pesquisa nacional de seguranca da informacao 2014: resultados e desafios!


PESQUISA

NACIONAL DE

SEGURANÇA DA

INFORMAÇÃO

2014

Uma visão estratégica dos principais elementos da

Segurança da Informação no Brasil


Metodologia

Período da Coleta

30 Junho a

25 de Agosto de 2014

Formato de pesquisa

ON LINERespondentes

Dos 171 respondentes,

122 foram válidos

Abrangência

Convidadas mais de

*500 empresas no

BRASIL

* Quantidade de respondentes baixa frente a importância e quantidade solicitada. Demonstra que as empresas ainda não possuem maturidade para responder ou preferem pesquisas mais técnicas ou sobre controles.


Como foi dividida

GESTÃO CONTROLES CAPACITAÇÃO


Gás &

Óle

o

Tra

nspo

rte

s

Ma

nufa

tura

Te

lecom

un

icaçõe

s

Te

cno

logia

Com

érc

io

Saú

de

Edu

ca

ção

Fin

ance

iro

Gove

rno

Ind

ústr

ia

Serv

iços

1% 1% 2% 2% 3% 4% 4%7% 8%

11%15%

42%+Maduras em relação ao tema:

•Governo (10,7%);

•Indústria (14,8%) e

•Serviços (41,8%).

Quem respondeu a pesquisa?


Perfil das empresas e respondentes

27,9% Faturam mais de US$ 100 milhões;

51,6% + 1.000 colaboradores;

32,7% Gerentes e Diretores;

85,2% estão envolvidos na tomada de DECISÃO;

46,72% atuam há mais de 5 anos com SI


Sua empresa possui um Sistema de Gestão

de Segurança da Informação (SGSI)

11.48%

24.59%

27.87%

36.07%

Sim (aprovado pela TI) Não. Informalmente Sim (aprovado pelaAlta Direção)

52,46%são informais

ou

não existem!

SGSI


Há quanto tempo um SGSI foi

estabelecido na empresa?

Motivadores

35,25% alinhamento

com as melhores práticas,

5,74% buscam a ISO

27001

40,38% das empresas

participantes possuem a GSI

com foco em TODA A

EMPRESA18.85%

35.25%

8.20%5.74%

31.97%

menos de 1ano

de 1 a 5anos

de 5 a 10anos

mais de 10anos

Não possui


Tempo de Casa X Tempo de S.I.

A maior parte das equipes tem menos de 5 anos e é formada por

profissionais que tem tempo médio de casa de 5 anos.

18.85%

42.62%

22.95%

15.57%

menos de 1ano

entre 1 e 5anos

entre 5 e 10anos

mais de 10anos

4.10%

38.52%

30.33%

16.39%

10.66%

menos de 1anos

de 1 a 5anos

de 5 a 10anos

mais de 10anos

Não atuacom S.I


“A Alta Direção deve

demonstrar sua liderança

e comprometimento em

relação ao SGSI”Fonte: ISO 27002

Das empresas entrevistadas apenas 36,07%tiveram sua GSI aprovadas pela Alta Direção.

Em 53,46% a GSI não foi aprovada ou é

informal e ainda parte de TI.

Sim61.48%

Não10.66%

Razoavelmente27.87%

Participação da Alta Administração


Qual a área atualmente

responsável nas empresas?

Segurança da

Informação

1%

1%

2%

2%

2%

2%

3%

11%

11%

65%

Auditoria

Recursos Humanos

Jurídico

Finanças

Operações

Segurança Patrimonial

Segurança da Informação

Não possuímos uma área responsável

Presidência / Alta Direção

Tecnologia

Pessoas

Processos

Tecnologia TI domina com

ampla margem


“A Alta Direção deve assegurar que as responsabilidades e autoridades

dos papéis relevantes para a segurança da informação sejam atribuídos

e comunicados”. Fonte: ISO 27002

0.82%

0.82%

1.64%

1.64%

2.46%

3.28%

4.10%

4.10%

4.92%

6.56%

30.33%

39.34%

Finanças

Segurança Patrimonial

Jurídico

Recursos Humanos

Outro

Operações

GRC


Negócios

Auditoria

Alta Direção

Tecnologia

Qual a área os pesquisados

acreditam que deveria ser

responsável?

Segurança da

Informação

Segurança ainda é

vista como uma

disciplina

primariamente de

tecnologia!


Avaliação da confiança

4,92% não confiam nas leis e

regulamentos que afetam a segurança

da informação.

5,74% não confiam na capacidade

organizacional atual para contramedidas

para prevenção/proteção contra

incidentes de segurança.

8,20% não confiam na área de

segurança da informação para evitar ou

tratar ataque cibernético de origem

interna ou externa.


