Information Security Curation Report - 2017 edition.

2. SUMÁRIO
INTRODUÇÃO
CONCLUSÃO
RSAC HIGHLIGHTS
ÍNDICE DE MATURIDADE
DE SEGURANÇA
AÇÕES PARA AUMENTAR
NÍVEL DE MATURIDADE
4
6
26
48
56

3. 54
I N T R O .
Estamos em um período de profundas mudanças no universo da cibersegurança.
Os modelos tradicionais de prevenção e detecção estão completamente ul-
trapassados. Dizemos isso porque sabemos que os antivírus e firewalls tra-
dicionais não são suficientes para lidar com as ameaças avançadas, uma vez
que essas tecnologias dependem da detecção de assinaturas e configura-
ções de regras.
Além disso, a indústria do cibercrime está em crescimento extremamente
acelerado, gerando cada vez mais prejuízos às empresas e pessoas, e se dis-
tanciando ainda mais da indústria da segurança da informação.
Esse cenário ficou muito mais claro para nós depois de irmos ao maior evento
de cibersegurança do mundo. Em fevereiro, a PROOF participou da 25ª edição
da RSA Conference, em São Francisco, EUA. Lá, identificamos as principais
tendências que nortearão a indústria nos próximos anos e conferimos o po-
sicionamento de grandes especialistas do mercado sobre os desafios que
estão à nossa frente por conta dos avanços tecnológicos.
O objetivo deste relatório é tornar palpável o que a PROOF entende enquanto
tendências e pontos de atenção para o mercado de segurança da informação
a partir dos insumos coletados da nossa experiência na RSA Conference.
Inicialmente, iremos revisitar os principais temas abordados na conferência
como os desafios trazidos pelo rápido crescimento de IoT, as aplicações de
Machine Learning e Inteligência Artificial, além da atuação dos governos no
cenário mundial da ciberguerra.
Em seguida, vamos abordar o contexto geopolítico e algumas das histórias
não contadas pelo mainstream da mídia sobre o WannaCry. Depois, vamos
analisar a maturidade de cibersegurança das empresas no Brasil com base
na pesquisa realizada pela IDC (International Data Corporation) em parceria
com a Level 3 Communications.
Por fim, apresentaremos um guia para auxiliar a elevação da maturidade de
segurança de todas as empresas por meio de algumas
boas práticas a serem adotadas.
A PROOF acredita que o conhecimento é o principal alia-
do na luta contra o cibercrime e, por isso, somos referên-
cia em cibersegurança no mercado brasileiro. Estamos
sempre buscando suscitar debates, compartilhar ideias
e reforçar que segurança da informação é responsabili-
dade de todos.
Aproveite o material e em caso de dúvidas, sugestões
ou considerações, nosso e-mail para contato é
inbound@proof.com.br
Boa leitura!

4. 76
R S A C .
HIGHLIGHTSSe pudéssemos sintetizar a experiência na RSA Conference 2017 em uma
única frase, seria esta, dita pelo Executive Chairman da Alphabet e ex-CEO do
Google, Eric Schmidt, em um dos principais talks do evento.
A verdade é que estamos lidando com adversários persistentes - dotados de
paciência e criatividade, que não descansam na busca pela sofisticação de
suas técnicas. E não estamos só falando do desenvolvimento de novos apa-
ratos tecnológicos. Engenharia social, por exemplo, continua sendo uma das
táticas mais poderosas e recorrentes de uso por parte dos cibercriminosos.
E esse tipo de tática ainda é de grande efetividade, porque aquela premissa
antiga no universo de segurança continua como verdade: o usuário é o elo
mais fraco da cadeia. A rápida popularização de tecnologias de informação
e comunicação não foi acompanhada por uma consciência dos riscos emer-
gentes com essa ampla utilização.
Hoje, as dinâmicas que conduzem o gerenciamento de Segurança da Infor-
mação precisam ser repensadas desde a origem dos sistemas, Security by
Design. O cenário de ameaças mudou drasticamente e os números são bem
gritantes, uma vez que a indústria do cibercrime já movimenta bilhões de dó-
lares anualmente e a tendência é de continuar crescendo.
Segundo a Cybersecurity Ventures, os investimentos das empresas em ciber-
segurança serão um acumulado de um trilhão de dólares até 2021. Em con-
trapartida, estima-se que o custo às empresas, oriundo do cibercrime, cresça
cerca de 3 trilhões de dólares por ano até 2021. Injusto, não?
Líderes empresariais, funcionários do governo e especialistas em segurança
estão reconhecendo uma realidade de fato perturbadora: os ciberataques têm
sido cada vez mais articulados e profissionais, sendo capazes de causar rom-
bos, muitas vezes irreversíveis, nas organizações.
SEGURANÇA VAI MUITO ALÉM DE UM FIREWALL SUPERPROTEGIDO,
SEGURANÇA É UM ESTILO DE VIDA.
ERIC SCHMIDT / ALPHABET

5. 98
A época em que CIOs se preocupavam somente com um possível novo vírus
ou trojan, e executivos consideravam o orçamento para segurança da infor-
mação como apenas um custo para o departamento de TI, não existe mais.
Tanto que um dos conceitos mais interessantes vistos na RSA Conference
2017 foi o de Business-driven security. Segurança com orientação ao negócio
é uma estratégia que tem por objetivo romper com a mentalidade de seguran-
ça voltada somente a TI. Para a implementação de sucesso dessa estratégia
é preciso dar um passo atrás e entender quais são os objetivos e principais
riscos de negócios e construir uma estratégia de segurança alinhada a isso.
O maior desafio para essa estratégia ainda é a mentalidade dos profissionais.
É preciso sair somente do contexto de TI e entender quais são as implicações
de um ataque ao negócio. Outros pontos ainda deficientes são a capacidade
de visibilidade e monitoração amplas, além da estrutura de governança de
segurança que, quando existe, ainda é extremamente dependente da TI.
Os times de SI precisam começar a fazer o movimento que a TI faz há 10
anos e se posicionar como um servidor das necessidades de negócio, criando
o contexto necessário para que executivos compreendam o novo cenário de
ameaças e tomem decisões cada vez melhor embasadas.
E, embora uma gama de grandes empresas tenha sofrido com vazamentos
públicos de seus ambientes tecnológicos, a maioria dos incidentes de se-
gurança ainda não são reportados. A verdade é que as empresas não estão
dispostas a anunciar que tiveram algum incidente ou de detalhar qual foi a
vulnerabilidade que a expôs.
Diferente dos Estados Unidos, o Brasil ainda não possui nenhuma legislação
que obrigue as empresas a reportarem incidentes de segurança. A verdade
inconveniente é que, muito provavelmente, dados de consumidores das maio-
res empresas do país já tenham caído nas mãos de cibercriminosos, mas eles
nunca saberão pela empresa violada.
Dado o crescente ritmo e complexidade das ameaças, as corporações devem
adotar abordagens de cibersegurança que exijam muito mais envolvimento
do quadro executivo para proteger informações críticas de negócios, sem que
isso restrinja a inovação e o crescimento da empresa.
Foi exatamente essa a pre-
missa defendida pela temáti-
ca da RSA Conference deste
ano. “Power of Opportunity”
ou “O Poder da Oportunida-
de” se voltou totalmente para
o cenário de segurança hoje e
como as empresas precisam
reagir às novas dinâmicas
face ao crescimento exponen-
cial da indústria do cibercrime.
Foram grandes nomes da cibersegurança e da tecnologia ressaltando o fato
de que segurança da informação é um problema de todos – como é o aque-
cimento global e o controle de armamento nuclear, por exemplo. O problema
não atinge apenas CIOs, CISOs, CEOs e especialistas. Todos precisam enten-
der que a consciência de segurança é necessária para um futuro sustentável.
DIFERENTE DOS
ESTADOS UNIDOS, OBRASILAIN-
DA NÃO POSSUI UMA LEGISLA-
ÇÃO QUE OBRIGUE AS EMPRE-
SAS A REPORTAREM ESSE TIPO
DE INCIDENTE DE SEGURANÇA.

6. 1110
Se sua empresa contribui para
o desmatamento e não trata
a emissão de poluentes, por
exemplo, está contribuindo
para a aceleração do aqueci-
mento global. E é assim que
a segurança da rede deve ser
pensada. Ela não é responsa-
bilidade de somente um indi-
víduo ou grupo de indivíduos.
Não é assunto reservado para
estudiosos, é uma forma de encarar o mundo e trabalhar pela sustentabilida-
de da sociedade e da tecnologia que estamos desenvolvendo.
Sobre o evento em si, não é exagero dizer que se trata do maior evento de ciber-
segurança do mundo e a importância dele não se reflete só no seu tamanho.
Estamos falando do ponto de encontro de profissionais do mundo todo para
discutir não só sobre segurança e tecnologia, mas também sobre os desdo-
bramentos que essas dinâmicas têm sobre a sociedade e seus impactos no
contexto corporativo, político e cultural. Ou seja, lá são suscitados debates
que irão antever questões cruciais no desenvolvimento da segurança da in-
formação e do uso da tecnologia no contexto mundial.
Entre as novas soluções apresentadas e as centenas de fabricantes que se
distribuíam pelo hall de expositores, a tendência da simplificação da seguran-
ça foi uma das propostas que mais se destacou, principalmente por meio da
concentração de soluções em um único parceiro tecnológico.
Um single-vendor de qualidade permite abordar a possibilidade de se ter uma
estratégia mais sólida de prevenção, trabalhando com foco em uma arqui-
tetura completa e recheada de múltiplas camadas de proteção. O benefício
seria principalmente a redução do espectro de conhecimento necessário para
os times suportarem com qualidade as soluções, o que é extremamente rele-
vante com a grande escassez de profissionais capacitados de Segurança da
Informação.
Por exemplo, o Gartner aponta que 99% dos erros em firewalls são por erro na
configuração, e não falhas de sistemas.
Na ótica do Cliente, ter múltiplos vendors de firewall não é um benefício, por
exemplo, já que há uma maior dificuldade de se controlar, prejudicando a ope-
ração de segurança e as boas práticas de governança, além de exigir um time
mais qualificado - e mais caro - que saiba suportar diversas tecnologias di-
ferentes.
Outro ponto interessante foi ver como o mercado voltou a se interessar por
problemas antigos e já abordados por centenas de empresas, como seguran-
ça de endpoint e phishing. Além dessas pautas antigas, também ficou claro no
evento como as novas ameaças, tais como ransomware e vulnerabilidades em
IoT, provocaram uma nova linha de tecnologias para defesa.
TODOSPRECISAMENTEN-
DER QUE A CULTURA DE
SEGURANÇA É NECES-
SÁRIA PARA UM FUTURO
SUSTENTÁVEL.

