O alto custo de não ter uma Segurança da Informação adequada

(1)

O alto custo de não ter uma

Segurança da Informação adequada

(2)

Segurança de TI é um exercício de balanceamento. Quando diminuem os recursos empregados em segurança o risco aumenta e a probabilidade de se gastar mais que do que foi economizado em ações de remediação e reparo aumenta junto.

Por causa disso, quando o orçamento de TI diminui o de segurança normalmente não diminui na mesma proporção colocando um holofote sobre os responsáveis. Está aí o desafio: como aplicar de forma mais eficiente os recursos destinados a segurança de TI buscando manter a proporção em relação ao gasto total e o nível de segurança ao mesmo tempo?

Não existe solução fácil e imediata para o problema e a abordagem pode variar de acordo com a indústria, localização e cultura organizacional. Porém, todas passam por uma gestão da segurança mais eficiente e planejada, fugindo da tentativa de desaparecer com os problemas apenas adquirindo as conhecidas

"varas de condão" que proliferam toda vez que surge um novo tipo de ameaça.

Esse White Paper busca os principais pontos a serem avaliados para o que todos nós já sabemos: o alto custo de não ter uma segurança da informação adequada.

“Os compradores estão mais cautelosos em suas decisões de compra. As estratégias dos prestadores de serviços e parceiros devem ser alinhadas continuamente para se ajustarem a um mercado cada vez mais dinâmico e em constante mudança"

Gartner

(3)

Ambiente de Segurança

A Pesquisa Global sobre Segurança da Informação 2015 da PWC mostra que os casos de violação de segurança continuam crescendo e os prejuízos por eles causados, também. O número de incidentes detectados teve uma alta de 48% em relação ao ano anterior e as previsões não são otimistas.

Qualitativamente as ameaças - e seus protagonistas - vêm mudando significativamente de perfil. Antes concentradas em pirotécnicas negações de serviço, agora movem-se silenciosamente pela seara do roubo, sequestro de dados e adulteração de informações. Está aí a indústria do ransomware que confirma essa mudança.

Igualmente notório é o ritmo da evolução e adoção, no uso diário, de dispositivos de armazenamento removíveis e dispositivos de computação móveis de toda natureza. Tudo isso em nome da velocidade e produtividade da força de trabalho, cada vez mais atuante fora da mesa do escritório.

A oferta crescente e a adoção de aplicações no modelo SaaS (Software-as-a-service), onde pretende-se que as aplicações que podem envolver tráfego de informações sensíveis do negócio sejam acessadas de dentro e de fora da empresa e residam fora do ambiente sob controle total da corporação, implica em novos limites e modelo de gestão do controle da informação. Por causa de questões que vão de limitações legais a SLAs inócuos, a adoção por parte das grandes corporações ainda é tímida, é verdade, mas a tendência é inegável.

Apesar da competição exigir que agilidade seja uma característica de quase todas as corporações, não existem indícios de que as revisões dos controles relativos a segurança da informação irá diminuir de volume ou complexidade. Muito pelo contrário, a turbulência econômica atual, as questões levantadas pelas mudanças impostas pelo uso de aplicações e software no modelo de serviços e a adoção generalizada de sistemas virtualizados apontam na direção contrária.

Em resumo, temos mudanças de paradigma, complexidade crescente, descentralização de recursos e

aumento dos controles exigidos. Era de se esperar que, para fazer frente a esses elementos,

estivessem disponíveis muito mais recursos, mas não é exatamente o que acontece.

(4)

Para começar a formar uma visão mais abrangente do panorama da segurança da informação no mundo, convém analisar alguns dados relevantes, começando pelos tipos de ameaças que as empresas enfrentam atualmente.

Segundo relatório do CESG (órgão do governo inglês que atua de forma consultiva na área de segurança de informação), existem dois grandes grupos que englobam os principais tipos de ameaças: as direcionadas e não direcionadas.

Ameaças direcionadas: aqui as empresas são escolhidas como alvos, sendo o ataque planejado especificamente contra ela; nele estão ataques de negação de serviço (DDoS), spear-phishing (onde um membro da empresa recebe um e-mail, por exemplo, com conteúdo malicioso) e ataques direcionados a sistemas e programas da organização, por exemplo.

Ameaças não direcionadas: nele estão os populares ransomwares (prática de criptografar o conteúdo do equipamento e cobrar seu resgate), phishing (como o spear-phishing, porém sem alvo específico) e water-holing (site falso ou clone do verdadeiro).

Embora tudo isso possa parecer uma realidade distante para muitas empresas, o perigo é real e afeta empresas de todos os tamanhos, mercados e países, com consequências preocupantes. Nos EUA, o custo médio anual do cibercrime em 2015 foi de US$15 milhões, segundo pesquisa do Instituto Ponemon, um aumento de 19% em relação a 2014; já no Brasil esse número é mais alarmante, subindo para US$20 bilhões, uma média de US$154 por cada dado roubado. O mesmo instituto levantou o impressionante crescimento do roubo de dados: 2100%.

A Intel Security, em sua pesquisa mundial, reportou já em 2014 um total de US$445 bilhões em perdas financeiras e, como consequência direta, mais de 150.000 pessoas ficaram desempregadas somente na Europa. Já o FBI declarou recentemente que o ransomware será um negócio de US$ 1 bilhão apenas em 2016.

