exatamente aos dados brutos.

Plenamente alinhados

Relativamente alinhados

Global Brasil

Figura 29: Alinhamento das políticas de segurança com os objetivos de negócio

33%

41%39%

46%

Pouco alinhados

12%11%

Não alinhados

9%11%



Global Brasil

Figura 30: Alinhamento dos investimentos em segurança com os objetivos de negócio

30%

34%

40%

46%

Pouco alinhados

16%14%

Não alinhados

10%10%


Observação: Por terem sido arredondados, os números acima talvez não correspondam exatamente aos dados brutos.



Global Brasil

Figura 29: Alinhamento das políticas de segurança com os objetivos de negócio

33%

41%39%

46%

Pouco alinhados

12%11%

Não alinhados

9%11%



Global Brasil

Figura 30: Alinhamento dos investimentos em segurança com os objetivos de negócio

30%

34%

40%

46%

Pouco alinhados

16%14%

Não alinhados

10%10%

47PwC

Perguntamos aos participantes da pesquisa quais eram os maiores obstáculos para aprimorar a efetividade estratégica da área de Segurança da Informação como um todo. Grande parte dos respondentes aponta para a alta administração: mais de 20% informaram que era o CEO, o conselho ou equivalente; 15%, o CIO; enquanto outros 14% informaram que eram os altos executivos de segurança. No total, mais da metade dos participantes afirma que a liderança é o maior obstáculo para melhorar a efetividade na segurança da informação. Outros aspectos também foram mencionados, como falta de orçamento, ausência de estratégia e insuficiência de mão de obra qualificada.

Os dados apontam para um gap na liderança no nível da diretoria, o que faz sentido, visto que muitas vezes a função de segurança da informação não dispõe de um canal direto com os tomadores de decisão do alto escalão. É muito comum o líder de segurança da informação reportar-se a diretores da companhia, mas apenas um terço dos respondentes se reporta diretamente ao CEO, uma queda em relação a 2009 e 2010. O percentual de respondentes que se reportam ao CFO é de 13%, o que representa uma pequena queda em comparação ao ano passado, mas relativa estabilidade em relação às pesquisas recentes.

Resultado nº 16Ter um técnico eficaz é fundamental para uma equipe vitoriosa. Os respondentes apontam que os executivos ainda precisam demonstrar liderança em estratégia de segurança. Os executivos líderes de segurança, entretanto, ainda carecem de acesso adequado à alta administração.

Figura 31: Maiores obstáculos para aprimorar a efetividade da estratégia de segurança da informação na empresa como um todo – dados Globais

2011 2012

Liderança – CEO, Presidente, Conselho ou equivalente

23%21%

15% 14%

18% 17%

22%24%

26%

21% 22%

17%

26% 26% 27%

21% 21%19%

Liderança – CIO ou equivalente

Liderança – CISO, CSO ou equivalente

Falta de uma estratégia eficaz de segurança da informação

Falta de uma visão ou entendimento do modo no qual as futuras necessidades da empresa afetam a segurança da informação

Insuficiência de investimentos (CAPEX)

Insuficiência de despesas operacionais (OPEX)

Falta ou escassez de mão-de-obra especializada na empresa

Pouca integração ou complexidade exagerada dos sistemas de informações/TI

Figura 32: Maiores obstáculos para aprimorar a efetividade da estratégia de segurança da informação na empresa como um todo – dados Brasil

2011 2012


29%

32%

26%

19% 18%

26% 25%

18%16% 16%









19%

28%

17%

26% 25%

32%

28%

20%

Observação: O total não atinge 100%. Os participantes puderam indicar diversos fatores.



No Brasil, os dados da pesquisa confirmam que a linha de reporte do executivo de segurança da informação pode fazer a diferença entre o sucesso e o fracasso de uma estratégia eficaz. Porém, um segundo tópico chama atenção: 28% dos respondentes mencionam que a falta de clareza sobre as necessidades de negócio da empresa afeta diretamente a eficácia da segurança da informação e dificulta a implementação de uma estratégia eficiente. Isso remete a uma questão antiga: será que interações entre a área de segurança e as áreas de negócio ocorrem de forma satisfatória? Aparentemente, esse aspecto continua dificultando o sucesso das iniciativas de segurança da informação.

Os dados do Brasil isoladamente também mostram que 68% dos respondentes consideram que o estabelecimento de uma estratégia corporativa de segurança da informação é um dos principais desafios da organização, o que acompanha os resultados obtidos no resto do mundo.

