Pesquisa Nacional de Seguranca da Informacao 2014: Resultados e Desafios!

473 visualizações

Publicada em

A Pesquisa Nacional de Segurança da Informação é fruto do esforço de um grupo profissional com ampla experiência prática no assunto, além de toda comunidade que se prontificou a contribuir. Realizada entre maio e julho de 2014 pela DARYUS, em parceria com a EXIN e IT Mídia, tinha um objetivo claro: traçar um perfil de como a maioria das empresas brasileiras encara a Segurança da Informação.

Os resultados, se não de todo surpreendentes, apontam níveis de maturidade abaixo do esperado na maioria dos casos, o que desperta a pergunta: Estamos realmente preparados para lidar com o amadurecimento constante das ameaças a Segurança da Informação?

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
473
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
17
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Pesquisa Nacional de Seguranca da Informacao 2014: Resultados e Desafios!

  1. 1. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  2. 2. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  3. 3. PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 Uma visão estratégica dos principais elementos da Segurança da Informação no Brasil ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  4. 4. Metodologia Formato de pesquisa ON LINE Período da Coleta 30 Junho a 25 de Agosto de 2014 ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Respondentes Dos 171 respondentes, 122 foram válidos Abrangência Convidadas mais de *500 empresas no BRASIL * Quantidade de respondentes baixa frente a importância e quantidade solicitada. Demonstra que as empresas ainda não possuem maturidade para responder ou preferem pesquisas mais técnicas ou sobre controles.
  5. 5. Como foi dividida GESTÃO CONTROLES CAPACITAÇÃO ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  6. 6. Quem respondeu a pesquisa? Gás & Óleo + 42% Maduras em relação ao tema: Transportes Manufatura Telecomunicações ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Tecnologia Comércio Saúde Educação Financeiro Governo Indústria Serviços 1% 1% 2% 2% 3% 4% 4% 7% 8% 11% 15% •Governo (10,7%); •Indústria (14,8%) e •Serviços (41,8%).
  7. 7. Perfil das empresas e respondentes 27,9% Faturam mais de US$ 100 milhões; 51,6% + 1.000 colaboradores; 32,7% Gerentes e Diretores; 85,2% estão envolvidos na tomada de DECISÃO; 46,72% atuam há mais de 5 anos com SI ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  8. 8. Sua empresa possui um Sistema de Gestão de Segurança da Informação (SGSI) 11.48% 24.59% 27.87% ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 36.07% Sim (aprovado pela TI) Não. Informalmente Sim (aprovado pela Alta Direção) SGSI 52,46% são informais ou não existem!
  9. 9. Há quanto tempo um SGSI foi estabelecido na empresa? 35.25% ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Motivadores 35,25% alinhamento com as melhores práticas, 5,74% buscam a ISO 27001 40,38% das empresas participantes possuem a GSI com foco em TODA A 18.85% EMPRESA 8.20% 5.74% 31.97% menos de 1 ano de 1 a 5 anos de 5 a 10 anos mais de 10 anos Não possui
  10. 10. Tempo de Casa X Tempo de S.I. 18.85% 42.62% 22.95% 15.57% menos de 1 ano entre 1 e 5 anos entre 5 e 10 anos mais de 10 A maior parte das equipes tem menos de 5 anos e é formada por profissionais que tem tempo médio de casa de 5 anos. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br anos 4.10% 38.52% 30.33% 16.39% 10.66% menos de 1 anos de 1 a 5 anos de 5 a 10 anos mais de 10 anos Não atua com S.I
  11. 11. Razoavelmente 27.87% ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br “A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI” Fonte: ISO 27002 Das empresas entrevistadas apenas 36,07% tiveram sua GSI aprovadas pela Alta Direção. Em 53,46% a GSI não foi aprovada ou é informal e ainda parte de TI. Sim 61.48% Não 10.66% Participação da Alta Administração
  12. 12. Qual a área atualmente responsável nas empresas? Segurança da Informação ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 3% 2% 2% 2% 2% 1% 1% 11% 11% 65% Tecnologia Presidência / Alta Direção Não possuímos uma área responsável Segurança da Informação Segurança Patrimonial Operações Finanças Jurídico Recursos Humanos Auditoria Pessoas Processos Tecnologia TI domina com ampla margem
  13. 13. Qual a área os pesquisados acreditam que deveria ser 6.56% 4.92% 4.10% 4.10% 3.28% 2.46% 1.64% 1.64% 0.82% 0.82% Tecnologia Alta Direção Auditoria Negócios Segurança da Informação GRC Operações Outro Recursos Humanos Jurídico Segurança Patrimonial “A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a segurança da informação sejam atribuídos e comunicados”. Fonte: ISO 27002 ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 30.33% 39.34% Finanças responsável? Segurança da Informação Segurança ainda é vista como uma disciplina primariamente de tecnologia!