Investimentos em segurança

mais de 10% de 1 a 5milhões de

Reais

mais de 5milhões de

Reais

de 5 a 10%do

faturamento

de 500 a 1milhão de

Reais

de 3 a 5% dofaturamento

até 500 milReais

até 3% dofaturamento

N/A

1.6%3.3%

4.1% 4.9% 4.9%6.6%

9.8%

27.0%

37.7%37,7% não realizam previsões de investimentos relacionados ao tema.

68,03% dos participantes não acredita que o percentual investido em

segurança da informação seja o ideal para a sua organização.

+ 85% considera que o principal fator crítico para a segurança da informação está

contido nos temas: Capacitação e mudança de Cultura

Organizacional.


Os incidentes de mais frequentes

Mais de 40% das falhas relacionadas à

segurança da informação não está associada à

tecnologias, mas sim em torno de pessoas e a

maneira na qual os dados, informações e

sistemas são utilizados nas organizações.Acesso não autorizado (físico)

Guerra Cibernética

Hacktivismo

Investigação (incidentes não confirmados)

Acesso não autorizado (lógico)

Engenharia Social

Negação de Serviço (DoS)

Varredura/Tentativas de Invasão

Falhas em Equipamentos

Códigos Maliciosos

N/A

Perda de Informação

Mal Uso

Vazamento de Informação

0.8%

0.8%

2.5%

3.3%

4.1%

4.1%

5.0%

5.0%

6.6%

9.9%

12.4%

12.4%

16.5%

16.5%


Certificação ISO 27001Sistema de Gestão de Segurança da Informação (SGSI)

• Redução de custos financeiros relacionados a incidentes de segurança da informação;

• Promove a melhoria continuada nos controles e políticas de segurança da informação;

Benefícios:

53.28%

23.77%

9.84%

7.38%

5.74%

Não possuímos mas temos interesse

Não possuímos e não temos interesse

Não possuímos mas já temos um projeto de certificação em andamento

Possuímos a certificação ISO 27001:2005

Possuímos a certificação ISO 27001:2013


Política de Segurança da Informação (PSI)

“Prover orientações da Direção e apoio para a segurança da informação de acordo

com os requisitos do negócio e com as leis e regulamentos relevantes”

63.11%

17.21%

19.67%

Sim

Em desenvolvimento

Não

A PSI é o principal ativo estratégico da Alta Direção para definição das diretrizes básicas

de Segurança da Informação.


Competências e

responsabilidades

32% das organizações não definiram papéis e

responsabilidades;

Em 59,84% das organizações a contratação é

utilizada como o momento para comunicação dos

papéis e responsabilidades, embora em 23,77% das

organizações os mesmos não sejam comunicados;

A ação de conscientização mais utilizada (99,99%) é o meio eletrônico (e-mail) enquanto as demais ações

não ultrapassam a marca de 55% de utilização.

Em apenas 39,34% das organizações é utilizado um

processo disciplinar, e apenas 17,21% dos

respondentes acredita que é o mesmo seja seguido

corretamente.

Principais papéis definidos nas organizações

Analista de SI Proprietário deInformação

Usuário deInformação

39.3%

41.0%

41.8%


Principais certificações dos pesquisados

0.89%

0.89%

0.89%

0.89%

0.89%

0.89%

2.68%

2.68%

2.68%

2.68%

3.57%

4.46%

5.36%

6.25%

6.25%

7.14%

7.14%

8.04%

25.89%

55.36%

57.14%

ABCP (DRII)

Agile Scrum

Integrator Cloud Service

ISMES (EXIN - ISO 27002 Expert)

ITIL Expert

ITMP

CISA (ISACA)

CISM (ISACA)

Green IT

Security +

ITIL Practicioner

CRISC (ISACA)

Certificações Microsoft

CISSP (ISC2)

ISO 20000

ISMAS (EXIN - ISO 27002 Advanced)

PMP (PMI)

Lead Auditor (BSI)

Cobit Foundation (ISACA)

ISFS (EXIN - ISO 27002 Foundation)

ITIL Foundation


1

5

9

12

29

76

84

Continuidade de Negócios

Gestão de Riscos

Gerenciamento de Projetos

Auditoria

Governança de TI

Gestão de Serviços de TI


Principais certificações dos pesquisados

Por domínio:

39% 39%

22%

Básico Intermediário Avançado

Apenas 16,96% dos pesquisados ainda não possui nenhum tipo de certificação reconhecida

internacionalmente.

Por nível:


Gestão Ativos + BYOD

BYOD e Ativos Corporativos

Em 25,41% existe políticas relacionadas ao tema e 46,72% das

organizações permitem acesso aos em dispositivos pessoais.

