Inovando e Transformando em Segurança Cibernética

www.pwc.com.br

Principais conclusões da Pesquisa Global de Segurança da Informação

Maio de 2016

Inovando e Transformando em Segurança Cibernética

Com o aumento permanente das ameaças, conhecer e gerenciar bem os riscos de segurança cibernética se tornou uma das grandes preocupações dos líderes de empresas e governos. E as organizações estão agindo. Cada vez mais, elas adotam tecnologias inovadoras, como a segurança cibernética baseada na nuvem, a segurança analítica e a autenticação avançada para reduzir riscos e melhorar seus programas de segurança cibernética.

Os resultados da Pesquisa Global de Segurança da Informação 2016 apontam que os níveis executivos e os conselhos das empresas estão cada vez mais atentos aos riscos cibernéticos e seus impactos, colocando o tema como prioritário na agenda do board em todas as indústrias. Nesse sentido, a pesquisa mostra a necessidade de ações inovadoras e transformacionais nos fundamentos Cyber Security e Privacidade da Informação das organizações.

Segundo os mais de 10 mil executivos de todo o mundo ouvidos este ano, outra medida notável de progresso é uma renovada vontade de investir em segurança: registramos um aumento de 24% nos orçamentos das empresas pesquisadas destinados a esse tema. Coincidência ou não, as perdas financeiras causadas por incidentes de segurança diminuíram 5% de 2014 para 2015.

No Brasil, o número médio de incidentes de segurança reportados aumentou em 274%, muito superior aos 38% de aumento na média global.

Nas próximas páginas, você poderá entender melhor como as empresas inovadoras estão enfrentando esse desafio.

Apresentação

Fernando AlvesSócio-presidentePwC Brasil

Edgar D’AndreaSócio líder de Cyber Security e Segurança da InformaçãoPwC Brasil

Principais conclusões da Pesquisa Global de Segurança da Informação 2016

PwC 1

Conteúdo

Respostas globais a riscos crescentes 4

Como restaurar a segurança cibernética por meio de inovação 6As vantagens dos modelos baseados em riscos 6Como aproveitar o poder da segurança cibernética baseada na nuvem 7O grande impacto do Big Data 8Substituindo senhas por autenticação avançada 10Como se preparar para a Internet das Coisas 11Pagamentos em dispositivos móveis 14Parcerias para melhorar a inteligência sobre segurança 15

O que não pode ser protegido pode ser segurado 17

O envolvimento crescente dos executivos e do conselho 20Os conselhos estão mais atentos com a segurança cibernética 21Due diligence de segurança cibernética em fusões e aquisições 23

Preparadas para o futuro da segurança cibernética 24

Apêndice A: Respostas para os riscos cibernéticos crescentes 26

Metodologia 29

Contatos da PwC nas áreas de segurança cibernética e privacidade por país 30


PwC 3

Respostas globais a riscos crescentes

38%

Aumento dos incidentesde segurança dainformação detectados

Os números são estarrecedores. Ano após ano, os ataques cibernéticos seguem crescendo em frequência, gravidade e impacto. Os métodos de prevenção e detecção mostraram-se muito ineficazes contra investidas cada vez mais sofisticadas. Muitas organizações não sabem o que fazer, ou não têm os recursos necessários para combater criminosos cibernéticos altamente qualificados e agressivos.

“Muitos executivos apontam a questão cibernética como o risco que defi nirá a nossa geração”, diz Dennis Chesley, líder global de Consultoria em Riscos da PwC.

Ao mesmo tempo, as mudanças tecnológicas continuam a transformar a maneira como as organizações competem e criam valor, muitas vezes alterando seus modelos operacionais. Algumas das tendências de negócios mais importantes atualmente – a explosão da análise de dados, a digitalização das funções de negócios e a combinação das ofertas de serviços de diferentes indústrias, expandem o uso de tecnologias e dados, o que cria riscos em uma quantidade jamais vista.

Além disso, muitos executivos encaram o excesso de regulamentação como a mais importante tendência disruptiva a longo prazo em suas indústrias. Outros impactos governamentais, como o uso de recursos públicos por estados nacionais para financiar e executar ataques cibernéticos têm implicações cada vez mais sérias para a segurança cibernética.

Juntas, essas questões ilustram por que os riscos de segurança cibernética se tornaram prioridade para os líderes de empresas e governos. “Muitos executivos afirmam que a questão cibernética representa o risco que definirá a nossa geração”, diz Dennis Chesley, líder global de Consultoria em Riscos da PwC. “Por isso, as empresas estão adotando uma visão orientada a negócios e em escala corporativa dessa importante área de riscos.”


4 PwC

Os líderes executivos com visão de futuro também estão repensando suas práticas de segurança cibernética e se concentrando em uma série de tecnologias inovadoras que podem reduzir riscos e melhorar o desempenho dos negócios. O elemento que unifica essas tecnologias é a computação em nuvem. A nuvem é essencial no ecossistema digital interconectado dos dias atuais para indivíduos, empresas e governos. Além disso, é a plataforma na qual organizações de todos os portes estão conseguindo usar e conectar ferramentas de segurança cibernéticas, análise de Big Data e autenticação avançada. A nuvem também é o veículo para novas plataformas tecnológicas, como a Internet das Coisas e os meios de pagamento móveis.

Em resumo, a computação em nuvem teve um impacto gigantesco na inovação tecnológica na última década e deve continuar a ter. A empresa de pesquisas IDC prevê que os gastos em computação em nuvem pública se elevarão para US$ 70 bilhões este ano e que o número de novas soluções baseadas na nuvem triplicará ao longo dos próximos quatro a cinco anos.1

Mas a tecnologia sozinha não vai transformar a situação da segurança cibernética. Organizações maduras sempre souberam que é essencial levar em conta também o lado humano da equação da segurança. É por essa razão que muitas estão evoluindo para uma abordagem de segurança cibernética mais colaborativa, na qual a inteligência sobre ameaças e as técnicas de resposta sejam compartilhadas com parceiros externos nos setores público e privado.

1 IDC, Public Cloud Computing to Reach Nearly $70 billion in 2015 Worldwide, According to IDC, 21/7/2015

Os executivos das empresas e os conselhos de administração estão mais alertas e exigentes com respeito aos riscos cibernéticos e seus impactos. Como consequência é esperado a melhora na comunicação das ameaças cibernéticas e na preparação de uma segurança cibernética corporativa robusta e resiliente. Outras iniciativas importantes que estão sendo adotadas pelas empresas são os programas de conscientização dos executivos, colaboradores e terceiros sobre os fundamentos de segurança cibernética e vulnerabilidades envolvendo pessoas como Spear Phishing ou ataque direcionado, que tem sido uma técnica de sucesso ainda muito explorada pelos atacantes.

Outra forma notável de avaliar avanços é a disposição de se investir em segurança cibernética. Este ano, os respondentes da Pesquisa Global de Segurança da Informação 2016 disseram ter aumentado significativamente os gastos com segurança da informação e muitos estão se preparando para encarar o monstro da segurança cibernética. (Para obter detalhes sobre incidentes, impactos e custos, consulte o Apêndice A). Neste relatório, mostraremos como empresas inovadoras estão enfrentando esse desafio e como esses esforços se interligam para que elas consigam implementar uma abordagem integrada para proteger ativos, reputação e vantagens competitivas.


PwC 5

Como remodelar a segurança cibernética por meio de inovação

As vantagens dos modelos baseados em riscos

Um programa eficaz de segurança cibernética começa com uma estratégia e um alicerce baseado em riscos. Neste sentido, a boa notícia é que a maioria das organizações adota um framework de segurança ou, com mais frequência, uma combinação de frameworks – geralmente com resultados muito produtivos.

