Pwc pesquisa-global-seguranca-informacao-2011

2.354 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
2.354
No SlideShare
0
A partir de incorporações
0
Número de incorporações
985
Ações
Compartilhamentos
0
Downloads
56
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Pwc pesquisa-global-seguranca-informacao-2011

  1. 1. Segurança da Informação Respeitada – mas ainda limitadaConsultoria em NegóciosSegurança daInformaçãoComo consequência do maiorabalo econômico global em30 anos, a segurança dainformação confronta umanova ordem econômicaPesquisa Global de Segurançada Informação 2011 PwC 3
  2. 2. IntroduçãoÉ com satisfação que divulgamos ao mercado O segundo é que os efeitos da crise econômicabrasileiro os resultados da oitava edição de nossa ajudaram para que a área de segurança ampliassePesquisa Global de Segurança da Informação - seu nível de atuação, maturidade e importância.Global State of Information Security Survey®. Um Além de ajudar a mitigar os riscos de negócioestudo conduzido por PwC, CIO Magazine e CSO associados à globalização, à terceirização e aoMagazine, o maior estudo do gênero no mundo, o cumprimento das políticas da empresa por terceiros,qual representa a análise consolidada dos dados a área de segurança da informação agora tambémfornecidos por mais de 12.800 executivos, entre é cobrada por novos desafios e, em algumasCEOs, CFOs, CIOs, CSOs, vice-presidentes e diretores empresas, com mais urgência do que nunca. A áreade TI e segurança da informação, de empresas de segurança e seus líderes agora são responsáveismédias, grandes e gigantes de 135 países e de também por ajudar a empresa a endereçar umtodos os setores da economia. No Brasil, houve a conjunto de riscos e oportunidades derivados daparticipação de 500 executivos, o que permitiu crise, como aqueles associados à adoção de novosenriquecer este estudo com dados reveladores sobre o modelos de negócios, à retomada dos movimentosmomento da segurança da informação nas empresas de fusões e aquisições, às sucessivas ondas dedo país. demissões, aos cortes de custos em outras áreas, à rapidez na retomada do crescimento e às mudançasEm particular, dois pontos se destacam na pesquisa estratégicas dos concorrentes.deste ano. O primeiro é haver evidências claras deque, em alguns casos, a área de segurança parece Os resultados da pesquisa indicam otimismoestar no radar dos executivos da empresa. Tudo e preocupação dos executivos. Por exemplo,indica que os esforços para se alinhar as iniciativas 52% afirmam que sua empresa irá aumentar osde segurança com as necessidades reais de negócio investimentos ao longo do próximo ano. Aindaestejam, de fato, começando a mostrar resultados e assim, muitos deles disseram que seus parceiroscriar valor nas empresas. de negócios (52%) e fornecedores (50%) ainda se recuperam dos efeitos da recente crise na economia, percentuais significativamente maiores do que os registrados na edição anterior da pesquisa, 43% e 42% respectivamente. E 49% dos entrevistados afirmam que as condições econômicas ainda pesam sobre as decisões de investimento em segurança da informação, porém estão otimistas com relação aos próximos 12 meses. PwC 5
  3. 3. Executivos da área de segurança informam Outra revelação da pesquisa se relaciona com oque suas empresas também sofreram com avanço no processo de mudança da linha de reportea contenção de investimentos e despesas do CISO, saindo da linha do CIO para responderoperacionais e que, em muitos casos, a outros executivos de negócio da empresa. Comoresultaram na perda ou degradação de algumas esperado, as redes sociais e o novo papel dacompetências fundamentais da segurança. segurança é destaque este ano. Pela primeira vez na resposta dos executivos surge a apólice de seguroOs principais aspectos que estão direcionando e o ressarcimento por sinistros como uma medidaos gastos com segurança são as condições adicional de segurança contra o mau uso dos ativoseconômicas (49%), os planos de contingência de informação.e recuperação de desastres (40%), os riscos dereputação (35%), o cumprimento de políticas A análise da pesquisa deste ano foi intituladainternas (34%) e o atendimento às questões “Respeitada – mas ainda limitada”. O propósitoregulatórias (33%). Estes direcionadores de deste estudo é permitir reflexões profundas egastos não são novos, o surpreendente é que comparativas sobre o estado da segurança daquase todos eles estão tendendo ou já próximos informação nas empresas em todo o mundo. O temados níveis mais baixos em quatro anos. introdutório deste estudo trata do cerne da questão, revelando os efeitos das condições econômicasO destaque de crescimento este ano, segundo globais nas áreas de segurança da informaçãoa pesquisa, foram as “demandas de clientes”. das empresas. Em seguida, se apresentam asElas saíram do último lugar da lista, em 2007, revelações (“descobertas”) da pesquisa sobrepara quase empatar com o primeiro do ranking temas como gastos, contexto econômico, recursos– ambiente regulatório/legal. O aumento das e orçamentos, capacidades e brechas, novas áreasdemandas de segurança feita pelas áreas de de foco e tendências regionais. Em seguida, dandonegócio demonstra a importância estratégica e a importância aos resultados locais, apresentamosintegração cada vez maior da área de segurança uma seção específica para revelar o estado dacom outras áreas da companhia. segurança da informação nas empresas no Brasil. A seção sobre a análise do que tudo isto significa para seu negócio conclui o estudo. A equipe de especialistas em Segurança da Informação da PwC está à sua disposição para discutir temas específicos ou gerais dessa pesquisa, para compartilhar tendências setoriais ou para apoiar a sua organização em análises comparativas de segurança da informação. Boa leitura, Edgar D’Andrea Sócio PwC PwC 7
  4. 4. ConteúdoO cerne da questão 10Uma vez que as condições econômicas globais continuam aoscilar, a segurança da informação paira no equilíbrio entreuma relação de respeito duramente conquistada junto aosexecutivos e um ambiente econômico ainda de cautela.Uma discussão profunda 12Sinais de ganhos e avanços estratégicos de segurança aparecemlado a lado com as recentes rachaduras na sua fundação.I. Gastos: Uma alternância sutil, mas extremamente significativa 12II. Contexto econômico: Os principais impactos e estratégias 17III. Recursos e orçamentos: Um equilíbrio entre cuidado e otimismo 21IV. Capacidades e brechas: tendências fortes para serem ignoradas 26V. Novas áreas de foco: onde estão as oportunidades emergentes 33VI. Tendências regionais: A troca da guarda 37Como fica o Brasil neste contexto 42Líder no mercado de segurança.Ou visionário que ainda possui demandas reprimidas?O que isto significa para o seu negócio 46Aprenda com a desaceleração e retomada da economia.E faça mudanças importantes. Mas também esteja entreos primeiros a olhar para frente.Metodologia 49Contatos 50 PwC 9
  5. 5. O cerne da questãoUma vez que as condiçõeseconômicas globais continuama oscilar, a segurança dainformação paira no equilíbrioentre uma relação de respeitoduramente conquistada juntoaos executivos e um ambienteeconômico ainda de cautela.10 Pesquisa Global de Segurança da Informação de 2011
