Você está na página 1de 44

www.pwc.com.

br

Embora as organizaes
tenham feito avanos
importantes em termos de
segurana, elas no esto
acompanhando a evoluo
dos seus adversrios
atuais. O resultado que
muitas esto confiando
nas prticas de segurana
de ontem para combater
as ameaas de hoje.

Uma defesa ultrapassada


Principais resultados da Pesquisa Global de
Segurana da Informao 2014 The Global
State of Information Security Survey 2014

Metodologia
A Pesquisa Global de Segurana da Informao 2014 (The
Global State of Information Security Survey 2014) um
estudo mundial realizado pela PwC em parceria com as
revistas CIO e CSO. A pesquisa foi conduzida on-line de 1
de fevereiro a 1 de abril de 2013. Os leitores de ambas as
publicaes e os clientes da PwC de todo o mundo foram
convidados a responder a um questionrio via e-mail. Os
resultados apresentados neste relatrio se baseiam nas
respostas de mais de 9.600 executivos, entre eles CEOs, CFOs,
CISOs, CIOs, CSOs, vice-presidentes, diretores de TI e de
segurana da informao de 115 pases. Trinta e seis por cento
(36%) dos respondentes so da Amrica do Norte, 26% da
Europa, 21% da regio sia-Pacfico, 16% da Amrica do Sul e
2% do Oriente Mdio e da frica. A margem de erro inferior
a 1%. Todos os dados e grficos deste relatrio, a menos que se
indique o contrrio, so relativos aos resultados da pesquisa.

PwC 1

Contedo

O cerne da questo

Uma anlise em profundidade


Incidentes de hoje, estratgias de ontem
Uma defesa fraca contra os adversrios
Como se preparar para as ameaas futuras
A corrida global de defesa ciberntica

7
10
14
17
22

Mercado brasileiro
Incidentes de hoje, estratgias de ontem
Uma defesa fraca contra os adversrios
Como se preparar para as ameaas futuras
Obstculos no avano da segurana
Aspectos relevantes no contexto brasileiro

25
25
28
30
31
32

O que isso significa para a sua empresa

38

PwC 3

Apresentao
A Pesquisa Global de Segurana da Informao 2014 da PwC mostra
que as empresas vm fazendo avanos expressivos na rea e que os seus
executivos, alm de estarem dando mais importncia questo, acreditam
ter aperfeioado substancialmente salvaguardas, processos e estratgias
tecnolgicas. Os investimentos no setor refletem esse interesse: a mdia
dos oramentos em segurana da informao cresceu 51% em relao ao
ano passado.
Em termos regionais, a Amrica do Sul mostra uma importante evoluo
no que se refere a gastos, polticas e tecnologias de segurana e apresenta
alguns pontos ainda por melhorar, como maior adeso a uma poltica para
treinamento e conscientizao de segurana. No Brasil, observamos que
a preocupao com o tratamento adequado de novas tecnologias e com a
mobilidade tem se acentuado. Na pesquisa deste ano, 12% mais respondentes
declararam ter uma estratgia de mobilidade.
Visto assim, tem-se a impresso de que as ameaas esto sendo bem
equacionadas e as medidas necessrias defesa das organizaes ganham
corpo. Mas uma observao um pouco mais atenta do panorama da segurana
da informao permite verificar que nem tudo o que parece.
A anlise das respostas colhidas com 9.600 executivos de 115 pases sugere
a utilizao de antigos modelos para combater novas ameaas cada vez
mais sofisticadas, o que resulta numa proteo pouco efetiva. E apesar de o
investimento em segurana ter aumentado, nota-se que as empresas ainda se
perdem na hora de definir as melhores prticas, tm dificuldade de conduzir
analises situacionais e de identificar e priorizar os dados que precisam ser
adequadamente resguardados. Poucas esto realmente preparadas para lidar
com os riscos crescentes do ciberespao.
Todas essas questes so aprofundadas neste relatrio. Com base
nos resultados da pesquisa, sugerimos tambm uma nova abordagem
de preveno e combate s ameaas futuras. Esperamos, com isso, ajudar
as organizaes a mapear os pontos que precisam ser trabalhados para que
elas aprimorem suas aes de cyber security e de segurana da informao.
Em um mundo totalmente interconectado por tecnologias digitais, essa
uma medida imperativa.

Fernando Alves
Scio-presidente
PwC Brasil

Pesquisa Global de Segurana da Informao 2014

Edgar R. Pacheco D'Andrea


Scio Lder de Cyber Security e
Segurana da Informao
PwC Brasil

O cerne da questo
Os riscos de segurana da
informao esto evoluindo e se
intensificando, mas as estratgias de
segurana historicamente baseadas
em conformidade e orientadas por
permetro no acompanharam
essa evoluo.
Resultado? Hoje, as organizaes
costumam se fiar em estratgias de
segurana do passado para travar
uma batalha em geral ineficaz contra
inimigos altamente qualificados que
utilizam as ameaas e as tecnologias
do futuro.
Esses sofisticados invasores superam
as defesas de permetro ultrapassadas
e cometem ataques dinmicos,
extremamente concentrados e difceis
de detectar. Muitos usam avanados
ataques de phishing cujo alvo a alta
administrao. Para piorar a situao,
a superfcie de ataque que inclui
parceiros, fornecedores, clientes
e outros grupos se expandiu no
ciberespao com o volume sempre
crescente de dados fluindo por canais
digitais interconectados.
Esses fatores se combinaram para
tornar a segurana da informao
cada vez mais complexa e desafiante.
Ela passou a ser uma disciplina
que demanda tecnologias e
processos pioneiros, um conjunto de
habilidades baseadas em tcnicas de
contrainteligncia e o apoio firme
da alta administrao. Um princpio
fundamental dessa nova abordagem
a compreenso de que um ataque
inevitvel e que adotar um alto nvel
de proteo para todos os dados no
mais vivel.