Figura 31: Maiores obstáculos para aprimorar a efetividade da estratégia de segurança da informação na empresa como um todo – dados Globais

2011 2012


23%21%

15% 14%

18% 17%

22%24%

26%

21% 22%

17%

26% 26% 27%

21% 21%19%









Figura 32: Maiores obstáculos para aprimorar a efetividade da estratégia de segurança da informação na empresa como um todo – dados Brasil

2011 2012


29%

32%

26%

19% 18%

26% 25%

18%16% 16%









19%

28%

17%

26% 25%

32%

28%

20%

49PwC

É impossível manter um programa de segurança eficaz sem capacitação adequada. Mesmo assim, apenas metade dos respondentes diz que sua empresa oferece treinamento de segurança e privacidade da informação a seus colaboradores. Na mesma linha, a falta de treinamento é citada como a principal razão da ineficácia dos planos de contingência e resposta a incidentes.

Os programas de conscientização em segurança exigem a mobilização de recursos e muitos investimentos, e os treinamentos via Internet ainda estão se popularizando. Dessa forma, as dificuldades em formar equipes técnicas qualificadas podem ser justificadas.

Além disso, a quantidade limitada de profissionais mobilizados em atividades de treinamento e as tendências nessa área trazem à tona questões relevantes. Este ano, a pesquisa mostra uma queda de 51% para 47% no pessoal dedicado às atividades de divulgação de programas de conscientização de segurança, de divulgação dos procedimentos internos e das normas técnicas de segurança. Da mesma forma, houve queda no volume de contratação de consultores de segurança da informação.

Resultado nº 17Quem não sabe como fazer determinada atividade raramente consegue fazê-la bem. Por isso, a falta de profissionais e de recursos disponíveis para treinamentos em segurança é um problema grave.

Figura 33: Medidas de segurança da informação relacionadas a recursos humanos – Dados Globais

Mantêm um Chief Security Officer (CSO) encarregado do programa de segurança

Contratam consultores de segurança da informação

Integram as equipes de segurança física e segurança da informação (lógica)

Relacionam a segurança, por meio da estrutura ou da política organizacional, à questão da privacidade

Mantêm equipe dedicada ao monitoramento do uso da internet/equipamento de TI pelos colaboradores

Mantêm equipe dedicada a programas de conscientização sobre políticas, procedimentos internos e normas

Verificação de antecedentes dos colaboradores

Nenhuma das anteriores

Mantêm um Chief Information Security Officer (CISO) encarregado do programa de segurança

Mantêm equipe de segurança que ofereça suporte aos departamentos internos da área de negócio

2012

201134%

40%

40%46%

41%44%

41%47%

45%42%

44%48%

49%45%

47%

51%

51%

54,8%

20%16%




Figura 34: Medidas de segurança da informação relacionadas a recursos humanos – Dados Brasil

Mantêm um Chief Security Officer (CSO) encarregado do programa de segurança

Contratam consultores de segurança da informação

Integram as equipes de segurança física e segurança da informação (lógica)

Relacionam a segurança, por meio da estrutura ou da política organizacional, à questão da privacidade

Mantêm equipe dedicada ao monitoramento do uso da internet/equipamento de TI pelos colaboradores

Mantêm equipe dedicada a programas de conscientização sobre políticas, procedimentos internos e normas

Verificação de antecedentes dos colaboradores

Nenhuma das anteriores

Mantêm um Chief Informantion Security Officer (CISO) encarregado do programa de segurança

Mantêm equipe de segurança que ofereça suporte aos departamentos internos da área de negócio

37%

51%51%

51%46%

47%43%

47%47%

53%46%

47%58%

55%

49%

44%

45%

15%15%

2012

201140%

51PwC

Resultado nº 18Anos de investimento traduzem-se em resultados positivos e posicionam a Ásia como líder mundial em segurança da informação, seja pelas práticas adotadas, seja pelo desempenho demonstrado.

Resultado nº 19Os orçamentos para segurança permanecem estáveis na América do Norte, mas observam-se investimentos crescentes em algumas atividades de segurança.

Resultado nº 20Na Europa, os investimentos estão estagnados e as medidas de segurança enfraquecem, porém, há melhorias em algumas práticas.

Resultado nº 21A América do Sul acelera os investimentos em segurança e desponta como líder em algumas categorias importantes.