Os índices podem variar um pouco dentre as pesquisas publicadas, mas sabemos que os números são ainda maiores, considerando que muitas empresas não reportam seus problemas de vazamento de informações.

(5)

As duras consequências

Mas, afinal, quais são custos de não investir adequadamente em segurança, que intitula esse documento?

Eles podem variar de acordo com o tamanho da empresa e o segmento de mercado na qual ela está inserida, mas os principais são:

 Perda temporária ou permanente de informações

Sejam elas referentes à propriedade intelectual da empresa ou dados de clientes.

 Interrupção de serviços regulares (lucro cessante)

Uma simples interrupção de um sistema de e-commerce, por exemplo, pode acarretar em prejuízos impensáveis.

 Perdas financeiras associadas à restauração do sistema, custos legais e de TI Multas regulatórias, serviços especializados para correção, dentre outros. A lista pode ser bem extensa, assim como a conta para pagar.

 Danos à reputação da empresa

Intagível num primeiro momento, a perda de confiança dos clientes é uma das consequências que mais demandam tempo e esforço para serem dirimidas.

Consequências como essas não acontecem apenas em gigantes como Target e Sony e devem ser consideradas dentro dos pontos críticos de um planejamento corporativo.

Embora exista, de fato, uma visão macro sobre o cibercrime, ainda fica muito aquém do necessário. Na maioria dos casos, a percepção é que segurança, sendo um problema que envolve tecnologia, será resolvido pela equipe de TI e que nada de grave irá acontecer se houver a aquisição da mesma.

O problema é que “ameaças digitais” englobam uma infinidade de tipos, de naturezas completamente

diferentes entre si e que, além de numerosas, estão constantemente mudando e antecipando-se às novas

tecnologias de proteção.

(6)

__________________________________________________________________________________

Referências:

Aqui estão algumas recomendações que devem ser adotadas em conjunto para que o efeito global sobre a eficiência na aplicação do orçamento de segurança seja relevante:

❶ Definir objetivos de segurança da organização. Estes devem balancear o investimento necessário para atingi-los e o risco intrínseco assumido. Ambos devem ser compatíveis com os padrões da indústria em que a organização atua.

❷ Estabelecer critérios de contabilização de custos de segurança para todos os projetos de TI e analisar os custos de segurança de forma destacada dentro do orçamento global de TI. Dedicar especial atenção às iniciativas e projetos de TI que terão impacto significativo no custo com segurança.

❸ Analisar, a cada ciclo orçamentário, o atingimento de objetivos e o custo efetivo de segurança.

Comparar com a média da indústria em que a organização atua e ajustar, se necessário.

❹ Avaliar a eficiência dos sistemas de segurança atualmente implantados comparando os custos efetivos e os resultados alcançados com os objetivos. Avaliar as tecnologias alternativas disponíveis para os sistemas atuais e realizar uma simulação do ressultado obtido caso estas fossem adotadas.

❺ Padronizar e operacionalizar os processos relativos a segurança. Desenvolver procedimentos de gestão de segurança que permitam integrar os resultados de todos os sistemas adotados. Adotar ciclo PDCA (Plan, Do, Check, Act) formal para aperfeiçoamento constante dos processos relativos a segurança. Avaliar a contratação de serviços de consultoria especializada para implementação da padronização e operacionalização dos processos de segurança.

❻ Considerar a possibilidade de terceirização dos processos operacionais de segurança utilizando empresas especializadas em segurança (MSSPs - Managed Security Service Providers).

❼ Avaliar sistemas de segurança não implantados na sua organização e a contribuição de cada um deles para os objetivos da segurança de TI. Elaborar plano de adoção para os sistemas necessários ou desejáveis e economicamente viáveis. Estudar a possibilidade de contratar os novos sistemas como serviços incluindo na contratação a implantação e operação dos mesmos.

(7)

São Paulo

Av. Ibirapuera, 2.332 | 5º andar 04.028-002 . Moema

Tel: 11 3525-1800

Rio de Janeiro

Av. Presidente Vargas, 3.131 | 16º andar 20.210-911 . Cidade Nova

Tel: 21 3293-1000

Brasília

SCN Qd.02 Bl A | 5º andar 70.712-900

Belém

Av. Gov. José Malcher, 937 | 5º andar 66.055-260 . Nazaré

Sobre a Arcon

Atuando no mercado nacional desde 1995, a Arcon é especializada em segurança de TI com foco em serviços gerenciados de segurança (MSS – Managed Security Services). Com um completo portfólio e sólidas parcerias com os principais fabricantes do mundo, a empresa monitora e gerencia ambientes, mitiga os riscos e previne incidentes em empresas de grande porte. A partir de seus SOCs, a Arcon processa 3+ bilhões de eventos por dia, protege mais de 600.000 ativos e possui inteligência de segurança única na América Latina.

É a única empresa de serviços gerenciados de segurança no ranking Exame PME 2016 das empresas que mais

crescem no Brasil. Nos últimos anos, firmou-se como líder no mercado brasileiro de MSS, tendo conquistado, o

primeiro lugar em MSS no ranking Anuário Outsourcing por 4 anos consecutivos. www.arcon.com.br