DARYUS - Pesquisa Nacional de Segurança da Informação 2014

✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br

PESQUISA

NACIONAL DE

SEGURANÇA DA

INFORMAÇÃO

2014

Uma visão estratégica dos principais elementos da

Segurança da Informação no Brasil


Sumário executivo

CIBERCRIMES, FALHAS EM PROCESSOS, FRAUDES, COMPORTAMENTO. O atual

contexto corporativo contempla inúmeras ameaças a Segurança da Informação, que se

tratadas de maneira inapropriada constituem impactos severos que podem abalar as

finanças ou reputação até mesmo das maiores companhias.

Enquanto lidamos com dados que crescem exponencialmente em quantidade e

complexidade, organizações ainda começam a compreender que uma postura reativa não

é mais suficiente. Recentes incidentes trouxeram a tona um novo nível de conscientização

sobre a necessidade de se estabelecer não somente estruturas tecnológicas, mas

também processos e habilidades para se desenvolver, manter e otimizar programas de

Gestão de Segurança da Informação.

Mesmo com essa maior maturidade, a quantidade de incidentes de segurança leva

executivos a questionar a capacidade de suas organizações para conter e lidar com

ameaças. Estamos preparados ou seremos mais um a aprender a dolorosa lição que é o

preço de uma gestão ineficiente?

O cenário brasileiro mostra que enquanto incidentes atingem níveis inaceitáveis, os

investimentos em Segurança ainda são tímidos, mão de obra especializada é escassa, e

leis e regulamentações ainda são ineficientes para resguardar a proteção de dados

corporativos.

Este relatório, baseado em uma pesquisa realizada entre junho e agosto de 2014, mostra

um panorama da Segurança da Informação no Brasil. Com foco em elementos

estratégicos, a visão apresentada pelos pesquisados demonstra como este tema cresceu

em relevância nas corporações, juntamente com o quão distante ainda estamos da

maturidade ideal.

Realização:

Apoio:

DARYUS Strategic Risk Cosnulting

DARYUS Education Center

IT MÍDIA conteúdo | relacionamento | negócios

EXIN Brasil


Siglas e abreviaturas

GSI – Gestão da Segurança da Informação

SGSI – Sistema de Gestão da Segurança da Informação

PSI – Política de Segurança da Informação

PDCA – Plan-Do-Check-Act (Planejar, Fazer, Verificar e Agir/Melhoria contínua)

ISO – International Standarization Organization

ABNT – Associação Brasileira de Normas Técnicas

ITIL – Information Technology Infrastructure Library


Metodologia

Período da Coleta

30 Junho a

25 de Agosto de 2014

Formato de pesquisa

ON LINE Respondentes

Dos 171 respondentes,

122 foram válidos

Abrangência

Convidadas mais de

*500 empresas no

BRASIL

* Quantidade de respondentes baixa frente a importância e quantidade solicitada. Demonstra que as empresas ainda não possuem maturidade para responder ou preferem pesquisas mais técnicas ou sobre controles.


Como foi dividida

GESTÃO CONTROLES CAPACITAÇÃO


Gás &

Óle

o

Tra

nspo

rtes

Ma

nufa

tura

Te

lecom

un

icaçõe

s

Tecno

logia

Com

érc

io

Saú

de

Edu

ca

ção

Fin

ance

iro

Gove

rno

Ind

ústr

ia

Serv

iços

1% 1% 2% 2% 3% 4% 4% 7% 8%

11% 15%

42% + Maduras em relação ao tema:

•Governo (10,7%);

•Indústria (14,8%) e

•Serviços (41,8%).

Quem respondeu a pesquisa?


Perfil das empresas e respondentes

27,9% Faturam mais de US$ 100 milhões;

51,6% + 1.000 colaboradores;

32,7% Gerentes e Diretores;

85,2% estão envolvidos na tomada de DECISÃO;

46,72% atuam há mais de 5 anos com SI


Sua empresa possui um Sistema de Gestão

de Segurança da Informação (SGSI)

11,48%

24,59%

27,87%

36,07%

Sim (aprovado pela TI) Não. Informalmente Sim (aprovado pelaAlta Direção)

52,46% são informais

ou

não existem!

SGSI


Há quanto tempo um SGSI foi

estabelecido na empresa?

Motivadores

35,25% alinhamento

com as melhores práticas,

5,74% buscam a ISO

27001

40,38% das empresas

participantes possuem a GSI

com foco em TODA A

EMPRESA 18,85%

35,25%

8,20% 5,74%

31,97%

menos de 1ano

de 1 a 5anos

de 5 a 10anos

mais de 10anos

Não possui


Tempo de Casa X Tempo de S.I.

