10Minutos
Segurança da Informação
10 Minutos sobre a segurança
da informação
Dezembro 2012Ameaças emergentes
exigem estratégias
sofisticadas e novas
competências técnicas
A segurança da informação sempre foi pauta importante dentro das empresas. Hoje, no entanto, demanda mais atenção e se configura em um jogo cada vez mais complexo e desafiador. Novas ameaças surgem a todo momento, e as organizações correm o risco de ficar para trás em sua capacidade de defesa, comprometendo a reputação e as finanças. Há otimismo dentro das companhias. Contudo, em muitas delas cortes de orçamento levaram à degradação dos programas de segurança. Paralelamente, em alguns casos os altos executivos são vistos como parte do problema, e não como elementos de solução.
A ideia central da Pesquisa Global de Segurança da Informação 2013 da PwC, cujos principais resultados são apresentados a seguir, é que as práticas de segurança da informação estão, como nunca, em provação. O simples temor dos tradicionais hackers é coisa do passado. O crime cibernético organizado, o ativismo no ciberespaço, a guerra que se trava nesse ambiente e as ameaças emergentes das armas digitais trazem novos riscos e despertam um estado de alerta em países, sociedades e organizações.
As tecnologias emergentes, os dispositivos móveis, a computação na “nuvem”, as redes sociais e o big
data são vetores de transformação das empresas
na era digital e exigem programas robustos de segurança. Nesse cenário, a maioria dos executivos de vários setores empresariais no mundo, inclusive
Algumas conclusões:
1. O número de incidentes de segurança cresceu ligeiramente e, ao mesmo tempo, as perdas financeiras decorrentes de falhas de segurança diminuíram de modo significativo.
2. É mais fácil proteger a informação quando se sabe onde ela está armazenada. Contudo, a maioria das empresas não mantém um controle tão rígido de seus dados quanto fazia há alguns anos.
3. Ter um técnico eficaz é fundamental para uma equipe vitoriosa. Os executivos ainda precisam demonstrar liderança em estratégia de segurança. Os executivos líderes de segurança, entretanto, ainda carecem de acesso adequado à alta administração.
Destaques
Os orçamentos têm crescido menos, mas os recursos financeiros voltaram a ser aplicados em projetos de segurança.
No Brasil, o cenário é de otimismo. Mais de 70% dos respondentes pretendem ampliar os investimentos em segurança da informação.
Quase metade (42%) dos participantes da pesquisa percebe suas empresas como líderes em termos de estratégia e execução das práticas de segurança da informação.
A conjuntura econômica é, de longe, o principal determinante dos investimentos em segurança: foi citada por 46% dos respondentes. Esse percentual representa uma queda em relação a 2011 e 2010. Apenas 3,6% apontaram como prioritário o estabelecimento de um comando para a gestão dos riscos do ciberespaço em suas empresas nos próximos 12 meses.
Instantâneo
• Mais incidentes: Houve um aumento
marginal do número de incidentes de segurança, em comparação com o ano passado. Um total de 13% dos respondentes relata ter tido 50 ou mais incidentes, um pouco acima do observado em 2011, porém muito mais do que os níveis informados em pesquisas anteriores. Cerca de um terço dos participantes da pesquisa afirma não ter havido incidentes em sua empresa, e mais de 14% admitem não saber.
• Focos de investimento: O fator
diretamente relacionado à segurança mais citado foi o de continuidade dos negócios/recuperação de desastres, com 31% de respostas, muito abaixo dos 40% registrados há apenas dois anos. A reputação da empresa tem a mesma importância, tendo tido 30% de menções. Em contrapartida, algumas empresas só investem em segurança por exigência dos órgãos reguladores (29%) ou das políticas internas de compliance (28%).
• Ciência dos riscos: 67% (média global)
das organizações têm muita ou alguma ciência dos riscos cibernéticos. O Brasil alcança 73%, a China quase 85%. Ainda há quase 12% das empresas (média global) que revelam falta de ciência dos seus riscos, contrapondo-se aos quase 5% do Brasil, aos quase 1% da China, aos 0% da África do Sul, mas alinhando-se aos quase 14% que responderam “Não sei” nos Estados Unidos.
• Orçamento (Brasil): Os investimentos
em segurança da informação têm alcançado volumes significativos: 16% dos respondentes afirmam possuir orçamentos entre US$ 1 e 9 milhões, enquanto 28,2% revelam que os gastos com segurança da informação sofreram elevação de até 10%. Uma parcela muito pequena dos participantes (4,4%) espera uma redução acima de 11%.
