✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
PESQUISA 
NACIONAL DE 
SEGURANÇA DA 
INFORMAÇÃO 
2014 
Uma visão estratégica dos principais elementos da 
Segurança da Inf...
Metodologia 
Formato de pesquisa 
ON LINE 
Período da Coleta 
30 Junho a 
25 de Agosto de 2014 
✪ public ©Copyright 2014 D...
Como foi dividida 
GESTÃO CONTROLES CAPACITAÇÃO 
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Quem respondeu a pesquisa? 
Gás & Óleo 
+ 42% Maduras em relação ao tema: 
Transportes 
Manufatura 
Telecomunicações 
✪ pu...
Perfil das empresas e respondentes 
27,9% Faturam mais de US$ 100 milhões; 
51,6% + 1.000 colaboradores; 
32,7% Gerentes e...
Sua empresa possui um Sistema de Gestão 
de Segurança da Informação (SGSI) 
11.48% 
24.59% 
27.87% 
✪ public ©Copyright 20...
Há quanto tempo um SGSI foi 
estabelecido na empresa? 
35.25% 
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.co...
Tempo de Casa X Tempo de S.I. 
18.85% 
42.62% 
22.95% 
15.57% 
menos de 1 
ano 
entre 1 e 5 
anos 
entre 5 e 10 
anos 
mai...
Razoavelmente 
27.87% 
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 
“A Alta Direção deve 
demonstrar s...
Qual a área atualmente 
responsável nas empresas? 
Segurança da 
Informação 
✪ public ©Copyright 2014 DARYUS Group Brazil....
Qual a área os pesquisados 
acreditam que deveria ser 
6.56% 
4.92% 
4.10% 
4.10% 
3.28% 
2.46% 
1.64% 
1.64% 
0.82% 
0.82...
Avaliação da confiança 
4,92% não confiam nas leis e 
regulamentos que afetam a segurança 
da informação. 
8,20% não confi...
Investimentos em segurança 
37.7% 37,7% não realizam previsões de investimentos relacionados ao tema. 
68,03% dos particip...
Os incidentes de mais frequentes 
Vazamento de Informação 
Mal Uso 
Perda de Informação 
N/A 
Códigos Maliciosos 
Falhas e...
Certificação ISO 27001 
Sistema de Gestão de Segurança da Informação (SGSI) 
Possuímos a certificação ISO 27001:2013 
Poss...
Política de Segurança da Informação (PSI) 
“Prover orientações da Direção e apoio para a segurança da informação de acordo...
Competências e 
responsabilidades 
32% das organizações não definiram papéis e 
responsabilidades; 
Em 59,84% das organiza...
Principais certificações dos pesquisados 
8.04% 
7.14% 
7.14% 
6.25% 
6.25% 
5.36% 
4.46% 
3.57% 
2.68% 
2.68% 
2.68% 
2.6...
Principais certificações dos pesquisados 
1 
5 
12 
9 
29 
Por domínio: 
Segurança da Informação 
Gestão de Serviços de TI...
Gestão Ativos + BYOD 
Dispositivos Corporativos e Pessoais 
Apenas dispositivos Corporativos 
✪ public ©Copyright 2014 DAR...
Controles de Segurança 
da Informação 
Vazamento de informações 
Os controles mais utilizados contra vazamento de informaç...
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 
Impactos mais severos segundo os 
respondentes: 
“Respons...
Continuidade de 
negócios 
55,46% das organizações afirma 
possuir um plano de continuidade, e 
42,86% considera em seu pl...
Análise de vulnerabilidade 
“O objetivo da Análise de vulnerabilidade é reduzir o risco em relação aos incidentes de segur...
Auditorias internas para S.I. 
4.2% 5.0% 
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 
“As organizaçõe...
Pensamentos e Conclusões 
Das instituições respondentes: 
• 64% NÃO possui Gestão de Segurança 
• 38% NÃO fazem Investimen...
Pensamentos e Conclusões 
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 
Segurança 
da 
Informação 
Polí...
Pensamentos e Conclusões 
Estratégico 
Confidencialidade 
Tático 
Segurança 
da 
Informação 
Operacional 
Integridade Disp...
Perguntas? 
Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para 
digitar) ou do hands on (para pedir a...
Obrigado! 
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 
Milena Andrade 
Regional Manager 
Milena.andra...
Acesso ao material 
• Vamos Vamos disponibilizar o link com Cópia desta apresentação + 
Certificado de Participação para t...
Próximos SlideShares
Carregando em…5
×

Pesquisa Nacional de Seguranca da Informacao 2014: Resultados e Desafios!