A maior parte das equipes tem menos de 5 anos e é formada por

profissionais que tem tempo médio de casa de 5 anos.

18,85%

42,62%

22,95%

15,57%

menos de 1ano

entre 1 e 5anos

entre 5 e 10anos

mais de 10anos

4,10%

38,52%

30,33%

16,39%

10,66%

menos de 1anos

de 1 a 5anos

de 5 a 10anos

mais de 10anos

Não atuacom S.I


“A Alta Direção deve

demonstrar sua liderança

e comprometimento em

relação ao SGSI” Fonte: ISO 27001 – Requisito 5.1

Das empresas entrevistadas apenas 36,07% tiveram sua GSI aprovadas pela Alta Direção.

Em 53,46% a GSI não foi aprovada ou é

informal e ainda parte de TI.

Sim 61,48%

Não 10,66%

Razoavelmente 27,87%

Participação da Alta Administração


Qual a área atualmente

responsável nas empresas?

Segurança da

Informação

1%

1%

2%

2%

2%

2%

3%

11%

11%

65%

Auditoria

Recursos Humanos

Jurídico

Finanças

Operações

Segurança Patrimonial

Segurança da Informação

Não possuímos uma área responsável

Presidência / Alta Direção

Tecnologia

TI domina com

ampla margem

Pessoas

Processos

Tecnologia


“A Alta Direção deve assegurar que as responsabilidades e autoridades

dos papéis relevantes para a segurança da informação sejam atribuídos

e comunicados”. Fonte: ISO 27001 – Requisito 5.3

0,82%

0,82%

1,64%

1,64%

2,46%

3,28%

4,10%

4,10%

4,92%

6,56%

30,33%

39,34%

Finanças

Segurança Patrimonial

Jurídico

Recursos Humanos

Outro

Operações

GRC


Negócios

Auditoria

Alta Direção

Tecnologia

Qual a área os pesquisados

acreditam que deveria ser

responsável?

Segurança da

Informação

Segurança ainda é

vista como uma

disciplina

primariamente de

tecnologia!


Riscos e

oportunidades Quando planejamos a gestão de segurança

da informação devemos considerar questões

relacionadas à prevenção de riscos e

oportunidades de melhorias.

Estas ações devem ser realizadas dentro dos

processos organizacionais e ter seus

resultados medidos, aumentando assim a

CONFIANÇA da organização em relação à

gestão da segurança da informação.

CONFIANÇA

“Confiança é o ato de

confiar na análise se um

fato é ou não verdadeiro,

devido às experiências

anteriores, entregando

essa análise à fonte de

estatísticas e opiniões de

onde provém

a informação e

simplesmente

considerando-a e

checando-a com outras,

o chamado cruzamento

de informações”.

Fonte: Wikipedia


Avaliação da confiança

4,92% não confiam nas leis e

regulamentos que afetam a segurança

da informação.

5,74% não confiam na capacidade

organizacional atual para contramedidas

para prevenção/proteção contra

incidentes de segurança.

8,20% não confiam na área de

segurança da informação para evitar ou

tratar ataque cibernético de origem

interna ou externa.


Prejuízos financeiros

O Centro de Estudos Estratégicos e Internacionais dos EUA em conjunto com a empresa de

segurança digital McAfee revela que falhas em segurança digital geram, em todo o mundo, um

prejuízo anual que atinge a marca de aproximadamente

R$ 1.120 trilhões (US$ 500 bilhões). Fonte: McAfee

As organizações devem assegurar um enfoque consistente e efetivo para

gerenciar os incidentes de segurança da informação, incluindo

a comunicação sobre fragilidades e eventos de

segurança da informação. Fonte: ISO 27001 – Anexo A – 16.1


Investimentos em segurança

mais de 10% de 1 a 5milhões de

Reais

mais de 5milhões de

Reais

de 5 a 10%do

faturamento

de 500 a 1milhão de

Reais

de 3 a 5% dofaturamento

até 500 milReais

até 3% dofaturamento

N/A

1,6% 3,3%

4,1% 4,9% 4,9% 6,6%

9,8%

27,0%

37,7% 37,7% não realizam previsões de investimentos relacionados ao tema.

68,03% dos participantes não acredita que o percentual investido em

segurança da informação seja o ideal para a sua organização.

+ 85% considera que o principal fator crítico para a segurança da informação está

contido nos temas: Capacitação e mudança de Cultura

Organizacional.


Os incidentes mais frequentes

Mais de 40% das falhas relacionadas à

segurança da informação não está associada à

tecnologias, mas sim em torno de pessoas e a

maneira na qual os dados, informações e

sistemas são utilizados nas organizações.