  6. 6. Durante o ano de 2009 foi difícil prever quando, A tensão é aguda. Entre a maturação contínuaonde e com que força as condições econômicas da função de segurança e a regressão. Entreglobais melhorariam. movimentos mais cuidadosos, à medida da recuperação da economia, e o otimismoEntão não é surpreendente descobrir em 2010 que, exacerbado. Entre preservar os investimentos ede acordo com os resultados da Pesquisa Global de proteger o negócio.Segurança de Informação 2011, executivos em váriossegmentos e mercados mundo afora estão relutantes Pressionada pelos dois lados, a função depor liberar fundos para a função de segurança da segurança da informação está sedenta porinformação. investimentos e determinada a contribuir cada vez mais para o negócio da empresa.Esta restrição financeira ainda ocorre, muitoembora haja clara evidência de que a segurança Qual a evidência destas tendências? Quais asda informação está emergindo da fumaça de um implicações para os investimentos nos próximosano difícil, que foi a verdadeira “prova de fogo” 12 meses? Quais são as maiores vulnerabilidadesanunciada pela pesquisa do ano anterior, e está emergentes relacionadas à segurança? E quaisostentando o respeito duramente conquistado são as oportunidades e prioridades cruciais que acom muito trabalho, não apenas de muitos, mas sua empresa deve considerar, agora e pelo próximoda maioria dos respondentes. Isto inclui mais de ano, para aumentar a contribuição que a segurança12.800 CEOs, CFOs, CIOs, CISOs, CSOs e outros traz ao seu negócio?executivos responsáveis pelo departamento de TI einvestimentos em segurança de suas organizaçõesem mais de 135 países.A restrição a gastos ainda é realidade em muitospaíses. Com isso, algumas funções operacionaisde segurança, que demoraram uma década inteirapara se desenvolver, estão se degradando e expondoempresas a riscos. PwC 11
  7. 7. Uma discussão profundaSinais de ganhos e avançosestratégicos de segurançaaparecem lado a lado com asrecentes rachaduras na suafundação.I. Gastos: Uma alternância sutil, mas extremamente significativaDescoberta #1 Descoberta #3Três tendências estratégicas de gastos (investimentos A demanda de clientes agora emergiu – como oe despesas), em construção há anos, que dificilmente “novo sabor do ano” ou talvez como um direcionadorserão abandonadas. estratégico de gastos que resistirá ao tempo.Descoberta #2Os direcionadores de gastos deste ano não sãonovos. Mas eis a surpresa: Quase todos eles estãotendendo ou já chegaram próximos dos níveis maisbaixos em quatro anos.12 Pesquisa Global de Segurança da Informação de 2011
  8. 8. Descoberta #1Três tendências estratégicas de gastos (investimentos e despesas), emconstrução há anos, que dificilmente serão abandonadas.Analisando os números das pesquisas destes vários anos, pela primeira vez, neste ano, se destacam três tendênciasestratégicas de longo prazo em relação aos gastos em segurança.1. Segurança está na lista de “proteger” dos Tomando o mercado nos EUA como exemplo, em 2007,CFOs isto é seis anos depois do evento de 11 de setembro, 68% dos respondentes apontaram continuidade do negócio e recuperação de desastre como o direcionadorAs primeiras evidências disto já apareceram nos dados de investimento mais relevante em segurança, contrada pesquisa do ano passado. Os dados deste ano 43% na atualidade. Também em 2007, cinco anosevidenciam definitivamente esta tendência. À medida após o Sarbanes-Oxley Act e dois anos após o HIPAAque a função amadurece e contribui de maneira mais (Health Insurance Portability and Accountability Act),clara e direta para os objetivos do negócio, as curvas de os respondentes dos EUA identificaram conformidadeinvestimentos e despesas se tornam muito mais estáveis. regulatória como o segundo mais importanteConforme revelado na pesquisa do ano passado, os direcionador, contra 47% na atualidade.recursos de segurança ficaram protegidos durante operíodo de crise. E, como mostraremos nas páginas que 3. O efeito “gota d’água”seguem, os investimentos em segurança deste ano irãocrescer à medida que a economia se restabeleça e se Há o grande respingo e depois vem a dispersão. Apóstorne mais vigorosa. despontarem como direcionadores relevantes, de continuidade do negócio à conformidade regulatória, cada um deles, inicialmente influenciados por2. Ainda assim, a segurança continua fatores externos, passa com o tempo a se integrar àsvulnerável ao “sabor do ano” práticas internas. Eles continuam importantes para a organização, aliás em muitos casos são cruciais,Como segurança é importante para o negócio das mas precisamente pelo sua importância se integramorganizações, os direcionadores para os gastos tendem às práticas de negócio. Como? Através, por exemplo,a ser atrelados às principais prioridades de negócio, de novos sistemas automatizados. De novos papéis econforme enfatizam de forma proeminente e freqüente responsabilidades. De políticas e práticas de negócio, ouos executivos que buscam recursos para as iniciativas de de ambientes de controles internos otimizados.segurança. Em suma, os direcionadores para os gastosem segurança estão suscetíveis ao que podemos chamarde “sabor do ano”. PwC 13
  9. 9. Descoberta #2Os direcionadores de gastos deste ano não são novos. Porém, eis asurpresa! Quase todos eles estão tendendo ou já chegaram próximos dosníveis mais baixos em quatro anos.Que fatores estão direcionando os gastos com O que surpreende, no entanto, é que quase todos estessegurança de informação este ano? Em um primeiro fatores estão tendendo ou já chegaram próximos dosolhar, a resposta não surpreende: Condições níveis mais baixos em quatro anos. Continuidade doeconômicas (mencionadas por 49% dos respondentes), negócio e recuperação de desastre, como direcionadorcontinuidade do negócio e recuperação de desastres dos gastos em segurança, por exemplo, obteve este(40%), reputação da empresa (35%), conformidade ano 40%, contra 68% há quatro anos. Isto significapolítica interna (34%) e conformidade regulatória decrescimento de 28 pontos percentuais ou 41% de(33%). (Figura 1). redução. Os outros direcionadores mostram reduções semelhantes. (Figura 2).Ou seja, estes fatores são primários e naturalmenteesperados de serem apontados, se consideramos os Vale ressaltar uma questão importante: isto significaimpactos da crise econômica mundial nos últimos 18 que estes fatores são menos importantes? Demeses, a expansão da globalização, a introdução de maneira alguma! Em muitos casos, eles ainda sãonovas tecnologias, habilitando continuamente o fluxo vitais. Apenas não são direcionadores de gastos tãolivre de informações pelo mundo, a introdução da APT relevantes quanto já foram no passado. Possivelmente,(“Advanced Persistent Threat”) e a onda de maior vigor estão em um estágio de maturidade mais avançado, ona regulamentação entre mercados, indústrias e regiões que requer muito mais manutenção e ajustes finos doocorrida nos últimos dez anos. que processos transformacionais.Figura 1: Percentual de respondentes que 49%identificaram as seguintes questões denegócio ou fatores como direcionadores mais 40%importantes para gastos com segurança da 35%informação na sua empresa. (1) 34% 33% Condições Continuidade Reputação Conformidade Conformidade econômicas do negócio/ da empresa com políticas regulatória recuperação internas de desastres (1) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores. Fonte: 2011 Global State of Information Security Survey®14 Pesquisa Global de Segurança da Informação de 2011
