Pwc Pesquisa Global de Seguranca da Informacao 2012

www.pwc.com/br

O centro do furacão
Muitos veem a luz do sol, apesar
da nebulosidade causada
pela estagnação da economia
global e pelo aumento do crime
cibernético e das ameaças de
segurança da informação
Principais descobertas
da Pesquisa Global de
Segurança da Informação
2012 - Global State of
Information Security
Survey®
Advisory Services - IT GRC

Metodologia

A Pesquisa Global de Segurança da Informação
2012 (Global State of Information Security
Survey®) é uma iniciativa da PwC, da CIO
Magazine e da CSO Magazine. Ela foi conduzida
on-line entre 10 de fevereiro e 18 de abril de 2011.
Os leitores das revistas CIO e CSO e os clientes
da PwC ao redor do mundo foram convidados
por e-mail a responder à pesquisa. Os resultados
discutidos neste relatório são baseados nas
respostas de mais de 9.600 CEOs, CFOs, CISOs,
CIOs, CSOs, vice-presidentes e diretores de TI e
de segurança da informação de 138 países. Desse
total, 29% dos respondentes são da América do
Norte, 26% da Europa, 21% da América do Sul,
20% da Ásia e 3% do Oriente Médio e da África do
Sul. A margem de erro é menor que 1%.

PwC 1

1. Centro Nacional de Furacões dos EUA

2 Pesquisa Global de Segurança da Informação 2012

Variações rápidas e intensas
de pressão atmosférica nos
trópicos podem gerar centros
ciclônicos nítidos e circulares. A
largura deles varia de 3 a 300
quilômetros.
Porém, sua intensidade pode
flutuar de forma significativa,
causando dor de cabeça para os
meteorologistas.1

Previsões à parte, o
que importa realmente
é a preparação.

PwC 3

Introdução

Foto: Piti Reali

É com satisfação que divulgamos ao O estudo deste ano está fascinante. O
mercado brasileiro os resultados da cerne da questão é: como as empresas
nona edição da Pesquisa Global de estão conduzindo a segurança
Segurança da Informação - Global da informação em momentos de
State of Information Security Survey® instabilidade? Embora a nebulosidade
2011-2012. O estudo foi conduzido por econômica de 2008 tenha passado, há
PwC, CIO Magazine e CSO Magazine regiões, mercados e setores sob forte
e é o maior do gênero no mundo. influência de nuvens carregadas, que
Ele traz a análise consolidada dos podem provocar verdadeiros ciclones
dados fornecidos por mais de 9.600 em economias regionais, com efeitos
executivos, entre CEOs, CFOs, CIOs, devastadores para a economia global.
CSOs, vice-presidentes e diretores Além disso, a previsão econômica
de TI, de empresas médias, grandes global para o próximo ano não é tão
e gigantes, representando todos os promissora.
setores da economia e 138 países.
Mesmo assim, a maioria dos
O Brasil teve uma participação executivos de mercados e setores ao
relativa de 10% nesta edição, o que redor do mundo, inclusive no Brasil,
representou um salto significativo estão confiantes na eficácia das
em comparação aos 3,6% da edição práticas de segurança da informação
anterior. Além do avanço quantitativo, adotadas em suas empresas. Eles
houve melhora na qualidade dizem contar com uma estratégia
dos dados, graças ao esforço e à bem implantada e consideram sua
participação dos 961 executivos de organização determinada a executá-
empresas do Brasil. la. Outro dado importante é que os
conhecimentos sobre a frequência,
o tipo e a origem das violações de
segurança aumentaram muito nos
últimos 12 meses.