7. 1312
Tanto que uma das empresas fabricantes apresentou uma plataforma de or-
questração capaz de controlar elementos como roteador, switch e firewall e,
através de uma interface gráfica, permitiu a criação de regras para os ativos
de forma simples, ao melhor estilo drag and drop.
Ainda sobre automação, muito foi falado sobre seu uso em incidentes de se-
gurança. Hoje, algumas plataformas já conseguem automatizar respostas
parcial ou totalmente, mas, no geral, essa ainda é uma tecnologia em amadu-
recimento e precisaremos de mais tempo para entender qual desdobramento
será o padrão da indústria.
OUTROS TÓPICOS
/ MUITO ABORDADOS DURANTE
A CONFERÊNCIA
INTELIGÊNCIA ARTIFICIAL
& MACHINE LEARNING
Como na maioria das indústrias voltadas à tecnologia, a ci-
bersegurança está apostando alto em AI (Artificial Intelli-
gence) e em ML (Machine Learning). As possibilidades que
esses recursos oferecem no universo da segurança da infor-
mação são inúmeras e praticamente todos os fabricantes
estavam vendendo algum tipo de uso dessas tecnologias
em suas soluções.
No entanto, foram as soluções que utilizavam o machine
learning para deception que mais chamaram a atenção.
O Gartner prevê que, até 2018, 10% das empresas usarão
ferramentas e táticas de deception contra invasores.
INTERNET OF THINGS
Muito já se especula sobre o assunto e, para se ter uma ideia, enquanto a
Symantec estima que existirão 20.8 bilhões de dispositivos inteligentes em
2020, a Microsoft arrisca uma previsão bem mais ousada: 50 bilhões de apa-
relhos conectados.
Agora pense na segurança de todos esses dispositivos conectados.
Tudo está se tornando um computador. Sua geladeira, seu micro-ondas, seu
carro, sua televisão, semáforos da sua cidade e a rede elétrica nacional são
computadores. É isso que chamamos de Internet das Coisas, mas, à medida
que esses dispositivos estão conectados à Internet, eles se tornam vulnerá-
veis e expostos às ameaças cibernéticas.
Apesar das altas apostas da indús-
tria, a percepção em torno de AI ain-
da é mista. Muitos criticam o buzz
em torno da tecnologia e o consi-
deram um tanto quanto prematuro.
Isso não quer dizer que AI seja
pouco útil. É fato que sua curva
de maturidade ainda está no iní-
cio, mas seu avanço e sucesso, ao
longo do tempo, parecem inevitáveis.
No fim das contas, a tecnologia
pode executar tarefas mais rapidamente e com menos erros do que os usu-
ários, mas a supervisão humana ainda se faz necessária para garantir o nível
de confiabilidade maior ou igual a de um humano.
DECEPTIONé uma tecnologia definida pelo uso
de artifícios ou truques destinados a
impedir ou eliminar processos cog-
nitivos do invasor, interromper suas
ferramentas de automação, atrasar
suas atividades ou evitar o progres-
so do ataque.

8. 1514
Você já imaginou receber uma mensagem na tela do seu carro dizendo que o
motor foi desativado e custará US$ 200, em alguma criptomoeda, para voltar
a funcionar? Ou uma mensagem semelhante no seu telefone sobre o bloqueio
da fechadura da sua casa inteligente: “pague $100 se quiser entrar em casa
hoje”. Ou pior: “pague muito mais se quiser que o seu marca-passo continue
funcionando”.
Ao contrário de nossos telefones e computadores, que substituímos a cada
poucos anos, os carros, por exemplo, duram em média 5 anos antes de serem
trocados.
Mas o que acontece quando a empresa que fez nossa máquina de lavar inte-
ligente - ou apenas a parte do computador - fecha as portas, ou decide que
eles não podem mais suportar modelos mais antigos? O WannaCry, por exem-
plo, explorou vulnerabilidades em versões mais antigas do Windows, como o
Windows XP, uma versão que a Microsoft não suportava mais há anos. Ainda
assim, a empresa rompeu com essa política e lançou um patch de correção
para esses sistemas descontinuados, o que só foi possível devido ao talento
da engenharia e do dinheiro sobressalente para fazê-lo.
O problema é que isso não acontecerá com dispositivos IoT de baixo custo.
Esses dispositivos estão cheios de vulnerabilidades e muitas vezes não exis-
te uma boa maneira de corrigi-las. Não existe patch e nem capacidade das
empresas para criá-los.
Essa já é uma preocupação para qualquer negócio atual, conforme esses dis-
positivos estão começando a aparecer nos ambientes corporativos para uso
em salas de conferência, suítes executivas e até mesmo nos
sistemas de segurança. E não subestime a capacidade de seus
usuários levarem as ameaças até o seu ambiente.
HOJE, TUDO
É CIBER
Bruce Schneier, em sua talk,
disparou a seguinte frase:
“Quando tudo é computador,
segurança de computadores é
segurança de tudo.”
Hoje, tudo está na rede. Além
de nos conectar, as coisas são conectadas entre si. O fato é que o número de
dispositivos irá mais que triplicar nos próximos anos e essa é uma realida-
de inevitável. Nesse cenário de geração exponencial de dados, as operações
precisam ser pensadas de forma holística. Pensar segurança de maneira iso-
lada não é pensar segurança.
Um dos principais pontos que o evento iluminou sobre o cenário da ciberse-
gurança nas empresas é que os esforços de proteção devem ser levados de
forma mais séria pelo negócio. Afinal, segurança começa a ser um valor per-
cebido pelo consumidor e, caso contrário, a reputação das empresas, os re-
lacionamentos com Clientes e até mesmo a segurança pública podem sofrer.
No Brasil, os gestores de segurança ainda se sentem desconfortáveis com a
ideia de que já são alvos e que podem ser invadidos com facilidade por um
atacante mais sofisticado. Porém, como tomar as medidas necessárias para
a prevenção e planejar uma gestão de crise, se ainda estamos na fase da
negação?
Essa postura se reflete na baixa maturidade de segurança do ambiente virtual
das empresas brasileiras e no baixo investimento das mesmas em ferramen-
tal de segurança. Isso fica muito mais claro durante a análise promovida que
faremos no relatório de maturidade brasileira, que veremos mais à frente.
WHEN EVERYTHING IS A COMPUTER,
COMPUTER SECURITY IS
EVERYTHING SECURITY
BRUCE SCHNEIER / SPECIAL ADVISOR IBM SECURITY

9. 1716
AÇÃO
GOVERNAMENTAL
& CIBERSEGURANÇA
O crescimento dos ataques patrocinados por governos também foi muito dis-
cutido na conferência. Os recentes ataques na Europa e nos EUA, instigados
por hackers russos, são um catalisador para essa linha de pensamento. Em-
presas como a Sony sentiram o peso de terem informações sensíveis e da-
dos sigilosos vazados. Até a corrida presidencial americana disputada entre
Hillary Clinton e Donald Trump foi influenciada por incidentes de segurança.
Outro ponto interessante foi levantado na palestra de Zulfikar Ramzan, CTO
da RSA. Ele revelou sua visão sobre ripple effect (ou efeito cascata) no ce-
nário de cibersegurança. Para ele, um episódio como o vazamento de dados
do partido democrata (durante a corrida presidencial americana em 2016) foi
um gatilho que desencadeou fenômenos em todos os aspectos da sociedade,
chegando, inclusive, a afetar a geopolítica mundial.
Já na talk de Brad Smith, presidente da Microsoft, os governos foram coloca-
dos como um dos protagonistas no cenário de cibersegurança mundial, atu-
almente. Segundo ele, esse seria um dos principais atacantes e patrocinado-
res de ataques, não só contra outros governos, mas também contra empresas
e indivíduos.
O caso da Sony foi citado como exemplo, no qual a questão principal não
era uma grande causa geopolítica, mas sim a imagem do ditador norte-co-
reano, Kim Jong-un. Hackers afirmaram ter roubado um enorme volume de
dados sensíveis da empresa, possivelmente tão grande quanto 100 terabytes.
Em meio ao vazamento, e-mails e contratos secretos foram expostos para o
mundo inteiro na tentativa de impedir a veiculação do filme “A Entrevista”.
Em outro momento, Smith clamou por uma convenção de Genebra voltada
para cibersegurança, que definiria valores universais de regulação para a in-
dústria. Para ele, a indústria carece de um órgão mundial de credibilidade,
formado por mercado e governo, que consiga intermediar esses problemas
relacionados à segurança da informação no mundo moderno.
Para ele, independentemente das políticas de uma nação ou questões indivi-
duais, precisamos persuadir todos os governos da necessidade de uma infra-
estrutura de TI nacional e global em que se possa confiar. E a única maneira
de se conquistar essa confiança é com o foco em proteger à todos, em todos
os lugares, e não financiando atividades criminosas e iniciativas de vigilância
em massa.
É verdade que trabalhamos em uma indústria muito competitiva e em rápida
mudança, mas, apesar disso, Brad Smith disse que nossa indústria nunca
esteve mais unida. Isso se mostra verdade em vários momentos e um deles é
no episódio recente do WannaCry.
ENTENDA O CONTEXTO POR TRÁS DO
WANNACRY E PORQUE ELE É POP
A maioria das análises feitas sobre o episódio e o contexto do WannaCry até
então fizeram uma leitura bem superficial, se limitando apenas aos números
relacionados ao incidente e sua análise técnica.
Esses números assustam e o impacto do episódio ao redor do mundo im-
pressionou. Principalmente quando empresas imponentes como a espanhola
Telefónica, que comanda a Vivo no Brasil, Fedex, entre outras gigantes, foram
atingidas em grande escala.
Porém, é necessário entender em que contexto um dos maiores ataques de