Nível de ciência da organização a respeito dos riscos cibernéticos
Muita ou alguma ciência Pouca ou nenhuma ciência Não sabe 90,0% 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0%
Global Brasil Índia China África
do Sul Estados Unidos
Existência de um plano de contingência adequado para responder aos incidentes de segurança Brasil Global Não Não sabe Sim 28% 25% 59% 54% 13% 20%
Avaliação das empresas sobre sua
segurança revela otimismo exagerado
As autoavaliações positivas predominam na pesquisa: uma quantidade considerável de respondentes afirma que suas empresas se qualificam como líderes na área de segurança da informação. A análise mais cuidadosa dos dados, entretanto, revela otimismo exagerado. Os verdadeiros líderes devem, entre outras qualidades, ter uma estratégia de segurança da informação e adotá-la de forma abrangente, mensurar e avaliar a eficácia dos procedimentos de segurança e compreender com exatidão os tipos de incidentes de segurança ocorridos no último ano. Com base nesses quesitos, a PwC verificou que apenas 8% dos respondentes podem ser considerados verdadeiros líderes.
Confiança alta
A maioria também acredita que sua empresa solidificou comportamentos eficazes de segurança da informação na cultura organizacional: 29% e 39% dos respondentes têm, respectivamente, muita ou alguma certeza de haver incorporado esses comportamentos à cultura da empresa. Apenas 20% têm pouca ou nenhuma certeza e 12% não sabem. Porém, há menos clareza quanto ao fato de a segurança ter-se tornado parte do dia a dia.
Um exame das rotinas e interações de que consiste um dia típico de trabalho revela uma discrepância entre a percepção e a realidade. Por exemplo, apenas um de cada quatro respondentes afirma que, nos grandes projetos, a segurança é levada em consideração desde a fase de concepção do projeto.
A forma como as organizações estão interagindo com terceiros também reflete falta de comprometimento. A maioria não tem um processo definido de resposta a incidentes que permita ter conhecimento de falhas na manipulação de dados ocorridas em empresas terceiras (parceiros) e preparo para reagir adequadamente às circunstâncias. Além disso, menos de um terço exige que os parceiros cumpram as mesmas políticas de privacidade.
Execução faz diferença
Bons comportamentos geram bons resultados, por isso não surpreende que a maioria dos participantes afirme adotar práticas eficazes de segurança da informação, embora não se dê conta de que o nível de confiança nessa área diminuiu com o tempo. A maioria dos respondentes tem uma forte convicção de que, em sua empresa, a segurança da informação é boa no nível básico. Mais de 70% estão muito (32%) ou de alguma forma (39%) confiantes na efetividade das atividades de segurança da informação nas suas empresas. No entanto, por melhores que sejam esses números, um exame dos últimos anos demonstra uma queda na confiança. Há uma estabilidade em relação ao resultado de 2011, mas a porcentagem de executivos confiantes na segurança em suas empresas ultrapassava, em geral, os 80%, entre 2006 e 2009, e caiu para 74% em 2010. Certeza de que comportamentos eficazes de segurança da
informação fazem parte da cultura organizacional
Muita certeza Alguma Certeza 12% 20% 29% 39% Pouca ou nenhuma certeza Não sabe
Riscos e desafios:
perda gradual de competências
Os orçamentos têm crescido menos, mas os recursos financeiros voltaram a ser aplicados em projetos de segurança. A pesquisa apontou que menos da metade (45%) dos participantes prevê um aumento de verba nos próximos 12 meses. Mais de um quarto planeja contenção de despesas e quase 10% esperam uma queda. No geral, o orçamento para projetos esteve bem protegido de cortes. No Brasil, mais de 70% dos respondentes pretendem ampliar os investimentos, principalmente em áreas emergentes, como dispositivos móveis, redes sociais e proteção de dados.
A conjuntura econômica é, de longe, o principal determinante dos investimentos em segurança, tendo sido citada por 46% dos respondentes. No Brasil, 41,1% dos respondentes consideram que a preservação da reputação da empresa também é um direcionador. Isso representa um risco, dado que a instabilidade do fator econômico e a atividade de hackers, do hackerativismo e dos criminosos cibernéticos são mais acentuadas nos países emergentes.