  10. 10. Figura 2: Percentual de respondentes que identificaram as seguintes questões de negócio ou fatores comodirecionadores mais importantes para gastos com segurança da informação na sua empresa. (2) Diferença 2007 2008 2009 2010 em 3 anos Condições econômicas N/D N/D 39% 49% N/D Plano de continuidade /recuperação de desastres 68% 57% 41% 40% – 41% Reputação da empresa 44% 39% 32% 35% – 20% Conformidade com políticas internas 51% 46% 38% 34% – 33% Conformidade regulatória 54% 44% 37% 33% – 39%(2) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey®Descoberta #3A demanda de clientes agora emergiu – como o “novo sabor do ano” outalvez como um direcionador estratégico de gastos que resistirá ao tempo.Qual é o novo “sabor do ano”? É a demanda do cliente, As demandas de clientes se referem a um cliente internomuito embora o significado deste termo varie um pouco ou externo? Um mandato contratual ou um limiteentre os respondentes. mínimo em uma solicitação de proposta? Apesar da pesquisa apresentar ambigüidade neste ponto, estáEste ano, quando os respondentes foram claro que a “demanda do cliente”, em geral, motivaquestionados sobre como os gastos com segurança maiores gastos que no passado.de informação eram justificados na empresa, quasetodos os fatores entre os sete maiores identificados, de Demanda de clientes é somente o novo “sabor” oupráticas comuns na indústria à responsabilidade pelo se provará mais duradoura do que nunca? Poderiaimpacto de um incidente na receita, refletiram declínios “demanda de clientes” se tornar um destaque entre osem comparação com 2007. As reduções variaram de direcionadores de gastos em segurança, reconhecido10% a 26%. globalmente, nos próximos três ou quatro anos?A demanda de clientes não foi apenas o único fator Talvez. Neste momento parece ser mais um sinal, apósentre os sete mais importantes a aumentar neste 15 anos, de que a função de segurança da informaçãoperíodo, ela também subiu no ranking (da posição 6) continua a assumir um papel mais avançado voltadopara próximo da paridade com o fator líder (posição 2). para as “demandas do cliente”, o suporte ao negócio e a(Figura 3). criação de valor estratégico da organização. PwC 15
  11. 11. Figura 3: Percentual de respondentes que identificaram os seguintes fatores quando solicitados a revelar comosegurança de informação é justificada nas suas empresas. (3) Diferença em 2007 2008 2009 2010 3 anos Ambiente regulatório/legal 58% 47% 43% 43% – 26% Demanda do cliente 34% 31% 34% 41% + 21% Julgamento profissional 45% 46% 40% 40% – 11% Responsabilidade potencial/exposição 49% 40% 37% 38% – 22% Práticas comuns na indústria 42% 37% 34% 38% – 10% Redução do risco quantificado 36% 31% 31% 30% – 17% Impacto potencial na receita 30% 27% 26% 27% – 10%(3) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey®16 Pesquisa Global de Segurança da Informação de 2011
  12. 12. II. Contexto econômico: Os principais impactos e estratégias Descoberta #4 Enquanto os impactos da retração econômica permanecem, o maior aumento em risco está associado às fraquezas de segurança existentes em parceiros e fornecedores. Descoberta #5 As estratégias de segurança definidas pelas empresas neste ano são basicamente as mesmas adotadas no ano passado. A preocupação é que algumas delas podem abrir novas áreas de risco. PwC 17
  13. 13. Descoberta #4Enquanto os impactos da retração econômica permanecem, o maioraumento em risco está associado às fraquezas de segurança existentes emparceiros e fornecedores.A recuperação da economia em países emergentes Isto é compreensível, especialmente considerandocomo Brasil, Índia e China está sendo muito mais rápida fatores como a recente onda de globalização e deque nos países europeus. A maioria dos economistas desenvolvimento dos mercados emergentes, que inseriuconcorda que as condições do mercado hoje são muito economicamente outros países na cadeia de produção emelhores que no final de 2008. Neste contexto, seria de consumo global. Da mesma forma, era de se esperarnatural se a percepção dos respondentes sobre os que os impactos reais em parceiros e fornecedoresimpactos provocados pela crise econômica na função de levassem pelo menos um ano para surgir.segurança fosse diferente daquela do ano passado. Mas há uma implicação muito menos óbvia, que éMas ela não é, pelo menos para a maioria. De fato, enormemente reveladora, sobre a evolução estratégicaas percepções dos respondentes a este respeito são da maturidade da função de segurança.surpreendentemente consistentes com as do anopassado. A maioria concorda, por exemplo, que o Os dados desta descoberta não vêm apenas daquelesambiente regulatório se tornou mais complexo e que ocupam posições executivas de negócio ou de TI. Aoneroso. E que o ambiente de risco crescente continua informação claramente vem, direta ou indiretamente,a elevar a importância da função de segurança. E que do nível gerencial das áreas centrais de operação dasas políticas atuais de redução de custo dificultam o empresas. Isto inclui os responsáveis por unidades dealcance de níveis adequados de segurança. (Figura 4). negócio, os tomadores de decisão operacionais, os especialistas de “supply chain”, ou seja, aqueles queEntão, qual a maior mudança relatada no impacto trabalham diretamente com parceiros de negócios eda economia global para a função este ano? Os fornecedores das organizações.respondentes são bem mais propensos a relatarque parceiros de negócios e fornecedores foramenfraquecidos pelas condições econômicas, quandocomparados ao ano passado.18 Pesquisa Global de Segurança da Informação de 2011
  14. 14. Em outras palavras, este ano, estamos Figura 4: Percentual de respondentes relatandocomeçando a ver evidências quantitativas os seguintes impactos das condições econômicasdas tendências subjetivas que estão atuais nas funções de segurança da informaçãosendo acompanhadas há vários anos. Os da empresa. (4)holofotes sobre o valor da segurança estãoacesos e brilhando intensamente nãoapenas no nível C-Suite das organizações, Ambiente regulatório se tornou mais complexo e onerosomas também no cerne das áreas 2010 56%operacionais como produção, cadeia desuprimentos, compras, desenvolvimento 2009 56%de negócios, marketing, inovação eparcerias estratégicas. Ambiente de risco crescente aumentou o papel e a importância da função de segurança 2010 55% 2009 52% Esforços de redução de custo fazem com que a segurança adequada seja mais difícil de atingir 2010 50% 2009 52% Ameaças à segurança de nossos ativos de informação aumentaram 2010 43% 2009 43% Nossos parceiros de negócios se enfraqueceram pelas condições econômicas 2010 52% 2009 43% Nossos fornecedores se enfraqueceram pelas condições econômicas 2010 50% 2009 42%(4) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey® PwC 19
  15. 15. Descoberta #5As estratégias de segurança definidas pelas empresas neste ano sãobasicamente as mesmas adotadas no ano passado. A preocupação é quealgumas delas podem abrir novas áreas de risco.A Figura 5 mostra as ações definidas pelas empresas está fundamentada na busca por confidencialidade epara atingir seus objetivos de segurança face às eficiência da segurança. Assim como a área de TI, a decondições incertas da economia neste ano. segurança precisa ter custos operacionais mais baixos e concentrar os esforços em atividades de maior valorPelo segundo ano consecutivo, aumentar o foco em agregado. Fica o alerta que estas ações, para algunsproteção de dados é a ação prioritária em todo o casos, podem criar novos riscos para a empresa.mundo. Consistente com os resultados do ano passadoestão outras prioridades, como os investimentos Por exemplo, se as empresas estabelecem uma relaçãode segurança com base em risco, o fortalecimento de prestação de serviços de gerenciamento contínuoda governança da empresa, o estabelecimento de de segurança com um determinado fornecedor, elasprogramas de risco e conformidade e a adoção de estariam também (1) aumentando a necessidade portecnologias de automação relacionada à segurança. supervisão e governança desta prestação de serviços? (2) tendo que conduzir auditorias mais freqüentesUm segundo conjunto de tendências inclui outras ações, das operações deste fornecedor? e (3) assegurandotais como o aumento de confiança em serviços de o alinhamento dos processos do fornecedor com assegurança gerenciados, a redução do número de pessoal políticas de segurança da empresa, com as exigênciasde segurança em tempo integral e a migração das regulatórias correspondentes e com o gerenciamentoresponsabilidades relacionadas à segurança para áreas estratégico de riscos?que não sejam de segurança de TI. Figura 5: Percentual de respondentes que relataramCom certeza a lógica de negócio por trás destas ações Aumentar o foco em proteção de dados 71% Priorizar investimentos de segurança com base em risco 69% Fortalecer a governança da empresa, o risco e o programa de conformidade 67% Redirecionamento da estratégia central existente 66% Acelerar a adoção de tecnologia de automação de segurança para aumentar a eficiência e cortar custos 66% Buscar configurações mais completas de ferramentas de DLP 65% Aumentar a confiança em serviços gerenciados de segurança 59% Alocar as tarefas de segurança a funcionários que não são de TI 48% Reduzir o número de pessoal de segurança em tempo integral 43%que estratégias são importantes para atingir seus objetivos de segurança diante das incertezas daeconômica. (5)(5) Respondentes que responderam “Importante”, “Muito Importante” ou “Prioridade Top”. Nem todas as respostas incluídas. Não soma100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey®20 Pesquisa Global de Segurança da Informação de 2011