IV. A nova ordem mundial: a Ásia avança, a América do Sul se movimenta e as outras regiões tentam se manter no jogo


De todas as regiões, a Ásia é a que apresenta o menor número de participantes da pesquisa que preveem uma queda em seu orçamento de segurança neste ano. Na verdade, por volta de 60% dos respondentes daquele continente esperam um aumento nos orçamentos nos próximos 12 meses. Trata-se de uma queda em relação aos 74% registrados em 2011, mas, ainda assim, essa porcentagem está entre as mais elevadas do mundo.

Porém, o sucesso asiático na criação de uma cultura de segurança vai além dos investimentos. De fato, a região apresenta a maior quantidade de líderes “autoproclamados” entre os respondentes da pesquisa. A confiança na segurança da informação está em alta na Ásia e pelo menos parte dessa percepção é justificada por estratégias, tecnologias e processos em vigor.

Na Ásia, por exemplo, com mais frequência do que em outras regiões, os executivos no comando da segurança estão subordinados diretamente ao CEO. Essa é uma medida reveladora da importância da questão na cultura organizacional.

Fica evidente o amplo alcance da cultura de segurança nas empresas asiáticas quando se verifica que elas apresentam o segundo maior percentual de envolvimento da segurança nos grandes projetos corporativos desde o início. Além disso, elas têm uma tendência maior do que empresas de outras regiões a direcionar recursos e investimentos em segurança para questões relacionadas a programas de continuidade dos negócios e de recuperação de desastres, em detrimento de outros fatores externos.

Os respondentes asiáticos posicionam suas organizações no topo da média global (ou próximo a ele) no tocante ao emprego de tecnologias de segurança e privacidade e aplicação de boas práticas nos processos de segurança. Para responder bem aos novos desafios, a Ásia apresenta uma boa classificação em relação às iniciativas de segurança para tecnologias móveis e à estratégia para segurança da computação em nuvem.

Resultado nº 18Anos de investimento traduzem-se em resultados positivos e posicionam a Ásia como líder mundial em segurança da informação, seja pelas práticas adotadas seja pelo desempenho demonstrado.

53PwC

Elabore um plano de trabalho e ponha-o em execução. Esse parece ser esse o lema dos norte-americanos. À primeira vista, as perspectivas para os orçamentos de segurança das empresas dessa região não são lá muito boas. Apenas um terço dos respondentes prevê um aumento no próximo ano, seguindo uma leve tendência de alta, mas ainda muito atrás da Ásia e da América do Sul. Quase a mesma porcentagem (a maior de todas as regiões analisadas na pesquisa) espera estabilidade nos orçamentos de segurança, e, diante das incertezas nesse campo, quase um quarto dos participantes afirma não saber como os investimentos serão direcionados.

Contudo, uma análise mais cuidadosa revela uma tendência de resultados já esperados. As respostas das empresas norte-americanas demonstram que elas são as que seguem mais adequadamente o planejamento elaborado para os projetos de TI. De acordo com esses dados, elas são as que apresentam a menor possibilidade de adiar investimentos e projetos operacionais e, quando isso ocorre, é, em geral, por menos tempo que em outras regiões. Além disso, essas empresas são as que menos cortam o orçamento de investimentos e de projetos operacionais.

Essa eficiência em processos e planejamento estende-se a outras áreas. Os respondentes da pesquisa afirmam, por exemplo, que seus planos de contingência em casos de paradas operacionais são muito eficazes. De fato, nos últimos 12 meses, o período médio de indisponibilidade decorrente de incidentes de segurança (interrupções de serviços/aplicações e/ou rede) é menor na América do Norte do que em outras regiões.

Os participantes da pesquisa na América do Norte também se sobressaem em áreas fundamentais como mobilidade, mídias sociais e computação em nuvem. Esses avanços ainda não acompanham as taxas de adoção dessas tecnologias, mas a América do Norte empata com a Ásia no que se refere às estratégias de segurança para a nuvem, e é líder absoluta em relação às redes sociais. Outro destaque é está no fato de que as empresas norte-americanas são, de longe, as que menos terceirizam atividades de segurança.

Resultado nº 19Os orçamentos para segurança permanecem estáveis na América do Norte, mas observam-se investimentos crescentes em algumas atividades de segurança. .


Os participantes europeus demonstram pouca confiança na eficácia de suas políticas e práticas de segurança da informação. A região apresenta a menor proporção de empresas que se autoavaliam como líderes, acima apenas do Oriente Médio e da África do Sul. Como diria Winston Churchill, esses executivos têm todas as razões para serem modestos.