10. 1918
ransomware da história ocorreu, para compreender seus desdobramentos e,
quem sabe, conseguir imaginar o que pode acontecer daqui pra frente.
A maioria dos especialistas em cibersegurança que circularam em progra-
mas de TV e nas grandes mídias explicaram muito eficientemente os aspec-
tos técnicos do ataque, conseguindo minimizar a dimensão política do evento
e o resumindo a uma história envolvendo “desenvolvedores de software in-
competentes, hackers malignos e pesquisadores heroicos”.
Mas quais episódios possibilitaram a disseminação do WannaCry, na sexta,
12 de maio? Qual é o real contexto do WannaCry?
Para compreendermos melhor o incidente é necessário voltar no tempo e co-
nhecer personagens, contextos e analisar acontecimentos. Mas não se enga-
ne, nem tudo é tão obscuro e misterioso quanto parece.
Se há algo que tiramos de lição com o episódio WannaCry é que segurança
da informação não deve se restringir a um grupo de técnicos enclausurados
nos departamentos de TI.
A REPERCUSÃO
DO ATAQUE
O episódio WannaCry foi um ataque divulgado amplamente pelos maiores
portais do mundo. O Jornal Nacional, por exemplo, chegou a chamar Marcus
Hutchins (conhecido pelo seu blog @malwaretechblog) de herói, afinal, ele te-
ria contido um ataque sem precedentes e, por seu ato heroico, o mundo teria
“voltado a respirar”.
O incidente foi noticiado de forma inflada e romantizada, deixando muitas
dúvidas e impressões equivocadas.
O próprio Marcus disse que sua intenção inicial não era achar o killswitch. Na
verdade, ele apenas notou um comportamento estranho do malware durante
uma análise que fazia para o seu blog. Mesmo assim, segundo ele, ainda de-
morou um tempo para entender o que estava acontecendo.
O que ele inicialmente pensou ser um killswitch (alguma coisa que pudesse
parar o ataque, caso aquilo saísse de proporção) na verdade era a reprodução
grosseira de uma técnica para burlar sandbox. Se tratava de um código ama-
dor em que a técnica foi mal utilizada, possibilitando um killswitch acidental.
Com isso, Marcus recebeu ajuda de pesquisadores do mundo todo, colabo-
rando para identificar o comportamento e as técnicas utilizadas pelo malware.
Ao ser perguntado sobre quais recomendações daria para a prevenção de
ataques futuros, limitou- se a dar duas respostas.
A primeira foi: “Mantenha seus sistemas atualizados”, e a segunda, que fez
com que Marcus realmente se tornasse um herói para os profissionais do
segmento, foi: “Dê um aumento aos times de TI”.
Não vimos uma contextualização muito
grande sobre o ataque, não sabemos ainda
qual foi sua importância histórica e o que
isso vai mudar nas nossas rotinas. E o mais
grave: a mídia cometeu sérios erros na divul-
gação do que realmente aconteceu.
Você deve ter visto a reportagem do Jornal
Nacional sobre o incidente. Eles noticiaram
que o valor de resgate pedido pelo WannaCry
era de 300 bitcoins - o que seria equivalente
a 1,6 milhões de reais por máquina na cotação da época. Também chegaram
a afirmar que o valor faturado pelos hackers era de quase 1 bilhão de dólares.
A verdade é bem menor. O valor do resgate inicial era de 300 dólares por
máquina e o valor arrecadado não passou de 150 mil dólares, um pouquinho
abaixo do valor divulgado. Vê a desinformação que ronda a história?
Pois é, essa foi apenas uma das muitas evidências que tivemos da falta de
consciência da sociedade em como lidar com esses novos riscos ciberné-
ticos. Além da falta de familiaridade com o tema, a velocidade com que o
malware conseguiu se espalhar, explorando uma vulnerabilidade já conhe-
cida, demonstrou a fragilidade da nossa indústria para lidar com os novos
riscos cibernéticos.

11. 2120
A desinformação promovida pelos principais veículos de mídia foi crucial para
fomentar o desespero que tomou conta de grande parte da população.
POR QUE O
WANNACRY É
POP?
O WannaCry foi o primeiro cryptoworm de sucesso da história. Um worm é um
malware auto replicável e geralmente imperceptível para o usuário. É comum
que ele seja percebido apenas quando a replicação descontrolada consome
recursos do sistema, abrandando ou interrompendo outras tarefas.
Nós temos então o ransomware, que já vem causando uma enorme dor de
cabeça com a capacidade de criptografar os dados do sistema, combinado
com um worm, que permite um alcance e propagação muito maiores.
Outro fator agravante foi que o ataque explorou uma base enorme de dispo-
sitivos. A vulnerabilidade era de um sistema amplamente utilizado no mundo
inteiro - o Windows.
Além de um enorme lucro devido à paralisação das operações, o prejuízo cau-
sado pelo cibercrime só aumenta com ataques dessa proporção - não so-
mente o custo direto, pois o pagamento do resgate foi o menor dos custos.
No Brasil, o Tribunal de Justiça de São Paulo, o Tribunal Regional do Trabalho
de São Paulo e o Ministério Público do Estado de São Paulo tiveram que des-
ligar seus servers como medida de contenção, o que causou indisponibilidade
de seus sites e sistemas.
O prejuízo para a sociedade de ter um serviço público do poder judiciário sen-
do desligado é enorme.
O QUE PERMITIU
O ATAQUE?
Outra pergunta que os meios de comunicação não se propuseram a respon-
der é: o que permitiu esse episódio?
Para entendermos melhor o episódio WannaCry, temos que voltar algumas
semanas e conhecer como ele nasceu e atingiu magnitude global.
2016
Em agosto de 2016, o grupo hacker Shadow Brokers fez sua primeira aparição
pública com um leak de ferramentas e vulnerabilidades que já eram utilizadas
em 2010.
Até aquele momento, muitos
especialistas achavam que a
informação era falsa. Porém,
com a primeira análise de có-
digo do vazamento foi possível
identificar que as informações
e documentos pertenciam ao
Equation Group – grupo ha-
cker ligado diretamente a NSA.
O grupo Shadow Brokers propõe, então, um leilão virtual, chamado de “Sha-
dow Brokers Equation Group Auction”, de documentos e ferramentas a fim
de arrecadar 1 milhão de bitcoins – cerca de US$580 milhões na cotação da
época.
Alguns especialistas acreditavam que o grupo não tinha intenção de vender
realmente os dados, apenas causar um constrangimento aos EUA e ao siste-
ma de inteligência americano.
SHADOW
BROKERS
E Q U A T I O N
GROUPAUCTION

12. 2322
Enquanto isso, Hillary Clinton e Donald Trump se enfrentavam em debates e
acusações públicas na grande mídia. Após o vazamento dos e-mails do Par-
tido Democrata pelo WikiLeaks e apenas 9 dias antes das eleições america-
nas, Shadow Brokers faz um novo leak. Dessa vez com servidores “ownados”
pelo Equation Group e sete novas ferramentas do grupo, que já eram utiliza-
das pelo menos desde 2013.
O grupo ainda faz comentários sobre a eleição americana, incentivando as
pessoas a votarem, e falando da importância de não colocar as elites finan-
ceiras no poder.
Se intensificaram comentários e suspeitas sobre interferência russa sobre as
eleições americanas, principalmente pelo Partido Democrata. Pouco depois,
Trump é eleito o 45° presidente dos EUA.
Em seguida, a CIA e a NSA apontam indícios de tentativas do governo russo
de influenciar o resultado das eleições americanas. Por conta desses acon-
tecimentos, Obama abre investigação e coloca em prática sanções contra a
Rússia, como deportação de 35 agentes suspeitos que fazem parte do siste-
ma de inteligência russo e restrições aos dois principais serviços de inteli-
gência russo.
2017Fazendo uma análise minuciosa dos eventos podemos notar alguns gaps de
tempo significativos, que levantam mais dúvidas do que esclarecimentos.
Em janeiro, o grupo Shadow Brokers lançou alguns prints do portfólio de
exploits e toolkits que possuíam. Não divulgaram nenhum executável, so-
mente screenshots.
Pouco depois, o grupo hacker anunciou que iria encerrar as atividades devido
aos altos riscos e baixo retorno, mas continuaram aceitando doações em sua
carteira de bitcoin.
O grupo fez um leak de 61 arquivos, ao invés de 58 como haviam listado. Al-
guns com assinaturas conhecidas por somente 12 dos 58 produtos disponí-
veis no Virus Total.
A Kaspersky foi a empresa que mais identificou assinaturas, 43 das 61, tendo
em vista que acompanha de perto o Equation Group desde 2015.
Em março, o Microsoft Security Bulletin reportou soluções para os exploits de
Windows que foram vazados pelo Shadow Brokers. Exploits como ETERNAL
BLUE e DOUBLE PULSAR EXPLOIT, utilizados na campanha do WannaCry, já
haviam sido identificados e solucionados.
Em resposta aos ataques quí-
micos de Bashar Al-Assad, que
mataram mais de 80 pessoas,
Trump autorizou o lançamen-
to de 59 mísseis Tomahawk
contra uma base aérea na Sí-
ria.
Após o ataque americano
à base aérea síria, Shadow
Brokers reaparece com a mensagem “Don’t Forget Your Base”, reprovando a
ação americana, reforçando uma mensagem anti-globalista e cobrando pro-
messas de campanha de Trump, “Make America Great Again”.
O grupo admite um alinhamento ideológico momentâneo com a Rússia, o que
confirma os indícios das investigações da CIA em dezembro de 2016. En-
quanto isso, a Rússia oficialmente reprova o bombardeio americano na Síria e
fala de “consequências sérias a operações ilegítimas”. Dias depois, Trump au-
toriza o lançamento da Mother Of All Bombs (MOAB GBU-43) no Afeganistão.
Através da conta do grupo no Twitter (@shadowbrokerss), o grupo liberou
senhas para sete toolkits e exploits já divulgados anteriormente, abrindo a
caixa de pandora e dando acesso ao ETERNALBLUE e DOUBLE PULSAR, que
exploravam as mesmas vulnerabilidades corrigidas pela Microsoft em março.
E é aí que o WannaCry explode como o primeiro ataque de ransomworm da
história.
DON’T
FORGET
YOUR
BASE