A pesquisa revela, no entanto, uma No ano passado, ainda havia A análise da pesquisa deste ano,
tendência inquietante de degradação dúvidas se o Brasil estaria em um cujo propósito é permitir reflexões
das competências fundamentais cenário de aceleração pontual por profundas e comparativas sobre o
relacionadas à segurança nas empresas causa das demandas reprimidas. estado da segurança da informação
desde 2008, apesar dos investimentos Entretanto, analisando a evolução nas empresas em todo o mundo, foi
feitos pelas organizações em dos percentuais de investimentos em intitulada “O centro do furacão”.
iniciativas de prevenção, detecção segurança no Brasil, fica claro o ritmo O tema introdutório do estudo trata
e nas atividades relacionadas à e a consistência dos investimentos do cerne da questão, revelando os
web. Entre as competências em feitos pelas empresas em segurança. efeitos das condições econômicas
deterioração estão gestão de Isso tende a contribuir para o globais nas áreas de segurança
identidades, continuidade de negócios amadurecimento do mercado local e da informação das empresas.
e recuperação de desastres. para o desenvolvimento de práticas Em seguida, são apresentadas
adequadas de segurança que ajudem as revelações (“descobertas”) da
Um dado surpreendente é a crescente a conter a escalada dos crimes digitais pesquisa em seções específicas:
indicação de parceiros, fornecedores no país. “um mundo de líderes”, “confiança
e clientes como sendo as origens e progressos”, “vulnerabilidades e
mais prováveis de incidentes de Por fim, destacamos uma novidade exposição”, “janelas de oportunidade”
segurança registrados nas empresas. no estudo deste ano. Curiosos sobre e “tendências globais”. Devido à
Tradicionalmente, eles ficavam com como os mais de 9.600 executivos importância dos resultados locais, a
percentuais bem abaixo de outras caracterizariam a forma de conduzir situação da segurança de informação
origens, como funcionários, ex- a segurança da informação em suas nas empresas no Brasil está destacada
funcionários e hackers, mas isso vem organizações, analisamos mais em uma seção à parte.
mudando. No Brasil, o temor em profundamente os dados gerados por
relação a essas fontes se revela ainda esta pesquisa e decidimos organizar os Na última seção, denominada “O que
mais acentuado do que no restante do respondentes em grupos para estudar isso significa para o seu negócio”, é
mundo. determinados comportamentos. apresentada a mensagem final deste
estudo: “Olhe para os líderes, aprenda
A boa notícia da pesquisa deste ano Para tanto, consideramos dois dos com o que eles têm realizado e como
é que, depois de um período de principais fatores de impulso para fazem escolhas para enfrentar o
contenção de gastos, há previsão a eficácia da segurança, ou seja, se futuro”.
de aumento dos investimentos a empresa tem uma estratégia de
em segurança da informação pelo segurança da informação em vigor Nós da PwC esperamos que você
segundo ano consecutivo: a maioria e se a executa com determinação encontre nas próximas páginas
dos executivos respondentes prevê e entusiasmo. Entre diversas informações e análises úteis para a
elevação dos orçamentos com combinações, encontramos empresas elaboração e a execução da estratégia
iniciativas nessa área nos próximos 12 que, por exemplo, têm um plano de segurança da informação de sua
meses. mas não o executam ou não têm um empresa.
plano e estão permanentemente
Os números do Brasil são ainda em modo “bombeiro”, combatendo A equipe de especialistas em
mais otimistas que os globais e estão incêndios. Com base nas respostas Segurança da Informação da PwC está
destacados em capítulo específico e para fins analíticos, organizamos à sua disposição para discutir temas
deste estudo. Se o restante do os respondentes em quatro grupos específicos ou gerais desta pesquisa,
mundo está no centro do furacão, distintos: Líderes, Estrategistas, para compartilhar tendências setoriais
a meteorologia por aqui não prevê Táticos e Bombeiros. Os resultados ou para apoiar a sua organização em
precipitações maiores do que as desse trabalho são surpreendentes e análises comparativas de segurança da
chuvas tropicais com as quais já motivadores. informação.
estamos acostumados.
Obrigado por sua participação e boa
leitura!

Edgar R. P. D’Andrea
Sócio

PwC 5

Índice

O cerne da questão 8
Uma discussão profunda 10
I. Um mundo de líderes: os respondentes
categorizam suas empresas 11
II. Confiança e progresso: uma década de
amadurecimento 15
III. Vulnerabilidades e exposição: a deterioração das
competências de segurança desde 2008 18
IV. Janelas de oportunidade: onde estão as melhores
possibilidades 22
V. Tendências globais: a Ásia corre na frente enquanto
o arsenal de segurança da informação mundial envelhece 26
VI. Mercado brasileiro: copo meio cheio? 30

O que isso significa para o seu negócio 36
Contatos 40

PwC 7

Tem sido uma prática comum das

O cerne da questão empresas, durante os períodos de
nebulosidade econômica, fazer
contenções de investimentos, seja
para desenvolver novas competências
e criar mercados, seja para manter as
operações existentes. Essa situação
prevalece até o momento em que uma
previsão clara de crescimento torne os
investimentos atrativos.

Trata-se de uma prática que não
A nebulosidade provocada funciona para a segurança da
pela crise econômica de 2008 informação. Aliás, sabemos que os
riscos cibernéticos que ameaçam
já se dissipou. No entanto, a informação frequentemente
nuvens densas continuam aumentam durante os períodos
de contrações econômicas. Isso se
se formando em regiões, torna particularmente real quando
o orçamento, base para ao menos
mercados e setores mundo se manter as práticas vigentes, fica
afora, trazendo incertezas comprometido ou pressionado em
benefício de outras necessidades
locais e globais e diferindo empresariais.
crescimentos de receita, Afinal, como as empresas estão
participação de mercado conduzindo o tema segurança da
informação neste momento? Embora
e de rentabilidade das a nebulosidade econômica de 2008
organizações. A visibilidade tenha passado, há regiões, mercados
e setores sob a influência de nuvens
sobre quando e como a muito carregadas que podem provocar
verdadeiros ciclones em economias
próxima ameaça digital regionais, com efeitos devastadores
surgirá é baixa, na melhor para a economia global. Além disso,
a previsão econômica global para o
das hipóteses. próximo ano não é tão promissora.