Mesmo nas organizações em que não é permitido o acesso aos

dados, 45,90% dos entrevistados acreditam que seja possível o

acesso.

Sua empresa faz uso de dispositivos móveis no

ambiente de trabalho?

3.3%

36.9%

59.8%

Não

Apenas dispositivos Corporativos

Dispositivos Corporativos e Pessoais


Controles de Segurança

da Informação

Vazamento de informaçõesOs controles mais utilizados contra vazamento de informação são a

conscientização (57,02%) e a

criptografia (44,63%);

Acesso lógico

28,10% das organizações não adotam controles de gestão de

acesso, enquanto que

33,88% utilizam trilhas de auditoria e revisão manual;

Acesso físico

10,74% não utilizam controles de acesso físico.

Proteção contra Códigos maliciosos,

vírus, vermes...

57,02% disseminados nos principais ambientes;

31,40% Completamente disseminados;4,96% apenas em ambientes críticos

6,61% não usam

Cópias de Segurança (Backup) e Restauração

23,97% acreditam que irão proteger a organização em

caso de falhas nos ambientes produtivos.

48,76% armazenamento em locais fora do escritório,

16,53% realizam seus backups em nuvem privada.


“Responsabilidades e procedimentos

devem ser estabelecidos para assegurar

respostas rápidas e efetivas aos

incidentes de SI”ISO 27001:2013

Impactos mais severos segundo osrespondentes:

Gestão de Incidentes

35.54%

25.62%

13.22%

Operacionais Marca/Reputação Financeiros

Das empresas entrevistadas apenas 36,36%possui um processo formal para gestão de

incidentes de SI.

A frequência na qual os incidentes são relatados é

baixa 56,20%.

Mais de 50% dos entrevistados considera mais

severo o impacto operacional dos incidentes,

embora 54,55% não saiba informar como é

considerado o impacto financeiro.


Continuidade de

negócios

55,46% das organizações afirma

possuir um plano de continuidade, e

42,86% considera em seu plano

pessoas, processos e tecnologia

52,10% das organizações não realizam

testes de seus planos. 19,33% (maior

índice de testes) realiza anualmente.

Mais de 35% não possuem local

alternativo para recuperação.

47,90% das organizações

contemplam aspectos de segurança

da informação em seus planos de

continuidade de negócio;


Análise de vulnerabilidade

“O objetivo da Análise de vulnerabilidade é reduzir o risco em relação aos incidentes de segurança, seja tanto na rede interna quanto na

externa, é necessário detectar essas possíveis falhas e corrigi-las para garantir que a rede esteja em um nível de segurança adequada.”

37,8% das empresas não realizam

análise de vulnerabilidade técnica!

2.52%

4.20%

15.13%

15.97%

24.37%

37.82%

Não soubeinformar

Bienal

Anual

Semestral

Mensal

Não Realiza

Quando realizadas, as mesmas são concretizadas por

equipe interna em 46,22% das vezes.


“As organizações

devem conduzir

auditorias a

intervalos

planejados para

prover

informações

sobre o quanto a

gestão de

segurança

encontra-se em

conformidade e

está sendo

mantida.”

Bienal Mensal Semestral Anual Não é realizada

4.2% 5.0%

20.2%

23.5%

47.1%

Auditorias internas para S.I.


Pensamentos e Conclusões

Das instituições respondentes:

• 64% NÃO possui Gestão de Segurança

• 38% NÃO fazem Investimentos em Segurança

• 64% NÃO fazem Gestão de Incidentes

• 50% dos incidentes Não são tecnologia

Como vamos mudar isso?



Segurança

da

Informação

Políticas

Visão

holística é

essencial!



Confidencialidade

Integridade Disponibilidade

Segurançada

Informação

Pessoas Processos Tecnologia

Operacional

Tático

Estratégico

Segurança da

Informação em

todos os níveis

hierárquicos


Perguntas?

Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para

digitar) ou do hands on (para pedir acesso e perguntar diretamente ao

palestrante.


Obrigado!

Milena Andrade

Regional Manager

[email protected]

www.exin.com

mailto:[email protected]

http://www.exin.com/


Acesso ao material

• Vamos Vamos disponibilizar o link com Cópia desta apresentação +

Certificado de Participação para todos que responderem nossa pesquisa de

satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato

ao de desconectar da sessão ao final da apresentação).

• Você também pode acessar nosso canal do YouTube e Slide Share para ter

acesso a todas as apresentações realizadas em 2012 e 2013.

• Mais Informações?

pesquisa nacional de seguranca da informacao 2014: resultados e desafios!

Education