13. 2524
O episódio WannaCry está longe de ser um evento iso-
lado. Agora, mais do que nunca, assistimos à ação es-
tratégica e articulada de governos em conjunto com
grupos de hackers, cujos esforços não miram só o ga-
nho financeiro, mas também desdobramentos políti-
cos.
O Equation Group é um grupo hacker vinculado à NSA
e ao governo americano. Um dos grupos mais sofis-
ticados conhecidos, a característica principal dele é a
utilização de criptografia forte. A ele é atribuída a cria-
ção do STUXNET e o FLAME.
O que temos hoje são governos fomentando o ciber-
crime para ofuscar operações com interesses políti-
co-militares. Nesse cenário, é possível acreditar em
heróis?
Os recentes episódios, em um mundo pós-Snowden, favorecem a imaginação
sobre a capacidade desses órgãos de violarem a disponibilidade, integridade
e confidencialidade de dados, dispositivos, redes e sistemas.
Já sobre o episódio WannaCry, podemos dizer que o maior ataque de
ransomware da história diz mais sobre jogos de poder entre agências go-
vernamentais e empresas que se recusam a prestar a atenção adequada à
segurança da informação do que sobre um ataque unicamente motivado pelo
ganho financeiro.
Estamos em uma guerra onde nenhuma arma de fogo é necessária para cau-
sar danos e prejuízos enormes.
Definitivamente não estamos falando de um jogo justo.
CONCLUSÃO

14. 2726
L E V E L 3
SECURITY INDEX.OBJETIVO |
DA PESQUISA
A IDC (International Data Corporation), em parceria com a Level 3, criou um
índice de maturidade de segurança a fim de mensurar a relação da Seguran-
ça da Informação nas infraestruturas corporativas de TI no Brasil através de
quatro dimensões (Conscientização, Ferramental, Prevenção e Mitigação).
AMOSTRA |
A amostra do relatório foi direcionada para empresas acima de 250 funcio-
nários, sem restrição de faturamento ou vertical de atuação, possibilitando
cobrir diferentes cenários do mercado corporativo brasileiro.
A maioria da mostra (54.9%) consiste em empresas grandes com mais de
1000 funcionários. 23.5% médias empresas (500 a 999 funcionários) e 21.6%
pequenas (250 a 499 funcionários). Em relação ao faturamento bruto, 40.2%
dos entrevistados preferiram não declarar. Contudo, dos 59.8% que divulga-
ram a informação, 15.7% declararam faturar entre R$ 101 milhões a R$ 300
milhões e 14.7% de R$ 1.1 bilhão a R$ 5 bilhões.
| QUANTIDADE DE FUNCIONÁRIOS | FATURAMENTO BRUTO
54.9%
23.5% 21.6%
15.7% 14.7%
8.8% 5.9% 5.9%
1%
101 MI ~ 300 MI
1.1 BI ~ 3 BI
51 MI ~ 100MI
501 MI ~ 1 BI
ATÉ 50 MI
+5 BI

15. 2928
| CONTEXTO
DOS ENTREVISTADOS
Os desafios recorrentes de 2015 e as incertezas de 2016 sustentaram a ma-
nutenção ou retração dos orçamentos de um modo geral, que em TI se refletiu
no comprometimento de projetos transformacionais relacionados à Seguran-
ça da Informação. As iniciativas que estavam em andamento foram manti-
das, mas novos investimentos ficaram escassos, muitos sendo postergados.
No comparativo 2016-2015, o orçamento de Segurança da Informação au-
mentou para 18.6%, continuou o mesmo para 50.1% e diminuiu para 30.4%
dos entrevistados. De certa forma, Segurança da Informação acaba acompa-
nhando o movimento orçamentário de TI – como veremos mais a frente, mo-
vimento bastante comum no mercado brasileiro –, que aumentou para 18.6%,
permaneceu o mesmo para 41.2% e reduziu para 40.2% dos entrevistados.
Contudo, 2017 começou com otimismo no que diz respeito a estabilidade po-
lítica e econômica. Isso se refletiu na projeção de orçamentos do ano e marca
retomada a projetos que haviam sido suspensos. Porém, as incertezas polí-
ticas e econômicas dominaram os noticiários nos primeiros seis meses de
2017.
As expectativas para o orçamento de SI para 2017, em comparação a 2016,
são projetadas com aumento para 37.3% da amostra, manutenção para 52.9%
e redução para 9.8%. Enquanto para TI, no comparativo 2017-2016, aumenta
para 41.2% dos respondentes, permaneçe o mesmo para 39.2% e diminui para
18.6%, representando um percentual médio de 3.5% do faturamento bruto das
empresas entrevistadas.
Mesmo que o relatório aponte certo otimis-
mo em relação ao orçamento de SI em 2017,
é preciso ter em mente que o mercado, tan-
to no contexto brasileiro quanto global, de
segurança da informação ainda é bem inci-
piente quando comparado com o custo do
cibercrime. A previsão da Forrester Research
estima que em 2017 os investimentos em ci-
bersegurança chegarão na casa dos 120 bi-
lhões de dólares, e com uma projeção de crescimento para 170 bilhões de
dólares até 2020.
| ORÇAMENTO DE TI EM 2016
COMPARADO AO DE 2015
| ORÇAMENTO DE SEGURAN-
ÇA DA INFORMAÇÃO EM 2016
COMPARADO AO DE 2015
18.6%18.6%
50.1%41.2%
30.4%40.2%
AUMENTOUAUMENTOU
MANTEVEMANTEVE
DIMINUIU
DIMINUIU
| ORÇAMENTO DE TI EM 2017
COMPARADO AO DE 2016
| ORÇAMENTO DE SEGURAN-
ÇA DA INFORMAÇÃO EM 2017
COMPARADO AO DE 2016
37.3%41.2%
2015
FORRESTER RESEARCH
2017 2020
52.9%39.2%
9.8%18.6%
AUMENTOU
AUMENTOU
MANTEVEMANTEVE
DIMINUIUDIMINUIU
3.5%PERCENTUAL MÉDIO
DO ORÇAMENTO DE TI EM
RELAÇÃO AO FATURAMEN-
TO BRUTO DAS EMPRESAS
ENTREVISTADAS
PROJEÇÃO DE CRESCIMENTO
CIBERCRIME US$ 70BI
US$ 120BI
US$ 170BI

16. 3130
METODOLOGIA
|
O índice toma como base uma
pesquisa com 100 empresas com
mais de 250 funcionários por
meio de entrevistas conduzidas pela IDC. As entrevistas buscaram explorar
o conhecimento e posicionamento do gestor de segurança dentro das quatro
dimensões do índice, que se somam à base de informações existentes da IDC
Brasil e Global para construir uma base qualitativa do projeto.
O resultado do índice é um balanço matemático, no qual cada dimensão pos-
sui um peso diferente.
CONSCIENTIZAÇÃO – x1%
Explora a noção da importância de Segurança da Informação para o
negócio e o conhecimento do gestor de SI sobre os impactos em caso
de crise.
FERRAMENTAL – x2%
Está relacionada à capacidade de detecção e mensuração das
ameaças ao sistema.
PREVENÇÃO – x3%
Consiste em explorar a maturidade nas atividades de
manutenção dos sistemas de segurança.
MITIGAÇÃO – x4%
Explora a validação de procedimentos adotados para redu-
ção dos riscos de SI existentes e as medidas para contenção
de ataques e recuperação.
ÍNDICE |
CONSCIENTIZAÇÃO
A primeira dimensão do Level 3 Security Index
coloca em pauta duas questões: primeiro, diz
respeito à consolidação de uma área de segu-
rança da informação efetiva e independente. Por
mais que algumas áreas de SI tenham avançado
a dependência para uma parceria com TI, ainda
há muitos desafios, principalmente no que se re-
fere a profissionais dedicados à Segurança da
Informação.
O segundo tema importante deste tópico está na dificuldade de visibilidade
dos impactos decorrentes de incidentes relacionados à SI. Essa dificuldade
está diretamente relacionada com a limitação de recursos financeiros e hu-
manos, que em muitas das vezes se torna um obstáculo para a área de SI ter
o devido controle do ambiente e mapear os riscos emergentes.
A ESTRUTURA DA ÁREA DE SI
O estudo feito para a elaboração da dimensão Conscientização identifica que
ainda há grande dependência da área de SI com TI. 51% dos entrevistados
afirmam que a empresa na qual trabalham possui uma área de SI independen-
te, seja com equipe própria ou terceirizada. Em contrapartida, 81.4% indicou
que o orçamento de SI está atrelado ao de TI, o que ainda marca uma forte
dependência de recursos financeiros. O que pode ser um grande problema
em algumas organizações com conflitos de interesse entre TI e SI, principal-
mente em organizações nas quais SI é um valor maior para o negócio do que
a simples gestão de serviços de TI.
Ainda em relação à estrutura da área de SI, outro ponto que traz preocupação
é a quantidade de profissionais dedicados à Segurança da Informação. As
empresas que tem uma área de SI dispõem em média de 2 pessoas dedicadas
ao assunto. É um número ainda tímido frente aos desafios e complexidade da