Apesar de tudo, de acordo com os As tempestades da crise de 2008
resultados da Pesquisa Global de se foram, mas as instabilidades
Segurança da Informação 2012 decorrentes continuam presentes em
(Global State of Information Security certos setores, mercados e regiões do
Survey®), a maioria dos executivos mundo. Neste cenário, preparação
de mercados e setores ao redor do e execução são movimentos
mundo está confiantes na eficácia das fundamentais. Considerando o
práticas de segurança da informação crescimento acelerado e a amplitude
que estão sendo adotadas em suas de atuação do crime cibernético no
empresas. Esse grupo inclui mais mundo, com atividades como as
de 9.600 CEOs, CFOs, CIOs, CISOs, Ameaças Persistentes Avançadas
CSOs e outros executivos responsáveis (Advanced Persistent Threats - APT) e
pelos investimentos de segurança e os vazamentos constantes e súbitos
tecnologia da informação em suas de grandes volumes de dados
empresas em mais de 138 países. confidenciais, estar preparado é um
diferencial estratégico.
Eles possuem uma estratégia eficaz em
vigor. Eles consideram suas empresas Por que os executivos estão
determinadas na execução dessa confiantes? No que as empresas
estratégia. E suas percepções quanto avançaram no último ano em
à frequência, ao tipo e à origem das segurança da informação? Quais
falhas de segurança, têm melhorado são os sinais de deterioração das
drasticamente nos últimos 12 meses. competências de segurança? E a
quais prioridades e oportunidades
Porém, nem tudo está em ordem. os executivos devem se dedicar neste
Alguns elementos indicam “crise na momento, a fim de se prepararem para
liderança” e uma deficiência perigosa as ameaças digitais que estão por vir?
na estratégia. As competências
empresariais em segurança estão se
deteriorando. Os riscos de segurança
relacionados a terceiros (fornecedores,
clientes, prestadores de serviços etc.)
estão em alta.Ter a expectativa de
que o sol brilhará novamente pode
ser ilusório, sobretudo em momentos
de baixa pressão barométrica.

PwC 9

Uma discussão
profunda

As ameaças à segurança
da informação,assim
como o clima, são difíceis
de prever.
Muitos executivos fazem
a previsão de sol e céu
claro. Outros observam o
comportamento da baixa
pressão barométrica.


I. Um mundo de líderes: os respondentes
categorizam suas empresas

Descoberta #1 Descoberta #2
Este ano, um percentual Esses “líderes” consideram a
surpreendentemente alto de demanda do cliente como a mais
respondentes considera que suas relevante justificativa para os gastos
empresas, na prática, são “líderes” com segurança da informação e
na estratégia e na execução da estão entusiasmados em relação à
segurança da informação. proteção de dados.

Descoberta #3
Curiosamente, o grupo que engloba
os “estrategistas” está mais suscetível
a impor restrições no orçamento de
segurança da informação do que os
outros três grupos.

PwC 11

Dois dos principais fatores de
Outros 27% se identificaram como
impulso para a eficácia da segurança
Estrategistas. Isto é, são melhores em
da informação são (1) se a empresa
“estabelecer a estratégia apropriada”
tem uma estratégia de segurança
do que na execução do plano.
da informação em vigor, e (2) se
Somente 15% foram categorizados
a empresa executa essa estratégia
no grupo dos Táticos, composto
com determinação e entusiasmo.
pelos respondentes que se disseram
Geralmente encontramos empresas,
melhores “na realização” do que na
Descoberta #1 por exemplo, que têm um plano
definição de uma estratégia eficaz. E
mas não o executam ou não têm
Este ano, um percentual os 14% que chamamos de Bombeiros
um plano e estão constantemente
surpreendentemente alto de admitem que não possuem uma
em modo “bombeiro”, combatendo
estratégia eficaz em vigor e que
respondentes considera que incêndios, entre outras combinações
normalmente atuam reativamente.
suas empresas, na prática, dessas variáveis.
(Figura 1)
são “líderes” na estratégia e Neste ano, curiosos sobre como
na execução da segurança da O que esses dados nos mostram?
os mais de 9.600 respondentes
Afinal, do ponto de vista estatístico,
informação. caracterizariam a forma de conduzir
eles não trazem semelhança com a
a segurança da informação em suas
curva em forma de sino da distribuição
organizações, incluímos perguntas
normal padrão. Entretanto, eles
específicas na pesquisa. Com base
nos fornecem algumas informações
nas respostas e para fins analíticos,
intrigantes a respeito das percepções
organizamos os respondentes em
dos respondentes e de como eles
quatro grupos distintos: Líderes,
avaliam alguns aspectos essenciais da
Estrategistas, Táticos e Bombeiros.
postura de suas empresas em relação à
Surpreendentemente, quase a segurança da informação.
metade (43%) dos respondentes
se identificou com a categoria de
Líderes. Isto é, “suas organizações
possuem um plano estratégico de
segurança eficaz em vigor e estão
determinadas e entusiasmadas na
execução desse plano.”

Figura 1: Como os respondentes caracterizam a abordagem de segurança
da informação adotada por suas empresas

Temos uma estratégia eficaz em vigor e somos
43% Líderes
proativos na execução do plano

Somos melhores em acertar a estratégia 27% Estrategistas
do que em executar o plano

Somos melhores na execução das ações
15% Táticos
do que na definição da estratégia eficaz

Não temos estratégia eficaz em vigor e
normalmente somos reativos 14% Bombeiros

Fonte: 2012 Global State of Information Security Survey®
Os números relatados talvez não sejam exatamente iguaisaos dados brutos por causa do arredondamento.