  16. 16. III. Recursos e orçamentos: Um equilíbrio entre cuidado e otimismo Descoberta #6 A precaução financeira permanece alta na medida em que executivos na indústria mantêm políticas de arrocho orçamentário, pelo menos por enquanto. Descoberta #7 Entretanto, esta precaução parece estar menor para projetos com mais de seis meses e para casos em que a redução orçamentária é acima de 10%. Descoberta #8 Quando perguntados sobre as expectativas de gastos com segurança no próximo ano, os respondentes estão mais otimistas do que em qualquer momento desde 2005. PwC 21
  17. 17. Descoberta #6A precaução financeira permanece alta na medida em que executivos naindústria mantêm políticas de arrocho orçamentário, pelo menos porenquanto.Os recursos ainda estão restritos. Não há dúvidas De forma surpreendente, pelo menos dados os sinaisquanto a isso. Embora alguns mercados e segmentos de um iminente retorno do mercado para níveispareçam estar se fortalecendo, as empresas ainda estão sustentáveis de crescimento, mais respondentesreagindo com extrema atenção. que no ano passado relataram que suas empresas tinham adiado investimentos (CAPEX) relacionados àQuando perguntados se a empresa havia reduzido segurança. Isto é, de 43% em 2009 para 46% este anoos orçamentos de segurança durante o ano passado, e despesas operacionais (OPEX), de 40% para 42%aproximadamente metade de todos os 12.847 respectivamente.respondentes declara que houve redução parainvestimentos (47% dos respondentes) e para Um ajuste sutil do controle de custos? Sim,despesas operacionais (46%). O interessante é que aparentemente. Um sinal de que ainda haveráestes percentuais foram exatamente os mesmos do restrições mais rígidas de investimentos? Talvez. Masano passado para a mesma pergunta (47% e 46% provavelmente não. As evidências sugerem que esterespectivamente). (Figura 6). comportamento de extremo foco em custo, em alguns casos, por exemplo, pode ser comparado com aquela situação em que o consumidor não gasta dinheiro nos meses imediatamente anteriores à compra de um novo carro. Economizar agora para gastar depois.Figura 6: Percentual de Sua empresa reduziu orçamentosrespondentes que relataram 2009 2010 para iniciativas de segurança?que sua empresa está reduzindo Sim, para investimentos 47% 47%orçamentos para iniciativas desegurança ou adiando os mesmos. Sim, para despesas operacionais 46% 46% A sua empresa adiou iniciativas 2009 2010 de segurança? Sim, para investimentos 43% 46% Sim, para despesas operacionais 40% 42% Fonte: 2011 Global State of Information Security Survey®22 Pesquisa Global de Segurança da Informação de 2011
  18. 18. Descoberta #7Entretanto, esta precaução parece estar menor paraprojetos com mais de seis meses e para casos em que aredução orçamentária é acima de 10%.Nos segundos após o timão de um navio oceânico de 200 toneladas, que se moverapidamente, ser direcionado em uma rota notoriamente diferente, e antes da evidênciadesta virada ser indicada na bússola do navio, o nível de água em um lado do casco quecorta ondas registra uma mudança inconfundível.É o que está acontecendo aqui – de certa maneira. Analisamos mais a fundo como osexecutivos responderam nossa pergunta sobre restrição de investimentos e de despesasoperacionais. E o que descobrimos é fascinante.As precauções com gastos parecem estar menores para projetos com mais deseis meses e para as reduções orçamentárias de mais de 10%. Por outro lado,a atenção está naqueles projetos inferiores a seis meses ou com reduçõesorçamentárias inferiores a 10%.Por que existe grande concentração em projetos de curto prazo? É difícil dizer. Algunsde nossos clientes ainda estão atentos à recuperação da economia no curto prazo.Outros estão interessados em determinar o CAPEX e OPEX de segurança com baseno fluxo de caixa e não no reconhecimento da receita. Como conseqüência, muitosgerentes de segurança buscam alocar recursos em projetos do tipo “quick win”, comresultados de curto prazo, em detrimento de projetos cujas demandas têm caráterestruturantes ou transformacionais de médio e longo prazo.Como foi possível perceber esta tendência? Os dados apresentam uma alternânciaperceptível em relação a CAPEX e OPEX nos últimos dois anos. Analisando estaalternância, se percebe distância das iniciativas de longo prazo e foco crescente nasiniciativas planejadas para o curto prazo. Tomamos esta tendência como o primeirosinal de otimismo, embora cauteloso. PwC 23
  19. 19. Figura 7: Percentual de respondentes que relataram que sua empresa está reduzindo orçamentos parainiciativas de segurança ou adiando as mesmos. A sua empresa adiou iniciativas de Diferença 2009 2010 segurança? de 1 ano Sim, para investimento 43% 46% - por menos de 6 meses 21% 27% +6pts - por mais de 6 meses 22% 19% -3pts Sim, para despesas operacionais 40% 42% - por menos de 6 meses 22% 26% +4pts - por mais de 6 meses 18% 16% -2pts Sua empresa reduziu o orçamento Diferença 2009 2010 para iniciativas de segurança? de 1 ano Sim, para investimento 47% 47% - em menos de 10% 19% 22% +3pts - em mais de 10% 28% 25% -3pts Sim, para despesas operacionais 46% 46% - em menos de 10% 19% 22% +3pts - em mais de 10% 27% 24% -3ptsFonte: 2011 Global State of Information Security Survey®24 Pesquisa Global de Segurança da Informação de 2011
  20. 20. Descoberta #8Quando perguntados sobre as expectativas de gastos com segurança nopróximo ano, os respondentes estão mais otimistas do que em qualquermomento desde 2005.O segundo sinal de otimismo revelado na pesquisa é mais exuberante. Nunca na históriadesta pesquisa se registrou um salto tão grande na expectativa de que os gastos comsegurança aumentarão nos próximos 12 meses. Este otimismo, declarado por 52% dosrespondentes, é significativo e representa o maior nível percentual desde antes de 2005.(Figura 8).Isto significa a total disposição das empresas em aumentarem seus CAPEX e OPEX emsegurança nos próximos 12 meses, a menos que a economia global sofra outro revés.Figura 8: Percentual de respondentes da pesquisa que relatam que os gastoscom segurança aumentarão nos próximos 12 meses. (6) 52% 46% 44% 44% 42% 38% 2005 2006 2007 2008 2009 2010(6) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey® PwC 25
  21. 21. IV. Capacidades e brechas: tendências muito fortes para se ignorar Descoberta #9 Após demonstrarem avanços sólidos nos últimos anos, algumas empresas estão permitindo que suas capacidades em segurança piorem. Descoberta #10 À medida que as organizações continuam a ganhar mais visibilidade a partir dos incidentes de segurança, mais elas aprendem sobre os custos reais de suas brechas. Descoberta #11 O processo de mudança da linha de reporte do CISO, do CIO para outros executivos de negócio da empresa, deu uma guinada significativa este ano.26 Pesquisa Global de Segurança da Informação de 2011