481 visualizações

Publicada em

A Pesquisa Nacional de Segurança da Informação é fruto do esforço de um grupo profissional com ampla experiência prática no assunto, além de toda comunidade que se prontificou a contribuir. Realizada entre maio e julho de 2014 pela DARYUS, em parceria com a EXIN e IT Mídia, tinha um objetivo claro: traçar um perfil de como a maioria das empresas brasileiras encara a Segurança da Informação.

Os resultados, se não de todo surpreendentes, apontam níveis de maturidade abaixo do esperado na maioria dos casos, o que desperta a pergunta: Estamos realmente preparados para lidar com o amadurecimento constante das ameaças a Segurança da Informação?

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
481
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
17
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Pesquisa Nacional de Seguranca da Informacao 2014: Resultados e Desafios!

  1. 1. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  2. 2. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  3. 3. PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 Uma visão estratégica dos principais elementos da Segurança da Informação no Brasil ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  4. 4. Metodologia Formato de pesquisa ON LINE Período da Coleta 30 Junho a 25 de Agosto de 2014 ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Respondentes Dos 171 respondentes, 122 foram válidos Abrangência Convidadas mais de *500 empresas no BRASIL * Quantidade de respondentes baixa frente a importância e quantidade solicitada. Demonstra que as empresas ainda não possuem maturidade para responder ou preferem pesquisas mais técnicas ou sobre controles.
  5. 5. Como foi dividida GESTÃO CONTROLES CAPACITAÇÃO ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  6. 6. Quem respondeu a pesquisa? Gás & Óleo + 42% Maduras em relação ao tema: Transportes Manufatura Telecomunicações ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Tecnologia Comércio Saúde Educação Financeiro Governo Indústria Serviços 1% 1% 2% 2% 3% 4% 4% 7% 8% 11% 15% •Governo (10,7%); •Indústria (14,8%) e •Serviços (41,8%).
  7. 7. Perfil das empresas e respondentes 27,9% Faturam mais de US$ 100 milhões; 51,6% + 1.000 colaboradores; 32,7% Gerentes e Diretores; 85,2% estão envolvidos na tomada de DECISÃO; 46,72% atuam há mais de 5 anos com SI ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  8. 8. Sua empresa possui um Sistema de Gestão de Segurança da Informação (SGSI) 11.48% 24.59% 27.87% ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 36.07% Sim (aprovado pela TI) Não. Informalmente Sim (aprovado pela Alta Direção) SGSI 52,46% são informais ou não existem!
  9. 9. Há quanto tempo um SGSI foi estabelecido na empresa? 35.25% ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Motivadores 35,25% alinhamento com as melhores práticas, 5,74% buscam a ISO 27001 40,38% das empresas participantes possuem a GSI com foco em TODA A 18.85% EMPRESA 8.20% 5.74% 31.97% menos de 1 ano de 1 a 5 anos de 5 a 10 anos mais de 10 anos Não possui
  10. 10. Tempo de Casa X Tempo de S.I. 18.85% 42.62% 22.95% 15.57% menos de 1 ano entre 1 e 5 anos entre 5 e 10 anos mais de 10 A maior parte das equipes tem menos de 5 anos e é formada por profissionais que tem tempo médio de casa de 5 anos. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br anos 4.10% 38.52% 30.33% 16.39% 10.66% menos de 1 anos de 1 a 5 anos de 5 a 10 anos mais de 10 anos Não atua com S.I
  11. 11. Razoavelmente 27.87% ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br “A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI” Fonte: ISO 27002 Das empresas entrevistadas apenas 36,07% tiveram sua GSI aprovadas pela Alta Direção. Em 53,46% a GSI não foi aprovada ou é informal e ainda parte de TI. Sim 61.48% Não 10.66% Participação da Alta Administração
  12. 12. Qual a área atualmente responsável nas empresas? Segurança da Informação ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 3% 2% 2% 2% 2% 1% 1% 11% 11% 65% Tecnologia Presidência / Alta Direção Não possuímos uma área responsável Segurança da Informação Segurança Patrimonial Operações Finanças Jurídico Recursos Humanos Auditoria Pessoas Processos Tecnologia TI domina com ampla margem
  13. 13. Qual a área os pesquisados acreditam que deveria ser 6.56% 4.92% 4.10% 4.10% 3.28% 2.46% 1.64% 1.64% 0.82% 0.82% Tecnologia Alta Direção Auditoria Negócios Segurança da Informação GRC Operações Outro Recursos Humanos Jurídico Segurança Patrimonial “A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a segurança da informação sejam atribuídos e comunicados”. Fonte: ISO 27002 ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 30.33% 39.34% Finanças responsável? Segurança da Informação Segurança ainda é vista como uma disciplina primariamente de tecnologia!