Os quatro grupos concordam que De forma similar, os Líderes
os dois temas mais importantes nitidamente se entusiasmam mais
que fundamentaram os gastos em proteger todos os tipos de
com segurança da informação em informação, desde dados financeiros
suas empresas são as condições da e de propriedade intelectual, até
economia global e a necessidade de informações da empresa, de clientes e
garantir a continuidade dos negócios e de funcionários. (Figura 3)
a recuperação de desastres.
Esses resultados chamam atenção e
Descoberta #2 Porém, quando perguntados sobre são animadores pelo senso de negócio
Esses “líderes” consideram a como a segurança da informação cada vez mais presente na segurança
demanda do cliente como a é “justificada” em suas empresas, da informação das empresas.
mais relevante justificativa as respostas variaram nitidamente. Conforme indicamos pela primeira
para os gastos com segurança (Figura 2) vez no ano passado, depois de cerca
de 15 anos, a vanguarda das práticas
da informação e estão Enquanto os Estrategistas, os Táticos e de segurança da informação passa
entusiasmados em relação à os Bombeiros indicam acima de tudo a ter um papel mais orientado ao
proteção de dados. como “justificativa” o atendimento atendimento das demandas do cliente,
às exigências legais e regulatórias – a das necessidades empresariais e da
“punição”, por assim dizer – os Líderes criação de valor estratégico para a
indicam que a segurança tem sido organização.
justificada pela demanda do cliente,
ou seja, a “recompensa”.

Figura 2: Como a segurança da informação é justificada em sua empresa

Líderes Estrategistas Táticos Bombeiros
Demanda do cliente 50% 32% 27% 21%
Exigência legal ou regulatória 45% 36% 44% 24%
Julgamento profissional 43% 36% 37% 22%
Potencial responsabilização ou exposição 41% 30% 40% 22%
Práticas comuns no setor 41% 35% 30% 17%

Nem todos os fatores são ilustrados. Os valores totais não somam 100%.

Figura 3: Percentual dos respondentes que consideram extremamente importantes os tipos de informação a seguir

Líderes Estrategistas Táticos Bombeiros
Informações de clientes 73% 57% 63% 45%
Dados financeiros 65% 43% 48% 40%
Segredos de propriedade intelectual e 63% 42% 42% 34%
comerciais
Informações corporativas 60% 41% 42% 31%
Informações de funcionários 51% 37% 40% 28%

Os valores totais não somam 100%. Os respondentes puderam indicar diversos fatores.

PwC 13

Há outras ideias provocativas Por que motivo? Temos algumas
implícitas nas respostas apresentadas pistas. O conhecimento duramente
por esses quatro grupos de conquistado sobre a frequência, o tipo
respondentes. Uma delas, na verdade, e a origem dos crimes cibernéticos
nos remete a uma tendência global nas e das violações de segurança faz
práticas de segurança e na prevenção dos Líderes o grupo em melhores
ao crime que persiste desde 2008. condições de informar perdas
Isto é, a relutância em se empenhar financeiras. No outro extremo, os
Descoberta #3 recursos suficientes para a missão da Bombeiros representam empresas
segurança da informação mesmo sob tipicamente menores que, em geral,
Curiosamente o grupo que estão sujeitas a limitações financeiras.
o risco de degradação da segurança e
engloba os “estrategistas” suas competências.
está mais suscetível a impor E quanto aos Táticos? Se não
restrições no orçamento de Todos os quatro grupos – Líderes, há estratégia eficaz em vigor,
Estrategistas, Táticos e Bombeiros – provavelmente não haverá percepção
segurança da informação do estão ativamente reduzindo os estratégica sobre por que os
que os outros três grupos orçamentos e protelando as iniciativas investimentos são críticos e devem ser
de segurança. Mas um grupo em feitos. Então por que os Estrategistas
particular, os Estrategistas, está são mais suscetíveis a impor restrições
tomando tais medidas de forma mais aos investimentos de segurança da
acentuada. (Figura 4) informação do que os outros três
grupos? É difícil saber. Talvez alguns,
sem um foco constante na execução,
simplesmente não estejam vendo
o valor dos resultados em termos
práticos. E talvez outros confiem em
suas estratégias e simplesmente se
concentrem em gastar exclusivamente
nas áreas mais importantes.

Figura 4: Percentual dos respondentes que relatam redução de orçamento ou adiamento de iniciativas de segurança em suas empresas

A sua empresa protelou alguma Líderes Estrategistas Táticos Bombeiros
iniciativa relacionada à segurança?
Sim, para iniciativas que exigem despesa 47% 69% 54% 37%
de capital
operacional

A sua empresa reduziu o orçamento Líderes Estrategistas Táticos Bombeiros
para as iniciativas relacionadas à
segurança?
de capital
operacional



II. Confiança e progresso: uma década de amadurecimento

Descoberta #4 Descoberta #5 Descoberta #6
A nítida maioria dos respondentes As empresas possuem hoje mais Após três anos de redução de
está segura de que as atividades de conhecimento como jamais tiveram orçamentos e adiamento das
segurança da informação das suas sobre crimes digitais e outros iniciativas de segurança da
empresas são efetivas. incidentes de segurança. Elas estão informação, os respondentes estão
aproveitando esse conhecimento para “otimistas” em relação aos gastos com
direcionar investimentos a três áreas segurança.
específicas: tecnologia de prevenção,
tecnologia de detecção e tecnologias
relacionadas à web.