O objetivo da Pesquisa Global de


Segurana da Informao 2014
medir e interpretar como as
organizaes globais adotam
prticas para combater os inimigos
altamente qualificados dos dias
atuais. A pesquisa deste ano indica
que os executivos esto dando mais
importncia segurana. Eles esto
atentos necessidade de financiar
atividades de segurana avanadas
e acreditam ter aperfeioado
substancialmente salvaguardas,
processos e estratgias tecnolgicas.
Mas embora as organizaes tenham
melhorado o nvel da sua segurana,
seus inimigos avanaram ainda mais.
A pesquisa deste ano mostra que os
incidentes de segurana detectados
aumentaram 25% em relao ao
ano anterior, enquanto os custos
financeiros mdios dos incidentes
cresceram 18%.
A pesquisa tambm revela que
muitas organizaes no
empregaram tecnologias capazes
de fornecer informaes sobre
vulnerabilidades e ameaas do
ecossistema, identificar e proteger os
principais ativos e avaliar ameaas
no contexto dos objetivos de negcio.
Para muitas empresas, a segurana
ainda no um componente essencial
da estratgia de negcios, defendida
pelo CEO e pelo conselho
e adequadamente subsidiada.
Simplificando, poucas organizaes
esto se mantendo atualizadas em
relao aos riscos crescentes e
menos ainda esto preparadas para
administrar as ameaas futuras.

Pesquisa Global de Segurana da Informao 2014

No possvel combater
as ameaas de hoje com as
estratgias de ontem, diz
Viviane Oliveira, diretora
da PwC. necessrio um
novo modelo de segurana
da informao, que leve em
considerao o conhecimento
das ameaas do ciberespao,
dos ativos de informao e
dos motivos e alvos dos
potenciais atacantes.
Nesse novo modelo de segurana
da informao, conhecimento
poder. Preserve-o.

Uma anlise em profundidade


A universalizao das tecnologias
digitais transformou o ambiente
de negcios.
Hoje, as organizaes esto cada vez
mais interconectadas, integradas e
interdependentes. Elas empregam
a tecnologia e a conectividade
ubqua para compartilhar um
volume sem precedentes de ativos de
informao com clientes, provedores
de servio, fornecedores, parceiros
e empregados. Essas sofisticadas
tecnologias permitem que as
empresas realizem atividades de
negcios com uma velocidade e um
grau de eficincia sem precedentes.
Mas um ecossistema de negcios em
evoluo tambm pe em risco as
organizaes ao deix-las merc
de inimigos que poderiam explorar
essas tecnologias e processos para
interromper as operaes, obter
acesso a informaes privilegiadas
e at destruir a empresa. Como
resultado, as ameaas de segurana
tornaram-se um risco crtico de
negcios para as empresas globais.
A abordagem reativa tradicional
quanto estratgia de segurana da
informao que geralmente relega
a segurana a segundo plano para se
concentrar nos desafios de TI ainda
o senso comum. Mas no mais
efetiva, nem defensvel.

O novo mundo da era ciberntica e


dos riscos de segurana demanda
que as organizaes tratem o tema
da segurana da informao como
uma questo de gesto de riscos
corporativos que pode ameaar
seriamente a reputao empresarial
e os objetivos do negcio. Proteger
todos os dados no nvel mximo no
mais realista, nem mesmo possvel.
Diante desse cenrio, pedimos a
executivos de negcios, de segurana
e de TI que nos informassem como
suas empresas tratam os imperativos
de segurana da informao
e alinham as salvaguardas de
privacidade e segurana da
informao com os objetivos do
negcio. Os resultados da Pesquisa
Global de Segurana da Informao
2014 mostram que a maioria dos
executivos em todas as indstrias do
mundo esto confiantes nas prticas
de segurana da informao de
suas organizaes.

Forte confiana nas prticas


de segurana atuais
impressionante que, mesmo em um
ambiente mais complexo de riscos, os
executivos continuem extremamente
confiantes nos recursos e nas
atividades de segurana de suas
organizaes. Globalmente, 74%
dos respondentes dizem que suas
atividades de segurana so eficazes
(Figura 1). E esse otimismo ainda
maior no nvel hierrquico mais alto
das empresas. Por exemplo, 84% dos
CEOs dizem que esto confiantes
em seu programa de segurana,
como tambm 78% dos CISOs que
tm responsabilidade direta pela
rea. Entre os executivos, os CFOs
so os menos confiantes. Uma viso
regional mostra que os participantes
da pesquisa na Amrica do Sul (81%)
e na sia (76%) apresentam os mais
altos nveis de confiana em seus
programas de segurana.

Figura 1: Confiana nas atividades de segurana (alguma ou muita confiana)

84%
74%

Todos os
respondentes

CEOs

76%

77%

CFOs

COOs

82%

CIOs

78%

CISOs

CEOs diretores executivos;


CFOs diretores financeiros;
COOs diretores de operaes;
CIOs diretores de TI;
CISOs diretores de segurana da informao

PwC 7

Mais de

80%

dizem que os gastos e


as polticas de segurana
esto alinhadas com
o negcio.

Outra medida de confiana pode


ser captada do modo como os
executivos percebem o alinhamento
do programa de segurana da
empresa com a estratgia de negcios
e o investimento geral. Por essa
perspectiva, o otimismo tambm
alto. Mais de 80% dos respondentes
dizem que os gastos e as polticas
de segurana esto alinhados com
os objetivos do negcio, o que
representa um aumento em relao
ao ano anterior para ambas as
categorias. Esses nveis de confiana
sugerem que os respondentes
entendem que a segurana parte
integrante da agenda de negcios e
pode contribuir para os resultados.
O otimismo tambm se estende
para a forma como os respondentes
classificam sua estratgia geral
de segurana e sua capacidade
de execut-la proativamente.
Perguntamos como eles classificam
sua abordagem de segurana, e eles
se atriburam uma nota melhor do
que nos ltimos dois anos.