As duas diretrizes implementadas com maior frequência são a Norma ISO 27001 e o Framework de Segurança cibernética do National Institute of Standards and Technology (NIST), dos Estados Unidos. Com base nessas diretrizes, as organizações podem identificar e priorizar riscos, avaliar a maturidade das suas práticas de segurança cibernética e se comunicar melhor interna e externamente.

Adotam um modelo de segurança cibernética baseado em riscos

91%

Os frameworks baseados em risco também podem ajudar as empresas a desenhar, medir e monitorar os indicadores do programa de segurança cibernética. O Banco canadense (CIBC), por exemplo, desenvolveu um scorecard com base em controles para medir a maturidade de seu programa de segurança. De acordo com Joe Lobianco, vice-presidente de segurança da informação em Toronto. “Se não tivéssemos o scorecard que nos proporcionasse a estrutura e progresso seria difícil medir ano a ano “, disse ele.

Benefícios dos modelos de segurança

49%

47%

45%

37%

32%

Melhor capacidade de identificar e priorizar riscos de segurança

Melhor capacidade de detectar e mitigarrapidamente incidentes de segurança

Maior segurança de dados confidenciais

Melhor compreensão das lacunas de segurança e de como solucioná-las

Melhor comunicação e colaboraçãointerna e externa


6 PwC

Como aproveitar o poder da segurança cibernética baseada na nuvem

A computação em nuvem se tornou uma alternativa sofisticada nos últimos anos para proteção da segurança cibernética em decorrência dos investimentos consideráveis realizados pelos fornecedores de computação na nuvem em tecnologias avançadas para proteção de dados, privacidade, segurança da rede e gestão de identidade e acesso. Muitos fornecedores também adicionaram capacidades que permitem a eles aperfeiçoar a inteligência na modelagem de coleta e análise das ameaças, melhorar o bloqueio de ataques, aumentar o conhecimento coletivo e acelerar a resposta aos incidentes de segurança.

Não surpreende, portanto, que a maioria dos participantes da pesquisa tenha afirmado que usa serviços de segurança na nuvem para ajudar a proteger dados confidenciais e fortalecer a privacidade. E eles confiam na nuvem para realizar uma gama mais ampla de serviços críticos, como monitoramento e análise em tempo real, autenticação avançada e gestão de identidade e acesso.

Por exemplo, a Global Payments, empresa internacional de serviços de tecnologia de pagamentos com sede em Atlanta, Estados Unidos utiliza serviços gerenciados em nuvem privada para realizar o monitoramento de ameaças e a resposta a incidentes. “Usamos uma solução na nuvem que reúne todos os nossos alertas e informações sobre ameaças, e essa solução então permite que se filtre os eventos e alertas que não sejam ameaças ou que sejam falsos positivos”, diz Guido

Sacchi, vice-presidente executivo e CIO (diretor de tecnologia) da empresa. “Ela então comunica eventos que o nosso Centro de Operações de Segurança precisa investigar.” Segundo Sacchi, a nuvem é ideal para esse tipo de tarefa porque os fornecedores têm um enorme poder de processamento, que é necessário para examinar rapidamente um imenso volume de dados sobre ameaças e eventos. Além disso, talvez os fornecedores de nuvem tenham competências internas para criar algoritmos de análise, algo difícil de se desenvolver para a maioria das empresas.

Usam serviços de segurança cibernética em nuvem

69%

Análise emonitoramentoem tempo real

56% 55%48% 47%

44%

Autenticaçãoavançada

Identidadee acesso

Inteligênciasobre

ameaças

Proteção deend-point

Adoção de serviços de segurança cibernética na nuvem


PwC 7

Outro exemplo da adoção de serviços de segurança cibernética na nuvem é o da Steelcase, fornecedora de mobiliário para escritórios localizada em Michigan, nos Estados Unidos. A empresa utiliza diversos serviços gerenciados na nuvem, entre os quais autenticação avançada, teste de intrusão e análises de vulnerabilidades, análise de alerta de segurança e análise de comportamento da rede. Segundo Stuart Berman, arquiteto de segurança de TI e responsável pela inovação, esses serviços na nuvem ajudaram a empresa a criar um programa de segurança eficiente e econômico. “O uso de serviços de segurança gerenciados na nuvem, que requer um conhecimento técnico muito profundo e específico, permite que nossos empregados se concentrem em identificar e gerenciar problemas de segurança, em vez de desenvolver e manter um conhecimento técnico profundo. Com isso, conseguimos gerenciar melhor custos com base em riscos”, explica Berman.

O grande impacto do Big Data

Um número crescente de organizações está usando a análise de Big Data para modelar e monitorar ameaças de segurança cibernética, responder a incidentes e auditar e revisar dados a fim de entender como eles são usados, por quem e quando.

“O data analytics é uma área na qual estamos investindo agora”, afirma LoBianco, do CIBC. “Acredito que ela terá um crescimento significativo para nós no âmbito da segurança e que vai mudar muito a maneira como executamos o nosso trabalho.”

Uma abordagem baseada em dados pode fazer as organizações desviarem seu foco das defesas de perímetro e usarem informações em tempo real para ajudar a prever incidentes de segurança. Com a segurança cibernética baseada em dados, as empresas entendem melhor as atividades anormais na rede, além de identificar e responder mais rapidamente a incidentes. Ela também pode ser eficaz no sentido de reduzir ou detectar

rapidamente incidentes de segurança provocados pelos empregados, monitorando comportamento para atividades suspeitas.

Mas a análise de Big Data geralmente requer um enorme empenho de recursos computacionais e de conhecimentos de software. Empresas como a Global Payments enfrentam esses desafios usando uma solução baseada na nuvem para analisar os dados agregados do log do sistema, porque a nuvem consegue lidar melhor com alta demanda computacional para essas análises.

A análise de dados também pode ser combinada com tecnologias existentes de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) para gerar uma visão mais personalizável e abrangente das atividades da rede. Segundo LoBianco, o CIBC está testando um novo sistema de monitoramento e detecção de ameaças com base em analytics para ampliar o SIEM tradicional que

As sinergias da nuvem e do DevOps

Empresas que atuam na Web estão aprimorando e automatizando seus programas de segurança cibernética com a adoção do DevOps, um modelo de desenvolvimento de software que promove a estreita colaboração entre desenvolvedores de aplicativos e operações de TI. Essa abordagem ágil é especialmente benéfica para empresas que têm milhares de aplicações ativas, como também para aquelas que fazem atualizações de código com muita frequência. A empresa de streaming media Netflix, por exemplo, emprega o DevOps para automatizar tarefas como identificar mudanças em configurações em dezenas de contas de serviços na nuvem.2

Quando alinhado com serviços baseados na nuvem, o DevOps pode proporcionar grandes melhorias para os programas de segurança cibernética. A fusão do DevOps com a segurança cibernética baseada na nuvem funciona assim: quando um invasor modifica o código do aplicativo, um software de monitoramento e análise automatizados identifica a violação, encerra conexões e alerta os desenvolvedores. Em seguida, os engenheiros de segurança cibernética identificam mudanças feitas pelos criminosos e reparam o código. O sistema pode então redirecionar o tráfego de todos os usuários para a versão atualizada e lançar automaticamente uma correção para outros aplicativos vulneráveis em toda a empresa.

2 Net lix, Announcing Security Monkey – AWS Security Con iguration and Monitoring, 30/6/2014

59%

Usam análise de Big Datapara segurança

depende de regras. “Essencialmente, usaremos os dados que coletamos para o SIEM, e também outros adicionais e para proporcionar elementos exploratórios mais amplos que apoiaram o nosso Centro de Operações de Segurança no monitoramento e na detecção de ameaças”, explica.