  22. 22. Descoberta #9Após demonstrarem avanços sólidos nos últimos anos, algumasempresas estão permitindo que suas capacidades em segurançapiorem.Este ano, a adoção de muitos dos processos planejados Além disso, em muitos casos, os índices de adoção estãorelacionados à segurança de informação parece ter em declínio. Quando comparado com o ano passado,sofrido estagnação. Quem sabe seja a conseqüência por exemplo, menos respondentes declaram ter anão prevista da austeridade de redução de custos nas prática de checar antecedentes civis e criminais comoempresas. Os respondentes estão na mesma posição parte do processo de contratação de pessoal ou terceirosque declaram estar no ano passado, por exemplo, em (60% em 2009, 56% este ano), de monitorar o uso darelação a ter definida a estratégia geral de segurança internet e dos ativos de informação pelos funcionários(65% em 2009, 65% este ano), a usar ferramentas de (57% em 2009, 53% este ano) e de conduzir programasvarredura de vulnerabilidades (53% em 2009, 53% este de sensibilização e conscientização de segurança (53%ano) e a ter padrões e procedimentos de segurança para em 2009, 49% este ano).os recursos sem fio (celular e wi-fi) (45% em 2009, 45%este ano). (Figura 9). Um impacto de apenas um ano? Talvez. Mas nos casos em que isto ocorre, a regressão das capacidades leva a segurança aos níveis de 2008 ou de antes. PwC 27
  23. 23. Figura 9: Percentual de respondentes cujas empresas possuem as seguintes práticas de segurança e privacidade.A amostra destaca a estagnação no avanço da capacidade de segurança nas empresas. (7) 65% 65% 67% 57% 59% 58% 59% 60% 37% 38% 2006 2007 2008 2009 2010 2006 2007 2008 2009 2010 Têm definida a estratégia geral de Asseguram o descarte seguro de hardware segurança da informação 44% 42% 54% 53% 53% 36% 50% 28% 30% 21% 2006 2007 2008 2009 2010 2006 2007 2008 2009 2010 Integram os planos de segurança, Usam ferramentas de varredura de privacidade e conformidade vulnerabilidades 43% 43% 45% 45% 35% 40% 29% 29% 29% 11% 2006 2007 2008 2009 2010 2006 2007 2008 2009 2010 Implementaram software de correlação de Tem padrões e procedimentos de segurança eventos de segurança para recursos sem fio (celular e Wi-Fi)(7) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey®28 Pesquisa Global de Segurança da Informação de 2011
  24. 24. Figura 10: Percentual de respondentes cujas empresas possuem as seguintes práticas de segurança eprivacidade. A amostra reflete a piora emergente de algumas funções de segurança. (8) 60% 56% 52% 50% 57% 51% 51% 53% 48% 40% 2006 2007 2008 2009 2010 2006 2007 2008 2009 2010 Conduzem verificação do histórico pessoal Tem pessoal dedicado ao monitoramento do uso de internet e ativos de informação pelos funcionários 51% 53% 50% 48% 43% 46% 42% 44% 34% 25% 2006 2007 2008 2009 2010 2006 2007 2008 2009 2010 Estabelecem baselines de segurança para Usam processo centralizado de parceiros externos, clientes, fornecedores e gerenciamento de informações distribuidores 58% 54% 53% 54% 54% 49% 49% 47% 39% 42% 2006 2007 2008 2009 2010 2006 2007 2008 2009 2010 Conduzem programas de sensibilização Monitoram e analisam ativamente a ou conscientização de segurança para os inteligência de segurança da informação colaboradores(8) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey® PwC 29
  25. 25. Descoberta #10À medida que as organizações continuam a ganhar mais visibilidade apartir dos incidentes de segurança, mais elas aprendem sobre os custosreais de suas brechas.Por anos, os percentuais de respondentes que relatavam Trata-se de uma evolução importante comdesconhecer os fatos chave relacionados a incidentes de conseqüências ainda mais importantes. Isto porque, aosegurança foram sempre inacreditavelmente altos. Em se colocar luzes nas ocorrências e na causa raiz, o que2007, por exemplo, 40% declararam não saber quantos de descobre é preocupante. O impacto dos incidentesincidentes de segurança haviam ocorrido nos últimos de segurança no negócio este ano aumentou para níveis12 meses na empresa. Este ano, houve uma melhora significativos, particularmente em relação às perdassignificativa tendo apenas 23% declarado desconhecer financeiras, relatadas por 20% dos respondentes,os fatos chave dos incidentes de segurança. Em 2007, seguido por roubo de propriedade intelectual (15%)quase metade (45%) não sabia que tipo de incidente e comprometimento de marcas ou reputações (14%).de segurança havia ocorrido. Hoje, 33% não sabem. (Figura 12).(Figura 11). À medida que estes números continuam a crescer, prevemos maior pressão no CFO para a liberação de recursos, não apenas para manter funções de segurança no nível atual, mas também para avançar na habilidade de proteger e habilitar o próprio negócio da empresa.Figura 11: Percentual de respondentes que relataram as seguintes informações com relação às ocorrências deincidentes de segurança com impacto negativo à empresa. (9) 40% 35% 32% Não sabem quantos incidentes 23% de segurança ocorreram nos últimos 12 meses 2007 2008 2009 2010 Não sabem que tipo de incidente de segurança ocorreu, i.e. se houve 45% 44% 39% exploração de aplicativos, dados, 33% dispositivos móveis (como smart phones e armazenamento em USB), sistemas, redes ou por meio de 2007 2008 2009 2010 engenharia social 42% 39% 34% Não conhecem a possível origem Não disponível do evento, i.e. colaboradores ou ex-colaboradores, hackers, clientes, 2007 2008 2009 2010 parceiros ou fornecedores(9) Nem todos os fatores apresentados. Não soma 100%. Respondentes podiam indicar múltiplos fatores.Fonte: 2011 Global State of Information Security Survey®30 Pesquisa Global de Segurança da Informação de 2011
  26. 26. Figura 12: Percentual de todos os respondentes que relataram os seguintes impactos em suas empresas. (10) 21% 20% 8% 10% Perdas financeiras 2007 2008 2009 2010 15% 15% Roubo de propriedade 8% intelectual 6% 2007 2008 2009 2010 15% 14% 7% 7% Marca ou reputação comprometida 2007 2008 2009 2010(10) Nem todos os fatores apresentados. Não soma 100%. Respondentes podiam indicar múltiplos fatores.Fonte: 2011 Global State of Information Security Survey® PwC 31
  27. 27. Descoberta #11O processo de mudança da linha de reporte do CISO, do CIOpara outros executivos de negócio da empresa, deu uma guinadasignificativa este ano.A diferença aumentou. Há três anos, empresas Então, para onde caminha a linha de reporte do CISO?ainda viam a função de segurança da informação Para o lado do negócio, tipicamente para o “Board” desubstancialmente como um centro de custo de Diretores, o CEO, o CFO, o COO e o CPO. (Figura 13).tecnologia. Um sinal claro disto era a linha de reportedo CISO (ou executivo equivalente, responsável por Qual é o significado estratégico desta mudança desegurança da informação) para o CIO (ou executivo reporte? Em todos os segmentos, as evidências sãoequivalente responsável por TI). claras do alinhamento da segurança com o negócio e do reconhecimento executivo em relação à importânciaAs mudanças foram rápidas. Desde 2007, o número de e ao valor estratégico da segurança no âmbitorespondentes que relataram responder ao CIO diminuiu corporativo, muito além de somente TI.significativamente, de 38% para 23% este ano.Figura 13: O percentual de respondentes da pesquisa que relatou que o CISO de sua empresa ou líderequivalente de segurança da informação reporta aos seguintes executivos sênior. (11) Diferença % 2007 2008 2009 2010 em 3 anos Diretor de Tecnologia (CIO) 38% 34% 32% 23% –39% “Board” de Diretores 21% 24% 28% 32% +52% Diretor Executivo (CEO) 32% 34% 35% 36% +13% Diretor Financeiro (CFO) 11% 11% 13% 15% +36% Diretor de Operações (COO) 9% 10% 12% 15% +67% Diretor de Privacidade (CPO) 8% 8% 14% 17% +113%(11) Nem todos os fatores aparecem. Não soma 100% Respondentes podiam indicar múltiplos fatores.Fonte: 2011 Global State of Information Security Survey®32 Pesquisa Global de Segurança da Informação de 2011