Chamamos de Lderes aqueles que


afirmam ter uma estratgia eficaz
em vigor e ser proativos na execuo
do plano, pois eles exibem dois
atributos essenciais a esse perfil.
Entre os respondentes deste ano,
50% dizem ter atributos de um lder,
uma alta de 17% em relao ao ano
anterior (Figura 2). Um em cada
quatro (26%) diz que tem a estratgia
correta, mas no pode executar
com sucesso o que est planejado,
uma categoria que chamamos de
Estrategistas. Os que se consideram
melhores na execuo das aes do
que na definio de uma estratgia
eficaz os Tticos representam 13%
dos respondentes. E o grupo dos que
chamamos de Bombeiros, que no
tm uma estratgia implantada e
agem normalmente de modo reativo,
constituem 11% do total.

Figura 2: Como os respondentes caracterizam sua abordagem


segurana da informao
Lderes

Estrategistas
50%

Tticos
26%
13%

Temos uma estratgia


eficaz implantada e
somos proativos na
execuo do plano

Pesquisa Global de Segurana da Informao 2014

Somos melhores em
definir a estratgia
do que em executar
o que est planejado

Somos melhores na
execuo das aes
do que na definio
da estratgia eficaz

Bombeiros

11%
No temos estratgia
eficaz implantada
e, normalmente,
somos reativos

Os lderes so realmente
dignos do nome?
Fizemos uma anlise mais cuidadosa
das respostas e criamos uma srie
de requisitos que julgamos definir os
verdadeiros lderes com base nas
capacidades que eles informam e
no apenas na autopercepo. Para
se qualificar como lderes de fato, os
respondentes devem:
ter uma estratgia geral de
segurana da informao;
empregar um diretor de
segurana da informao
(chief information security
officer ou CISO) ou equivalente,
diretamente subordinado alta
liderana CEO, CFO, COO, CRO
ou diretor jurdico;
ter medido e avaliado a eficcia
das medidas de segurana no
ltimo ano;
entender exatamente que tipo de
eventos de segurana ocorreram
no ltimo ano.
Quando filtramos os respondentes
por essas qualidades, vemos que os
Lderes no so necessariamente
enquadrados como tal. Com base
nesses critrios, apenas 17% da
amostra total se classificam como
lderes verdadeiros (Figura 3).
Tambm descobrimos que os
verdadeiros lderes detectam mais
incidentes de segurana, tm uma
compreenso melhor dos tipos e
da origem de incidentes ocorridos,
e informam uma mdia menor de
prejuzos financeiros decorrentes de
incidentes de segurana.

Verdadeiros lderes detectam mais incidentes de segurana,


tm uma compreenso melhor dos tipos e da origem dos
incidentes ocorridos, e informam uma mdia menor de
prejuzos financeiros decorrentes de incidentes de segurana.
Regionalmente, os lderes
verdadeiros esto mais
provavelmente na sia-Pacfico
(28%) e na Amrica do Norte (26%),
seguidos de Europa (24%), Amrica
do Sul (21%), Oriente Mdio e
frica (1%). As indstrias mais
representadas so as de tecnologia
(16%), servios financeiros (11%)
e produtos de varejo e bens de
consumo (9%).
Figura 3: Lderes autodeclarados
x verdadeiros

50%

17%

Lderes
autodeclarados

Lderes
verdadeiros

Outro motivo de otimismo: os


oramentos esto crescendo
Se a maioria dos respondentes se
considera altamente competente
em suas prticas de segurana da
informao, aqueles que detm
o poder de deciso na empresa
tambm parecem estar otimistas
sobre a funo de segurana ou
talvez entendam que o ambiente
atual de ameaas elevadas demande
um impulso nos investimentos de
segurana. De ambas as formas,
aumentos substanciais nos
investimentos de segurana so um
bom indicador dos esforos nessa
rea. Embora os oramentos variem
muito entre indstrias e portes de
empresas, os participantes dizem
que os gastos giram, em mdia, em
torno de US$ 4,3 milhes em 2013,
um aumento de 51% em relao ao
ano anterior. Apesar do aumento,
porm, os oramentos de segurana
da informao representam apenas
3,8% do gasto total de TI no ano, um
investimento relativamente pequeno.

PwC 9

A mdia dos oramentos


de segurana da informao
cresceu

51%

em relao ao
ano passado.

Mas e o futuro? Tambm h


otimismo em relao a ele. Quase
metade (49%) dos respondentes
afirma que os gastos de segurana
nos prximos 12 meses aumentaro,
em comparao com 45% no
ano passado. Regionalmente, os
respondentes da Amrica do Sul
(66%) e da sia-Pacfico (60%)
esperam que os investimentos em
segurana cresam. Mas apenas 38%
dos respondentes da Amrica do
Norte preveem uma alta nas despesas
relacionadas a essa rea, o que os
torna os menos propensos a gastar.

Incidentes de hoje,
estratgias de ontem
Foi quase impossvel ignorar
a enxurrada de notcias sobre
violaes de segurana cada vez
mais sofisticadas, e geralmente
bem-sucedidas, ao longo do ltimo

ano. Mas, devido natureza s vezes


sensacionalista da cobertura desses
eventos, compreensvel que se
questione a preciso das reportagens
sobre ataques cibernticos.
Os resultados da pesquisa deste
ano confirmam algumas, mas no
todas, as notcias divulgadas sobre
incidentes de segurana.
Um fato incontestvel: esses
incidentes* esto aumentando. Os
participantes da pesquisa relatam
um aumento de 25% nos episdios
detectados ao longo do ltimo ano
(Figura 4). Isso parece confirmar
as perigosas ameaas de segurana
no ciberespao alardeadas pelas
manchetes. Por outro lado, uma
quantidade maior de incidentes
detectados tambm pode significar
que as organizaes esto
melhorando na identificao
dessas ocorrncias.

Figura 4: Nmero mdio de incidentes de segurana nos ltimos 12 meses


3.741

2.989
2.562

2011

* Definimos um incidente de segurana como qualquer ocorrncia negativa que ameace


algum aspecto da segurana dos ativos de informao.