8 PwC

61% 49% 41% 40% 39%

Melhorentendimento de

ameaças externas

Melhorentendimento deameaças internas

Melhor entendimento do comportamento

do usuário

Melhor visão de atividades derede anormais

Mais capacidade de identificar e responder

rapidamente aincidentes

de segurança

Benefícios da segurança cibernética orientada por dados

Outras organizações estão explorando o uso do data analytics para gerenciar identidades e acessos a fim de monitorar padrões de uso dos funcionários e indicar situações atípicas. Nesse cenário, a solução de análise de dados busca padrões relacionados aos direitos de acesso do empregado e identifica o acesso indesejado.

Esse tipo de visão abrangente pode ajudar as empresas a encontrar melhorias inesperadas em seus sistemas. A Steelcase, por exemplo, implantou o analytics para monitorar

ameaças persistentes avançadas e riscos relacionados a agentes internos, mas também descobriu que o Big Data ajudou a identificar problemas de desempenho de rede. “A análise de dados pode ajudar a encontrar a agulha no palheiro, que não necessariamente é uma agulha de segurança; às vezes é uma agulha de desempenho”, explica Berman. “É isso que a análise de Big Data realmente faz bem: encontrar padrões que você não sabia que existiam e não só responder a perguntas que você tem, mas também àquelas que você não tem.”

“O data analytics é uma área na qual estamos investindo agora”, afi rma LoBianco, do CIBC. “Acredito que ela terá um crescimento signifi cativo para nós no âmbito da segurança e que vai mudar muito a maneira como executamos o nosso trabalho.”


PwC 9

Substituindo senhas por autenticação avançada

Numa época em que as senhas costumam ser consideradas, na melhor das hipóteses, inadequadas, é fácil entender por que muitas organizações estão recorrendo à autenticação avançada para gerenciar acessos e melhorar sua confiabilidade entre clientes e parceiros comerciais.

Como mencionamos antes, muitas organizações estão adotando a autenticação avançada como um serviço na nuvem. A razão é bastante clara, à medida que as invasões de grande repercussão começam, grande parte das vezes, com o comprometimento de credenciais. “Se você depende das senhas para garantir a segurança, então você tem um problema”, diz Berman, da Steelcase, que usa uma combinação de senhas de uso único e tokens de hardware com plataformas de autenticação baseadas na nuvem.

Os bancos, em especial, estão abandonando as senhas tradicionais tanto para clientes como para

empregados. Segundo LoBianco, do CIBC, as senhas de uso único enviadas para o celular dos clientes tornaram-se populares entre os usuários e ajudaram a melhorar a segurança de dados do banco, além de reduzir os custos com suporte técnico. O CIBC também usa a autenticação de dois fatores para empregados com acesso privilegiado a redes e dados. Muitos empregados já têm tokens de autenticação forte para acesso remoto, e o banco usa o mesmo token para acesso privilegiado sempre que possível, diz LoBianco.

Outras empresas estão desenvolvendo e adotando tecnologias de autenticação mais avançadas no próprio local, como a biometria. A USAA, empresa de serviços financeiros e seguros com sede no Texas, Estados Unidos, atende a militares e veteranos. Ela adotou o reconhecimento facial e de voz e a verificação de impressões digitais para os clientes acessarem aplicativos móveis.3 Com a biometria, a USAA conseguiu melhorar a segurança e o atendimento ao cliente, reduzir os chamados de help desk e tornar o uso dos serviços ainda mais fácil para os clientes.

Outra abordagem é a autenticação baseada em hardware. Gigante do setor de tecnologia, a Google desenvolveu um dispositivo USB chamado Security Key, que fornece autenticação de dois fatores altamente segura para seus aplicativos Google for Work.4 Usando o padrão Universal 2nd Factor (U2F) da FIDO Alliance, o Security Key transmite uma assinatura criptografada, em vez de um código de verificação, para dificultar o roubo das credenciais. Ao fazer a autenticação, os usuários simplesmente tocam no Security Key, o que é mais rápido do que solicitar e digitar um código de autenticação.

3 SecureID News, Biometrics secure next generation of mobile banking apps, 7/7/2015

4 Google, The key for working smarter, faster, and more securely, 21/4/2015

Usam autenticaçãoavançada

91%

Benefícios da autenticação avançada

Mais confiança de clientes/parceiroscomerciais na privacidade e na segurança 50%

45%

44%

39%

38%

Mais proteção contra fraudes/redução de fraudes

Transações on-line mais seguras

Melhor experiência para o usuário

Melhor conformidade com regulamentações


10 PwC

A Starwood Hotels & Resorts criou um tipo de chave de acesso totalmente diferente. Com o serviço SPG Keyless da empresa de hotelaria, hóspedes previamente registrados não precisam passar pelo balcão de check-in. Basta tocar em seus smartphones ou dispositivos Apple Watch para abrir a porta do quarto de hotel.5 O aplicativo, disponível para os membros do programa de fidelidade Starwood’s Preferred Guest (SPG), também fornece aos hóspedes orientações sobre como chegar do aeroporto ao hotel, além de informações sobre saldos individuais da conta no hotel e no programa de fidelidade.

Segundo Viviane Oliveira, diretora da PwC, o uso de autenticação e aplicativos menos baseados em senhas exigirá que as organizações repensem sua abordagem de gerenciamento de identidades e se concentrem em soluções que criem com os usuários relacionamentos de confiança na identidade. “As empresas devem projetar soluções que combinem o nível de autenticação com o risco do acesso ou da transação e do objeto. Relacionamentos de confiança entre empresas e seus parceiros de negócio ou um indivíduo reconhecem o equilíbrio entre as informações necessárias para se o nível de proteção desejado”, afirma Viviane.

5 Starwood Hotels & Resorts, Starwood Hotels & Resorts Celebrates UK Launch of Keyless Check-In Through the SPG App for Apple Watch, 24/4/2015

Outro fator crítico é a facilidade de uso. “Os usuários adotarão soluções que reduzam a dificuldade de lembrar senhas ou carregar tokens. A autenticação deve ser sem entraves e fácil de usar”, acrescenta Hall.

Como se preparar para a Internet das Coisas

A Internet das Coisas (IoT) dispensa apresentações. Esse ecossistema de dispositivos conectados à Internet, ferramentas operacionais e equipamentos está pronto para decolar nos próximos anos. A empresa de pesquisa IDC prevê que o número de dispositivos conectados à Internet vai chegar a 30 bilhões em 2020, ante uma estimativa de 13 bilhões este ano.6

A maioria das organizações entende que a Internet das Coisas trará enormes vantagens, mas também aumentará os riscos para a segurança e a privacidade dos dados. De fato, o número de participantes da pesquisa que relataram explorações de componentes da Internet das Coisas como dispositivos embarcados, sistemas operacionais e tecnologias de consumo mais do que duplicou em 2015 em relação a 2014.

6 IDC, Connecting the IoT: The Road to Success, junho/2015

O número de participantes da pesquisa que relataram explorações de sistemas operacionais, embarcados e voltados para o consumidor aumentou 152% em um ano.

86%

34%

2014 2015


PwC 11

Nos próximos anos, as novas formas de acesso a sistemas operacionais e de TI serão expostas à medida que haja a proliferação pelas empresas do uso de dispositivos conectados com base em sensores e tecnologias de comunicação entre máquinas, novos vetores de acesso a sistemas operacionais e de TI ficarão expostos. Esse tipo de equipamento geralmente carece de salvaguardas básicas de segurança se compara à TI corporativa tradicional, o que pode levar atacantes a explorar e penetrar os sistemas da organização e explorar dados, interromper operações e comprometer a integridade de produtos e serviços.