Os gastos permanecem deprimidos. As expectativas de crescimento são maiores do que na América do Norte, mas a Europa também está à frente das demais regiões pesquisadas, com exceção do Oriente Médio e da África do Sul, no que se refere à expectativa de orçamentos menores (14%). Tanto os gastos como as políticas de segurança apresentam menor alinhamento com as metas da empresa do que em outras partes do mundo.

Por outro lado, a Europa tem a maior quantidade de empresas que dispõe da função de Chief Privacy Officer (ou cargo equivalente), além de ter um bom número de CISOs e CSOs. Mesmo assim, a porcentagem desses executivos que está subordinada ao mais alto escalão é menor que nas três outras regiões líderes. A Europa também tem resultados ruins no que tange a tecnologias e políticas de privacidade, e ultrapassa somente o Oriente Médio e a África do Sul em número de altos executivos de segurança diretamente subordinados ao CEO.

Resultado nº 20Na Europa, os investimentos estão estagnados e as medidas de segurança enfraquecem, porém, há melhorias em algumas práticas.

55PwC

Há um evidente clima de otimismo na América do Sul, onde os investimentos aumentaram após uma estagnação e os níveis de confiança estão em recuperação. Mais de 60% dos respondentes esperam uma alta nos orçamentos de segurança nos próximos 12 meses, e a região é a que registra a maior expectativa de uma grande elevação, na casa de 30% ou mais. Em contrapartida, os adiamentos de projetos e os cortes de orçamento são mais comuns que na maioria das outras regiões.

A retomada dos investimentos ocorreu quando as dificuldades econômicas começaram a afetar os arsenais de segurança da região. No momento, os respondentes da América do Sul relatam os maiores níveis de confiança (ou estão próximos desse resultado) em relação à cultura de segurança e à eficácia das práticas de segurança de suas empresas. Em termos de tecnologias de privacidade e segurança, a América do Sul, em geral, está à frente da Europa e, em alguns casos, já ultrapassou a América do Norte.

Com relação ao futuro, os respondentes na América do Sul afirmam que a região vai bem no que se refere às ações relacionadas à segurança de tecnologias móveis, pelo menos quando comparada com as outras regiões (exceto a Ásia). Os participantes da pesquisa também estão otimistas com relação ao impacto da nuvem na área de Segurança da Informação. Quanto à frequência das revisões das políticas de segurança, a América do Sul perde apenas para a Ásia. A terceirização de várias atividades de segurança da informação, entretanto, é mais comum na América do Sul do que em outras regiões.

Resultado nº 21A América do Sul acelera os investimentos em segurança e desponta como líder em algumas categorias importantes.


Ásia América do Norte

2009 2011 2012 2009 2011 2012

Preveem aumento de gastos com segurança nos próximos 12 meses

53% 74% 61% 29% 31% 34%

Desconhecem o número de incidentes de segurança ocorridos nos últimos 12 meses

21% 3% 11% 41% 17% 20%

Desconhecem os tipos de incidentes de segurança ocorridos nos últimos 12 meses

30% 6% 9% 47% 20% 19%

Desconhecem a provável causa dos incidentes ocorridos nos últimos 12 meses

32% 17% 14% 45% 37% 29%

Possuem uma estratégia global de segurança implantada

66% 76% 74% 73% 58% 75%

Utilizam tecnologias de gestão de identidade 49% 62% 50% 47% 33% 36%

Mantêm uma equipe de segurança dedicada às áreas de negócio

48% 61% 47% 42% 36% 35%

Possuem ferramentas de detecção de códigos mal-intencionados

70% 81% 73% 78% 86% 71%

Possuem ferramentas para a descoberta de dispositivos não autorizados

54% 65% 51% 57% 58% 48%

Possuem ferramentas de varredura de vulnerabilidades

55% 71% 53% 59% 59% 48%

Possuem uma política de privacidade em vigor e publicada no site externo

29% 34% 42% 40% 29% 49%

Realizam auditorias nos terceiros que manipulam dados pessoais de clientes e colaboradores

33% 43% 29% 45% 27% 26%

Utilizam ferramentas de Data Loss Prevention (DLP)