10

Pesquisa Global de Segurana da Informao 2014

No
sabe
18%

No
sabe
14%

No
sabe
9%
2012

2013

Os incidentes esto crescendo


no s porque existem mais
ameaas, mas tambm porque
algumas empresas investiram
em novas tecnologias para
detect-los melhor, diz
Edgar D'Andrea, scio da
PwC. Nesse sentido, a maior
deteco de incidentes de
segurana deve ser vista como
um acontecimento positivo.

Mas o nmero de participantes


que desconhecem a frequncia dos
incidentes continua a crescer ano
a ano agora est em 18% e isso
parece contradizer a ideia de que as
organizaes esto se tornando mais
competentes na deteco de invases.
Essa descoberta, na verdade, sugere
mais provavelmente que os antigos
modelos de segurana em uso podem
ter sido violados ou ser ineficazes.
O nmero maior de incidentes,
combinado a um aumento paralelo
no volume de dados de negcios
compartilhados digitalmente, leva a
uma concluso pouco surpreendente:
a proliferao da perda de dados.
Este ano, 24% dos respondentes
relataram ter perdido dados em
consequncia de incidentes de
segurana, uma elevao de 16%
em relao a 2012.

Investigar os tipos de dados


explorados revela alguns fatos
interessantes. Os registros de
funcionrios (35%) e de clientes
(31%) comprometidos lideram
a lista de categorias de dados
afetados (Figura 5). Ano aps ano,
os participantes da pesquisa nos
informam que esses dados so as
informaes mais valiosas que eles
detm portanto, de se presumir
que os esforos de segurana estejam
concentrados em proteg-los. Mas
a realidade sugere que os esforos
atuais de proteo de dados no so
efetivos ou no esto direcionados
para os riscos corretos.

Figura 5: Impacto dos incidentes de segurana

35%

31%

29%

23%

Registros de
funcionrios
comprometidos

Registros de clientes
comprometidos ou
indisponveis

Perda ou dano a
registros internos

Roubo de identidade
(dados de clientes ou
funcionrios roubados)

Observao: Nem todos os fatores so mostrados. A soma no equivale a 100%.


Os respondentes puderam indicar vrios fatores.

PwC 11

A combinao de
custo do prejuzo
Parece lgico que, com o aumento do
nmero de incidentes de segurana,
aumentam tambm os custos
financeiros. E, de fato, assim que
tem ocorrido: descobrimos que a
perda financeira mdia associada
a incidentes de segurana cresceu
18% em relao ao ano passado.

De modo geral, os custos e a complexidade para responder


aos incidentes esto aumentando, diz Fernando Carbone,
diretor da PwC. Isso inclui o custo de investigar; de entender
os riscos de negcios e conter os incidentes; de gerenciar a
notificao aos rgos reguladores, clientes e consumidores;
e de litgio. Alm disso, o custo de remediao est crescendo
porque mais registros em mais jurisdies esto sendo
afetados, e os controles de segurana no esto acompanhando
o ambiente de ameaas em constante mudana.
Figura 6: Custo mdio por incidente de segurana

$635

$658

$531
$421

Todos os
respondentes

Lderes
autodeclarados

Analisando os dados um pouco


mais, descobrimos que as perdas
financeiras esto se acelerando
de forma acentuada entre os
participantes da pesquisa, que
relatam um impacto de valor
elevado em dlar. Um bom exemplo:
o nmero de respondentes que
relataram perdas acima de
US$ 10 milhes cresceu 51% desde
2011. Espervamos que algumas
indstrias que historicamente
tm sido proativas em investir em
iniciativas de segurana informariam
perdas menores, mas, para nossa
surpresa, no foi o que aconteceu.
Entre as indstrias que informaram
perdas de US$ 10 milhes ou mais
esto a farmacutica (20%), a de
servios financeiros (9%) e a de
tecnologia (9%).

12

Pesquisa Global de Segurana da Informao 2014

Bombeiros

Lderes
verdadeiros

Em geral, o custo mdio das


invases por incidente de
US$ 531 (Figura 6). Os respondentes
que identificamos como lderes
verdadeiros informam o menor
custo por incidente, uma mdia de
US$ 421, o que no surpresa. O
que no espervamos que os que
se autodeclararam lderes tivessem
gasto US$ 635 por incidente
quase tanto quanto os bombeiros,
que se autoavaliaram como menos
preparados para executar um
programa de segurana efetivo.
Isso coloca em questo a real
eficcia dos lderes autodeclarados.

Inimigos internos,
externos e hackers

Figura 7: Origem provvel estimada dos incidentes


Internos - Funcionrios

Como j observamos, as manchetes


nem sempre refletem a realidade
das equipes que combatem as
ameaas. Incidentes bastante
divulgados, como invases
sofisticadas atribudas a ameaas
persistentes avanadas (APTs, na
sigla em ingls), tm uma grande
repercusso, mas so muito raros.
De fato, a realidade muito mais
banal. A maioria dos participantes
atribui incidentes de segurana
a inimigos internos conhecidos,
como funcionrios ativos (31%) ou
ex-funcionrios (27%) (Figura 7).
Muitos veem as ameaas internas
como algo bem mais significativo do
que as ameaas que saem na mdia, e
so pouco frequentes.

Funcionrios atuais

31%

Ex-funcionrios

27%

Internos - Assessores de confiana


Provedores de servio/consultores/contratados atuais

16%

Ex-provedores de servio/consultores/contratados

13%

Fornecedores/parceiros de negcios

12%

Intermedirios de informaes

10%

Externos
Hackers

32%

Concorrentes

14%

Crime organizado

12%

Ativistas/grupos ativistas/hackerativistas

10%

Terroristas
Entidades/organizaes estrangeiras
Naes estrangeiras

8%
6%
4%

Observao: Nem todos os fatores so mostrados. A soma no equivale a 100%.


Os respondentes puderam indicar vrios fatores.