Empresas de vanguarda estão começando a entender a necessidade de um padrão comum de privacidade e segurança cibernética que possa

proteger o negócio e seus clientes, além de ajudar a conquistar a confiança dos usuários. Isso exigirá que os stakeholders da Internet das Coisas criem e aceitem um modelo de privacidade que aborde questões como teste de controles de segurança, um formato de dados comum, políticas para coleta e uso de dados de clientes, além de controles apropriados de divulgação.

Algumas organizações estão começando a chegar a um consenso sobre as normas de privacidade e segurança cibernética, colaborando com outras entidades que fazem parte do ecossistema da Internet das Coisas. A Steelcase, por exemplo, se uniu a uma aceleradora da Internet das Coisas chamada Seamless e estabelece parcerias com startups e universidades locais para

compreender melhor os vários e diferentes componentes e requisitos de privacidade de tecnologias convergentes. Essa colaboração impulsiona a empresa a desenvolver uma plataforma industrial de fabricação para a Internet das Coisas, bem como uma versão para “escritório” que compreenda instalações inteligentes e espaços conectados para os clientes. Para ambas as plataformas, a Steelcase está elaborando seus projetos com base em sólidos princípios e controles de segurança e privacidade, segundo Berman.

Mas, com a expansão da Internet das Coisas de fábricas e instalações corporativas para ambientes civis, os problemas de privacidade devem proliferar. Consideremos, por exemplo, os projetos de “cidades

36%possui umaestratégia desegurança paraa Internet das Coisas


12 PwC

inteligentes” como a parceria entre a GE Lighting e algumas cidades dos Estados Unidos. Nessa iniciativa, a iluminação urbana é equipada com LEDs que contêm sensores e transmissores sem fio conectados a uma plataforma central de análise e coleta de dados.7 Viabilizar esse tipo de projeto de cidade inteligente pode ajudar os governos municipais a otimizar o fluxo de tráfego, cortar custos de energia e criar ambientes mais seguros para pedestres, entre outros benefícios. Pode até orientar os motoristas a encontrar os estacionamentos disponíveis.

Os defensores da privacidade levantam preocupações sobre vigilância e uso responsável de dados. Alguns temem que as cidades possam empregar os recursos de vídeo das lâmpadas conectadas para monitorar

7 GE Lighting, GE Unveils LED-enabled Intelligent Environments, a Glimpse into The Connected Future, 5/5/2015

pedestres e motoristas em tempo real, colocando os cidadãos no centro das atenções da vigilância governamental e da coleta de dados – sem uma saída alternativa. Cidades e governos devem, portanto, projetar sistemas que preservem desde o início o direito à privacidade.

Esse cenário ilustra como a Internet das Coisas pode criar uma profusão de problemas de privacidade ainda inimagináveis. “Estamos vendo a tensão entre o valor que esses sistemas podem proporcionar e os temores relacionados à privacidade de organizações e indivíduos”, diz Berman, da Steelcase. “A barreira real reside entre estas expectativas: o que os temores legais, de privacidade e a tecnologia costumavam representar e o que podem vir a representar.”

Ataques a sistemas e dispositivos da Internet das Coisas

“A barreira real reside entre estas expectativas: o que os temores legais de privacidade e a tecnologia costumavam representar e o que podem vir a representar”, diz Stuart Berman, da Steelcase.

Dispositivosmóveis

Sistemasembarcados

Tecnologias parao consumidor

Sistemasoperacionais

2014 2015 2014 2015 2014 2015 2014 2015

24%

13% 11% 10%

36%

30% 29%26%


PwC 13

Pagamentos em dispositivos móveis

Este ano, 57% dos participantes da pesquisa disseram ter adotado sistemas de pagamentos móveis. Embora esse tipo de pagamento já seja corriqueiro, o ecossistema continua a se transformar rapidamente com a formação de novas parcerias entre uma constelação de firmas de tecnologia, finanças, varejo e telecomunicações. Esse ambiente em evolução provavelmente levará a ameaças não previstas de segurança cibernética e ampliará o vetor de ciberataques.

Os riscos podem resultar de novas tecnologias e também de processos, como ficou demonstrado durante o lançamento do aclamado serviço Apple Pay, nos Estados Unidos. “Alguns dos desafios iniciais [do Apple Pay] não eram necessariamente problemas com a segurança física ou lógica do telefone ou das credenciais, mas sim com o processo em torno da inscrição”, disse LoBianco, do CIBC. “Com esses novos modelos de pagamento, você tem de avaliar todo o ciclo de cadastramento de usuários, todas as transações que atravessam o sistema e também o descadastramento.

Quando há novos processos, os criminosos tentam explorar tanto as fraquezas humanas quanto as tecnológicas.”

Tecnologias de pagamento móvel que transmitem um token para sistemas de pagamentos são consideradas essencialmente seguras porque nenhuma informação de cartão de crédito é armazenada no dispositivo ou transmitida para os sistemas de ponto de venda do varejista. Mas há quem acredite que os pagamentos via smartphone são apenas um passo rumo ao futuro das transações.

A inovação nessa área remove por completo o processo de pagamento da experiência do usuário, segundo Sacchi, da Global Payments. Ele cita a forma transparente empregada pelo serviço de transporte Uber como um divisor de águas. A empresa usa um cartão de crédito arquivado, e o cliente é cobrado automaticamente. “O Uber basicamente desapareceu com a etapa de pagamento da experiência do usuário: você começa a corrida, sai do carro e acabou”, diz Sacchi. “Se há uma conclusão a ser extraída disso tudo é que você precisa levar em conta a segurança e a experiência do usuário. Os vencedores no mercado serão os que conseguirem alcançar o melhor equilíbrio entre esses dois aspectos.”

Proteção de dados pessoais do consumidor 43%

Riscos relacionados a malware/aplicativos maliciosos 57%

Riscos relacionados a plataformas de dispositivos/hardware 45%

Processos de provisionamento/verificação para reduzir fraudes 45%

Vulnerabilidades e riscos relacionados a usuários finais 42%

Problemas que as organizações estão abordando para melhorar a segurança dos pagamentos móveis


14 PwC

Parcerias para melhorar a inteligência em Cyber

O compartilhamento de grandes volumes de dados entre empresas e seus parceiros de negócio já é uma realidade. Nesse contexto faz sentido que se intensifique também a troca de informações sobre ameaças de segurança cibernética e as respostas fornecidas. De fato, ao longo dos últimos três anos, o número de organizações que passaram a adotar a prática de colaboração externa aumentou significativamente.

E essas empresas percebem os benefícios dessa iniciativa. A maioria declara que a colaboração externa permite divulgar e receber informações de caráter mais prático de empresas do mesmo setor e também de Information Sharing and Analysis Centers (ISACs). Muitas também afirmam que o compartilhamento de informações melhorou sua consciência e inteligência sobre ameaças.

As organizações que não colaboram com frequência citam a falta de padrões e de um modelo de compartilhamento de informações, bem como a existência de

plataformas e formatos de dados incompatíveis entre entidades públicas e privadas. Outra fragilidade no atual ecossistema de compartilhamento de informações: as atualizações de segurança cibernética não são comunicadas na velocidade da rede.

Além disso, políticas e regulamentações sobre privacidade de dados variam amplamente em todo o mundo e algumas organizações temem que compartilhar alguns tipos de dados possa violar a privacidade de clientes, empregados e outros indivíduos. Obviamente, a validação da inteligência é uma preocupação de todos.


PwC 15

Apesar das barreiras, o compartilhamento de informações recebeu um estímulo este ano quando o presidente dos Estados Unidos, Barack Obama, assinou um decreto que encoraja a colaboração entre organizações públicas e privadas. O presidente propôs a criação de novas Information Sharing and Analysis Organizations (ISAOs), projetadas de forma mais flexível do que os ISACs específicos de indústrias. O objetivo é permitir que empresas e agências do setor público compartilhem informações de setores individuais, além de inteligência relacionada a lugares, problemas, eventos ou ameaças específicas.