  14. 14. Avaliação da confiança 4,92% não confiam nas leis e regulamentos que afetam a segurança da informação. 8,20% não confiam na área de segurança da informação para evitar ou tratar ataque cibernético de origem interna ou externa. 5,74% não confiam na capacidade organizacional atual para contramedidas para prevenção/proteção contra incidentes de segurança. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  15. 15. Investimentos em segurança 37.7% 37,7% não realizam previsões de investimentos relacionados ao tema. 68,03% dos participantes não acredita que o percentual investido em segurança da informação seja o ideal para a sua organização. + 85% considera que o principal fator crítico para a segurança da informação está contido nos temas: Capacitação e mudança de Cultura Organizacional. mais de 10% de 1 a 5 milhões de Reais mais de 5 milhões de Reais ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br de 5 a 10% do faturamento de 500 a 1 milhão de Reais de 3 a 5% do faturamento até 500 mil Reais até 3% do faturamento N/A 1.6% 3.3% 4.1% 4.9% 4.9% 6.6% 9.8% 27.0%
  16. 16. Os incidentes de mais frequentes Vazamento de Informação Mal Uso Perda de Informação N/A Códigos Maliciosos Falhas em Equipamentos Varredura/Tentativas de Invasão Negação de Serviço (DoS) Engenharia Social Acesso não autorizado (lógico) Investigação (incidentes não confirmados) Hacktivismo Guerra Cibernética ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 5.0% 5.0% 12.4% 16.5% Mais de 40% das falhas relacionadas à segurança da informação não está associada à tecnologias, mas sim em torno de pessoas e a maneira na qual os dados, informações e sistemas são utilizados nas organizações. Acesso não autorizado (físico) 0.8% 0.8% 4.1% 3.3% 2.5% 4.1% 6.6% 9.9% 12.4% 16.5%
  17. 17. Certificação ISO 27001 Sistema de Gestão de Segurança da Informação (SGSI) Possuímos a certificação ISO 27001:2013 Possuímos a certificação ISO 27001:2005 Não possuímos mas já temos um projeto de certificação em andamento Benefícios: 5.74% 7.38% Não possuímos e não temos interesse • Redução de custos financeiros relacionados a incidentes de segurança da informação; • Promove a melhoria continuada nos controles e políticas de segurança da informação; ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 53.28% 23.77% 9.84% Não possuímos mas temos interesse
  18. 18. Política de Segurança da Informação (PSI) “Prover orientações da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentos relevantes” Não Em desenvolvimento ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 63.11% 19.67% 17.21% Sim A PSI é o principal ativo estratégico da Alta Direção para definição das diretrizes básicas de Segurança da Informação.
  19. 19. Competências e responsabilidades 32% das organizações não definiram papéis e responsabilidades; Em 59,84% das organizações a contratação é utilizada como o momento para comunicação dos papéis e responsabilidades, embora em 23,77% das organizações os mesmos não sejam comunicados; A ação de conscientização mais utilizada (99,99%) é o meio eletrônico (e-mail) enquanto as demais ações não ultrapassam a marca de 55% de utilização. Em apenas 39,34% das organizações é utilizado um processo disciplinar, e apenas 17,21% dos respondentes acredita que é o mesmo seja seguido corretamente. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Principais papéis definidos nas organizações Analista de SI Proprietário de Informação Usuário de Informação 39.3% 41.0% 41.8%
  20. 20. Principais certificações dos pesquisados 8.04% 7.14% 7.14% 6.25% 6.25% 5.36% 4.46% 3.57% 2.68% 2.68% 2.68% 2.68% 0.89% 0.89% 0.89% 0.89% 0.89% 0.89% ITIL Foundation ISFS (EXIN - ISO 27002 Foundation) Cobit Foundation (ISACA) Lead Auditor (BSI) PMP (PMI) ISMAS (EXIN - ISO 27002 Advanced) ISO 20000 CISSP (ISC2) Certificações Microsoft CRISC (ISACA) ITIL Practicioner Security + Green IT CISM (ISACA) CISA (ISACA) ITMP ITIL Expert ISMES (EXIN - ISO 27002 Expert) Integrator Cloud Service Agile Scrum ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 25.89% 57.14% 55.36% ABCP (DRII)
  21. 21. Principais certificações dos pesquisados 1 5 12 9 29 Por domínio: Segurança da Informação Gestão de Serviços de TI Governança de TI Auditoria Gerenciamento de Projetos Gestão de Riscos ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 76 84 Continuidade de Negócios Por nível: 39% 39% 22% Básico Intermediário Avançado Apenas 16,96% dos pesquisados ainda não possui nenhum tipo de certificação reconhecida internacionalmente.