Menos rigor
As empresas têm suprimido regras, e, com isso, certos elementos antes bem estabelecidos nas políticas de segurança da informação estão mais raros. Houve queda no uso de ferramentas de segurança da informação e observa-se um relaxamento das políticas que estabelecem padrões nas organizações. Além disso, a maioria das não mantém um controle tão rígido de seus dados quanto fazia há alguns anos.
Difícil controle de acesso
O uso massivo, dentro e fora das empresas, das mídias sociais, da computação em nuvem e dos dispositivos móveis avança de forma muito mais acelerada que a evolução das tecnologias e práticas de segurança aplicadas aos riscos desse movimento. O desafio está em como estabelecer padrões técnicos corporativos que permitam estabelecer níveis de segurança adequados para uma enormidade de dispositivos. E mais: é difícil assegurar que as políticas de segurança serão minimamente cumpridas na utilização de dispositivos usados para atividades pessoais e corporativas.
Mais ataques
O avanço e a complexidade dos ataques de hackers e criminosos têm sido assustadores nos últimos dois anos. Muito tem sido feito nas organizações para estabelecer procedimentos estruturados de resposta a incidentes. Aliás, 83% dos respondentes declaram ter esses procedimentos em prática. A fraude tem sido apontada de forma consistente nos últimos três anos como um dos desdobramentos ou impactos dos incidentes de segurança.
Global – Quais foram os impactos dos incidentes de segurança?
Roubo de propriedade intelectual 32% 2010 2011 201 Fraude Exposição legal/ Ação judicial Comprometimento da Marca/Reputação 33% 24% 17% 15% 15% 13% 10% 8% 30% 31% 24%
Liderança é o maior obstáculo
para avanços na área
Ter um técnico eficaz é fundamental para uma equipe vitoriosa. Os respondentes apontam que os executivos ainda precisam demonstrar liderança em estratégia de segurança da informação. Os executivos líderes nessa área, entretanto, ainda carecem de acesso adequado à alta administração. Mais da metade dos participantes afirma que a liderança é o maior obstáculo para melhorar a efetividade na segurança da informação. Outros aspectos também foram mencionados, como falta de orçamento, ausência de estratégia e insuficiência de mão de obra qualificada.
A falta de profissionais e de recursos disponíveis para treinamento em segurança é um problema grave. É impossível manter um programa de segurança eficaz sem capacitação adequada. Mesmo assim, apenas metade dos respondentes diz que sua empresa oferece treinamento de segurança e privacidade da informação a seus colaboradores.
Tendências por continente
A confiança na segurança da informação está em alta na Ásia. Parte dessa percepção é justificada por
estratégias, tecnologias e processos em vigor. Com mais frequência do que em outras regiões, os executivos no comando da segurança na Ásia estão subordinados diretamente ao CEO. Isso revela a importância da questão na cultura organizacional. As organizações asiáticas estão no topo da média global (ou próximo a ele) quanto ao emprego de tecnologias de segurança e privacidade, assim como quanto à aplicação de boas práticas nos processos de segurança.
Os orçamentos para segurança permanecem estáveis na América do Norte, mas observam-se investimentos crescentes em algumas atividades de segurança. O lema dos norte-americanos parece ser: Elabore um plano de trabalho e ponha-o em execução. As respostas das empresas da região demonstram que elas seguem mais adequadamente o planejamento elaborado para os projetos de TI. Esses mesmos participantes também se sobressaem em áreas fundamentais, como mobilidade, mídias sociais e computação em nuvem. Já na Europa, os investimentos estão estagnados e as medidas de segurança enfraquecem, porém há melhorias em algumas práticas. Os participantes europeus demonstram pouca confiança na eficácia de suas políticas e práticas de segurança da informação. Por outro lado, a Europa tem a maior quantidade de empresas que dispõe da função de Chief Privacy Officer (ou cargo equivalente), além de ter um bom número de CISOs e CSOs.
Na América do Sul, há um evidente clima de otimismo. Os investimentos aumentaram após uma estagnação, e os níveis de confiança estão em recuperação. Em termos de tecnologias de privacidade e segurança, a América do Sul, em geral, está à frente da Europa e, em alguns casos, já ultrapassou a América do Norte. Com relação ao futuro, os respondentes afirmam que a região vai bem quanto às ações relacionadas à segurança de tecnologias móveis, pelo menos quando comparada com outras regiões.