Acesso não autorizado (físico)

Guerra Cibernética

Hacktivismo

Investigação (incidentes não confirmados)

Acesso não autorizado (lógico)

Engenharia Social

Negação de Serviço (DoS)

Varredura/Tentativas de Invasão

Falhas em Equipamentos

Códigos Maliciosos

N/A

Perda de Informação

Mal Uso

Vazamento de Informação

0,8%

0,8%

2,5%

3,3%

4,1%

4,1%

5,0%

5,0%

6,6%

9,9%

12,4%

12,4%

16,5%

16,5%


Certificação ISO 27001 Sistema de Gestão de Segurança da Informação (SGSI)

• Redução de custos financeiros relacionados a incidentes de segurança da informação;

• Promove a melhoria continuada nos controles e políticas de segurança da informação;

Benefícios:

53,28%

23,77%

9,84%

7,38%

5,74%

Não possuímos mas temos interesse

Não possuímos e não temos interesse

Não possuímos mas já temos um projeto de certificação em andamento

Possuímos a certificação ISO 27001:2005

Possuímos a certificação ISO 27001:2013


Política de Segurança da Informação (PSI)

“Prover orientações da Direção e apoio para a segurança da informação de acordo

com os requisitos do negócio e com as leis e regulamentos relevantes”

63,11%

17,21%

19,67%

Sim

Em desenvolvimento

Não

A PSI é o principal ativo estratégico da Alta Direção para definição das diretrizes básicas

de Segurança da Informação.


Características e tipos de políticas de


76,23% Dos conselhos

administrativos

auxliaram no

desenvolvimento da

política de SI

66,39% Das organizações

tiveram como

aprovadores finais da

política de SI a

Presidência/Alta

Direção

37,70% Das políticas são

revisadas anualmente,

enquanto 27,05% não

possuem periodicidade

definida

27,87% Das organizações

divulgam a política de

SI aos seus

fornecedores

70,49% A intranet é o meio

mais utilizado para

divulgação da política

de SI

38,02% É a porcentagem de

empresas que possui

política de uso

aceitável de ativos

30,58% Das organizações tem

uma política de

classificação da

informação definida

54,55% A classificação da

informação somente é

utilizada em pouco

mais da metade das

organizações


COMPETÊNCIAS E RESPONSABILIDADES

“As organizações devem determinar e prover recursos necessários para o

estabelecimento, implementação, manutenção e melhoria contínua da

segurança da informação.” Fonte: ISO 27001 – Requisito 7.1


Competências e

responsabilidades

32% das organizações não definiram papéis e

responsabilidades;

Em 59,84% das organizações a contratação é

utilizada como o momento para comunicação dos

papéis e responsabilidades, embora em 23,77% das

organizações os mesmos não sejam comunicados;

A ação de conscientização mais utilizada (99,99%) é o meio eletrônico (e-mail) enquanto as demais ações

não ultrapassam a marca de 55% de utilização.

Em apenas 39,34% das organizações é utilizado um

processo disciplinar, e apenas 17,21% dos

respondentes acredita que é o mesmo seja seguido

corretamente.

Principais papéis definidos nas organizações

Analista de SI Proprietário deInformação

Usuário deInformação

39,3%

41,0%

41,8%


Principais certificações dos pesquisados

0,89%

0,89%

0,89%

0,89%

0,89%

0,89%

2,68%

2,68%

2,68%

2,68%

3,57%

4,46%

5,36%

6,25%

6,25%

7,14%

7,14%

8,04%

25,89%

55,36%

57,14%

ABCP (DRII)

Agile Scrum

Integrator Cloud Service

ISMES (EXIN - ISO 27002 Expert)

ITIL Expert

ITMP

CISA (ISACA)

CISM (ISACA)

Green IT

Security +

ITIL Practicioner

CRISC (ISACA)

Certificações Microsoft

CISSP (ISC2)

ISO 20000

ISMAS (EXIN - ISO 27002 Advanced)

PMP (PMI)

Lead Auditor (BSI)

Cobit Foundation (ISACA)

ISFS (EXIN - ISO 27002 Foundation)

ITIL Foundation


1

5

9

12

29

76

84

Continuidade de Negócios

Gestão de Riscos

Gerenciamento de Projetos

Auditoria

Governança de TI

Gestão de Serviços de TI


Principais certificações dos pesquisados

Por domínio:

39% 39%

22%

Básico Intermediário Avançado

Apenas 16,96% dos pesquisados ainda não possui nenhum tipo de certificação reconhecida

internacionalmente.

Por nível:


Gestão de Ativos

“Associados à informação, recursos e processamento da informação, os ativos

devem ser identificados, e um inventário dos mesmos deve ser estruturado

e mantido.” Fonte: ISO 27001 – Anexo A 8.1.1


“Brasil já é 4ª economia digital no mundo e representa 60% das transações na América Latina.”