  28. 28. V. Novas áreas de foco: onde estão as oportunidades emergentes Descoberta #12 Não é de surpreender que as redes sociais apareçam como a mais nova área de risco crescente. Descoberta #13 Para muitas empresas, uma das prioridades é atenuar as consequências de uma violação de segurança, por meio de uma melhor resposta a incidentes. Descoberta #14 Um elemento familiar novo no portfólio do CISO? O seguro. PwC 33
  29. 29. Descoberta #12Não é de surpreender que as redes sociais apareçam como amais nova área de risco crescente.Como se não bastasse a complexidade em se proteger a Poucas empresas se encontram adequadamenteinformação nos processos, na tecnologia e na estrutura preparadas para conter esta nova fronteira deorganizacional das empresas, a disseminação do riscos. A maioria das empresas (60%) ainda precisauso das redes sociais no âmbito corporativo cria, em implementar tecnologias de segurança que suportemtodo o mudo, uma nova fronteira de riscos para as aplicações Web 2.0 como redes sociais, blogs ouorganizações. wikis. Além disto, 77% ainda não estabeleceram políticas e práticas de segurança específicas para o usoOs riscos, na perspectiva da segurança de informação, corporativo de redes sociais ou da tecnologia Web 2.0,incluem os de perda ou vazamento de informações, uma medida crítica que custaria virtualmente muitoos de impacto na imagem da empresa por declarações pouco. (Figura 14).ou informações inapropriadas em nome da empresa,os de impacto legal ou financeiro por download deprogramas piratas, os de roubo de identificação (Id eSenha), que direta ou indiretamente comprometa arede e as informações da empresa, e os de agregação dedados na construção do perfil de um indivíduo para seestruturar ataques de segurança por meio de práticas deengenharia social.34 Pesquisa Global de Segurança da Informação de 2011
  30. 30. Figura 14: Percentual de respondentes que relataram as seguintes medidas de segurança em suas empresas. (12) Implementaram tecnologias de 2010 40% segurança para aplicações Web 2.0 como redes sociais, blogs ou wikis 2009 40% Possuem políticas de segurança para o 2010 23% uso de redes sociais ou de tecnologias Web 2.0 2009 23%(12) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey®Descoberta #13Para muitas empresas, uma das prioridades é atenuar asconsequências de uma vulnerabilidade de segurança, por meio deuma melhor resposta a incidentes.À primeira vista, o fato de quase seis em cada dez entrevistados (58%) declarar que sua empresa tem umplano de contingência para incidentes de segurança parece positivo. (Figura 15).Mas quando você analisa este número considerando o percentual dos que consideram este plano eficaz(63%), os resultados são decepcionantes.Isso significa que, de fato, a maioria das empresas (63%) ou não tem um plano de contingência ou, se tem,ele não cumpre o seu propósito com eficácia.Figura 15: Percentual de respondentes querelataram se a empresa tem ou não um plano decontingência para resposta a incidentes Sim 58% Não 23% Não sei 19%Fonte: 2011 Global State of Information Security Survey® PwC 35
  31. 31. Descoberta #14Um elemento familiar novo no portfólio do CISO? O seguro.É fato que as empresas tomam continuamente medidas Surpreendente, pois quase a metade (46%) respondeupara conter riscos de segurança da informação. Pela “sim”. Além disto, 17% declararam ter requerido osprimeira vez este ano, perguntamos se as empresas direitos diante de um sinistro e 13% ter recebido apossuíam apólices de seguro contra roubo ou uso indenização pelos direitos. A expectativa é que estesinadequado de ativos de informação como dados e números cresçam significativamente nos próximos anos.registros eletrônicos de clientes. (Figura 16). 46%Figura 16: Percentual dos respondentes que declarouas seguintes questões relacionadas a apólices deseguro. (13) 17% 13% Sim, nossa empresa Sim, foi requerido Sim, recebemos tem apólice de seguro o direito diante de a indenização contra roubo ou um sinistro dos respectivos uso inadequado de direitos ativos como dados ou registros eletrônicos de clientes(13) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey®36 Pesquisa Global de Segurança da Informação de 2011
  32. 32. VI. Tendências regionais: a troca da guarda Descoberta #15 Com confiança, persistência e iniciativa, a Ásia parece determinada em se tornar o novo líder global em segurança de informação. Descoberta #16 Com mais atenção e restrição e sem apresentar a mesma perspectiva de crescimento da Ásia, a América do Norte desacelera os motores. Descoberta #17 Com otimismo e cautela, a América do Sul pisa no acelerador e no freio quase ao mesmo tempo. Com falta de senso de urgência e de direção segue a Europa. PwC 37
  33. 33. Descoberta #15Com confiança, persistência e iniciativa, a Ásia parecedeterminada em se tornar o novo líder global em segurança deinformação.Após perseguir a América do Norte por muitos anos, a Da mesma forma, as empresas asiáticas buscam,Ásia demonstra níveis superiores de maturidade e de com maior vigor e energia, medidas estratégias paracapacidade em segurança do que qualquer outra região atingir os objetivos de segurança no atual contextodo mundo. econômico. Por exemplo, o fortalecimento das competências de governança, risco e compliance noEscolha uma métrica. As respostas dos asiáticos contexto da segurança da informação é apontadoapontam a “demanda do cliente” como um dos com determinação pelos respondentes asiáticos queprincipais motivadores para os gastos com segurança, consideram estas competências como “prioridade top”,cujos montantes são muito superiores aos gastos de “muito importante” ou “importante” (75%), superandooutras regiões do mundo. Eles, também, perceberam a América do Sul com 70% e contrastando com Américarapidamente o aumento da importância e do papel do Norte com 66%) e Europa com 56%.da segurança nas empresas em função da crise e dainstabilidade econômica mundial. Eles estão muito Seria apenas um ponto fora da curva de tendênciasmais focados em programas de proteção de dados de vários anos? Não. Muito pelo contrário. A Ásia, hádo que seus pares em outras regiões do mundo Eles anos, vem destinando volumes significativos de recursostêm uma atitude muito mais progressiva a respeito de para programas de segurança de informação.práticas emergentes como, por exemplo, na contrataçãode pessoal dedicado à segurança para apoio às áreas O cenário na Ásia é muito favorável. Os asiáticosde negócios e na implementação de tecnologias de estão muito mais otimistas quanto ao aumento dossegurança para soluções Web 2.0. investimentos em segurança nos próximos meses, quando comparados aos seus pares em outras regiões do mundo. Em breve, a Ásia será líder em segurança da informação. Será em um ano? Ou em dois? O fato é que a Ásia está posicionada para conquistar a liderança. (Figuras 17 e 18).38 Pesquisa Global de Segurança da Informação de 2011