Eu percebo o aumento da importncia da ameaa


interna com mais intensidade do que no passado,
diz Michael A. Mason, diretor de Segurana da Verizon
Communications. Segundo ele, a Verizon define
inimigos internos como qualquer pessoa que tenha
acesso aos dados da empresa. E importante observar que
as ameaas internas no necessariamente so causadas por
uma pessoa mal-intencionada; pode ser um bom funcionrio
fazendo o seu trabalho honesto de um modo inseguro. Nossos
problemas so mais humanos do que tecnolgicos.

PwC 13

Dada a prevalncia de riscos


provocados pelos funcionrios,
surpreendente que muitas
organizaes no estejam
preparadas para lidar com ameaas
internas comuns. Outra pesquisa
copatrocinada pela PwC, a 2013 US
State of Cybercrime Survey, revelou
que um tero dos respondentes
americanos no tem um plano de
resposta para lidar com incidentes de
segurana internos1. E entre aqueles
que tm um plano de resposta,
apenas 18% descrevem o esforo
como extremamente efetivo.

Uma razo para as


organizaes no terem
adotado planos eficazes
para ameaas internas
que muitos inimigos
internos, como parceiros e
fornecedores, so convidados
a entrar nos permetros
da rede, e elas presumem
um determinado nvel
de confiana, diz Joo
Castilho, gerente da PwC.
As empresas precisam
entender que a confiana nos
parceiros no deve
ser implcita.
Entre os fatores de risco externos,
importante observar que alguns
inimigos muito conhecidos hackers,
em especial realmente cumprem
o seu potencial de risco. Basta
considerar que 32% dos respondentes
da pesquisa atribuem incidentes de
segurana a hackers, um aumento de
27% em relao ao ano anterior.

E o que dizer de incidentes que


alcanam grande publicidade,
como ataques promovidos por
naes estrangeiras que empregam
APTs para obter informaes? Os
participantes da pesquisa dizem
que invases apoiadas por naes
estrangeiras representam apenas
4% dos incidentes detectados.
No se trata de uma grande
preocupao para muitas empresas,
entre elas a Verizon. Preocupar-se
com ameaas persistentes avanadas
, de certa maneira, como ter medo
de pegar um resfriado em uma
fbrica de antraz, diz Mason.
Embora as APTs possam representar
um risco potencial remoto, estar
consciente das ameaas cibernticas
de rpida evoluo uma prioridade
para muitas grandes organizaes,
inclusive a Cablevision Systems
Corporation, uma operadora
multisservios (MSO) cujas
atividades incluem o fornecimento de
TV a cabo, de Internet e a edio de
um jornal dirio de alta circulao.
Como a maioria das MSOs, estamos
atentos s reportagens publicadas
sobre a deteco crescente de
atividades patrocinadas por naes
ou ciberterroristas, especificamente
quando elas tm como alvo empresas
de comunicao e servios pblicos,
diz Jennifer Love, vice-presidente
snior de operaes de segurana.
Usamos informaes de vrias
fontes, inclusive da indstria e do
governo, para identificar riscos e
orientar as decises.

Uma defesa fraca


contra os adversrios
Para combater os riscos atuais, as
organizaes devem ser capazes de
obter discernimento e inteligncia
permanentes sobre vulnerabilidades
do ecossistema e ameaas dinmicas.
Atividades e investimentos devem
ser orientados pelo melhor
conhecimento disponvel sobre
ativos de informao, ameaas ao
ecossistema e vulnerabilidades e
avaliados no contexto da atividade
de negcios.
Para muitos, isso representa uma
mudana importante em termos
de conceitos e planejamento.
Dessa forma, no surpreende que
muitos participantes da pesquisa
afirmem no ter implementado
tecnologias e processos que ofeream
uma viso dos riscos atuais. Por
exemplo, 52% dos respondentes
no implantaram ferramentas de
monitoramento e definio de
perfis de comportamento, e 46%
no implantaram tecnologias de
gesto de eventos e informaes de
segurana. Ferramentas de gesto
de ativos so fundamentais para
proteger dados dos ativos, embora
no tenham sido implantadas por
39% dos participantes da nossa
pesquisa. Mesmo tecnologias
bem estabelecidas que podem ser
essenciais para proteger informaes
confidenciais esto subutilizadas.
Em especial, descobrimos que 42%
dos respondentes no utilizam
ferramentas de preveno de perda
de dados (DLP).

2013 US State of Cybercrime Survey, copatrocinada pela revista CSO, pelo CERT Coordination Center da Carnegie Mellon University, pelo
FBI (Federal Bureau of Investigation), pela PwC e pelo Servio Secreto dos EUA, maro-abril 2013.

14

Pesquisa Global de Segurana da Informao 2014

medida que os dados se proliferam


e so compartilhados com mais
parceiros, fornecedores e clientes,
torna-se mais crtico que as empresas
entendam os riscos associados a
compartilhar dados com terceiros.
E mais: as organizaes devem ter
certeza de que terceiros cumprem ou
superam seus requisitos de segurana
de dados.

Figura 8: Polticas adotadas para proteger a propriedade intelectual e os


segredos comerciais

37%

22%

Por isso, preocupante constatar


que, nos EUA, muitos respondentes
no tm polticas nem ferramentas
para avaliar riscos de segurana de
terceiros, segundo outra pesquisa
copatrocinada pela PwC2. Por
exemplo, apenas 20% dizem que
avaliam mais de uma vez por ano a
segurana de terceiros com os quais
compartilham dados ou acesso
rede. Alm disso, 22% afirmam
que nunca avaliam seus terceiros,
enquanto 35% informam que essa
avaliao ocorre no mximo uma vez
por ano.

32%

29%
22%
16%

17%

Classificao do valor
comercial dos dados
2011

2012

24%
20%

31%

26%

20%

Procedimentos
dedicados a proteger
a propriedade intelectual

Inventrio/gesto
de ativos

Reviso regular de
usurios e acessos

2013

Observao: Nem todos os fatores so mostrados. A soma no equivale a 100%. Os


respondentes puderam indicar vrios fatores.