Plenamente
alinhados Relativamente alinhados
Global Brasil
Alinhamento das políticas de segurança com os objetivos de negócio
33% 41% 39% 46% Pouco alinhados 12% 11% Não alinhados 9% 11%
As práticas adotadas pelas
empresas líderes
Milhares de executivos foram envolvidos nesta pesquisa. Profissionais que tratam o tema da segurança da informação de modo sério. De fato, o emprego deles e o sucesso de suas empresas dependem de decisões acertadas nessa área. No entanto, somente 8%
responderam às perguntas segundo os critérios definidos pela pesquisa para caracterizar um verdadeiro líder nesse campo - um grupo seleto de profissionais com visão, determinação, habilidades e estrutura para criar programas efetivos de segurança.
Entre os líderes há uma porcentagem maior de participantes da América do Norte e da Ásia do que da Europa ou da América do Sul. De maneira geral, é mais provável que os executivos em posição de liderança atuem em grandes empresas e tenham sob seu comando um orçamento de segurança e de TI maior que o de seus colegas de mesmo nível hierárquico.
Prevenção com resultados melhores
As empresas que estão na verdadeira liderança da área de segurança da informação, muito mais que as outras, empregam estruturas integradas de gestão de risco,
compliance, segurança da informação, privacidade
de dados, gestão de identidades digitais e gestão de continuidade de negócios.
Os líderes também estão menos propensos a reduzir gastos com segurança e mais inclinados a aumentá-los, além de atingir resultados melhores que as outras empresas em quase todos os aspectos da prevenção. Eles avaliam as perdas financeiras de maneira mais pormenorizada e estão muito mais alinhados com a estratégia de negócio como um todo do que os não líderes, ainda que possam melhorar muito neste aspecto, em especial com relação a como aplicam os recursos financeiros.
Em algumas áreas fundamentais, há uma grande distância entre os líderes e os outros respondentes. Por exemplo, os líderes estão muito menos propensos a adiar projetos e fazer cortes no orçamento. Eles também empregam muito mais CISOs do que a população global pesquisada (90% x 42%) e também muito mais CSOs (70% x 34%).
No que diz respeito à segurança de novas tecnologias, como dispositivos móveis, mídias sociais e a nuvem, os líderes estão na dianteira em termos de estratégia, além de estarem muito à frente no emprego de mecanismos de proteção contra malware e no lançamento de ações de segurança para dispositivos móveis.
Por fim, os líderes sabem o que se passa em sua empresa
Como melhorar o desempenho
Nos dias de hoje, a segurança da informação é um “jogo” de técnicas e estratégias avançadas que se transforma com rapidez. Como consequência, os modelos da década passada não são mais adequados. Os líderes reconhecem que, para ter uma segurança eficaz, é preciso se transformar e adotar uma nova maneira de pensar. Eles estão cientes de que a própria sobrevivência do negócio exige a compreensão das ameaças de segurança, o preparo para enfrentá-las e respostas rápidas.
Para fortalecer as práticas, as empresas devem: 1. Implantar uma estratégia abrangente de avaliação de riscos e adequar a eles os investimentos de segurança.
2. Compreender as informações de seus negócios, conhecer os potenciais interessados nelas e as táticas que os concorrentes podem vir a empregar para obtê-las.
3. Entender que os requisitos da área de segurança da informação e, na verdade, as estratégias de negócios como um todo passam por profundas transformações.
4. Adotar uma nova maneira de pensar, na qual a segurança da informação seja tanto um meio de proteção de dados quanto uma oportunidade para criar valor para a empresa.
Para obter mais informações sobre
segurança da informação, entre em
contato com:
Edgar R. P. D’Andrea
Sócio Líder da Prática de Segurança da InformaçãoTel: (11) 3674 3730
edgar.dandrea@br.pwc.com
Compartilhe conosco o que você acha da
série 10Minutos e quais temas gostaria de
conhecer melhor.
Acesse: www.pwc.com.br/10minutosopiniao
© 2013 PricewaterhouseCoopers Brasil Ltda. Todos os direitos reservados. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Brasil Ltda., a qual é uma firma membro do network da PricewaterhouseCoopers, sendo que cada firma membro constitui-se em uma pessoa jurídica totalmente separada e independente. O termo “PwC” refere-se à rede (network) de firmas membro da
Twitter@PwCBrasil Siga-nos
facebook.com/PwCBrasil
![Referências Técnicas sobre a Prática de Psicólogas (os) no Centro de Referência Especializado da Assistência Social - CREAS [2013] - CREPOP CREPOP](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACH5BAEAAAAALAAAAAABAAEAAAICRAEAOw==)