É provável que essas organizações ajudem a construir capacidades de colaboração e compartilhamento de informações para muitas empresas. “Acredito que as ISAOs preencherão algumas lacunas que os grupos atuais não abordam e acabarão por desempenhar um papel valioso, contribuindo para a criação de um sistema imunológico nacional para segurança cibernética”, diz David Burg, líder de Segurança cibernética da PwC nos Estados Unidos e no mundo. “É por essa razão que a PwC está trabalhando atualmente com stakeholders da Casa Branca, da indústria e do mundo acadêmico para ajudar a resolver problemas, incentivar o debate e, em última análise, maximizar a eficácia das ISAOs.”

A questão é: como as organizações se beneficiarão das novas ISAOs? Algumas empresas acreditam que podem aprender um pouco com outras indústrias diferentes. Por exemplo, os desafios de segurança cibernética geralmente não se distinguem por setor, mas sim por porte ou constituição da organização – um grande banco talvez tenha muito mais em comum com uma grande empresa farmacêutica do que com um banco regional.

Algumas organizações, porém, estão preferindo esperar para ver o que acontecerá com a colaboração entre indústrias. No setor bancário e financeiro, por exemplo, algumas empresas acreditam que o ISAC de Serviços Financeiros atende às necessidades dos participantes e que integrar vários grupos de compartilhamento de informações talvez seja supérfluo e improdutivo. Mas as atitudes provavelmente variam entre as indústrias e, como as ISAOs são um conceito novo, a maioria das organizações ainda não sabe se vai participar. Também não consegue prever o valor de colaborar com esses grupos.

“Acredito que as ISAOs preencherão algumas lacunas que os grupos atuais não abordam e acabarão por desempenhar um papel valioso, contribuindo para a criação de um sistema imunológico nacional para segurança cibernética”, diz David Burg, líder de Segurança cibernética da PwC nos Estados Unidos e no mundo.


16 PwC

40%

Compartilhar ereceber informações

de pares do seu setor

Compartilhar e receber informações

de ISACs

Mais inteligência econsciência

sobre ameaças

Compartilhar e receberinformações do

governo

Compartilhar e receberinformações dos

agentes desegurança pública

56% 46% 42% 37%

Benefícios da colaboração externa

Os EUA não são a única nação a enfatizar o poder da parceria, é claro. O Parlamento Europeu aprovou uma Diretiva sobre a Segurança das Redes e da Informação que visa melhorar a cooperação e o compartilhamento de informações sobre iniciativas de segurança cibernética entre os estados-membros, bem como entre os setores públicos e privados.8 A diretiva exige que as organizações em determinados setores críticos de infraestrutura adotem práticas de gestão de riscos e relatem incidentes graves às autoridades nacionais. Também solicita que a Agência Europeia para a Segurança das Redes e da Informação (ENISA, na sigla em inglês) trabalhe com organismos de padronização e os stakeholders apropriados para desenvolver especificações de comunicação de incidentes.

O que não pode ser protegido pode ser segurado

O compartilhamento de informações e as tecnologias de segurança cibernética avançadas não evitarão todos os ciberataques. No momento, parece claro que os adversários tecnicamente competentes sempre encontrarão novas maneiras de contornar as barreiras de segurança cibernética. É por essa razão que muitas empresas estão contratando seguros cibernéticos para ajudar a aliviar o impacto financeiro dos crimes cibernéticos quando eles ocorrem. O seguro cibernético é, de fato, um dos setores de mais rápido crescimento do mercado de seguros: um relatório recente da PwC prevê que o mercado global de seguro cibernético passará de US$ 2,5 bilhões de vendas anuais este ano para US$ 7,5 bilhões em 2020.9

Atualmente, os produtos de seguros para o outorgante cobrem destruição de dados, ataques de negação de serviço, roubo e extorsão; eles também podem incluir despesas de resposta e remediação de incidentes, investigação e auditoria de segurança cibernética. As outras principais áreas de cobertura são notificações de privacidade, gestão de crises, investigações forenses, restauração de dados e interrupção de negócios. A indústria de seguros está tentando ampliar sua atuação com apólices que cobrem o valor da propriedade intelectual perdida, da reputação e da imagem de marca, além de falhas de infraestrutura relacionada ao ambiente cibernético.

8 Comissão Europeia, Diretiva sobre a Segurança das Redes e da Informação (SRI), 16/3/2015.

9 PwC, Insurance 2020 & beyond: Reaping the dividends of cyber resilience, setembro/2015


PwC 17

Além de reduzir os riscos financeiros associados ao crime cibernético, as empresas que compram seguros ganham uma compreensão melhor da sua prontidão cibernética. Isso ocorre porque as seguradoras exigem uma avaliação minuciosa das capacidades e dos riscos atuais como precondição para a compra de uma apólice. Essas avaliações podem ajudar as empresas a prever melhor suas exposições legais e regulatórias, bem como custos de resposta e danos potenciais à marca relacionados a riscos cibernéticos.

Para alguns, as apólices atuais de seguros cibernéticos não fornecem a combinação correta de valor e gestão de riscos. O CIBC avalia os seguros cibernéticos há vários anos e monitora o amadurecimento do mercado de apólices. “Nossas equipes de segurança e seguros corporativos analisam e revisam os riscos enfrentados pelo banco anualmente e os encaram no contexto das apólices disponíveis e dos custos associados. Com base nessa análise, decidimos não selecionar o seguro cibernético, principalmente por sua falta de prontidão”, disse LoBianco. “As maiores preocupações que temos em relação às violações cibernéticas têm a ver com a segurança e a integridade das informações dos nossos clientes e com a garantia que eles tenham a máxima confiança no nosso banco, e isso é muito mais difícil de segurar.”

Compraram um seguro cibernético

59%

Outra questão problemática para muitas organizações é determinar que quantidade de seguro cibernético comprar. Não existe uma recomendação única para todos. “Em geral, as empresas precisam entender que não serão capazes de segurar todo o risco de perda, porque o mercado simplesmente não tem oferta ainda”, afirma o principal da PwC Joseph Nocera. “Analisando algumas importantes violações que ocorreram no ano passado, muitas grandes empresas estão tentando adquirir apólices de US$ 80 milhões a US$ 100 milhões, enquanto as pequenas empresas estão estabelecendo apólices de US$ 10 milhões. Não há uma resposta única, mesmo, porque é preciso considerar uma série de variáveis individuais, como tamanho da empresa, setor de atividade, tipo de dados que a organização armazena, a maturidade dos controles de segurança e a tolerância individual ao risco. Também é importante lembrar que nenhum produto de seguros protegerá a reputação ou a marca de uma empresa.”

“Em geral, as empresas precisam entender que não serão capazes de segurar todo o risco de perda, porque o mercado simplesmente não tem oferta ainda oferta para esta demanda”, afi rma o principal da PwC Joseph Nocera.


18 PwC

Perdas relacionadas a incidentes cobertos por seguros cibernéticos

47%

41%

38%

36%

31%

Informações de identificação pessoal

Dados de cartão de crédito

Propriedade intelectual/segredos comerciais

Danos à reputação da marca

Resposta a incidentes

“As maiores preocupações que temos em relação às violações cibernéticas têm a ver com a segurança e a integridade das informações dos nossos clientes e com a garantia de que eles tenham a máxima confi ança no nosso banco, e isso é muito mais difícil de segurar”, afi rma Joe LoBianco, do CIBC.