Da mesma forma, apenas


22% dos respondentes dizem
conduzir um planejamento de
resposta a incidentes com parceiros
de supply chain, e 52% nunca
realizam esse planejamento.

Obviamente, essas informaes


variam entre as organizaes
e as indstrias e podem incluir
propriedade intelectual, como
design de produtos, planos de
marketing, comunicaes executivas
e estratgias de negcios. Para dar
uma definio mais geral, trata-se
de qualquer informao que possa
causar srias dificuldades para
a empresa se perdida, roubada
ou comprometida.

Conforme observado, o ambiente


atual de ameaas elevadas e
crescentes requer que as organizaes
entendam que no mais vivel
ou, na verdade, possvel proteger
todas as informaes com a mesma
prioridade. Em um novo modelo de
segurana, as empresas precisam
identificar e priorizar as informaes
que realmente importam.

Ativos no tangveis, como a


propriedade intelectual, hoje
representam 80% do valor associado
s firmas listadas na S&P 500,
segundo a Ocean Tomo, firma
do Intellectual Capital Merchant
Banc 3. E com o aumento do
valor da propriedade intelectual,
cresce tambm seu apelo para os
criminosos cibernticos.

Apesar disso e dos potenciais


prejuzos que a perda desse
ativo de informao pode causar,
a pesquisa deste ano revela que
muitos participantes no identificam
nem protegem adequadamente
suas informaes de alto valor.
Por exemplo, apenas 17% dos
respondentes classificam o valor
comercial dos dados e somente
20% implementaram procedimentos
dedicados a proteger a propriedade
intelectual (Figura 8). Um percentual
ligeiramente maior (26%) mantm
inventrio e gesto de ativos. Os
resultados da pesquisa mostram
que, em algumas indstrias, a
incluso de polticas para proteger
a propriedade intelectual est, na
verdade, diminuindo.

2013 US State of Cybercrime Survey, copatrocinada pela revista CSO, pelo CERT Coordination Center da Carnegie Mellon University, pelo
FBI (Federal Bureau of Investigation), pela PwC e pelo Servio Secreto dos EUA, maro-abril 2013.

Ocean Tomo, Ocean Tomos Annual Study of Intangible Asset Market Value, abril/2011.

PwC 15

Outro risco importante para a


segurana de dados a expanso
do uso de dispositivos mveis, como
smartphones e tablets, alm da
tendncia de que os funcionrios
utilizem seus prprios dispositivos
no ambiente da empresa (BYOD
Bring your own device em ingls).
Embora o uso de dispositivos mveis
para compartilhar e transmitir dados
continue a crescer, a implantao
de polticas de segurana mvel no
acompanha a proliferao desses
aparelhos. De fato, os respondentes
da pesquisa indicam que os esforos
para implementar programas de
segurana mvel no mostram
ganhos significativos em relao ao
ano passado e, em alguns casos, at
declinam (Figura 9). Por exemplo,
apenas 42% dizem ter uma estratgia
de segurana mvel em vigor, e
menos (39%) afirmam que suas
organizaes implantaram softwares
de gesto de dispositivos mveis
(MDM, na sigla em ingls), uma
ferramenta essencial para a gesto
automatizada de um elevado volume
de smartphones.
Apenas

18%

dos participantes
dizem ter polticas
para a gesto de
servios na nuvem.

A computao em nuvem uma


realidade h mais de uma dcada
e tornou-se lugar-comum no
ecossistema das corporaes. Quase
metade (47%) dos respondentes
utiliza alguma forma de computao
em nuvem, um ganho importante
de 24% em relao ao ano anterior.
Entre aqueles que usam servios
na nuvem, 59% informam que sua
postura de segurana melhorou.
Assim sendo, causa certa surpresa
saber que muitas organizaes
no tm abordado seriamente as
implicaes dos servios em nuvem.

Figura 9: Iniciativas adotadas para lidar com os riscos de segurana mvel


40%

Estratgia de segurana mvel

42%
38%

Software de gesto de dispositivos mveis

39%
36%

Proteo de e-mail e calendrio corporativo em


dispositivos de propriedade de usurios e funcionrios

37%
31%

Forte autenticao de dispositivos

35%

Proibio de dispositivos de propriedade dos


usurios para acesso ao ambiente de trabalho/rede

33%
30%
N/A

Uso de controles de geolocalizao

19%

2012

2013

Observao: Nem todos os fatores so mostrados. A soma no equivale a 100%.


Os respondentes puderam indicar vrios fatores.

Por exemplo, entre os


participantes da pesquisa que usam
servios na nuvem, apenas 18%
dizem ter polticas para governana
desse ambiente.
A falta de polticas de computao
em nuvem representa uma sria
lacuna de segurana para as
empresas, diz Edgar D'Andrea,
scio da PwC. A proliferao
de dados compartilhados, em
conjunto com o uso crescente de
dispositivos mveis, cria um ambiente
no qual os servios em nuvem so
utilizados de modo mais amplo pelos
funcionrios com risco de abusos.
Ao mesmo tempo, essencial que as
empresas garantam que terceiros que
atuam como provedores de servios
em nuvem concordem em seguir
prticas de segurana previamente
definidas (APTs).

As ameaas persistentes
avanadas, conforme j observamos,
esto sendo alvo constante da
ateno da mdia, e isso pode explicar
por que mais organizaes parecem
estar dando maior ateno ao tema.
Por exemplo, 54% de todos os
respondentes da pesquisa dizem ter
implantado tecnologias de gesto
de proteo/deteco. Em uma
anlise das indstrias, vemos um
alto percentual de respondentes que
afirmam ter implantado uma soluo
para APTs nos setores aeroespacial
e de defesa (61%), pblico (58%) e
farmacutico (58%).
De acordo com a pesquisa US State
of Cybercrime Survey 2013, as
ferramentas de APT mais comuns
so anlise de malware, inspeo
de trfego de sada, verificao de
dispositivos no autorizados e anlise
e geolocalizao de trfego IP.4

2013 US State of Cybercrime Survey, copatrocinada pela revista CSO, pelo CERT Coordination Center da Carnegie Mellon University,
pelo FBI (Federal Bureau of Investigation), pela PwC e pelo Servio Secreto dos EUA, maro-abril 2013.