  22. 22. Gestão Ativos + BYOD Dispositivos Corporativos e Pessoais Apenas dispositivos Corporativos ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br BYOD e Ativos Corporativos Em 25,41% existe políticas relacionadas ao tema e 46,72% das organizações permitem acesso aos em dispositivos pessoais. Mesmo nas organizações em que não é permitido o acesso aos dados, 45,90% dos entrevistados acreditam que seja possível o acesso. Sua empresa faz uso de dispositivos móveis no ambiente de trabalho? 3.3% 36.9% 59.8% Não
  23. 23. Controles de Segurança da Informação Vazamento de informações Os controles mais utilizados contra vazamento de informação são a conscientização (57,02%) e a criptografia (44,63%); Acesso lógico 28,10%das organizações não adotam controles de gestão de acesso, enquanto que 33,88% utilizam trilhas de auditoria e revisão manual; Acesso físico 10,74% não utilizam controles de acesso físico. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Proteção contra Códigos maliciosos, vírus, vermes... 57,02% disseminados nos principais ambientes; 31,40% Completamente disseminados; 4,96% apenas em ambientes críticos 6,61% não usam Cópias de Segurança (Backup) e Restauração 23,97% acreditam que irão proteger a organização em caso de falhas nos ambientes produtivos. 48,76% armazenamento em locais fora do escritório, 16,53% realizam seus backups em nuvem privada.
  24. 24. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Impactos mais severos segundo os respondentes: “Responsabilidades e procedimentos devem ser estabelecidos para assegurar respostas rápidas e efetivas aos incidentes de SI” ISO 27001:2013 Gestão de Incidentes 35.54% 25.62% 13.22% Operacionais Marca/Reputação Financeiros Das empresas entrevistadas apenas 36,36% possui um processo formal para gestão de incidentes de SI. A frequência na qual os incidentes são relatados é baixa 56,20%. Mais de 50% dos entrevistados considera mais severo o impacto operacional dos incidentes, embora 54,55% não saiba informar como é considerado o impacto financeiro.
  25. 25. Continuidade de negócios 55,46% das organizações afirma possuir um plano de continuidade, e 42,86% considera em seu plano pessoas, processos e tecnologia 47,90% das organizações contemplam aspectos de segurança da informação em seus planos de continuidade de negócio; 52,10% das organizações não realizam testes de seus planos. 19,33% (maior índice de testes) realiza anualmente. Mais de 35% não possuem local alternativo para recuperação. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  26. 26. Análise de vulnerabilidade “O objetivo da Análise de vulnerabilidade é reduzir o risco em relação aos incidentes de segurança, seja tanto na rede interna quanto na externa, é necessário detectar essas possíveis falhas e corrigi-las para garantir que a rede esteja em um nível de segurança adequada.” 4.20% 2.52% Não Realiza Mensal Semestral Anual Bienal 37,8% das empresas não realizam análise de vulnerabilidade técnica! ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br 15.97% 15.13% 24.37% 37.82% Não soube informar Quando realizadas, as mesmas são concretizadas por equipe interna em 46,22% das vezes.
  27. 27. Auditorias internas para S.I. 4.2% 5.0% ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br “As organizações devem conduzir auditorias a intervalos planejados para prover informações sobre o quanto a gestão de segurança encontra-se em conformidade e está sendo mantida.” 20.2% 23.5% 47.1% Bienal Mensal Semestral Anual Não é realizada
  28. 28. Pensamentos e Conclusões Das instituições respondentes: • 64% NÃO possui Gestão de Segurança • 38% NÃO fazem Investimentos em Segurança • 64% NÃO fazem Gestão de Incidentes • 50% dos incidentes Não são tecnologia Como vamos mudar isso? ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  29. 29. Pensamentos e Conclusões ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Segurança da Informação Políticas Visão holística é essencial!
  30. 30. Pensamentos e Conclusões Estratégico Confidencialidade Tático Segurança da Informação Operacional Integridade Disponibilidade Pessoas Processos Tecnologia ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Segurança da Informação em todos os níveis hierárquicos
  31. 31. Perguntas? Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
  32. 32. Obrigado! ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br Milena Andrade Regional Manager Milena.andrade@exin.com www.exin.com
  33. 33. Acesso ao material • Vamos Vamos disponibilizar o link com Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato ao de desconectar da sessão ao final da apresentação). • Você também pode acessar nosso canal do YouTube e Slide Share para ter acesso a todas as apresentações realizadas em 2012 e 2013. • Mais Informações? ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br

×