17. 3332
SI, o custo do cibercrime, os recentes casos que ganharam notoriedade na
mídia e a crescente preocupação do consumidor.
CONSCIÊNCIA SOBRE
MÉTRICAS DE SEGURANÇA
Esse tópico expõe uma certa deficiência que
muitas organizações possuem em relação ao
acompanhamento de controles e procedimentos
apropriados para a área de SI. 35.3% dos entrevistados não identificam cla-
ramente os incidentes relacionados à Segurança da Informação e 30.4% pos-
suem visibilidade limitada dos incidentes de SI.
Além disso, 25% não conseguem medir os impactos que poderiam ter causado
esses incidentes e 32.3% conseguem mensurar superficialmente os impactos.
| SOBRE A ÁREA DE SEGURANÇA DA INFORMAÇÃO DA EMPRESA
É UMA ÁREA INDEPENDENTE, COM
EQUIPE PRÓPRIA E GESTOR DEDICADO
É UMA ÁREA INDEPENDENTE, COM EQUIPE
PRÓPRIA E GESTOR NÃO DEDICADO
É UMA ÁREA INDEPENDENTE, COM EQUIPE
TERCEIRAZADA QUE REPORTA A UM
GESTOR DEDICADO
A ÁREA É PARTE DE UMA ESTRUTURA
EXISTENTE (COMO TI) E REPORTA PARA
UM GESTOR DEDICADO
A ÁREA É PARTE DE UMA ESTRUTURA
EXISTENTE (COMO TI) E REPORTA PARA
UM GESTOR NÃO DEDICADO
NÃO HÁ UMA ÁREA ESPECÍFICA PARA
SEGURANÇA DA INFORMAÇÃO
32.4%
12.7%
5.9%
17.6%
19.6%
11.8%
| MENSURAÇÃO DE IMPACTOS QUE SERIAM CAUSADOS PELA
EVENTUAL INDISPONIBILIDADE DE RECURSOS/SISTEMAS
DETALHAMENTO PARA A MAIORIA DOS
RECURSOS OU SISTEMAS
DETALHAMENTO PARA DETERMINADOS
RECURSOS OU SISTEMAS
SUPERFICIALMENTE PARA A MAIORIA DOS
RECURSOS OU SISTEMAS
SUPERFICIALMENTE PARA DETERMINADOS
RECURSOS OU SISTEMAS
A EMPRESA NÃO CONSEGUE MENSURAR
ESSES IMPACTOS
31.4%
10.8%
19.6%
25.5%
12.7%
| CONSCIÊNCIA DA QUANTIDADE DE INCIDENTES DE
SEGURANÇA SOFRIDOS/MITIGADOS NO ÚLTIMO ANO
35.3% 34.3%
14.7% 15.7%
SIM, A EMPRESA
TEM TOTAL
VISIBILIDADE DOS
INCIDENTES
SIM, MAS APENAS DAQUELES
QUE CHEGARAM A CAUSAR AL-
GUM NÍVEL DE IMPACTO
SIM, MAS APENAS
DE RECURSOS/
SISTEMAS MAIS
CRÍTICOS
NÃO

18. 3534
ENGAJAMENTO &
COMUNICAÇÃO
A pesquisa conduzida pela IDC mostra que
as empresas entrevistadas reconhecem a
importância do engajamento de seus fun-
cionários para as responsabilidades com
Segurança da Informação.
A comunicação nesse quesito entra como
“agente difusor” do tema e pode ser vista
nos resultados: 85% da amostra afirma ter
iniciativas para melhorar o engajamento
de seus colaboradores na prática.
A ferramenta mais usada (66.7%) parte de campanhas internas de conscienti-
zação. Contudo, o relatório traz ressalvas: a qualidade e frequência desse tipo
de comunicação pode variar de empresa para empresa, ponto que o estudo
não entrou em muitos detalhes, mas é uma área de conhecimento com pouca
especialização e dificilmente se seguem as melhores práticas.
BUSINESS-DRIVEN SECURITY
Quando o assunto é implementação de um novo projeto de TI, os
entrevistados demonstram bastante preocupação com tópicos vol-
tados à Segurança da Informação nos novos projetos. Entretanto, o
item que apresentou o maior destaque nas respostas foi a “Execução
do projeto dentro do orçamento estabelecido”, posicionando as or-
ganizações abertas à novas iniciativas que podem até demorar mais
tempo para ser implementadas, o importante é que se sigam as pre-
visões de gastos e sejam executadas de forma segura (71.6%).
Essa perspectiva se torna ainda mais radical quando se trata de projetos exe-
cutados por terceiros. A demanda na rapidez da implementação com seguran-
ça se acentua, o que reforça a premissa de Business-Driven Security, aborda-
da na RSA Conference de 2017 e citada no início desse relatório, que coloca
segurança como um componente essencial e intrínseco de um serviço.
| GRAU DE IMPORTÂNCIA PENSANDO NA
IMPLEMENTAÇÃO DE UM NOVO PROJETO DE TI
1 - POUCA IMPORTÂNCIA 5 - MUITA IMPORTÂNCIA2 3 4
EXECUÇÃO DO PROJETO DENTRO DO OR-
ÇAMENTO ESTABELECIDO
CAMPANHAS INTERNAS DE
CONSCIENTIZAÇÃO
IMPLEMENTAÇÃO SEGURA DO PROJETO, À
FRENTE DE OUTROS TEMAS
PALESTRAS COM ESPECIALISTAS
E CONSULTORES
RÁPIDA IMPLEMENTAÇÃO DO PROJETO, À
FRENTE DE OUTROS TEMAS
TREINAMENTOS ONLINE/PRE-
SENCIAIS MANDATÓRIOS
PARTICIPAÇÃO DA ÁREA DE SEGURANÇA DA
INFORMAÇÃO NA EXECUÇÃO DO PROJETO
TREINAMENTOS ONLINE/PRE-
SENCIAIS OPCIONAIS
PARTICIPAÇÃO DA ÁREA DE SEGURANÇA DA
INFORMAÇÃO NA ESCOLHA DAS SOLUÇÕES
OUTROS
60.8%
39.2%
31.4%
45.1%
58.8%
22.5%
32.4%
30.4%
28.4%
24.5%
10.8%
20.6%
30.4%
18.6%
9.8%
5.9%
5.9%
15.7%EMPRESAS QUE NÃO TÊM
INICIATIVAS VIGENTES PARA
ACENTUAR O ENGAJAMENTO
NAS PRÁTICAS DE SEGU-
RANÇA DA INFORMAÇÃO
| INICIATIVAS COLOCADAS EM PRÁTICA PARA OBTER MAIOR
ENGAJAMENTO DOS COLABORADORES NAS PRÁTICAS DE SI
66.7%
28.4%
21.6%
18.6%
2.0%

19. 3736
ÍNDICE |
FERRAMENTAL
Dentro das quatro dimensões avaliadas que compõem o Level 3 Security In-
dex, o aspecto Ferramental teve a nota mais baixa do índice. Alguns dos fa-
tores responsáveis por isso são: disponibilidade de mão de obra capacitada
para operar ferramentas, a baixa penetração do ferramental técnico que as-
segura SI em ambientes computacionais e capacidade de investimento das
organizações.
Esses problemas são mais recorrentes e intensos nas empresas pequenas
(250-499 funcionários) que não dispõem de recursos para investimento e op-
tam por acelerar outros aspectos de proteção.
O BÁSICO NEM SEMPRE É O NECESSÁRIO
A pesquisa avaliou que as ferramentas consideradas mais “básicas” são
aquelas com a maior adoção na amostra. De fato, reflete a percepção da in-
dústria na qual o gerente de SI ainda tem o conjunto “Antivírus + Firewall +
Criptografia”, sendo este o suficiente para garantir a segurança de sua em-
presa.
Outra dicotomia levantada pela pesquisa se refere a relação orçamento de
SI e as intenções de investimento em ferramental. O orçamento em alta e
os investimentos em ferramental em baixa corroboram com um estado de
inércia, de “mais do mesmo”, ao invés de investir em ferramentas que propi-
ciem maior controle, automação de recursos e visibilidade. O foco do gestor
volta em manter o seu parque – com atualizações pequenas e pontuais – o
que é uma prática comum em um período de instabilidade econômica.
DEFINIÇÃO DE CONTROLES
As respostas obtidas pelo Level 3 Security Index apontam para uma preocu-
pação das organizações entrevistadas em ter aspectos formais de controle.
Isto é, são iniciativas que demandam menor investimento de capital e maior
definição de processos e procedimentos.
Em um cenário de mercado adverso e competitivo, esse é um comportamen-
to viável e pertinente que também contribui para a preparação de um cenário
corporativo mais aberto a ações de prevenção e mitigação.
| SOLUÇÕES DE SEGURANÇA IMPLEMENTADAS
| ITENS DE SEGURANÇA DA INFORMAÇÃO IMPLEMENTADOS
100%
60%
20%
80%
40%
0%
FIREWALL SIEM DLPCRIPTOGRAFIAENDPOINT
SECURITY
ANTI- DDoS
20% 40% 60% 80% 100%0%
GERENCIAMENTO DE
RISCOS
PLANO DE CONTINUI-
DADE DE NEGÓCIOS
GOVERNANÇA DA
SEGURANÇA DA
INFORMAÇÃO
SEGURANÇA EM DISPO-
SITIVOS MÓVEIS
SEGURANÇA PARA
AMBIENTES WIRELESS
CONSULTORIAS RELA-
CIONADAS A PROCES-
SOS DE SEGURANÇA
GERENCIAMENTO DE
AMEAÇAS E VULNERA-
BILIDADES
LEGENDA POSSUI IMPLEMENTADO PRETENDE INVESTIR EM 6~12 MESES
POSSUI IMPLEMENTADO PRETENDE INVESTIR EM 6~12 MESES

20. 3938
CAPACITAÇÃO
PROFISSIONAL
A falta de profissionais, citada na dimensão de Conscientização, se soma à
baixa disponibilidade de mão de obra qualificada. Na amostra dos entrevista-
dos, 61.7% indicaram que suas equipes estão aquém do desejado em termos
de capacidade para operar os ferramentais disponíveis e o número de pesso-
as, ou que apenas alguns funcionários têm o conhecimento necessário.
MSSP
COMO UMA SOLUÇÃO
IMPORTANTE
Nesse cenário escasso de qualifica-
ção profissional e de baixa adoção
ferramental por parte das organi-
zações, os serviços gerenciados se
apresentam como uma opção rele-
vante para os negócios. 57% das organizações entrevistadas já contrataram
um MSSP com ticket médio de 20 mil reais por mês.
41,2% dos entrevistados também reconhecem a capacidade de soluções de
segurança no modelo Open Source, considerando-as como investimento ini-
cial mais intenso para viabilizar aspectos de segurança.
O mesmo vale para soluções de segurança em Cloud, sendo contratadas
como serviço em um modelo de pagamento de uso. 35.3% abrem mão de uma
solução de segurança em Cloud, enquanto 22.5% consideram adotar.
O Level 3 Security Index ainda sustenta uma relação entre falta de profis-
sionais qualificados e a inércia na adoção de novas ferramentas. Análise da
pesquisa levanta a hipótese de que os investimentos ferramentais estejam
sendo postergados por conta da ausência de profissionais capacitados para
configurar, operar e interpretar indicadores.
33.3%
38.2%
28.4%
A MAIORIA DOS PROFISSIONAIS ESTÁ PLENAMENTE
CAPACITADA
APENAS ALGUNS PROFISSIONAIS ESTÃO PLENA-
MENTE CAPACITADOS
A CAPACITAÇÃO ESTÁ ABAIXO DO QUE EU GOSTARIA
| UTILIZAÇÃO DE SOLUÇÃO DE
SEGURANÇA OPEN SOURCE
| UTILIZAÇÃO DE SOLUÇÃO DE
SEGURANÇA EM CLOUD
18.6%45.1%
50.1%13.7%
30.4%41.2%
SIM NÃO, MAS CONSIDERA UTILIZAR NÃO