Mais de sete em cada dez respondentes admitem que estão confiantes, em
algum nível, na efetividade das competências de segurança da informação de
suas empresas. (Figura 5)

Isso faz sentido. Afinal de contas, a segurança da informação passou a ser
Descoberta #4 considerada atividade essencial do negócio e mais bem compreendida agora
A nítida maioria dos do que em qualquer outro momento nas últimas décadas. Ela deixou de
respondentes está segura de que ser uma “colcha de retalhos” de palpites técnicos ou, meramente, um item
individual no orçamento do CIO.
as atividades de segurança da
informação das suas empresas Em muitos aspectos, os respondentes na realidade parecem acreditar que
são efetivas. “na nossa empresa, dado o que conhecemos a respeito do crime cibernético,
violações de dados e outras ameaças, a segurança da informação está
fazendo o seu trabalho.”

Figura 5: Percentual dos respondentes que estão confiantes na efetividade das
atividades de segurança da informação de suas empresas

28%

Muito confiantes
2011 39%
Um tanto confiantes
Outros

33%
Total 72%


PwC 15

Há alguns anos, quase metade dos Isso representa um grande avanço
Descoberta #5 respondentes desta pesquisa não e, aparentemente, esse avanço
As empresas possuem hoje mais conseguia responder às perguntas é fruto das escolhas feitas pelas
conhecimento como jamais mais básicas sobre a natureza das empresas em momentos nos quais os
violações relacionadas à segurança. investimentos para a segurança se
tiveram sobre crimes digitais e (Figura 6) tornaram limitados, diferentemente
outros incidentes de segurança. do que acontecia antes de 2008.
Elas estão aproveitando esse Agora, aproximadamente 80% ou mais Onde exatamente esses investimentos
dos respondentes podem fornecer
conhecimento para direcionar estão sendo feitos? Nas tecnologias
informações específicas sobre a de prevenção, detecção e naquelas
investimentos a três áreas frequência, o tipo e a origem do evento relacionadas à web, três áreas de
específicas: tecnologia de de segurança. interesse que, em todas as regiões,
prevenção, tecnologia de todos os setores e todos os tamanhos
detecção e tecnologias de empresa, estão atraindo mais
relacionadas à web. atenção neste ano do que qualquer
outra área essencial relacionada à
segurança. (Figura 7)

Figura 6: Percentual dos respondentes que não souberam responder (“não sei”, “desconheço”) a perguntas sobre a frequência, o tipo e
a origem das violações de segurança nos últimos 12 meses

Respondentes que indicaram 2007 2008 2009 2010 2011
“Não sei” ou “Desconheço”
Quantos incidentes ocorreram nos últimos 12 meses? 40% 35% 32% 23% 9%
Qual tipo de incidente ocorreu? 45% 44% 39% 33% 14%
Qual foi a origem do incidente? N/A 42% 39% 34% 22%


Figura 7: Percentual dos respondentes que relataram salvaguardas de segurança da informação relacionadas às seguintes
áreas de detecção, prevenção e à web

72% 2010
Ferramentas de detecção de código malicioso
83%
2011
56%
Ferramentas de detecção de intrusão
62%

61%
Ferramentas de prevenção intrusão
74%

65%
Filtros de conteúdo da web
75%

62%
Navegadores seguros 72%

55%
Serviços de segurança da web
62%



Será que a “seca” nos investimentos O que é evidente, de qualquer
está prestes a diminuir? Metade dos maneira, é que a maioria das
respondentes acredita que sim, em vulnerabilidades de segurança que
algum momento nos próximos 12 começaram a surgir no ano passado,
meses. (Figura 8) isto é, dois anos após a retração
econômica global, ainda está presente
O que não está totalmente claro é que nas organizações e, assim como as
fatores estão motivando esse nível persianas que batem mais forte com o
de expectativa. Alguns respondentes aumento da intensidade do vento, elas
Descoberta #6 podem estar prevendo que as exigem atenção.
Após três anos de redução de restrições de investimentos serão
orçamentos e adiamento das mais brandas nos próximos meses,
talvez porque o negócio atualmente
iniciativas de segurança da esteja melhor. Outros podem estar
informação, os respondentes fundamentando suas previsões na
estão “otimistas” em relação aos necessidade e na crença de que,
gastos com segurança. dada a evolução e a sofisticação do
crime cibernético e das ameaças de
segurança, os investimentos “precisam
melhorar”.

Figura 8: Percentual dos respondentes para os quais os gastos com a segurança da
informação aumentarão nos próximos 12 meses

52%

51%
46%

44%

44%

38%

2006 2007 2008 2009 2010 2011


PwC 17

Descoberta #9
III. Vulnerabilidades e exposição: a deterioração Gerenciar os riscos de segurança
associados às relações de negócios
das competências de segurança desde 2008 mantidas com parceiros, clientes e
fornecedores sempre foi um problema.
E está piorando.