PwC 19

O envolvimento crescente dos executivos e do conselho

Tem um CISOencarregado doprograma de segurança

54%

As ondas de avanços tecnológicos trazem em si promessas de solução de respostas a ameaças cibernéticas aparentemente insolúveis. Mas concentrar atenções nos avanços tecnológicos pode obscurecer a necessidade de foco nas funções, competências e no treinamento das pessoas – uma defesa frequentemente negligenciada, mas muito eficaz. Isso está começando a mudar.

“As empresas tendem a ter uma visão mais centrada em tecnologia”, afirma Claude Yoder, líder global de Analytics da provedora de seguros Marsh. “Mas eu acredito que, à medida que surgem mais e mais informações sobre questões cibernéticas, as organizações expandem a sua visão centrada em tecnologia para incluir pessoas e processos.”

Quando o assunto é segurança cibernética, não há nenhuma função mais fundamental que a do principal executivo de segurança da informação, normalmente o Chief Information Security Officer (CISO, diretor de segurança da informação) ou Chief Security Officer (CSO, diretor de segurança). É um cargo cujas responsabilidades e competências tornaram-se cada vez mais visíveis e críticas.

O CISO ou CSO atual deve ser um gestor de negócios sênior com expertise não só em segurança cibernética, mas também em gestão de riscos e compliance, governança corporativa e objetivos gerais do negócio. Deve ter acesso aos principais executivos para apresentar visões sobre riscos de negócios. Deve ser também capaz de articular apropriadamente com executivos e membros do conselho a problemática de Cyber com base em riscos. Em suma, o líder de segurança cibernética deve ser capaz de efetuar mudanças em conjunto com os líderes executivos.

“O líder de segurança atual é um gerente geral com habilidades em comunicação, apresentação e especialidade em negócios. Em resumo, todas as habilidades esperadas de um COO”, afirma James Shira, CISO global da PwC. “O CISO ou CSO é responsável por riscos e espera-se que apresente uma postura mínima relativa à segurança da informação para toda a organização. Fazer isso demanda um novo nível de habilidades de gestão.”

Comunicam estratégias e riscos de segurança

da informaçãodiretamente para

os líderes executivos

Abordam a segurançada informação

como um problemade gestão de

riscos empresariais

Entendem o ambientecompetitivo e os problemasde negócios

da organização

Colaboram com os stakeholders internos

para entender necessidades e problemasda empresa

Fornecem atualizações sobre riscos desegurança da

informação para o Conselho pelo menos quatrovezes por ano

43% 43% 41% 36% 35%

Habilidades e competências dos líderes de segurança


20 PwC

É mais fácil alcançar esse nível de responsabilidade quando o principal líder de segurança se reporta a um líder corporativo com ampla supervisão dos riscos e da estratégia da organização, preferencialmente o CEO ou outros diretores executivos. Entre os participantes da pesquisa, a estrutura hierárquica citada com mais frequência é CEO, CIO, conselho e CTO, nessa ordem. Em organizações maiores, a função de segurança da informação está estruturada com mais frequência abaixo do CIO.

Embora existam exceções, acreditamos que os CISOs e CSOs devem ser independentes dos CIOs para assegurar um melhor sistema de controles, além de conseguir escalar problemas de segurança de TI para a liderança corporativa e o conselho. Outra preocupação é o orçamento de segurança cibernética: um CISO ou CSO pode estar investido de autoridade e de todas as habilidades de que precisa, mas será incapaz de executar seu trabalho sem os recursos adequados.

“As empresas tendem a ter uma visão de segurança mais centrada em tecnologia”, afi rma Claude Yoder, da Marsh. “Mas eu acredito que, à medida que surgem mais e mais informações sobre questões cibernéticas, as organizações expandem a sua visão centrada em tecnologia para incluir pessoas e processos.”

Os conselhos estão mais atentos com a segurança cibernética

Os incidentes de segurança cibernética atuais muitas vezes deixam atrás de si um amplo rastro de danos operacionais, reputacionais e financeiros. Por esse motivo, muitos conselhos de administração começaram a encarar a segurança cibernética como uma séria questão de supervisão de riscos, com implicações estratégicas, reputacionais, interfuncionais, jurídicas e financeiras.

Diretrizes da Associação Nacional de Diretores Corporativos (NACD, na sigla em inglês) aconselham os conselhos de administração a encarar os riscos cibernéticos de um ponto de vista corporativo e entender os potenciais impactos legais.10 Eles devem discutir com a administração os riscos de segurança cibernética e a preparação para enfrentá-los, além de considerar as ameaças cibernéticas no contexto geral da tolerância da organização ao risco.

Os conselhos parecem estar seguindo essa orientação. Este ano observamos um aumento de dois dígitos na participação do conselho na maioria dos aspectos de segurança da informação. Os participantes da pesquisa disseram que esse envolvimento maior ajudou a melhorar as práticas de segurança cibernética de várias maneiras. Talvez não por coincidência, com o aumento da participação dos conselhos nos questionamentos sobre o orçamento de segurança cibernética, verificamos uma alta de 24% nos gastos de segurança. Outros resultados notáveis citados pelos participantes da pesquisa foram a identificação dos principais riscos, o fomento a uma cultura organizacional de segurança e um melhor alinhamento da segurança cibernética com a gestão geral de riscos e as metas do negócio.

10 NACD, Cyber-Risk Oversight: Directors Handbook Series, junho/2014

dos conselhosquestionam sobre a estratégia geral de Cyber

45%


PwC 21

Questionamentos do Conselho de Administração em relação à Segurança da Informação

Orçamento de segurança

Estratégia geralde segurança

Políticas desegurança

Tecnologiasde segurança

40%46%

36%41%

Revisão de riscosde privacidadee segurança

30%37%

25%32%

2014 2015

42%45%

Talvez mais do que qualquer outra questão, no entanto, a indagação do conselho tenha aberto os canais de comunicação entre a função de segurança cibernética e os líderes executivos e diretores. “Uma questão geralmente aceita é que a segurança cibernética é uma prioridade de toda a empresa que exige o engajamento ativo dos stakeholders internos, desde as áreas de negócio e de risco e compliance até o conselho de administração. Fornecemos atualizações regulares ao nosso diretor de riscos sobre qualquer acontecimento importante relacionado à segurança cibernética”, diz LoBianco, do CIBC.

Os conselhos atuais, porém, querem mais do que um relatório de ameaças. “Realmente, não vou enveredar pelo caminho do medo, da insegurança e da dúvida”, diz Berman, da Steelcase. “Para mim, a questão é ensinar ao conselho que a segurança não é um monstro cabeludo que anda lá fora escondido no escuro. Na verdade, ela representa um risco que pode ser gerenciado como uma decisão econômica.”

“Para mim, a questão é ensinar ao conselho que a segurança não é um monstro cabeludo que anda lá fora escondido no escuro. Na verdade, ela representa um risco que pode ser gerenciado como uma decisão econômica”, diz Stuart Berman, da Steelcase.


22 PwC

Due diligence de segurança cibernética em fusões e aquisições

Com o crescimento das organizações por meio de fusões e aquisições, as práticas de segurança cibernética e os possíveis passivos de uma empresa-alvo tornaram-se sérios riscos. As empresas que não avaliam adequadamente as práticas e os recursos de segurança cibernética dos seus alvos podem ficar sob risco de ataque. Como assim? Criminosos cibernéticos sofisticados podem se infiltrar em empresas menores, com recursos de segurança cibernética menos seguros, e aguardar que elas sejam adquiridas por organizações maiores. Quando os sistemas de informação dessas empresas são integrados, eles podem tentar penetrar as redes da firma compradora para promover ataques.