  14. 14. Avaliação da confiança 4,92% não confiam nas leis e regulamentos que afetam a segurança da informação. 8,20% não confiam na área de segurança da informação para evitar ou tratar ataque cibernético de origem interna ou externa. 5,74% não confiam na capacidade organizacional atual para contramedidas para prevenção/proteção contra incidentes de segurança. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  15. 15. Investimentos em segurança 37.7% 37,7% não realizam previsões de investimentos relacionados ao tema. 68,03% dos participantes não acredita que o percentual investido em segurança da informação seja o ideal para a sua organização. + 85% considera que o principal fator crítico para a segurança da informação está contido nos temas: Capacitação e mudança de Cultura Organizacional. mais de 10% de 1 a 5 milhões de Reais mais de 5 milhões de Reais ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br de 5 a 10% do faturamento de 500 a 1 milhão de Reais de 3 a 5% do faturamento até 500 mil Reais até 3% do faturamento N/A 1.6% 3.3% 4.1% 4.9% 4.9% 6.6% 9.8% 27.0%
  16. 16. Os incidentes de mais frequentes Vazamento de Informação Mal Uso Perda de Informação N/A Códigos Maliciosos Falhas em Equipamentos Varredura/Tentativas de Invasão Negação de Serviço (DoS) Engenharia Social Acesso não autorizado (lógico) Investigação (incidentes não confirmados) Hacktivismo Guerra Cibernética ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 5.0% 5.0% 12.4% 16.5% Mais de 40% das falhas relacionadas à segurança da informação não está associada à tecnologias, mas sim em torno de pessoas e a maneira na qual os dados, informações e sistemas são utilizados nas organizações. Acesso não autorizado (físico) 0.8% 0.8% 4.1% 3.3% 2.5% 4.1% 6.6% 9.9% 12.4% 16.5%
  17. 17. Certificação ISO 27001 Sistema de Gestão de Segurança da Informação (SGSI) Possuímos a certificação ISO 27001:2013 Possuímos a certificação ISO 27001:2005 Não possuímos mas já temos um projeto de certificação em andamento Benefícios: 5.74% 7.38% Não possuímos e não temos interesse • Redução de custos financeiros relacionados a incidentes de segurança da informação; • Promove a melhoria continuada nos controles e políticas de segurança da informação; ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 53.28% 23.77% 9.84% Não possuímos mas temos interesse
  18. 18. Política de Segurança da Informação (PSI) “Prover orientações da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentos relevantes” Não Em desenvolvimento ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 63.11% 19.67% 17.21% Sim A PSI é o principal ativo estratégico da Alta Direção para definição das diretrizes básicas de Segurança da Informação.
  19. 19. Competências e responsabilidades 32% das organizações não definiram papéis e responsabilidades; Em 59,84% das organizações a contratação é utilizada como o momento para comunicação dos papéis e responsabilidades, embora em 23,77% das organizações os mesmos não sejam comunicados; A ação de conscientização mais utilizada (99,99%) é o meio eletrônico (e-mail) enquanto as demais ações não ultrapassam a marca de 55% de utilização. Em apenas 39,34% das organizações é utilizado um processo disciplinar, e apenas 17,21% dos respondentes acredita que é o mesmo seja seguido corretamente. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Principais papéis definidos nas organizações Analista de SI Proprietário de Informação Usuário de Informação 39.3% 41.0% 41.8%
  20. 20. Principais certificações dos pesquisados 8.04% 7.14% 7.14% 6.25% 6.25% 5.36% 4.46% 3.57% 2.68% 2.68% 2.68% 2.68% 0.89% 0.89% 0.89% 0.89% 0.89% 0.89% ITIL Foundation ISFS (EXIN - ISO 27002 Foundation) Cobit Foundation (ISACA) Lead Auditor (BSI) PMP (PMI) ISMAS (EXIN - ISO 27002 Advanced) ISO 20000 CISSP (ISC2) Certificações Microsoft CRISC (ISACA) ITIL Practicioner Security + Green IT CISM (ISACA) CISA (ISACA) ITMP ITIL Expert ISMES (EXIN - ISO 27002 Expert) Integrator Cloud Service Agile Scrum ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 25.89% 57.14% 55.36% ABCP (DRII)
  21. 21. Principais certificações dos pesquisados 1 5 12 9 29 Por domínio: Segurança da Informação Gestão de Serviços de TI Governança de TI Auditoria Gerenciamento de Projetos Gestão de Riscos ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 76 84 Continuidade de Negócios Por nível: 39% 39% 22% Básico Intermediário Avançado Apenas 16,96% dos pesquisados ainda não possui nenhum tipo de certificação reconhecida internacionalmente.