Uma das ameaças digitais mais Após três anos de volatilidade O índice global de 72% de confiança
perigosas da atualidade é o ataque econômica mundial e de resistência das empresas em suas práticas de
conhecido como Ameaça Persistente a se promover investimentos em segurança pode ser interpretado
Avançada (APT - Advanced Persistent segurança da informação, continua como alto, mas ele vem diminuindo
Threat). Poucas empresas estão a deterioração das competências nitidamente desde 2006.
preparadas para se prevenir contra principais de segurança nas empresas.
esse tipo de ataque.

Contudo, o APT não é ameaça As empresas estão preparadas?
Descoberta #7 somente para o setor público e para as Somente 16% dos respondentes
Uma das ameaças digitais instituições de defesa nacional. Ele é disseram que os programas de ação de
mais perigosas da atualidade também uma questão cada vez mais segurança de suas empresas abordam
crítica para todo o setor privado. ataques APT. Além disso, mais da
é o ataque conhecido como metade de todos os respondentes
Ameaça Persistente Avançada Este ano, percentuais significativos relatou que suas empresas
(APT - Advanced Persistent de respondentes, em diversos setores, não possuem as competências
apontam que o ataque APT tem fundamentais necessárias, direta ou
Threat). Poucas empresas estão
direcionado os gastos com a segurança indiretamente, para o combate a essa
preparadas para se prevenir da empresa. Mais precisamente, ameaça estratégica, tais como teste
contra esse tipo de ataque. destacam-se 43% dos respondentes de penetração, tecnologia de gestão
do setor de produtos de consumo e de identidades ou processos de gestão
de varejo, 45% do setor de serviços centralizados de informações de
financeiros, 49% da indústria de segurança. (Figura 9)
A espécie mais sofisticada, adaptável entretenimento e mídia e 64% do setor
e persistente de ameaças digitais não de fabricação industrial.
é mais uma raridade. As principais
empresas ao redor do mundo foram
Figura 9: Percentual dos respondentes segundo os quais suas empresas possuem
alvo de ataques do tipo APT em 2011: internamente as competências relacionadas à prevenção, à detecção e ao combate ao APT
desde entidades governamentais,
laboratórios nucleares, firmas de 2010
53%

segurança, fornecedores militares,
49%

48%
47%

2011
45%

até uma organização internacional
43%

43%
41%

38%
38%

que supervisiona o sistema monetário
internacional.
Software de controle
de acesso à rede

Tecnologia de gestão
de identidades

Programas de conscientização

sobre segurança

Processo centralizado
de gestão de informações
de segurança

Testes de penetração
de funcionários



Embora tenha havido avanços significativos na capacidade das empresas para
aplicar tecnologias de prevenção, detecção e relacionadas à web, os níveis de
maturidade em outras disciplinas de segurança continuam em declínio.

A deterioração é evidente em disciplinas de segurança como gestão de
identidades, gestão de continuidade de negócios e planejamento para a
recuperação de desastres, assim como naquelas disciplinas relacionadas a
verificações do histórico pessoal e monitoração do uso da Internet e dos ativos
da informação pelos funcionários da empresa. As práticas relacionadas à
Descoberta #8 privacidade, tais como a revisão de políticas de privacidade pelo menos uma
Após três anos de volatilidade vez ao ano e a manutenção de inventários de locais e jurisdições onde os dados
econômica mundial e de pessoais são armazenados, também tiveram evidente deterioração.
resistência a se promover
investimentos em segurança
da informação, continua a Figura 10: Percentual dos respondentes que relataram dispor das seguintes
deterioração das competências competências de segurança e privacidade em suas organizações
principais da segurança nas
empresas. 48%
Estratégia de gestão de identidades 46%
41%

53%
Continuidade do negócio/recuperação
44%
de desastres
39%

60%
Verificação do histórico pessoal 56%
54%

57%
Pessoas dedicadas ao monitoramento
do uso da internet pelos funcionários 53%
49%

52%
Revisão da política de privacidade
pelo menos uma vez ao ano 46%
39%

Inventário preciso das localizações ou 39%
jurisdições onde os dados estão 35%
armazenados
29%

2009 2010 2011


PwC 19

Os riscos internos à organização De fato, o salto nos percentuais
Descoberta #9 sempre estiveram em evidência para mostra mudanças rápidas deste
Gerenciar os riscos de os CISOs, CSOs e outros encarregados cenário (Figura 11). Com o aumento
segurança associados às de “proteger a casa”. Por muitos anos das suspeitas, devem aumentar
as suspeitas de violação de segurança nos próximos 12 meses os níveis
relações de negócios mantidas ocorridas na empresa recaíram com de maturidade do conjunto de
com parceiros, clientes e frequência sobre funcionários ou competências de segurança que
fornecedores sempre foi um ex-funcionários. E ainda é assim. representa a “linha de frente” na
problema. E está piorando. No entanto, há outras categorias de gestão dos riscos relacionados a
“pessoal interno” às quais sempre se terceiros (Figura 12).
deu menos atenção, como terceiros,
fornecedores e até mesmo clientes.