44% 57% 41% 49% 48% 41%

Criptografam as bases de dados 65% 76% 59% 59% 50% 47%

Utilizam navegadores seguros 63% 78% 63% 68% 77% 57%

Implantaram segurança de serviços da web 57% 71% 57% 58% 58% 46%

Figura 28: Diferenças nas práticas regionais de segurança da informação (Ásia x América do Norte)


57PwC

Figura 29: Diferenças nas práticas regionais de segurança da informação (Europa x América do Sul)


Europa América do Sul

2009 2011 2012 2009 2011 2012

Adiaram investimentos (CAPEX) relacionados à segurança

39% 56% 49% 49% 68% 52%

Adiaram despesas operacionais (OPEX) relacionadas à segurança

35% 54% 47% 44% 63% 48%

Reduziram orçamentos de investimentos relacionados à segurança

43% 57% 48% 50% 66% 47%

Reduziram orçamentos de despesas operacionais relacionadas à segurança

41% 56% 48% 48% 66% 47%

Possuem estratégia global de segurança implantada 59% 59% 70% 56% 60% 69%

Possuem um CISO 45% 51% 49% 45% 53% 50%

Implantaram um processo centralizado de gestão de segurança da informação

43% 34% 43% 50% 38% 48%

Verificam os antecedentes dos colaboradores 44% 44% 42% 55% 53% 50%

Possuem um inventário de todos os terceiros que lidam com os dados pessoais de funcionários/clientes

20% 18% 24% 27% 25% 27%

Exigem que terceiros sigam as políticas de privacidade da empresa

31% 22% 30% 32% 28% 36%

Utilizam ferramentas de detecção de intrusão 50% 58% 47% 59% 57% 56%

Possuem filtros de conteúdo da web 55% 72% 55% 64% 72% 68%

Acreditam que a segurança da informação na organização é efetiva

73% 62% 66% 89% 71% 75%

Acreditam que a segurança da informação empregada pelos parceiros/fornecedores é efetiva

65% 62% 64% 86% 70% 71%


O que isso significa para sua empresa Entender as práticas adotadas pelas empresas líderes em segurança da informação pode contribuir para o direcionamento de sua empresa nesse jogo.

59PwC

Milhares de executivos foram envolvidos nesta pesquisa. Profissionais que tratam o tema da Segurança da Informação de modo sério. De fato, o emprego deles e o sucesso de suas empresas dependem de decisões acertadas nessa área. No entanto, somente 8% responderam às perguntas segundo os critérios definidos pela pesquisa para caracterizar um verdadeiro líder nesse campo - um grupo seleto de profissionais com visão, determinação, habilidades e estrutura para criar programas efetivos de segurança.

Entre os líderes há uma porcentagem maior de participantes da América do Norte e da Ásia do que da Europa ou da América do Sul. De maneira geral, é mais provável que os executivos em posição de liderança atuem em grandes empresas e tenham sob seu comando um orçamento de segurança e de TI maior que o de seus colegas de mesmo nível hierárquico.

Como os líderes participam do jogo

As empresas que estão na verdadeira liderança da área de Segurança da Informação, muito mais que as outras, empregam estruturas integradas de gestão de risco, compliance, segurança da informação, privacidade de dados, gestão de identidades digitais e gestão de continuidade de negócios.

Os líderes também estão menos propensos a reduzir gastos com segurança e mais inclinados a aumentá-los, além de atingir resultados melhores que as outras empresas em quase todos os aspectos da prevenção. Eles avaliam as perdas financeiras de maneira mais pormenorizada e estão muito mais alinhados com a estratégia de negócio como um todo do que os não líderes, ainda que possam melhorar muito neste aspecto, em especial com relação a como aplicam os recursos financeiros.

Em algumas áreas fundamentais, há uma grande distância entre os líderes e os outros respondentes. Por exemplo, os líderes estão muito menos propensos a adiar projetos e fazer cortes no orçamento. Eles também empregam muito mais CISOs do que a população global pesquisada (90% x 42%) e também muito mais CSOs (70% x 34%).

No que diz respeito à segurança de novas tecnologias, como dispositivos móveis, mídias sociais e a nuvem, os líderes estão na dianteira em termos de estratégia, além de estarem muito à frente no emprego de mecanismos de proteção contra malware e no lançamento de ações de segurança para dispositivos móveis.

Por fim, os líderes sabem o que se passa em sua empresa muito melhor que a média dos respondentes. Em todas as questões, nenhum ou muito poucos líderes desconheciam a resposta, em comparação com uma porcentagem de 15% ou mais entre os respondentes em geral.