16

Pesquisa Global de Segurana da Informao 2014

Como se preparar para as


ameaas futuras
Atualmente, o inimigo est
aperfeioando constantemente
sua capacidade de explorar novas
vulnerabilidades. Combater essas
ameaas exige que as organizaes
definam suas aes e direcionem
seus investimentos em segurana
com base no mais apurado
conhecimento disponvel sobre os
ativos de informao, os riscos para
o ecossistema e as vulnerabilidades
associadas. Essas aes devem ser
avaliadas no contexto da atividade
empresarial correspondente, saindo
do lugar-comum de segurana como
proteo para segurana como
criao de valor para a organizao.
A pesquisa deste ano indica que
aqueles respondentes que definimos
como lderes verdadeiros esto
aperfeioando sua capacidade nesse
sentido, implementando polticas
que elevam a segurana ao topo das
decises de negcios e no apenas a
um desafio de TI. Como assim?

Figura 10: Polticas e salvaguardas de segurana atualmente em vigor Todos os


respondentes x lderes verdadeiros

88%

81%
68%

Estratgia
de segurana
alinhada com
as necessidades
do negcio

60%

67%

Normas para
parceiros externos,
clientes, fornecedores
e prestadores
de servios

Todos os respondentes

59%

65%

Processo
centralizado
de gesto de
informaes
de segurana

59%

Um executivo
snior que
comunica
a importncia
da segurana

66%
56%

Equipe
multifuncional
coordena/comunica
questes de segurana

Lderes verdadeiros

Observao: Nem todos os fatores so mostrados. A soma no equivale a 100%. Os


respondentes puderam indicar vrios fatores.

Na Cablevision, a
diretoria e o conselho
apoiam prontamente as
iniciativas de segurana,
diz Jennifer Love,
vice-presidente snior de
operaes de segurana.
Nossos executivos e o
conselho entendem a
importncia da segurana
da informao e expressam
um forte interesse em
compreender quais ameaas
Esses tipos de polticas demonstram um novo compromisso
com a segurana, que destaca o envolvimento da alta liderana enfrentamos e o que estamos
fazendo para reduzir
e do conselho para garantir que a empresa crie e implemente
um programa de segurana eficaz, diz Eliane Kihara, scia nossas vulnerabilidades.
da PwC. Eles tambm enfatizam a necessidade de ampliar a
conscincia sobre questes de segurana entre funcionrios e
terceiros que lidam com dados confidenciais.
Os lderes verdadeiros esto
alinhando a segurana s
necessidades do negcio, definindo
padres para parceiros externos e, em
geral, reavaliando os fundamentos da
segurana (Figura 10). Por exemplo,
88% dos lderes verdadeiros tm
um executivo snior que comunica
a importncia da segurana da
informao para toda a empresa.
Outra poltica com viso de futuro
designar uma equipe multifuncional
que coordene e comunique questes
de segurana. Essa prtica adotada
por 66% dos lderes verdadeiros.

PwC 17

Entretanto, polticas e apoio dos


executivos representam apenas o
incio. Uma medida da real inteno
da organizao pode ser obtida
quando se verifica se as empresas
tambm implantaram tecnologias
para executar essas polticas.
Os lderes verdadeiros tendem a
implantar ferramentas que fornecem
uma anlise em tempo real de
atividades suspeitas registradas em
hardware e aplicativos de rede. Por
exemplo, 66% desses lderes dizem
ter implementado tecnologias de
gesto de eventos e informaes
de segurana (SIEM, na sigla em
ingls). Da mesma forma, 66%
dos lderes verdadeiros afirmam
ter implantado ferramentas de
correlao de eventos, que agregam
e correlacionam informaes
de ferramentas diversas, como
sistemas de monitoramento de
vulnerabilidades e intruso. Solues
de verificao de vulnerabilidade,
utilizadas por 71% dos lderes
verdadeiros, avaliam as fragilidades
de redes e aplicativos.
Embora nosso foco sejam os lderes
verdadeiros que implementaram
as tecnologias acima, igualmente
importante enfatizar que, em
virtude do cenrio atual de ameaas
elevadas, todas as organizaes
devem considerar fortemente a
implementao dessas salvaguardas,
quando aplicvel.

18

Pesquisa Global de Segurana da Informao 2014

Outro exemplo pode ser encontrado


em programas de treinamento e
conscientizao sobre segurana
para os funcionrios. Essa uma
iniciativa essencial para o sucesso de
qualquer programa de segurana, e
60% dos respondentes dizem que tm
programas desse tipo em vigor para
os funcionrios. Como os inimigos
geralmente procuram abordar
os funcionrios usando tcnicas
de engenharia social, 100% dos
participantes devem implementar um
programa de treinamento eficaz para
os funcionrios.

Muitos ataques tm
como alvo o que est na
mo dos funcionrios,
diz Susan Mauldin,
diretora de segurana da
Equifax, agncia global
de informaes sobre
crdito ao consumidor.
Por isso, nosso programa de
treinamento e conscientizao
dos funcionrios se baseia
em funes e voltado para
grupos de alto risco, como
empregados de call-center,
usurios com privilgios
diferenciados e executivos,
sendo que os exerccios atuais
se concentram em ataques de
phishing especficos.