Figura 11: Percentual de respondentes que estimam as seguintes origens para
as violações de segurança ocorridas na empresa

17% 2011

Cliente 12%
2010
10%
2009
15%
Parceiro ou Fornecedor 11%
8%


Figura 12: Percentual de respondentes que relataram a existência das seguintes
capacidades ativas em suas empresas para conter os riscos associados a terceiros
57%

2009
53%
49%

2010
39%

2011
35%
35%

34%
32%

30%
29%
29%
29%

28%

27%
24%
lidam com informações pessoais
de clientes ou funcionários

Inventário de todos os terceiros
que lidam com informações
pessoais de clientes ou
funcionários

Exigência de que terceiros
estejam em conformidade com
as políticas de privacidade

Pessoas dedicadas ao
monitoramento do uso da
Internet pelos funcionários

Processo de resposta a incidentes
para relatar e lidar com violações
a dados manipulados por terceiros
Due diligence de terceiros que



Confiança é geralmente um bom Era de se esperar. Com a contenção
Descoberta #10 traço, contanto que não se baseie em dos investimentos em segurança
O índice global de 72% de arrogância, esperança ou informações pelas empresas nos últimos anos e
confiança das empresas em suas incorretas. Mas a queda na confiança o surgimento contínuo de desafios,
é reveladora. O índice global de como os APTs, os crimes cibernéticos
práticas de segurança pode ser confiança de 72% talvez pareça refletir e outras ameaças digitais, é impossível
interpretado como alto, mas ele níveis sólidos de autoconfiança, pelo de se evitar a conclusão de que as
vem diminuindo nitidamente menos em relação à segurança da áreas de negócio e de TI estão menos
desde 2006. informação. Entretanto, esse índice confiantes que sua empresa esteja
está 12 pontos abaixo (84% em 2006) preparada para enfrentar as ameaças
do registrado há alguns anos. de segurança que põem em risco a
(Figura 13) informação, a operação e a marca.

Figura 13: Percentual dos respondentes que estão confiantes na eficácia das atividades de
Figura 13: Percentual dos respondentes que estão confiantes na eficácia das atividades de
segurança da informação de suas empresas
segurança da informação de suas empresas

Muito confiantes
2006 Um tanto confiantes
28% 28% 26%
Outros
51%
Muito confiantes
Muito confiantes
Muit
2011 2011 39% 39% Um pouco2010
confiantes
Um pouco confiantes 39% Um
Outros Outros
Outr

State of Information Security Survey®
33% 33% 35%

18% 17%

Muito confiantes
Muito
2009 43% Um pouco confiantes
2008 50% Um p
Outros
Outro

33%
39%

16% 16%

Muito confiantes Mui
2007 2006
Um pouco confiantes Um

Outros Out
52% 51%
32% 33%


PwC 21

IV. Janelas de oportunidade: onde estão as melhores possibilidades

Quais são os maiores obstáculos para Os dispositivos móveis e as mídias A computação em nuvem está
uma segurança da informação eficaz? sociais representam uma forma nova e melhorando a segurança. Entretanto,
Os líderes indicam a falta de capital, significativa de risco e de defesa. Este o que se quer é mais determinação
entre outros fatores, e lançam a luz ano, o uso seguro desses dispositivos dos fornecedores na aplicação das
dos holofotes no “alto escalão.” está sob novas regras em diversas políticas de segurança, entre outras
empresas, embora ainda não esteja prioridades.
para a maioria delas.


Por um lado, é difícil não notar a
Descoberta #11 falta de coerência: se a definição
Quais são os maiores obstáculos para uma segurança da clara da visão e da estratégia não é
informação eficaz? Os líderes indicam a falta de capital, entre um dever do CISO, então de quem
é? Por outro lado, a oportunidade
outros fatores, e lançam a luz dos holofotes no “alto escalão.” que esse conjunto de respostas revela
é estimulante. A austeridade na
alocação dos investimentos é uma
condição que poucos executivos
Esta é uma questão fascinante, pois E quanto aos CFOs? Seria natural podem modificar. Mas a definição
revela uma rica composição de prever que, com a responsabilidade clara da visão e da estratégia de
falta de alinhamento e disfunção final de definir cortes, reduções ou segurança é um procedimento para o
organizacionais e, ao mesmo tempo, diferimentos nos investimentos em qual existe possibilidade de escolha.
indica oportunidades atraentes para segurança, eles apontariam, assim
aprimorar a segurança da informação como os CEOs, as limitações de capital O quanto a segurança da informação
de forma transversal, considerando como principal obstáculo. Não é o que seria radicalmente mais eficaz se toda
desafios externos, recursos internos e acontece. Eles também colocam o ônus a equipe executiva sênior se dirigisse
funções-chave de liderança. nos CEOs e na Diretoria. ao CISO em conjunto e, de forma
bastante cooperativa, apoiasse a visão
Os CEOs acreditam que o principal Sendo assim, como os principais e a estratégia de três a cinco anos
obstáculo é a falta de capital e, representantes da “equipe técnica sobre como a prática de segurança
em seguida, apontam para si executiva”, isto é, CIOs e CISOs, da informação deve ser mais bem
mesmos e para a diretoria. Isso classificam os maiores obstáculos à empreendida, aparelhada e dotada de
reflete honestidade e, certamente, eficácia da segurança da informação? recursos para viabilizar e proteger a
responsabilidade. Esta é a surpresa: o Curiosamente, e talvez naturalmente, empresa?
último “obstáculo” na lista dos CEOs eles se põem no fim da lista de
é o CISO. Isso, aparentemente, é obstáculos e colocam o CEO e a Como o CISO “pode fazer isso
uma ilusão, como os próprios CISOs diretoria quase no topo. Mas os CIOs acontecer”? Comunicando com
revelam indiretamente em suas e os CISOs aparentemente concordam muito mais ênfase a importância
respostas à mesma pergunta. que o maior obstáculo à eficácia da da segurança da informação para
(Figura 14) segurança da informação é a falta de o CEO, o CFO e outros diretores,
visão realista dessa prática, seguida além de tomar o cuidado de fazer
de perto pela falta de uma estratégia essa comunicação na linguagem
eficaz de segurança da informação. apropriada ao executivo em questão.