É por essa razão que o due diligence dos riscos e recursos de segurança cibernética da empresa-alvo tornou-se tão essencial quanto uma auditoria cuidadosa das finanças. Mesmo assim, muitas organizações não investigam detalhadamente como uma empresa-alvo protege seus ativos digitais. Em uma pesquisa da Freshfields com 214 operadores globais de transações, 78% dos respondentes disseram que a segurança cibernética não é analisada em grande profundidade, nem quantificada especificamente como parte do processo de fusão ou aquisição.11

Três áreas devem ser consideradas na avaliação dos riscos de segurança cibernética: os países em que a empresa-alvo tem sede e opera, o setor de atividade da organização e seu histórico individual de incidentes e práticas de segurança

11 Fresh ields Bruckhaus Deringer, Cyber Security in M&A, julho/2014

cibernética. As operações em alguns países oferecem mais riscos do que em outros, e também podem estar sujeitas a regulações mais rigorosas de privacidade e segurança cibernética. Os tipos de riscos também variam por setor.

Para cada empresa, algumas áreas-chave de vulnerabilidade são: locais e inventário de dados da empresa-alvo (o que inclui dados de fornecedores); processos de coleta de dados; controles e políticas de segurança cibernética, políticas de privacidade e cobertura de seguros de segurança cibernética. Também é importante avaliar se o alvo tem planos aplicados para gerenciar crises e responder a incidentes, e também se detectou violações e como respondeu a elas.

O desafio para muitas organizações é que elas geralmente têm um breve período para avaliar o desempenho da segurança cibernética das empresas-alvo. Uma estratégia bem planejada de due diligence ajudará a fornecer um processo ordenado e ágil para avaliar possíveis aquisições.

Os países que a empresa alvo tem amatriz e as operações.

2 Os segmentos de atuação e operação.

3 As práticas e o histórico dosincidentes de cada empresa.

1

Os riscos de segurança cibernética das empresas-alvo devem ser considerados em três áreas:


PwC 23

Preparadas para o futuro da segurança cibernética

A adoção de medidas inovadoras de proteção cibernética descritas neste documento ajudará as organizações a se defenderem melhor contra as ameaças e vulnerabilidades conhecidas atualmente. Mas, com a evolução das tecnologias e a sofi sticação dos adversários, como as empresas podem antecipar os riscos de amanhã?

Essa não é uma pergunta fácil de responder. O prognóstico é uma disciplina imprecisa que produz uma visão aproximada, na melhor das hipóteses. E é extremamente difícil prever o futuro de uma situação cujo estado atual é incerto e muda continuamente. No entanto, acreditamos que existem algumas hipóteses que as organizações devem considerar no planejamento da segurança cibernética ao longo dos próximos cinco anos.

Em primeiro lugar, qualquer discussão sobre o futuro deve se basear na premissa de que a vida pessoal será cada vez mais digitalizada, criando uma avalanche ainda maior de dados que poderão ser coletados, analisados e comprometidos. As empresas, também, continuarão a gerar e a compartilhar mais informações sobre pessoas e processos, e a Internet das Coisas desencadeará uma torrente de informações máquina-máquina. Em meio a essa escalada de dados, a identidade e a privacidade individual e corporativa começarão a convergir.


24 PwC

É certo supor que os futuros autores de ameaças provavelmente terão um kit de ataque com táticas e ferramentas tecnicamente mais sofisticadas. Para os governos e as empresas, a espionagem e o hacking político tendem a se fundir à medida que as técnicas de ataque se tornam mais sutis e agressivas. Ao mesmo tempo, ataques cada vez mais abertos promovidos por Estados nacionais e por hacktivistas com motivações políticas provavelmente resultarão em sanções econômicas ou até mesmo em uma guerra cibernética. Na verdade, não é totalmente improvável que um incidente de segurança cibernética catastrófico leve à demanda – e ao apoio – pelo gerenciamento de identidades controlado por governos.

A autenticação e a gestão de identidades são os aspectos que representam as maiores ameaças para a segurança cibernética – e que prometem os maiores retornos. Reunir as defesas certas exigirá novas soluções com base em Big Data, computação em nuvem e modelagem heurística.

Empresas com visão de futuro já estão abandonando as defesas de perímetro tradicionais em prol da segurança cibernética na nuvem, baseada na análise em tempo real de dados e padrões de comportamento do usuário. Com a contínua expansão da Internet das Coisas, a análise de dados e as atividades máquina-máquina se tornarão cada vez mais essenciais. Nesse tipo de ambiente centrado em dados, não podemos subestimar a importância da criptografia forte.

É improvável que os fornecedores das soluções atualmente dominantes estejam na vanguarda da segurança cibernética daqui a cinco anos. Na verdade, as soluções inovadoras virão de ágeis startups e empresas de tecnologia de pequeno e médio porte. As organizações escolherão entre uma grande variedade de serviços e soluções de um amplo conjunto de fornecedores. Dessa forma, as empresas

precisarão contar com serviços que harmonizem soluções de segurança e TI de uma oferta de tecnologia muito heterogênea. A dependência tecnológica de fornecedores seguirá o caminho da segurança baseada em perímetro, mas a nova combinação de opções pode sobrecarregar as organizações.

De fato, a TI corporativa como a conhecemos provavelmente começará a morrer com a fusão das identidades pessoal e empresarial. Linhas de negócios provavelmente criarão e executarão seus próprios aplicativos na nuvem, com pouco ou nenhum envolvimento da TI.

Finalmente, governos estão trabalhando para melhorar suas capacidades de rastrear e atribuir invasões diretamente aos autores responsáveis pelas ameaças. Acusações vazias contra governos ou cibercriminosos individuais não funcionaram no passado e continuarão sendo ineficazes no futuro. Tratados internacionais sobre o tema serão necessários.

De volta para o presente, sabemos que o futuro pode ou não se manifestar como prevemos. Afinal, cinco anos é um período muito longo considerando a acelerada evolução da segurança cibernética. Mas mesmo que a utilidade da previsão seja questionável, o pensamento preditivo será essencial. Pensar no futuro pode ajudar as organizações a incentivar o debate, explorar cenários possíveis e desenvolver uma estratégia de resiliência cibernética. Isso contribuirá para que as empresas construam um programa de segurança cibernética com olhos no futuro e baseado no equilíbrio adequado entre tecnologias, processos e habilidades pessoais – tudo complementado por uma grande quantidade de inovação. Com esses componentes, as organizações provavelmente estarão mais bem preparadas para o futuro da segurança cibernética, seja ele qual for.


PwC 25

Apêndice A: Respostas para os riscos cibernéticos crescentesInformações da Pesquisa Global de Segurança da Informação 2016

56%38%

Em 2015, foramdetectados 38%mais incidentesde segurança doque em 2014.

O roubo depropriedadeintelectualrelacionada a patentes aumentou56% em 2015.

22%

2014

Empregados

35% 34%

Ex-empregados

30% 29%

Provedores deserviços atuais/

consultores/contratados

18%

22%

Ex-provedores deserviços atuais/

consultores/contratados

15%

19%

Fornecedores/parceiros

13%

16%

2015

Embora os empregadoscontinuem sendo a origemmais citada das violações, os incidentes atribuídos aparceiros de negócioscresceram 22%.

Número médio de incidentes de segurança Impactos dos incidentes de segurança

Fontes de incidentes de segurança


26 PwC

Orçamento médio de segurança da informação

Os participantes elevaram seus orçamentos de segurança da informação em 24% em 2015.

Muitas organizações estãoadotando iniciativas estratégicaspara melhorar a segurança ereduzir riscos.

-5%

$2,7m

2014 2015

$2,5m

diminuíram 5% de 2014para 2015.

