Escolar Documentos
Profissional Documentos
Cultura Documentos
10a Pesquisa Nacional
10a Pesquisa Nacional
Mdulo
2 Mdulo
Fundada em 1985, a Mdulo especializada em tecnologia para Gesto de Riscos. Com cerca de 250 profissionais permanentemente atualizados e certificados, a empresa j realizou mais de 4.000 projetos, muitos deles inovadores e reconhecidos mundialmente, como a participao nas eleies eletrnicas brasileiras e a entrega de imposto de renda via Internet. Entre seus principais clientes destacam-se grandes bancos, empresas de telecomunicaes, indstrias e diversas organizaes do governo. A preocupao com a excelncia em padres de qualidade levou a Mdulo a duas conquistas: o pioneirismo mundial na obteno da norma internacional de gesto de Segurana da Informao ISO 27001 e a certificao ISO 9001 obtida e recertificada desde 1998. Na rea de software a empresa desenvolve o Mdulo Risk Manager, Sistema para Gesto de Riscos e Compliance que utilizado em diversos segmentos e possui como usurios Santander Banespa, Agncia Nacional de Petrleo (ANP), Microsoft, Schlumberger, Superior Tribunal de Justia (STJ), Xerox Brasil, entre outros. O Mdulo Lab o responsvel pelas pesquisas de tecnologia e atualizao da base de conhecimento dessa ferramenta, que hoje conta com 250 knowledge bases, 11.000 controles e 4.000 coletores automticos. O Mdulo Risk Manager conquistou vrias premiaes, entre elas, o Prmio FINEP de Inovao Tecnolgica 2006 (Regio Sudeste), Prmio Mundial de Excelncia em Gesto de Segurana na categoria Security Management e o de Melhor Soluo de Segurana na Amrica Latina nas categorias Inovao no Desenvolvimento de software e Inovao Tecnolgica em 2004, 2005 e 2006 (Microsoft Awards). O Mdulo Education Center (MEC) outra unidade de negcios da empresa, especializada em capacitao e formao de gestores em Segurana da Informao e Gesto de Riscos. A rea oferece cursos abertos, cursos on-line e treinamentos in company. A empresa tambm mantm um portal e a revista Security Review com notcias e informaes sobre Segurana da Informao e Gesto de Riscos. Entre os servios disponibilizados para esta Comunidade, hoje com cerca de 50 mil assinantes, destacam-se o Security Shopping primeiro site de comrcio eletrnico dedicado a produtos de segurana e a Pesquisa Nacional de Segurana da Informao, que est na sua 10 edio, iniciativas que representam o compromisso da empresa com a difuso da cultura de Segurana da Informao e Gesto de Riscos no Brasil.
Mdulo
ndice
Apresentao Metodologia 1. Ameaas, Ataques e Invases 2. Estruturao da rea de Segurana da Informao 3. Conformidade com Normas, Regulamentaes e Legislao 4. Anlise de Riscos, Auditoria e Compliance em Tecnologia da Informao 5. Capacitao 6. Conscientizao Concluses
Copyright 2006 Mdulo Departamento de Marketing Todos os direitos reservados. Proibido reproduo, armazenamento ou transmisso de partes deste material sem prvia autorizao. Informaes: 0800 7070 853 e-mail: atendimento@modulo.com.br www.modulo.com.br 4 Mdulo
10 Pesquisa Nacional de Segurana da Informao
Apresentao
A 10 edio da Pesquisa Nacional de Segurana da Informao traz como novidades anlises especficas por segmento e aborda temas como: a conduo de anlise de riscos nas organizaes, capacitao de equipes e a conscientizao de funcionrios.
A dcima edio da Pesquisa Nacional de Segurana da Informao traz uma viso atualizada sobre as tendncias do mercado brasileiro, com seus indicadores e melhores prticas. Para trazer at voc esta edio, contamos com a resposta de cerca de 600 profissionais atuantes nas reas de Segurana e Tecnologia da Informao de organizaes privadas, pblicas e de economia mista, nos seguintes setores: Governo (21%), Financeiro (15%), Informtica (14%), Indstria (9%), Prestao de Servios (8%), Telecomunicaes (5%), Comrcio (4%), Educao (3%), Energia Eltrica (3%), Sade (2%), Minerao (0,5%), outros (15%). A pesquisa conta com anlises especficas para os seguintes segmentos: Governo, Financeiro, Telecomunicaes, Comrcio, Indstria e Servios. Pela primeira vez, a Pesquisa Nacional de Segurana da Informao aborda temas como: a conduo de anlise de riscos nas organizaes, capacitao de equipes e a conscientizao de funcionrios.
Metodologia
Os dados da pesquisa foram coletados por meio de questionrios presenciais e on-line. No total, o estudo em termos quantitativos - foi feito com uma amostra de aproximadamente 600 questionrios, respondidos entre junho de 2005 e janeiro de 2006. Foram ouvidos profissionais das reas de Tecnologia e Segurana da Informao distribudos pelos diferentes setores da economia e correspondendo metade das mil maiores empresas brasileiras. Os questionrios foram constitudos por mais de 40 questes objetivas, sendo algumas de respostas mltiplas, considerando-se para computao somente as perguntas efetivamente respondidas.