Figura 14: Percentual de CEOs, CFOs, CIOs e CISOs que identificam os fatores abaixo como os maiores obstáculos ao aprimoramento
geral da eficácia estratégica da prática de segurança da informação de suas empresas

CEO CFO CIO CISO

Liderança - CEO, presidente, diretoria ou equivalente 25% 27% 25% 25%
Liderança - CIO ou equivalente 14% 23% 18% 21%
Liderança - CISO, CSO ou equivalente 12% 22% 16% 17%

Falta de estratégia eficaz de segurança da informação 18% 25% 25% 30%
Falta de visão e ou de entendimento 17% 25% 30% 37%
Orçamento insuficiente para os investimentos 27% 23% 29% 29%
Orçamento insuficiente para os gastos operacionais 23% 16% 23% 22%
Ausência ou escassez de especialistas na empresa 23% 19% 25% 23%
Sistemas de informação/TI mal integrados ou excessivamente complexos 13% 14% 19% 30%


PwC 23

Diversas empresas ao redor do Mais da metade dos respondentes,
Descoberta #12 mundo estão implementando entretanto, relatou que as suas
Os dispositivos móveis e as estratégias de segurança para empresas ainda não têm estratégia
mídias sociais representam acompanhar a adoção de novas de segurança para o uso de
tecnologias por parte dos dispositivos pessoais, inclusive
uma forma nova e funcionários, sobretudo o uso de móveis, e redes sociais na empresa
significativa de risco e de dispositivos móveis e de redes pelos funcionários. (Figura 15)
defesa. Este ano, o uso seguro sociais. Elas também estão criando
desses dispositivos está sob regras sobre como os funcionários
novas regras em diversas podem usar tecnologias pessoais
dentro da empresa.
empresas, embora ainda não
esteja para a maioria delas.

Figura 15: Percentual dos respondentes segundo os quais suas empresas
apresentam os seguintes recursos em vigor para abordar os riscos relacionados
aos dispositivos móveis e às mídias sociais

Têm uma estratégia de segurança para que o
funcionário utilize dispositivos pessoais 43%

Têm uma estratégia de segurança para 37%
dispositivos móveis

Têm uma estratégia de segurança para as
32%
mídias sociais



Mais de quatro em cada dez E quanto aos principais riscos
Descoberta #13 respondentes relataram que suas relacionados às estratégias de
A computação em nuvem está empresas utilizam a computação computação em nuvem? O maior
melhorando a segurança. em nuvem, sendo 69% para risco percebido foi a incerteza
software como serviço, 47% para quanto à possibilidade de impor
Entretanto, o que se quer é mais infraestrutura como serviço e 33% políticas de segurança às instalações
determinação dos fornecedores para plataforma como serviço. dos fornecedores. Outros riscos
na aplicação das políticas incluem treinamento e auditoria
A nuvem melhorou a segurança?
de segurança, entre outras de TI inadequados, privilégios
Mais da metade (54%) diz que sim, problemáticos no controle de acesso
prioridades. 23% acreditam que a segurança às instalações do fornecedor, a
“piorou” e 18% não observaram proximidade dos dados da empresa
mudanças. (Figura 16) com os de outras empresas e a falta de
confiança na recuperação de dados,
caso seja necessário. (Figura 17)

Figura 16: Os impactos da computação em nuvem na segurança da informação

A segurança da informação melhorou 54%

A segurança da informação piorou 23%

Sem mudanças na segurança da informação
18%

Não sabe 5%


Figura 17: Percentual de respondentes que identificaram os itens abaixo como
principal risco de segurança à estratégia de computação em nuvem nas
suas organizações
32%

19%

15%

11%

9%
Incerteza sobre a capacidade
de impor políticas de segurança
nas instalações do fornecedor

Treinamento e auditoria
de TI inadequados

Privilégios problemáticos no
controle de acesso às
instalações do fornecedor

Proximidade dos dados
com os de outras empresas

Falta de confiança na
recuperação de dados


PwC 25

Pwc Pesquisa Global de Seguranca da Informacao 2012

Pwc Pesquisa Global de Seguranca da Informacao 2012

Recomendados

Recomendados

Mais conteúdo relacionado

Destaque

Destaque (9)

Semelhante a Pwc Pesquisa Global de Seguranca da Informacao 2012

Semelhante a Pwc Pesquisa Global de Seguranca da Informacao 2012 (20)

Pwc Pesquisa Global de Seguranca da Informacao 2012