Fonte: FECOMERCIO SP


Gestão Ativos + BYOD

BYOD e Ativos Corporativos

Em 25,41% existe políticas relacionadas ao tema e 46,72% das

organizações permitem acesso aos dados externos.

Mesmo nas organizações em que não é permitido o acesso aos

dados, 45,90% dos entrevistados acreditam que seja possível o

acesso.

Sua empresa faz uso de dispositivos móveis no

ambiente de trabalho?

3,3%

36,9%

59,8%

Não

Apenas dispositivos Corporativos

Dispositivos Corporativos e Pessoais


Controles de Segurança da Informação

“Controlar é comparar o resultado das ações,

com padrões previamente estabelecidos, com

a finalidade de corrigi-las se necessário” Fonte: Wikipedia


Controles de Segurança

da Informação

Vazamento de informações Os controles mais utilizados contra vazamento de informação são a

conscientização (57,02%) e a

criptografia (44,63%);

Acesso lógico

28,10% das organizações não adotam controles de gestão de

acesso, enquanto que

33,88% utilizam trilhas de auditoria e revisão manual;

Acesso físico

10,74% não utilizam controles de acesso físico.

Códigos maliciosos, vírus, vermes...

57,02% disseminados nos principais ambientes;

31,40% Completamente disseminados; 4,96% apenas em ambientes críticos

6,61% não usam

Cópias de Segurança (Backup) e Restauração

23,97% acreditam que irão proteger a organização em

caso de falhas nos ambientes produtivos.

48,76% armazenamento em locais fora do escritório,

16,53% realizam seus backups em nuvem privada.


“Responsabilidades e procedimentos

devem ser estabelecidos para assegurar

respostas rápidas e efetivas aos

incidentes de SI” ISO 27001:2013

Das empresas entrevistadas apenas 36,36% possui um processo formal para gestão de

incidentes de SI.

A frequência na qual os incidentes são relatados é

baixa 56,20%.

Mais de 50% dos entrevistados considera o

impacto operacional dos incidentes, embora

54,55% não saiba informar como é considerado

o impacto financeiro.

Impactos mais severos segundo os respondentes:

Gestão de Incidentes

35,54%

25,62%

13,22%

Operacionais Marca/Reputação Financeiros


Plano de Continuidade de Negócios

"81% dos gestores cujas organizações ativaram os seus acordos de

continuidade dos negócios nos últimos 12 meses disseram que isto foi

eficaz na redução de paralisações.

Em resumo: a continuidade dos negócios funciona.”


Continuidade de

negócios

55,46% das organizações afirma

possuir um plano de continuidade, e

42,86% considera em seu plano

pessoas, processos e tecnologia

52,10% das organizações não realizam

testes de seus planos. 19,33% (maior

índice de testes) realiza anualmente.

Mais de 35% não possuem local

alternativo para recuperação.

47,90% das organizações

contemplam aspectos de segurança

da informação em seus planos de

continuidade de negócio;


Análise de vulnerabilidade

“O objetivo da Análise de vulnerabilidade é reduzir o risco em relação aos incidentes de segurança, seja tanto na rede interna quanto na

externa, é necessário detectar essas possíveis falhas e corrigi-las para garantir que a rede esteja em um nível de segurança adequada.”

37,8% das empresas não realizam

análise de vulnerabilidade técnica!

2,52%

4,20%

15,13%

15,97%

24,37%

37,82%

Não soubeinformar

Bienal

Anual

Semestral

Mensal

Não Realiza

Quando realizadas, as mesmas são concretizadas por

equipe interna em 46,22% das vezes.


“As organizações

devem conduzir

auditorias a

intervalos

planejados para

prover

informações

sobre o quanto a

gestão de

segurança

encontra-se em

conformidade e

está sendo

mantida.” Fonte: ISO 27001 – Requisito 9.2

Bienal Mensal Semestral Anual Não é realizada

4,2% 5,0%

20,2%

23,5%

47,1%

Auditorias internas para S.I.


Pesquisa Nacional de Segurança da Informação

“A segurança da informação é obtida da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados,

onde é necessário para garantir que os objetos do negócio e de segurança da organização sejam atendidos.” NBR ISO/IEC 27002:2005

Avenida Pualista 1009 - 11º andar

CEP 01311-100 – Bela Vista - SP Brasil

[email protected] | www.daryus.com.br

As implicações para o seu negócio:

Por mais que os resultados aqui apresentados possam ser

interessantes, eles não representam o roteiro padrão de

execução para a sua empresa ou para qualquer outra.

Você pode usar estas informações como suporte na

definição de uma visão de futuro para o seu programa de

segurança da informação.

Apoio: Realização