  34. 34. Descoberta #16 Descoberta #17Com mais atenção e restrição e sem Com otimismo e cautela, a Américaapresentar a mesma perspectiva de do Sul pisa no acelerador e no freiocrescimento da Ásia, a América do quase ao mesmo tempo. Com faltaNorte desacelera os motores. de senso de urgência e de direção segue a Europa.Em enorme contraste com os avanços asiáticos emsegurança de informação, que vem dando foco em Ao contrário da Ásia, que parece ter quase ignoradoquestões estratégicas como o alinhamento entre a muitos dos impactos de curto prazo da economia globalsegurança e o negócio e a necessidade vital de se na segurança de informação, o foco da América do Sulproteger os dados nas empresas, a América do Norte no último ano foi volátil e antagônico. Se por um lado adecidiu reduzir os investimentos em segurança da América do Sul ficou atrás do Oriente Médio e da Áfricainformação e preservar os recursos financeiros. como regiões propensas a adiar as ações de segurança ou a reduzir investimentos e despesas operacionais,Era de se esperar. O nível de maturidade da maioria das como sinal de cautela à crise econômica, por outro, oscompetências de segurança de informação na América sul-americanos estão próximos dos asiáticos quanto aodo Norte se manteve estável ou declinou nos últimos 12 otimismo no aumento dos investimentos em segurançameses. da informação nos próximos 12 meses.Embora em menor número, há alguns pontos para Ao mesmo tempo, em um ano em que várias regiõesserem destacados. Eles incluem os avanços da do mundo estão aumentando em dois dígitos suaAmérica do Norte na adoção de softwares de gestão preocupação com o enfraquecimento da segurança dede segurança e melhorias no impacto causado pela seus fornecedores e parceiros de negócios devido àsvirtualização nas funções de segurança de informação. condições econômicas, a preocupação com esse aspecto diminuiu na América do Sul. Um sinal de preocupaçãoEntretanto, a “gasolina do carro” Norte Americano não é que apenas 28% dos sul-americanos declararam queé a mesma. Se por um lado os executivos asiáticos agem suas empresas realizam avaliações de segurança emproativamente e apontam a “demanda de clientes” terceiros que lidam com os dados pessoais de clientes ecomo a principal justificativa de gastos com segurança, funcionários.os norte-americanos são reativos e apontam comoprincipal justificativa de gastos as exigências legais e Na Europa, o foco em informação é muito mais suave.regulatórias. A Europa está atrás de outras regiões quanto ao nível de maturidade de segurança. Embora estejamIsto é revelador e, talvez, um pouco profético. Em buscando estratégias semelhantes para fazer frente aosalguns anos, poderemos olhar para a primeira impactos causados pelas condições econômicas, comodécada deste século e concordar que a segurança da priorizar investimentos de segurança com base eminformação, em sua adolescência, se desenvolveu tendo risco, os europeus estão fazendo isso com um nível decomo referência o rigor do ambiente legal e regulatório comprometimento muito menor do que seus pares emdeterminado pela liderança norte-americana em outras regiões do mundo. Como a América do Norte,segurança até 2009. Mas, com o amadurecimento da a Europa tem uma visão limitada das ocorrênciassegurança de informação até se tornar parte integrante de segurança e, portanto, não está percebendo odas funções de negócio, garantindo assento na direção verdadeiro impacto dessas ocorrências nos negócios.da empresa, o atendimento à demanda dos clientes e Enquanto 68% dos europeus que responderam ao incremento de receita que segurança pode trazer ao pesquisa dizem que sua empresa dispensa alto nível dese alinhar verdadeiramente ao negócio se tornaram importância à proteção de informações dos clientes,a “cenoura” ou o principal direcionador do setor. E nas outras regiões do mundo as respostas refletem maispodemos, também, considerar o domínio da Ásia no convicção, direção e urgência. Isto é na Ásia, 80%;setor, cujos primeiros sinais apareceram em 2009 e América do Norte, 80%; América do Sul, 76%. (Figuras2010, marcando o início de uma nova fase de evolução 17 e 18).para a segurança da informação nas organizações emtodo o mundo. (Figuras 17 e 18). PwC 39
  35. 35. Figura 17: Diferenças regionais nas práticas de segurança de informação. (14) América América Ásia Europa do Norte do Sul Um direcionador líder nas despesas com segurança: condições econômicas 53% 55% 51% 41% Um direcionador líder nas despesas com segurança: continuidade do negócio 50% 42% 35% 29% Um direcionador líder nas despesas com segurança: reputação da empresa 41% 33% 37% 28% Uma das justificativas mais dadas para segurança: ambiente regulatório/legal 45% 55% 35% 35% Uma das justificativas mais dadas para segurança: exposição/resp. potencial 45% 50% 32% 25% Uma das justificativas mais dadas para segurança: demanda do cliente 52% 37% 39% 29% Despesas com segurança crescerão ou se manterão estáveis 86% 71% 81% 68% Percebem proteção de informações do cliente “importante/extremamente importante” 80% 80% 76% 68% Usam software corporativo de gestão de segurança 49% 42% 41% 34% Têm inventário preciso de onde os dados sensíveis estão armazenados 42% 40% 33% 24% Têm uma estratégia geral de segurança da informação 68% 73% 58% 60% Têm baselines de segurança estabelecidas para parceiros e clientes 46% 55% 47% 39% Têm pessoal dedicado à segurança dando suporte a departamentos de negócio 56% 45% 51% 38% Têm padrões de segurança para dispositivos portáteis 52% 47% 41% 36% Criptografam mídia removível 59% 44% 53% 43% Usam ferramentas para descobrir dispositivos não autorizados 56% 56% 52% 45% Usam ferramentas para evitar o vazamento de dados (DLP) 50% 46% 41% 40% Têm tecnologias de segurança com suporte à Web 2.0 48% 36% 43% 32% Número de incidentes de segurança nos últimos 12 meses: desconhecido 14% 37% 19% 29% Tipo de incidentes de segurança: desconhecido 22% 43% 35% 40% Possível fonte de incidentes: desconhecido 26% 44% 31% 41% Impactos de incidentes de segurança no negócio: perdas financeiras 26% 12% 27% 14% Impactos de incidentes de segurança no negócio: roubo de propriedade intelectual 18% 11% 17% 12% Impactos de incidentes de segurança no negócio: marca/reputação comprometida 18% 8% 13% 12% Conduzem avaliação de risco da empresa pelo menos duas vezes ao ano 41% 28% 42% 33% Continuamente priorizam ativos de informação de acordo com o nível do risco 24% 16% 20% 16% Têm processo centralizado de gestão de segurança da informação 52% 57% 44% 40%(14) Nem todos os fatores aparecem. Não soma 100% Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey®40 Pesquisa Global de Segurança da Informação de 2011
  36. 36. Figura 18: Diferenças entre percepções regionais dos impactos da desaceleração econômica na função desegurança de informação (15) América América Ásia Europa do Norte do Sul O ambiente de risco elevou o papel e a 65% 53% 56% 45% importância da função de segurança de informação. O ambiente regulatório se tornou mais 62% 58% 52% 50% complexo e pesado. Esforços de redução de custo fazem com que 53% 53% 55% 43% segurança adequada seja mais difícil de se atingir. Nossos parceiros de negócio foram enfraquecidos 57% 54% 48% 48% pela desaceleração. Nossos fornecedores foram enfraquecidos pela 55% 52% 46% 46% desaceleração. Os riscos a dados da empresa aumentaram devido 46% 39% 43% 38% a demissões de funcionários. As ameaças à segurança de nossos ativos de 48% 50% 41% 33% informação aumentaram(15) Aqueles que responderam “concordo” ou “concordo totalmente”.Fonte: 2011 Global State of Information Security Survey® PwC 41
  37. 37. Como fica o Brasil nestecontextoLíder no mercado desegurança. Ou visionárioque ainda possui demandasreprimidas?42 Pesquisa Global de Segurança da Informação de 2011