21. 4140
Por mais que a documentação esteja em dia, ge-
rar indicadores de SI ainda é uma tarefa distante
para as empresas entrevistadas pelo relatório.
Enquanto a maioria (58%) abre mão de controles
formalizados e documentados, apenas cerca de
42% das organizações que compõem a amostra
afirmam ter métricas sobre as suas políticas de
SI.
CLOUD &
BYOD
Outros dois temas que ainda carecem de documentação são Cloud e BYOD.
Dentro do Grau de alinhamento relativo às informações sobre políticas e con-
troles de SI: 40.2% ainda não possuem uma política clara em relação a quando
é permitido a contratação direta da área de negócios de soluções de Cloud.
36.3% não dispõem de uma política em relação ao BYOD.
DentrodasquatrodimensõesavaliadapeloLevel
3 Security Index, Prevenção se destaca como a
segunda mais desenvolvida entre a amostra.
Isso se dá pelo fato das empresas entrevistadas estabelecerem práticas e
processos de segurança com documentação e reavaliação periodicamente.
No entanto, considerando o comportamento das outras dimensões que com-
põem o relatório, podemos dizer que esta avaliação não é inteiramente posi-
tiva. Isso se deve ao fato de que, com frequência razoável, as organizações
escolhem compensar sua deficiência em outras dimensões com um investi-
mento mais forte na Prevenção, o que corrobora com uma falsa sensação de
maturidade em relação ao índice no geral.
DOCUMENTAÇÃO EM PRÁTICA
Políticas, padrões e procedimentos docu-
mentados são imprescindíveis para que o
conhecimento e as práticas de Segurança da Informação sejam escaláveis e
replicáveis para dentro da companhia de forma uniforme e consistente, inde-
pendente da ocasião.
Nesse contexto, 71.5% das empresas entrevistadas afirmam revisar as políti-
cas e padrões de SI ao menos uma vez ao ano.
| ÍNDICE
PREVENÇÃO
28.4%
33.3%
38.2%
| SIM, REVISADO /
ATUALIZADO A CADA 6 MESES
| SIM, MAS NÃO HÁ
PERIODICIDADE
| SIM, REVISADO
/ ATUALIZADO A
CADA 12 MESES
65.7%EMPRESAS QUE TÊM UM
PROCESSO E UM RESPON-
SÁVEL PELA DOCUMEN-
TAÇÃO DAS ALTERAÇÕES
DOS PARÂMETROS DE
SEGURANÇA
| GRAU DE ALINHAMENTO RELATIVO ÀS AFIRMAÇÕES
SOBRE POLÍTICAS E CONTROLES DE SI
1 - NÃO CORRESPONDE COM
A MINHA REALIDADE
5 - TOTALMENTE ALINHADO
À REALIDADE DA MINHA
EMPRESA
2 3 4
HÁ UMA POLÍTICA EM RELAÇÃO A QUANDO É
PERMITIDA A CONTRATAÇÃO DIRETA DA ÁREA
DE NEGÓCIOS DE SOLUÇÕES DE CLOUD
HÁ UMA POLÍTICA EM RELAÇÃO AO BYOD PE-
LOS PRÓPRIOS FUNCIONÁRIOS DA EMPRESA
26.5%
16.7%16.7%
6.9%
33.3% 32.4%
24.5%
19.6% 19.6%
3.9%

22. 4342
AVALIAÇÃO
& TESTES DOS CONTROLES
Entre as organizações entrevistadas pela pesquisa, apenas 51% avaliam anu-
almente os riscos relacionados a SI, enquanto 42.2% não possuem periodici-
dade definida.
A questão se agrava ainda mais quando o foco se volta para testes de seguran-
ça, somente 34.3% dos entrevistados mantêm frequência de avaliação anual. O
Level 3 Security Index ressalta uma resistência especial nesse tópico por parte
dos executivos de TI e SI, que equivocadamente temem que resultados negati-
vos possam vir a ser interpretados com desabono ao seu trabalho.
22.6%
28.4%
42.2%
| NÃO HÁ PERIDIOCIDADE
DEFINIDA
| NÃO FAZEMOS AVALIAÇÃO DE
RISCOS
| A CADA 6 MESES
| A CADA 12 MESES
| FREQUÊNCIA DE AVALIAÇÃO DE RISCOS
DE SEGURANÇA DA INFORMAÇÃO
6.9%
UMA VEZ A CADA
6 MESES
UMA VEZ A CADA
12 MESES
FOI FEITO APENAS UMA
VEZ E NUNCA MAIS
NUNCA FOI FEITO
EVENTUALMENTE, QUANDO
HÁ ALGUMA MUDANÇA
SIGNIFICATIVA28.4% 25.5%
13.7% 11.8%
20.6%
| EXECUÇÃO DE TESTES DE
SEGURANÇA EM AMBIEN-
TES COMPUTACIONAIS
| ÍNDICE
MITIGAÇÃO
A dimensão Mitigação foi a dimensão que obteve a melhor avaliação no Level
3 Security Index, demonstrando que as empresas que compõem a amostra
acreditam estar preparadas para se recuperar de cenários adversos de ma-
neira organizada e documentada.
A avaliação dos entrevistados também indicou que as empresas de menor
porte são aquelas com maior desafio a esse respeito. Além da limitada ca-
pacidade de resposta, também é percebido que a comunicação e a estrutura
motriz são informais e não documentadas.
O relatório ainda traça uma relação entre a acentuação dos esforços, no que-
sito Mitigação, com o baixo investimento em Ferramental, na qual reforça o
mindset “é melhor prevenir do que remediar”.
OS NEGÓCIOS NÃO PODEM PARAR
As entrevistas relacionadas ao quesito Mitigação
evidenciam que as organizações que fazem parte
da amostra possuem esforços para assegurar que
os processos de negócios sejam preservados em
algum caso de desastre.
Esse aspecto é refletido nas respostas do Grau de
alinhamento relativo às afirmações sobre SI:
63.7% dos entrevistados operam com recursos de
contingência e redundância.
60.8% possuem um plano de continuidade que
garanta a disponibilidade da informação em caso
de crise.

23. 4544
| GRAU DE ALINHAMENTO RELATIVO ÀS AFIRMAÇÕES
SOBRE SEGURANÇA DA INFORMAÇÃO
| EXISTÊNCIA DE HIERARQUIA DEFINIDA SOBRE A
IMPORTÂNCIA DAS INFORMAÇÕES
TI OPERA COM RECURSOS DE
CONTIGÊNCIA / REDUNDÂNCIA
HÁ UM PLANO DE CONTINUI-
DADE VISANDO GARANTIR A
DISPONIBILIDADE DA INFOR-
MAÇÃO EM CASO DE CRISE
HÁ MONITORAMENTO DOS
INCIDENTES COM ACOMPA-
NHAMENTO DE MÉTRICAS
CONTROLES INTERNOS DE
DETECÇÃO E PREVENÇÃO A
FRAUDES SÃO PERIODICA-
MENTE VALIDADOS
11.8%
12.7%
12.7%
9.8%
13.8% 13.7%
16.7%
19.6%
18.6%
18.6%27.5%
25.5%
26.5%
38.2%
32.4%
34.3%
19.6%
19.6%
21.6%
1 - NÃO CORRESPONDE
COM A MINHA REALIDADE
5 - TOTALMENTE ALINHADO À
REALIDADE DA MINHA EMPRESA
2 3 4
Contudo, no que tangem ações para prevenção de fraudes, as organizações
ainda não estão tão maduras como nos demais temas abordados. O relatório
destaca importância para que as organizações comecem a estabelecer con-
dutas que possam correlacionar eventos e identificar padrões, podendo ser
essenciais para mitigação de um problema e o rápido estabelecimento das
operações.
HIERARQUIA SOBRE
A IMPORTÂNCIA DAS INFORMAÇÕES
Situações adversas e cenários de desastre podem trazer consigo incertezas
sobre o que deve ser prioritariamente comunicado e quem deve ser informado
sobre os possíveis impactos.
Partindo dessa premissa, o Level 3 Security Index buscou averiguar se as
empresas entrevistadas possuem algum tipo de classificação dos ativos de
informação e planos de comunicação, ambos com a funcionalidade de asse-
gurar que as ações de reparação sejam executadas de forma eficaz.
45.1% afirmam ter hierarquias definidas sobre a importância das informações.
60.8% contam com um plano de comunicação para informar as áreas da
empresa.
Estar preparados não significa somente ter hierarquias e processos definidos
para cenários adversos, engloba também garantir que o que foi estabeleci-
do esteja atualizado e validado. Apenas 53.9% revisam os procedimentos de
contingência pelo menos uma vez ao ano.
22.5%
32.4%46.1%
| SIM
| NÃO
| SIM, PARCIALMENTE
28.4%
24.5%
29.4%
| PERIODICAMENTE, UMA VEZ
A CADA 6 MESES
| EVENTUALMENTE, QUANDO HÁ
ALGUMA MUDANÇA OU EVENTO
SIGNIFICATIVO
| FEITO APENAS UMA VEZ E NUNCA MAIS
FOI REFEITO
| NUNCA FOI FEITO
| FREQUÊNCIA DE TESTE / REVISÃO DOS PROCEDIMENTOS DE CONTINGÊNCIA
9.8%
7.8%
| PERIODICAMENTE, UMA VEZ
A CADA 12 MESES