24%

Segurançaanalítica

59%

Colaboração formal com

terceiros

65%Segurançacibernética

com basena nuvem

69% Frameworkde segurança

baseadoem riscos

91%

Segurocibernético

59%

Média dos prejuízos financeiros totais causados por incidentes de segurança

Adoção de iniciativas estratégicas de segurança


PwC 27

Implementação de proteções-chave de segurança

s

Têm umaestratégia geral

de segurança da informação

58%

Têm padrões/critérios mínimos

de segurança para terceiros

52%

Têm um CISO encarregado da

segurança

54%

Monitoram/analisam ativamente

informações de segurança

48%

Têm programas de conscientização

e treinamento de empregados

53%Conduzem avaliações

de ameaças

49%

As empresas estão investindo em proteções básicas para

defender melhor seus ecossistemas contra ameaças crescentes.


28 PwC

Metodologia

A Pesquisa Global de Segurança da Informação 2016 é um estudo internacional da PwC e das revistas CIO e CSO. Ela foi realizada on-line entre 7 de maio e 12 de junho de 2015. Os leitores da CIO e da CSO e os clientes da PwC em todo o mundo foram convidados via e-mail a participar da pesquisa.

37% — América do Norte

14% — América do Sul

30% — Europa

3% — Oriente Médio e África

A margem de erro é inferior a 1%.

Os resultados apresentados neste relatório se baseiam em respostas de mais de 10 mil CEOs, CFOs, CIOs, CISOs, CSOs, VPs e diretores de TI e práticas de segurança de mais de 127 países.


PwC 29

África do SulSidriaan de VilliersSó[email protected]

Elmo HildebrandDiretor/Só[email protected]

Busisiwe MatheSócia/[email protected]

AlemanhaDerk FischerSó[email protected]

Wilfried MeyerSó[email protected]

AustráliaRichard BergmanSó[email protected]

Andrew GordonSó[email protected]

Steve IngramSó[email protected]

ÁustriaChristian KurzGerente sê[email protected]

BélgicaFilip De WolfSó[email protected]

BrasilEdgar D’AndreaSó[email protected]

Eduardo BatistaSó[email protected]

CanadáDavid CraigSó[email protected]

Sajith (Saj) NairSó[email protected]

Richard WilsonSó[email protected]

Contatos da PwC nas áreas de segurança cibernética e privacidade por país


30 PwC

CingapuraVincent LoySó[email protected]

Kok Weng SamSó[email protected]

ChinaMegan HaasSó[email protected]

Ramesh MoosaSó[email protected]

Kenneth WongSó[email protected]

Coreia do SulSoyoung ParkSó[email protected]

DinamarcaChristian Kjæ[email protected]

Mads Nørgaard MadsenSó[email protected]

EspanhaJordi Juan [email protected]

Elena MaestreSó[email protected]

Estados UnidosDavid [email protected]

Scott [email protected]

Chris O’[email protected]

Shawn PansonSó[email protected]

Grant WaterfallSó[email protected]

FrançaPhilippe TrouchaudSó[email protected]

HolandaOtto VermeulenSó[email protected]

Bram van [email protected]

ÍndiaSivarama KrishnanSó[email protected]

IsraelYaron BlachmanSó[email protected]

ItáliaFabio MerelloSó[email protected]

JapãoYuji HoshizawaSó[email protected]

Maki MatsuzakiSó[email protected]

Naoki YamamotoSó[email protected]


PwC 31

LuxemburgoVincent VillersSó[email protected]

NoruegaTom [email protected]

Nova ZelândiaAdrian van HestSó[email protected]

Oriente MédioMike MaddisonSó[email protected]

Patrick [email protected]

PolôniaRafal [email protected]

Jacek [email protected]

Piotr UrbanSó[email protected]

RússiaTim CloughSó[email protected]

SuéciaMartin [email protected]

Rolf [email protected]

SuíçaRodney [email protected]

Chris [email protected]

Jan SchreuderSó[email protected]

TurquiaBurak [email protected]

Reino UnidoNeil HampsonSó[email protected]

Richard HorneSó[email protected]


32 PwC

Rio de Janeiro - RJR. do Russel 804Ed. Manchete, Térreo, 6º e 7º22210-907, Rio de Janeiro/RJTelefone: [55] (21) 3232-6112Fax: [55] (21) 3232-6113

São Paulo - SPAv. Francisco Matarazzo, 1400Torre Torino, Água Branca05001-903, São Paulo/SPTelefone: [55](11) 3674-2000

Barueri - SPAl. Mamoré, 989 21º, 22º e 23ºCond. Edifício Crystal Tower06454-040, Barueri/SPTelefone: [55](11) 3674-2000

Belo Horizonte - MGR. dos Inconfidentes, 911, 17º e 18ºSavassi - Soinco Business Center30140-120, Belo Horizonte/MG Telefone: [55](31) 3269-1500Fax: [55](31) 3269-1844

Brasília - DF SHS, Quadra 6, Conj. A, Bl. C Ed. Business Center TowerSalas 801 a 811, Brasília/DF70322-915, Caixa Postal 08850Telefone: [55](61) 2196-1800Fax: [55](61) 2196-1820

Campinas - SPR. José Pires Neto, 314, 10º13025-170, Campinas/SPTelefone: [55](19) 3794-5400Fax: [55](19) 3794-5469

Curitiba - PRAl. Dr. Carlos de Carvalho, 417, 10ºCuritiba Trade Center80410-180, Curitiba/PRTelefone: [55](41) 3883-1600Fax: [55](41) 3883-1698

Florianópolis - SCAv. Rio Branco, 847Salas 401, 402, 403 e 40988015-205, Florianópolis/SCTelefone: [55](48) 3212-0200Fax: [55](48) 3212-0210

Goiânia - GOAv. 136, nº 797 - Setor SulCond. New York Square – Business EvolutionSalas 1005, 1006, 1007 e 1008 A74093-250 - Goiânia - GOTelefone: [55](62) 3270-5900

Maringá - PRAv. Pedro Taques, nº 294, 10º - Zona 3Edifício Átrium - Centro Empresarial, 87030-000, Maringá/PR Telefone: [55](44) 3472-2200

Porto Alegre - RSR. Mostardeiro, 800, 8º e 9ºEd. Madison Center90430-000, Porto Alegre/RSTelefone: [55](51) 3378-1700Fax: [55](51) 3328-1609

Recife - PER. Padre Carapuceiro, 733, 8ºEd. Empresarial Center51020-280, Recife/PE Telefone: [55](81) 3464-5000Fax: [55](81) 3464-5098

Ribeirão Preto - SPAv. Antônio Diederichsen, 400, 21º e 22ºEd. Metropolitan Business Center14020-250, Ribeirão Preto/SPTelefone: [55](16) 3516-6600Fax: [55](16) 3616-6685

Salvador - BAAv. Tancredo Neves, 620, 34º Ed. Empresarial Mundo Plaza 41820-020, Salvador/BATelefone: [55](71) 3417-7500Fax: [55](71) 3417-7698

São José dos Campos - SPR. Euclides Miragaia, 433 Conj., 301 e 304, 12245-902, São José dos Campos/SP Telefone: [55](12) 3519-3900Fax: [55](12) 3519-3998

Sorocaba - SPR. Riachuelo, 460, 5º Ed. Trade TowerSalas 501, 502, 503 e 50418035-330, Sorocaba/SP Telefone: [55](15) 3332-8080Fax: [55](15) 3332-8076

Nossos escritórios

© 2016 PricewaterhouseCoopers Brasil Ltda. Todos os direitos reservados. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Brasil Ltda., firma membro do network da PricewaterhouseCoopers, ou conforme o contexto sugerir, ao próprio network. Cada firma membro da rede PwC constitui uma pessoa jurídica separada e independente. Para mais detalhes acerca do network PwC, acesse: www.pwc.com/structure

PwC Brasil@PwCBrasil youtube.com/PwCBrasilPwC Brasil @pwcbrasil

www.pwc.com.br

Documents

Inovando e Transformando em Segurança Cibernética