  38. 38. Cerca de 4% executivos que responderam à Pesquisa otimismo do Brasil com relação ao crescimento dosGlobal de Segurança da Informação 2011 informaram gastos com segurança da informação é maior, seocupar posições de trabalho no Brasil, o que é comparado ao resultado global. Isto se deve ao fatosignificativo em termos absolutos (quase 500 do total de a crise econômica mundial não ter surtido porde participantes). Nesta edição da pesquisa decidimos aqui o mesmo efeito devastador que surtiu em outrosentão, pela primeira vez, incluir este capítulo com mercados, especialmente nos EUA. Ou seja, enquanto noalguns dados específicos e conclusões a respeito do restante do mundo as corporações ainda encontram-semercado nacional de segurança da informação. um pouco tímidas e cautelosas em voltar a aumentar os gastos no curto e médio prazo, no Brasil as expectativasA primeira informação analisada não surpreende são mais promissoras, uma vez que dois terços dase demonstra consistência ao ser comparada com o empresas indicam aumentos nos gastos com segurançaresultado obtido na edição anterior da pesquisa. O da informação nos próximos 12 meses. (Figura 19)Figura 19: Percentual de respondentes da pesquisa que relatam que os gastos com segurança aumentarão nospróximos 12 meses. 66% 55% 52% 44% Resultados globais Brasil 2009 2010 Por outro lado, um dado do mercado nacional que muito surpreende, diz respeito à estrutura organizacional. Conforme já mencionado anteriormente neste relatório, já faz alguns anos que a área de segurança da informação não é mais vista única e exclusivamente como um centro de custo de Tecnologia da Informação (TI). A tendência é de que a linha de reporte do CISO, cada vez mais, desprenda-se do CIO. O que surpreende no Brasil é que este movimento parece ocorrer de forma mais intensa, com 46% das respostas relatando que o CISO já se reporta ao “Board” de Diretores. (Figura 20) PwC 43
  39. 39. Figura 20: Percentual de respondentes que relatou que o CISO de sua empresa ou líder equivalente de segurançada informação reporta aos seguintes executivos sênior. Resultados globais 2007 2008 2009 2010 BrasilDiretor de Tecnologia (CIO) 38% 34% 32% 23% 17%“Board” de Diretores 21% 24% 28% 32% 46%Diretor Executivo (CEO) 32% 34% 35% 36% 26%Diretor Financeiro (CFO) 11% 11% 13% 15% 11%Diretor de Operações (COO) 9% 10% 12% 15% 14%Diretor de Privacidade (CPO) 8% 8% 14% 17% 15%Outra constatação interessante da pesquisa foi que as empresas no Brasil parecem ter mais conhecimento arespeito dos incidentes de segurança da informação ocorridos, se comparadas às respostas dos resultadosglobais da pesquisa. Além disso, os incidentes relacionados com exploração de dados ocupam a primeiraposição no ranking e são ainda mais representativos no Brasil do que no resto do mundo, tendo recebido 34%das respostas. (Figura 21).Figura 21: Tipos de incidentes ocorridos. 27% Exploração de dados 34% 25% Exploração de rede 33% 23% Exploração de sistema 25% Exploração de aplicação 16% 18% 20% Exploração de dispositivo móvel 19% 15% Engenharia social 18% Não sei 33% 28% Resultados globais Brasil44 Pesquisa Global de Segurança da Informação de 2011
  40. 40. Os executivos apontaram que a principal estratégia para a mitigação de riscos e o atendimento aos objetivos desegurança é o foco em proteção de dados, com 71% das indicações gerais da pesquisa. No caso do Brasil, estapreocupação é ainda maior, uma vez que 83% dos respondentes brasileiros da pesquisa indicam proteção de dadoscomo “importante”, “muito importante” ou “prioridade imediata”. (Figura 22)Figura 22: Percentagem de respondentes que relataram que, a fim de atingir seus objetivos de segurança,o foco em proteção de dados é importante. 71% 83% Resultados globais BrasilMas é claro que nem tudo são flores, e de certa forma o Talvez os dados positivos do Brasil se justifiquemBrasil também possui os mesmos desafios em segurança pelo crescimento das demandas que se encontravamda informação que os demais países, como a tendência estranguladas. Talvez os números de outros mercadosde novas soluções tecnológicas (ex.: nova geração é que estejam aquém do seu potencial devido aindade dispositivos móveis) que podem ser aplicadas a reflexos da crise global recentemente superada. Oudiretamente ao negócio da companhia e trazem novos talvez os números realmente signifiquem que o Brasilriscos. Ou questões relacionadas à Web 2.0, como redes assumiu, com certeza, uma liderança regional e, quemsociais, blogs e wikis, que provocam tanta dor de cabeça sabe, mundial no tema segurança da informaçãoaos CISOs. por conta do excelente trabalho dos CISO e outros executivos das empresas no país que têm tratado segurança da informação de forma ampla e com a devida importância em suas organizações ao longo destes anos. PwC 45
  41. 41. O que isto significa para o seu negócio Aprenda com a desaceleração e retomada da economia. E faça mudanças importantes. Mas também esteja entre os primeiros a olhar para frente.46 Pesquisa Global de Segurança da Informação de 2011
  42. 42. Foi um ano de muitas incertezas em que o balanço da Entretanto, os sinais de otimismo são incontestáveis.segurança esteve sob avaliação permanente. Da mesma A crescente maturidade funcional da segurança nasforma, os alertas empresariais continuam com: organizações é uma realidade e impossível de não ser notada em todo o mundo.• A disciplina rígida na redução de custos. • Após a “prova de fogo” da economia em 2009, a• O foco na economia de recursos, embora alguns área de segurança está ganhando mais respeito sob processos de segurança estejam começando a se o aspecto de negócios. degradar. • Maior compreensão do valor da segurança, não• O menor número de incidentes, mas com impactos apenas pelo “C-level”, mas também pelas áreas negativos cada vez maiores para o negócio. operacionais da empresa.• O surgimento de novas áreas de risco e com maior • A “demanda dos clientes” está se tornando, cada possibilidade, em comparação com o ano passado, vez mais, um direcionador de investimentos em de que os sistemas de segurança não estejam segurança. adequados para proteger o negócio. • A análise sobre a causa raiz dos incidentes de segurança, onde eles se originam e qual impacto eles causam aumenta a visibilidade da segurança nas empresas. O nível de otimismo dos últimos cinco anos é o mais alto em relação aos investimentos em segurança nas empresas. O que isso significa para o seu negócio? Tire lições da desaceleração e da retomada da economia e faça mudanças cruciais. Da mesma forma, fique atento e seja o primeiro entre os seus concorrentes a encarar e a posicionar estrategicamente a segurança da informação na sua empresa, criando valor e apoiando o desempenho corporativo nos próximos anos. PwC 47
  43. 43. Imagem 23: É um ano incerto – e a segurança está equilibrada? Cuidado Otimismo A disciplina rígida na Após a “prova de fogo” da economia em redução de custos 2009, a área de segurança está ganhando mais respeito sob o aspecto de negócios O foco na economia de recursos, Maior compreensão do valor da segurança, embora alguns processos de não apenas pelo “C-level”, mas também segurança estejam começando a se pelas áreas operacionais da empresa degradar O menor número de incidentes, mas A “demanda dos clientes” está se tornando, com impactos negativos cada vez cada vez mais, um direcionador de maiores para o negócio investimentos em segurança O surgimento de novas áreas de risco e A análise sobre a causa raiz dos incidentes com maior possibilidade, em comparação de segurança, onde eles se originam e qual com o ano passado, de que os sistemas de impacto eles causam aumenta a visibilidade da segurança não estejam adequados para segurança nas empresas. O nível de otimismo proteger o negócio dos últimos cinco anos é o mais alto em relação aos investimentos em segurança nas empresas 201148 Pesquisa Global de Segurança da Informação de 2011
  44. 44. Metodologia A Pesquisa Global de Segurança da Informação 2011 (Global State of Information Security Survey®) é um estudo mundial de segurança realizado pela PwC em parceria com a CIO Magazine e CSO Magazine. Esta pesquisa foi conduzida online entre 19 de fevereiro de 2010 e 4 de março de 2010. Leitores das revistas CIO e CSO e clientes da PwC de todo o mundo foram convidados por email a responder à pesquisa. Os resultados discutidos neste relatório têm por base as respostas de mais de 12.800 CEOs, CFOs, CIOs, CSOs, vice-presidentes e diretores de TI e segurança da informação de 135 países, sendo quase 500 respondentes do Brasil. 37% dos respondentes são da Ásia, 30% da Europa, 17% da América do Norte, 14% da América do Sul e 2% do Oriente Médio e da África do Sul. A margem de erro é menos de 1%. PwC 49

×