24. 4746
RESULTADOO Brasil alcançou 64.9 de 100 no Level 3 Se-
curity Index, mostrando maturidades diferen-
tes para cada dimensão do índice, sendo Miti-
gação (73.5/100) o maior destaque positivo e
Ferramental (46.1/100) o negativo. Conforme
já foi dito, compensar deficiências entre as
dimensões do índice só cria uma falsa sen-
sação de maturidade de segurança. A evolu-
ção da maturidade de segurança precisa ser
pensada de forma em que as quatro áreas se
desenvolvam juntas.
Essa pontuação de 64.9 encaixa o Brasil na média Latino-americana. O IDC
estima uma pontuação de 60-68 pontos para a região. Em comparação a pa-
íses em que o índice é considerado maduro (76-83), o Brasil ainda deixa bas-
tante a desejar.
Quando somamos os pontos destacados nesse relatório aos recentes inci-
dentes divulgados pela mídia, que afetaram algumas das maiores empresas
do país, temos um cenário preocupante.
Não medir e não divulgar são as razões de ainda termos alguma sensação de
segurança. No Brasil, as empresas não têm obrigação de divulgarem se forem
vítimas de algum incidente.
O que temos é um cenário de aparente efetividade, mas com uma baixa capa-
citação dos profissionais, monitoração de eventos incipientes e pobre men-
suração de SI.
64.9/ 100

25. 4948
MATURIDADE
NÍVEL DE
AÇÕES PARA AUMENTAR SEU
Diante desse cenário, em que a maturidade da Segurança da Informação nas
empresas brasileiras está abaixo do nível desejado, e com base na pontuação
obtida em cada dimensão do índice, alguns pontos se destacam como ações
para elevar o nível de maturidade.
Como uma empresa preocupada em desmistificar os conceitos de segurança
da informação, acreditamos que as recomendações que reunimos vão ajudar
a aumentar a segurança no ambiente das empresas, de forma que consigam
enfrentar esse novo cenário de ameaças avançadas.
CONSIDERE A CONTRATAÇÃO
DE SERVIÇOS TERCEIRIZADOS
& GERENCIADOS
O primeiro passo para aumentar o nível de maturidade de uma empresa é a
gestão da Segurança da Informação. Nesse sentido, uma equipe especializa-
da e dedicada para lidar com essas questões pode trazer muitos benefícios.
Como exemplo, podemos citar a melhoria no monitoramento de eventos e
gestão de incidentes, a adoção de boas práticas para gerenciamento de mé-
tricas de segurança e a manutenção de controles mais apurados.
Além disso, uma equipe terceirizada pode compensar lacunas de capacitação
do seu pessoal interno, que pode se beneficiar dessa experiência para melho-
rar seus próprios conhecimentos.
MANAGED SECURITY SERVICE PROVIDER
M S S P
O nome já pode nos ajudar a entender essa modalidade de oferta. Um MSSP
é um provedor de serviços gerenciados de segurança, ou seja, é um conjunto
de serviços e tecnologias de segurança que são distribuídas para uma base
de Clientes. Esses serviços podem ir desde simples monitoração do ambiente
e de ativos, até a análise de vulnerabilidades, realização de pentests, resposta
de incidentes, busca de falhas, definição de baseline de segurança e mitiga-
ção de ataques.
Um verdadeiro MSSP precisa ser um braço de segurança dentro do Cliente,

26. 5150
uma referência quando o assunto é segurança. Um braço de segurança efe-
tivo agrega mais valor ao serviço prestado e aos negócios dos seus Clientes.
Um MSSP referência em segurança trabalha com uma abordagem preventiva
e proativa. Um ponto que corrobora com essa mentalidade é a capacidade
do MSSP trabalhar com busca de ameaças e vulnerabilidades no ambiente
dos Clientes e testes de penetração (pentest), ao invés de apenas remediar
incidentes. Um bom exemplo vem da análise do ambiente do Cliente, o MSSP
pode criar melhores práticas para configuração e manutenção dos equipa-
mentos e das principais atividades dos usuários.
Assim, a abordagem de trabalho está sempre em evitar que ameaças possam
comprometer as operações e negócios dos Clientes, além de sugerir melho-
rias que possam ser feitas para a segurança do ambiente.
ASSESSMENT
DE SEGURANÇA
O Assessment de Segurança é uma avaliação
de riscos baseada em alguns frameworks,
como os 20 controles críticos de segurança
do SANS e controles específicos de verticais
de negócios.
Funciona com um “GPS” dentro desse cenário
de múltiplas ameaças e soluções, encontran-
do o real posicionamento da maturidade de
segurança da empresa e indicando os melho-
res caminhos para otimizar os investimentos
frente aos riscos de cada organização.
A questão não é investir mais e sim como investir melhor.
Empresas passaram anos investindo mais dinheiro em produtos que não re-
solveram seus problemas. Enquanto isso, alternativas como foco em proces-
sos mais rígidos e conscientização de pessoas ficam em segundo plano.
O Assessment deve ajudar empresas a fazerem Business-Driven Security,
no qual os investimentos de segurança não sejam apenas operacionais, mas
também estratégicos para a perenidade dos negócios.
A segurança da cadeia de valor é um elemento essencial do sucesso em uma
economia conectada. Garantir que os controles certos estejam no lugar certo
e na hora certa se torna essencial para a saúde de um negócio em plena eco-
nomia digital.
Outro ponto importante de se harmonizar é a impossibilidade de se proteger
todos os ativos o tempo todo. Isso seria insustentável financeiramente falan-
do e até mesmo pouco eficiente na perspectiva de TI. A solução, portanto, é
priorizar, saber quais são os dados mais sensíveis e ativos essenciais, aque-
les que a empresa não funcionaria sem, e protegê-los.
INVISTA EM FERRAMENTAL QUE
POSSIBILITE CONTROLES MELHORES,
MAIOR VISIBILIDADE & AUTOMAÇÃO
Para agir de forma preventiva e preditiva, é necessário um compilado de fer-
ramentas que trabalhem em conjunto, capazes de analisar ambientes em de-
talhes e gerar informações sobre cada evento e cada incidente, com contexto
e capacidade de tomar medidas corretivas de forma automatizada, sempre
que possível.
Em última análise, um ferramental bem aplicado e dimensionado pode melho-
rar muito a eficiência da equipe de Segurança da Informação, criando oportu-
nidades para que esses profissionais invistam mais tempo em outras frentes
e se aproximem de outras atividades estratégicas para a empresa.
DÊ VISIBILIDADE POR MEIO DE INDICADORES
& ADOTE UM FRAMEWORK
COM BOAS PRÁTICAS DE SEGURANÇA
Demonstrar o ROI de Segurança da Informação é uma tarefa árdua, mas não
impossível. Definir e seguir indicadores de SI que podem mostrar como essas
iniciativas têm evitado indisponibilidade de serviços, vazamento de informa-
O OBJETIVO É AUXILIAR OS
CLIENTES A FAZEREM O
MELHOR INVESTIMENTO
MARGINAL,
OU SEJA,
COMO INVESTIR MELHOR
CADA REAL INCREMENTAL

27. 5352
ções e danos à marca da empresa, entre outras consequências.
Com essas métricas, divulgue-as em campanhas de conscientização alinha-
das com a alta administração da empresa e faça com que todos os funcioná-
rios as compreendam e sintam-se responsáveis pelos resultados alcançados.
Na PROOF, para orientação e adoção de boas práticas de segurança, sugeri-
mos os 20 controles críticos de segurança do CIS.
Destacamos os seguintes pontos para benefícios imediatos.
INVENTÁRIO DE DISPOSITIVOS AUTORIZADOS E NÃO AUTORIZADOS
Gerencie ativamente todos os dispositivos de hardware na rede para
que somente os dispositivos autorizados tenham acesso.
INVENTÁRIO DE SOFTWARE AUTORIZADO E NÃO AUTORIZADO
Gerencie ativamente todo o software na rede para que somente o
software autorizado seja instalado e possa ser executado. É impor-
tante que o software não autorizado e não gerenciado seja localiza-
do e impedido.
AVALIAÇÃO CONTÍNUA DE VULNERABILIDADE E REMEDIAÇÃO
Adquirir, avaliar e agir continuamente sobre novas informações, com
análises de vulnerabilidades recorrentes para remediar e minimizar
a janela de oportunidade para atacantes.
MANUTENÇÃO, MONITORAMENTO
& ANÁLISE DE LOGS DE AUDITORIA
Coletar, gerenciar e analisar registros de auditoria de eventos
que podem ajudar a detectar, entender ou se recuperar de um
ataque.
CONTROLE DE CONTAS
Gerencie ativamente o ciclo de vida das contas de
sistemas e aplicativos - sua criação, uso, inativida-
de e exclusão - para minimizar as oportunidades
qual podem ser utilizadas pelas invasores.
AVALIAÇÃO DE HABILIDADES DE SEGURANÇA E TREINAMENTO APROPRIA-
DO PARA PREENCHER AS LACUNAS
Identificar os conhecimentos específicos e habilidades necessárias
para apoiar a defesa da empresa; desenvolver e executar um plano in-
tegrado para avaliar, identificar e corrigir lacunas, através de políticas,
planejamento organizacional e programas de conscientização para to-
dos os papéis funcionais na organização. Mas isso é assunto para o
próximo ponto.
REALIZE TREINAMENTOS &
CAMPANHAS DE CONSCIENTIZAÇÃO
Durante anos, o principal objetivo de segurança foi proteger
o perímetro - o foco era impedir agentes externos de acessar
a rede da empresa e causar danos. Mas as estatísticas pro-
vam que o maior risco está dentro da organização. A X-Force
2016 Cyber Security Intelligence Index, da IBM, reportou em
2015, que 60% de todos os ataques tiveram participação de
insiders.
O termo de maneira geral denota alguém que tem acesso le-
gítimo à rede e pode causar mal à sua empresa. Por isso, a
primeira medida é uma mudança de mentalidade: o principal
problema são as pessoas utilizando as tecnologias, não as
tecnologias por si só.
De acordo com o relatório 2016 Cost of Insider Threats Report, da Ponemon
Institute, as organizações pesquisadas sofreram um total de 874 inciden-
tes de insiders no ano passado, 68% de todas as ameaças internas eram por
usuários negligentes. Esses são funcionários bem-intencionados ou outros
usuários que acidentalmente prejudicam a empresa, de alguma forma.
Esses incidentes acontecem o tempo todo. Empregados constantemente co-
metem erros que colocam os dados da empresa em risco - seja porque são
60%DE TODOS OS
ATAQUES DE
2015 TIVERAM
PARTICIPAÇÃO
DE INSIDERS