  22. 22. Gestão Ativos + BYOD Dispositivos Corporativos e Pessoais Apenas dispositivos Corporativos ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br BYOD e Ativos Corporativos Em 25,41% existe políticas relacionadas ao tema e 46,72% das organizações permitem acesso aos em dispositivos pessoais. Mesmo nas organizações em que não é permitido o acesso aos dados, 45,90% dos entrevistados acreditam que seja possível o acesso. Sua empresa faz uso de dispositivos móveis no ambiente de trabalho? 3.3% 36.9% 59.8% Não
  23. 23. Controles de Segurança da Informação Vazamento de informações Os controles mais utilizados contra vazamento de informação são a conscientização (57,02%) e a criptografia (44,63%); Acesso lógico 28,10%das organizações não adotam controles de gestão de acesso, enquanto que 33,88% utilizam trilhas de auditoria e revisão manual; Acesso físico 10,74% não utilizam controles de acesso físico. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Proteção contra Códigos maliciosos, vírus, vermes... 57,02% disseminados nos principais ambientes; 31,40% Completamente disseminados; 4,96% apenas em ambientes críticos 6,61% não usam Cópias de Segurança (Backup) e Restauração 23,97% acreditam que irão proteger a organização em caso de falhas nos ambientes produtivos. 48,76% armazenamento em locais fora do escritório, 16,53% realizam seus backups em nuvem privada.
  24. 24. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Impactos mais severos segundo os respondentes: “Responsabilidades e procedimentos devem ser estabelecidos para assegurar respostas rápidas e efetivas aos incidentes de SI” ISO 27001:2013 Gestão de Incidentes 35.54% 25.62% 13.22% Operacionais Marca/Reputação Financeiros Das empresas entrevistadas apenas 36,36% possui um processo formal para gestão de incidentes de SI. A frequência na qual os incidentes são relatados é baixa 56,20%. Mais de 50% dos entrevistados considera mais severo o impacto operacional dos incidentes, embora 54,55% não saiba informar como é considerado o impacto financeiro.
  25. 25. Continuidade de negócios 55,46% das organizações afirma possuir um plano de continuidade, e 42,86% considera em seu plano pessoas, processos e tecnologia 47,90% das organizações contemplam aspectos de segurança da informação em seus planos de continuidade de negócio; 52,10% das organizações não realizam testes de seus planos. 19,33% (maior índice de testes) realiza anualmente. Mais de 35% não possuem local alternativo para recuperação. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  26. 26. Análise de vulnerabilidade “O objetivo da Análise de vulnerabilidade é reduzir o risco em relação aos incidentes de segurança, seja tanto na rede interna quanto na externa, é necessário detectar essas possíveis falhas e corrigi-las para garantir que a rede esteja em um nível de segurança adequada.” 4.20% 2.52% Não Realiza Mensal Semestral Anual Bienal 37,8% das empresas não realizam análise de vulnerabilidade técnica! ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 15.97% 15.13% 24.37% 37.82% Não soube informar Quando realizadas, as mesmas são concretizadas por equipe interna em 46,22% das vezes.
  27. 27. Auditorias internas para S.I. 4.2% 5.0% ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br “As organizações devem conduzir auditorias a intervalos planejados para prover informações sobre o quanto a gestão de segurança encontra-se em conformidade e está sendo mantida.” 20.2% 23.5% 47.1% Bienal Mensal Semestral Anual Não é realizada
  28. 28. Pensamentos e Conclusões Das instituições respondentes: • 64% NÃO possui Gestão de Segurança • 38% NÃO fazem Investimentos em Segurança • 64% NÃO fazem Gestão de Incidentes • 50% dos incidentes Não são tecnologia Como vamos mudar isso? ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  29. 29. Pensamentos e Conclusões ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Segurança da Informação Políticas Visão holística é essencial!
  30. 30. Pensamentos e Conclusões Estratégico Confidencialidade Tático Segurança da Informação Operacional Integridade Disponibilidade Pessoas Processos Tecnologia ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Segurança da Informação em todos os níveis hierárquicos
  31. 31. Perguntas? Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  32. 32. Obrigado! ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Milena Andrade Regional Manager Milena.andrade@exin.com www.exin.com
  33. 33. Acesso ao material • Vamos Vamos disponibilizar o link com Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato ao de desconectar da sessão ao final da apresentação). • Você também pode acessar nosso canal do YouTube e Slide Share para ter acesso a todas as apresentações realizadas em 2012 e 2013. • Mais Informações? ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br

×