A maneira de melhorar o desempenho

Nos dias de hoje, a segurança da informação é um jogo de técnicas e estratégias avançadas que se transforma com rapidez. Como consequência, os modelos da década passada não são mais adequados. Os líderes reconhecem que, para ter uma segurança eficaz, é preciso se transformar e adotar uma nova maneira de pensar. Eles estão cientes de que a própria sobrevivência do negócio exige a compreensão das ameaças de segurança, o preparo para enfrentá-las e respostas rápidas.

Para fortalecer as práticas de segurança, as empresas devem:

• implantar uma estratégia abrangente de avaliação de riscos e adequar a eles os investimentos de segurança;

• compreender as informações de seus negócios, conhecer os potenciais interessados nelas e as táticas que os concorrentes podem vir a empregar para obtê-las;

• entender que os requisitos da área de Segurança da Informação e, na verdade, as estratégias de negócios como um todo, passam por profundas transformações; e

• adotar uma nova maneira de pensar, na qual a segurança da informação seja tanto um meio de proteção de dados quanto uma oportunidade para criar valor para a empresa.

Entre em contato conosco para obter informações adicionais sobre as estratégias de segurança mais eficazes empregadas pelos líderes e sobre como a atuação deles pode ser útil também para a sua empresa.

Para mais informações, entre em contato com:

São Paulo e BarueriAv. Francisco Matarazzo, 140005001-903 - São Paulo/SPTorre Torino - Água BrancaTelefone: (11) 3674-2000

Edgar R. P. D’[email protected]

Eliane [email protected]

Sergio [email protected]

Ana [email protected]

Claudinei [email protected]

Afonso [email protected]

João [email protected]

Maria Romá[email protected]

Viviane [email protected]

Rio de JaneiroAv. José Silva de Azevedo Neto 200, 1º e 2º, T. Evolution IV, B. Tijuca22775-056 - Rio de Janeiro/RJTelefone: (21) 3232-6112

Rodrigo [email protected]

Rejane [email protected]

Eduardo [email protected]

Região Nordeste e NorteAv. Tancredo Neves, 620 - 30º e 34º Ed. Empresarial Mundo Plaza41820-020 - Salvador/BATelefone: (71) 3319-1900

Ricardo [email protected]

Bruno [email protected]

Interior de São PauloRua José Pires Neto, 314 - 10º13025-170 - Campinas/SPTelefone: (19) 3794-5400

Edmilson [email protected]

Região SulRua Mostardeiro, 800 - 8º e 9ºEdifício Madison Center90430-000 - Porto Alegre/RSTelefone (51) 3378-1700

Jerri [email protected]

Renato [email protected]

Belo HorizonteRua dos Inconfidentes, 1190 - 9º30140-120 - Belo Horizonte/MGTelefone: (31) 3269-1500

Francisco [email protected]

Sidnei [email protected]

Ou visite www.pwc.com.br/giss2013

Região Centro OesteSHS Quadra 6, Conj. A, Bloco C, Ed. Business Center Tower Salas 801 a 811CEP: 70322-915 - Brasília Telefone: (61) 2196-1800

Fernando [email protected]

The Global State of Information Security® é marca registrada da International Data Group, Inc.

© 2013 PricewaterhouseCoopers Serviços Profissionais Ltda. Todos os direitos reservados. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Serviços Profissionais Ltda., a qual é uma firma membro do network da PricewaterhouseCoopers, sendo que cada firma membro constitui-se em uma pessoa jurídica totalmente separada e independente.

O termo “PwC” refere-se à rede (network) de firmas membro da PricewaterhouseCoopers International Limited (PwCIL) ou, conforme o contexto determina, a cada uma das firmas membro participantes da rede da PwC. Cada firma membro da rede constitui uma pessoa jurídica separada e independente e que não atua como agente da PwCIL nem de qualquer outra firma membro. A PwCIL não presta serviços a clientes. A PwCIL não é responsável ou se obriga pelos atos ou omissões de qualquer de suas firmas membro, tampouco controla o julgamento profissional das referidas firmas ou pode obrigá-las de qualquer forma. Nenhuma firma membro é responsável pelos atos ou omissões de outra firma membro, nem controla o julgamento profissional de outra firma membro ou da PwCIL, nem pode obrigá-las de qualquer forma.

Siga-nos Twitter@PwCBrasil

facebook.com/PwCBrasil

pesquisa global de segurança da informação 2013 pwc

Documents