28. 5554
descuidados ou porque querem criar atalhos, ou mesmo porque ignoram a
segurança da informação. Esses tipos de erros levam a algumas das maiores
dores de cabeça para uma organização.
Ransomware, por exemplo, é muitas vezes infectado em um computador por
causa de hábitos de navegação e downloads negligentes de um colaborador.
Esse cenário pode ser melhorado com um programa de treinamento e cam-
panhas eficientes de conscientização dos usuários.
Retiramos alguns insights interessantes do relatório Insider Threat Spotlight
da Crowd Research Partners, em parceria com o Linkedin Group Partner In-
formation Security. Quase metade dos entrevistados não tem ideia se suas
organizações sofreram um ataque interno nos últimos 12 meses (44%). No
entanto, 56% dos profissionais de segurança dizem que as ameaças internas
se tornaram mais frequentes nos últimos 12 meses.
Nesta edição do relatório, a falta de treinamento de funcionários e conscien-
tização (62%) foi a razão mais citada para o aumento dos ataques de insider.
A insuficiência de estratégias e soluções de proteção de dados (57%) e a pro-
liferação de dados sensíveis que se movem para fora do firewall em disposi-
tivos móveis (54%) também foram nomeadas como motivo para a ascensão
de ameaças internas.
FAÇA TESTES DE SEGURANÇA
COM MAIOR FREQUÊNCIA
& ABRANGÊNCIA
Os testes de segurança são um dos prin-
cipaisaliadosdogerentedeSI,poisapon-
tam com clareza e transparência onde as
principais vulnerabilidades estão.
Segundo o Relatório Anual de Cibersegurança da Cisco, de 2017, 55% das or-
ganizações realizam uma simulação ou exercício para testar o plano de res-
posta da empresa a um incidente de segurança cibernética uma vez a cada 6
meses, outros 37% realizam testes 1 vez por ano.
Outra vertente que também é interessante seguir é a realização de pentest. O
objetivo é testar a força global das defesas de uma organização (tecnologia,
processos e pessoas), simulando os objetivos e ações de um invasor.
Um estudo feito pela Osterman Research, junto com a Trustwave, lançado
em setembro de 2016, mostra que muitas empresas não conseguem realizar
testes de segurança frequentes, apesar de 66% delas acreditarem que os tes-
tes são extremamente importantes para garantir a evolução da segurança de
seus sistemas e dados.
Uma em cada cinco organizações não realizou testes de segurança de qual-
quer tipo durante os últimos seis meses. Entre aqueles que realizam testes
de segurança, 66% fazem isso mensalmente ou com uma frequência ainda
menor, e a maioria não executa testes de segurança após toda mudança de
infraestrutura. A maioria das organizações realiza testes de segurança usan-
do uma combinação de recursos internos e serviços terceirizados, embora
duas em cinco organizações gerenciem os testes de segurança apenas inter-
namente.
Entre os principais desafios de testes de segurança encontrados na pesqui-
sa, os mais citados são a insuficiência de recursos, tempo e habilidades para
suportar testes regulares.
Para abordar estas questões, grande parte dos entre-
vistados está aberta à ideia de utilizar terceiros como
prestadores de serviços gerenciados de segurança.
35% dos entrevistados já terceirizam os testes de se-
gurança, e outros 21% planejam fazê-lo durante o pró-
ximo ano (2017).
Em uma estatística alarmante, 98% das aplicações web
testadas pela Trustwave estavam vulneráveis, e o que
é ainda mais preocupante, foi encontrada uma média
de 20 vulnerabilidades por aplicação.
98%DAS APLICAÇÕES
WEB TESTADAS
PELA TRUSTWAVE
ESTAVAM
VULNERÁVEIS

29. 5756
CONCLUSÃOVivemos em um período de profundas mudanças, no qual buscamos, com
nossas inovações tecnológicas, encontrar soluções para problemas que as-
solaram as gerações anteriores. Os avanços que tivemos em tecnologias da
informação e comunicação desencadearam complexas e drásticas mudan-
ças nas relações sociais que criaram alguns resultados imprevisíveis.
A segurança, cada vez mais, passa a ser uma consideração essencial na for-
ma como os sistemas de negócios e de tecnologia da informação são pro-
jetados, desenhados, construídos, operados e gerenciados. Muitas vezes, as
organizações adotam uma abordagem bottom-up para segurança e continu-
am construindo e adicionando tecnologias sobre os investimentos de segu-
rança já existentes.
Essa abordagem centrada na tecnologia geralmente cria uma infraestrutu-
ra de segurança excessivamente complexa e desarticulada, que é difícil de
gerenciar e propensa a ineficiências operacionais que podem aumentar os
custos de TI sem nenhuma garantia de evolução nos resultados.
Os cibercriminosos estão criando ataques altamente segmentados e varia-
dos, enquanto a superfície de ataque só aumenta.
Isso requer uma abordagem interligada e integra-
da de Segurança.
Considere estas estatísticas do relatório mais re-
cente, The Zettabyte Era-Trends and Analysis: o
tráfego IP global anual passará o limite zettabyte
(ZB) até o final de 2016 e atingirá 2,3 ZB por ano
até 2020 (obs: um zettabyte é igual a 1 bilhão de
terabytes).
Do outro lado, as equipes de segurança estão em
um modo de apagar incêndio, sobrecarregadas
por alertas. Elas estão tendo que confiar em uma
variedade de produtos de segurança no ambien-
te de rede que só adicionam mais complexidade
e podem até aumentar a suscetibilidade de uma
organização a ameaças.
Como podemos perceber com o relatório da IDC + Level 3, a maturidade de
segurança envolve diferentes linhas, e investir em apenas uma delas não vai
resolver o problema como um todo. As equipes de segurança devem analisar
onde estão seus pontos fracos - por exemplo, baixos níveis de engajamento
executivo ou falta de ferramentas para mitigar as violações - e calcular onde
devem ser feitos os melhores investimentos em segurança.
Devemos entender também que é praticamente impossível proteger
tudo ao mesmo tempo. Garantir que a segurança certa está no lugar
certo e na hora certa em toda a cadeia de valor - o ciclo de vida de
ponta a ponta para hardware, software e serviços - é imperativo.
Sem dúvida, os líderes corporativos de hoje enfrentam múltiplos
desafios, incluindo a necessidade de inovar em climas de negócios
extremamente competitivos e enfrentar desafios de manter a con-
formidade, além de trabalhar para proteger a empresa contra novas
ameaças cada vez mais sofisticadas.
Em nossa ida à RSA Conference, buscamos insights sobre segurança estra-

30. 58
tégica voltada para os negócios, e duas ideias nos cativaram em especial:
Automação de Segurança e Business-Driven Security - e entendemos que
ambos os conceitos devem nortear o planejamento estratégico de segurança
para os próximos anos.
A automação de segurança está começando a ir além das tecnologias de pre-
venção e detecção, chegando a outros componentes importantes da infraes-
trutura de TI para proteger as organizações de forma mais confiável.
Já o Business-Driven Security diz respeito à necessidade de ser capaz de in-
tegrar a mentalidade de segurança com funções e operações-chave de negó-
cios, e hoje isso deve ser mais valorizado que nunca. Segurança é cada vez
mais um caminho e não um destino. Segurança da informação é um caminho
necessário para fazer negócios na Era da Informação, e as pessoas reconhe-
cem ainda mais o seu valor.
É COMO PRATICAR BUNGEE-JUMP: O
EQUIPAMENTO DE SEGURANÇA NÃO TOR-
NA O ESPORTE MAIS SEGURO, É ELE QUE
PERMITE QUE A ATIVIDADE EXISTA EM
PRIMEIRO LUGAR
Uma abordagem de segurança orientada a negócios pode alcançar a segu-
rança de ponta a ponta, suportando os objetivos estratégicos do negócio,
como na manutenção da capacidade de inovação e redução de custos or-
ganizacionais, bem como requisitos operacionais para abordar medidas de
conformidade, proteger contra ameaças internas e externas e priorizar as
atividades de gerenciamento de risco de segurança que mais fazem sentido
para sua organização.
No final das contas, é importante manter em mente que integrar a tecnolo-
gia de segurança, criar a estrutura de governança que possa simplificar as
operações e investir mais em automação é a chave para uma estratégia de
segurança bem-sucedida.
Somos a PROOF, líder brasileira em cibersegurança. Nosso objetivo é auxiliar
nossos Clientes a fazerem gestão de segurança de forma eficiente e em sin-
tonia com as necessidades de negócio. Percebemos que os investimentos em
segurança não vem sendo priorizados a partir dos riscos de negócio, tendo
demandado cada vez mais esforços e recursos, mas sem garantir segurança.
Ao longo de 09 anos trabalhamos com algumas das maiores empresas do
Brasil para construir negócios mais seguros. Procuramos entender suas ne-
cessidades, suas realidades de negócios, e ajudamos com seus objetivos.
Assim, protegemos suas marcas, reduzimos seus riscos, melhoramos sua
eficiência e economizamos seus recursos. Somos sim o meio de campo, mas
não para atender puramente uma tecnologia e um Cliente, e sim em criar uma
sociedade mais segura, com negócios mais eficientes, confiáveis e íntegros.
Nós prestamos serviços de segurança nas modalidades de Managed Security
Services, Professional Services e Consulting Services. Para melhor atender
nossos Clientes, temos alguns dos mais conceituados parceiros tecnológicos.
PARA CONHECER MAIS SOBRE A
PROOF E TER ACESSO A OUTROS MA-
TERIAIS, ACESSE O NOSSAS REDES:
PROOF.COM.BR
FACEBOOK
LINKEDIN