Mdulo
6 Mdulo
Mdulo
8 Mdulo
Mdulo
10 Mdulo
Mdulo
11
12 Mdulo
Mdulo
13
Capacitao
O cenrio de segurana atual - com o crescimento dos riscos das empresas frente a ataques, invases e vazamentos de informaes - parece estar incentivando as organizaes a capacitarem suas equipes. Metade das empresas pesquisadas informou que os profissionais que lidam diretamente com a rea se encontram parcialmente capacitados e em boa parte delas (18%) plenamente capacitados. No entanto, a maioria das empresas (45%) informou que os profissionais da equipe de Segurana da Informao no possuem certificao especfica na rea. Quando possuem, a maioria (21%) Mdulo Certified Security Officer (MCSO). Alguns possuem certificao CISSP (9%), CISM (4%) e CISA (7%). 14% informaram outras certificaes. O aumento do nvel de conscientizao dos altos executivos das empresas para os problemas de segurana favoreceu o investimento nas capacitaes especficas para os profissionais da rea. Mais da metade das companhias (53%) investe em capacitao e boa parte (26%) pretende investir. Quanto aos valores orados por funcionrio/ano, algumas organizaes (29%) informaram ser de at R$ 1 mil e outras de acima de R$ 5 mil (28%). Investimento de at R$ 5 mil tambm foi citado por uma parte das companhias (24%).
14 Mdulo
obs.: o total de citaes superior a 100% devido a questo aceitar mltiplas respostas.
Mdulo
15
Conscientizao
Informaes bsicas de segurana j so difundidas por muitas empresas, mas para a implementao de um planejamento formal de segurana necessrio que os funcionrios sejam sensibilizados. Quando consultadas se os funcionrios da sua companhia esto conscientizados sobre a importncia da Segurana da Informao para a organizao, mais da metade das empresas (55%) disse que sim. A maioria tambm (57%) j realizou campanha de sensibilizao e considerou o resultado satisfatrio (66%). No entanto, grande parte das empresas (37%) no imprime uma regularidade para realizar esta campanha e uma parte realiza semestralmente (22%). As campanhas so normalmente preparadas pela prpria rea de segurana na maior parte das companhias (54%), mas j h um avano na relao entre o departamento e as reas de RH e Marketing. Em boa parte das companhias (23%) planejar a sensibilizao dos funcionrios tarefa para os trs departamentos. Nos ltimos anos vem crescendo o valor mdio dedicado para a Segurana da Informao tirado do valor total do investimento da rea de TI. Boa parte (27%) dedica de 1 a 5% e algumas (21%) dedicam de 5 a 10%. Justificar e priorizar aes integrando tecnologia com os negcios ainda desafio para algumas empresas, mas est crescendo o nmero de organizaes que j conseguem ter o alinhamento dos investimentos em Segurana da Informao com seus objetivos de negcio. A maioria delas (40%) disse que eles esto parcialmente alinhados, enquanto uma boa parcela (33%) informou que eles so plenamente alinhados. Acreditando que os problemas com segurana iro aumentar, as empresas planejam providncias para melhorar esta situao. Anlise de riscos no ambiente de TI, adequao s Normas/Regulamentaes/Legislao, anlise de vulnerabilidades, campanha de sensibilizao e poltica de segurana aparecem entre as medidas de segurana que sero adotadas pelas companhias nos prximos 12 meses.
16 Mdulo
obs.: o total de citaes superior a 100% devido a questo aceitar mltiplas respostas.
Mdulo
17
Concluses
A 10 Pesquisa Nacional de Segurana da Informao mostra que nos ltimos anos houve um avano na conscientizao das empresas em relao importncia da Segurana da Informao para seus negcios. No entanto, a maioria delas ainda no possui planejamento formal de segurana e as aes implementadas normalmente so pontuais. Muitas companhias j conseguem quantificar perdas e identificar responsveis por problemas de segurana e tomam providncias legais para punir os responsveis, agindo na correo das falhas. A rea de Segurana da Informao tem se consolidado com o aumento de empresas que possuem o Security Officer como principal responsvel pelo departamento. A anlise de riscos tem sido percebida como um importante recurso para atender aos requisitos impostos por novas Leis, Normas e Regulamentaes de mercado. A Legislao e as Normas especficas esto ajudando as empresas a estruturarem melhor seus departamentos. Por conta desta necessidade de adequao esto sendo feitos investimentos em capacitao de profissionais. Quanto maior a prioridade dada Segurana da Informao pelos altos executivos, mais a companhia est empenhada em educar seus funcionrios. E a falta de conscientizao deles considerada um dos principais obstculos para a implementao da segurana na maioria das companhias. Em relao aos segmentos de mercado, o Financeiro se mostrou mais consciente sobre Normas e Regulamentaes. tambm o que mais investe em capacitao de equipe e sensibilizao de funcionrios. Com isso, o setor apresenta tambm um melhor resultado na identificao dos problemas, dos responsveis e na quantificao das perdas.
Rio de Janeiro
Rua da Quitanda, 106 - 1 e 2 andares - Centro Rio de Janeiro - RJ - CEP: 20091-005 Telefone: (21) 2206-4600 Fax: (21) 2206-4720
Braslia
SCN, Quadra 5, Bloco A Centro Empresarial Braslia Shopping and Towers Torre Norte, Sala 918 Braslia - DF - CEP: 70715-900 Telefone: (61) 3218-7500 Fax: (61) 3218-7506
So Paulo
Av. Eng Luis Carlos Berrini, 550 - 5 andar, Conjunto 51 Brooklin So Paulo - SP - CEP: 04571-000 Telefone : (11) 5504-3600 Fax : (11) 5504-3601
18 Mdulo
Mdulo
19
20 Mdulo