Para avaliar as prioridades dos


participantes na preparao para
as ameaas futuras, investigamos
as prioridades de implementao
de salvaguardas de processos e
tecnologia para os prximos 12
meses. Estvamos interessados
em cinco categorias especficas:
proteo de ativos crticos,
segurana da infraestrutura,
ameaas segurana, anlise e
segurana de dispositivos mveis.
Uma segurana eficaz atualmente
requer que as organizaes
identifiquem e priorizem a proteo
das joias da coroa. Vinte e cinco
por cento (25%) dos respondentes
afirmam que vo priorizar a
implantao de um programa para
identificar ativos confidenciais nos
prximos 12 meses, e 17% dizem que
a prioridade sero as ferramentas de
gesto de ativos (Figura 11). Esses
tipos de solues fornecem uma
maneira importante de entender,
avaliar e gerenciar os dados
confidenciais de uma organizao.
Para aprimorar a segurana da
infraestrutura, 24% dos participantes
dizem que implementaro normas
de segurana para parceiros,
fornecedores, prestadores de
servios externos e consumidores.
uma iniciativa crtica no momento
em que mais organizaes abrem
redes, aplicativos e dados para
terceiros. Alm disso, tecnologias
como a virtualizao e os servios
na nuvem amplificaram o potencial
de comprometimento de dados
pela ao de um usurio interno
com privilgios. Como resultado,
monitorar e administrar os usurios
com privilgios hoje um desafio
importante; descobrimos que 17%
dos respondentes planejam implantar
ferramentas de gesto de acesso de
usurios privilegiados ao longo dos
prximos 12 meses.

Figura 11: Salvaguardas no implantadas, mas que so uma prioridade para os


prximos 12 meses
Proteo de ativos crticos
Programa para identificar ativos confidenciais

25%

Repositrio centralizado de dados de usurios


Ferramentas de gesto de ativos

19%
17%

Segurana da infraestrutura
Normas de segurana para parceiros/consumidores/
fornecedores/prestadores de servios
Programa de treinamento e conscientizao
sobre segurana para funcionrios
Acesso de usurio privilegiado

24%
22%
17%

Ameaas
Servios de assinatura de inteligncia contra ameaas

25%

Soluo de gesto de proteo/deteco para APTs


Ferramentas de deteco de intruso

21%
17%

Anlise
Tecnologias de gesto de eventos e informaes de segurana

20%

Ferramentas de correlao de eventos de segurana


Monitoramento/anlise de ativos de inteligncia de
segurana da informao

20%
15%

Celular
Criptografia de smartphones

25%

Estratgia para o uso de dispositivos pessoais


de funcionrios na empresa

24%

Gesto de dispositivos mveis

24%

Observao: Nem todos os fatores so mostrados. A soma no equivale a 100%. Os


respondentes puderam indicar vrios fatores.

Outras prioridades so tecnologias


que podem ajudar a entender melhor
as ameaas, alm de aperfeioar a
segurana para dispositivos mveis.
Pela primeira vez, perguntamos
se h planos de adotar servios de
assinatura de inteligncia contra
ameaas como forma de obter ajuda
de terceiros e alertas rpidos sobre
novos riscos e falhas de segurana do
tipo dia zero. E muitas empresas
tm planos: 49% dos participantes
disseram usar esses servios e, entre
os que no usam, 25% afirmam
que a sua implementao ser uma
prioridade nos prximos 12 meses.

Na Equifax, a prioridade proteger


os dispositivos dos funcionrios de
forma que a empresa possa entender
melhor quem so os agentes das
ameaas. Estamos analisando o
hardware usado por funcionrios
e basicamente estamos simulando
o ambiente para proteger os
computadores de vrus e malware,
diz Mauldin. Isso protege contra
riscos, mas tambm ajuda a
identificar que tipos de ameaas
esto surgindo e quem est
considerando a Equifax como
um alvo.

PwC 19

Dado o interesse crescente no Big


Data, quisemos saber tambm se
as organizaes planejam usar a
anlise como um meio de melhorar
a segurana. uma estratgia que
est ganhando aprovao: 20% dos
respondentes dizem que pretendem
priorizar ferramentas de gesto de
informaes de segurana e gesto de
eventos, e um nmero igual afirma
que tecnologias de correlao de
eventos de segurana so uma das
maiores prioridades.
Esses tipos de tecnologias podem
ajudar as organizaes a detectar
padres e anomalias em atividade
capazes de fornecer vises e
inteligncia sobre as ameaas
cibernticas que a empresa enfrenta,
afirma Rodrigo Milo, diretor da PwC.
Com essas informaes, os lderes de
negcios podem antecipar alteraes
no perfil de ameaas cibernticas de
suas empresas e reagir de
forma dinmica.
Outro aspecto relevante a segurana
de dispositivos mveis. Quase um em
cada quatro respondentes diz que
planeja priorizar a criptografia de
smartphones, implantar solues de
gesto de dispositivos mveis
(MDM) e adotar uma estratgia
para o uso de dispositivos pessoais
na rede corporativa.
No ano passado, compartilhar
informaes sobre ameaas
de segurana mesmo entre
concorrentes tornou-se uma
poderosa ferramenta ofensiva.

Acreditamos que a colaborao pode


levar as empresas a se adaptarem
mais rapidamente a mudanas no
mercado. Na 5th Annual Digital
IQ Survey5, da PwC, descobrimos
que as empresas que tm uma
diretoria colaborativa interligam
TI e a estratgia de negcios, o que
geralmente melhora o desempenho
de uma organizao.
Dessa forma, estvamos curiosos
para saber como os participantes
globais da pesquisa, muitos dos
quais operam em um ambiente cada
vez mais competitivo, encaravam a
colaborao com outras empresas
para melhorar a segurana e
compartilhar conhecimentos sobre
ameaas. Muitas organizaes
percebem as vantagens da
colaborao: 50% dos respondentes
disseram que colaboram com
terceiros e, entre os lderes, esse
percentual sobe para 82%.

Entre os 28% de participantes que


no compartilham informaes, as
principais razes so o temor de que
isso acentue fraquezas ou de que um
concorrente possa usar informaes
em seu benefcio, alm da clara
desconfiana dos concorrentes
(Figura 12). Por fim, 22% dos
respondentes no sabem se a sua
organizao colabora com outras.

Figura 12: Motivos para no colaborar sobre segurana da informao


No quer chamar ateno para
possveis fraquezas

33%

Estou preocupado que um concorrente


use essas informaes para obter vantagem
de mercado sobre ns

28%

Nenhum concorrente est muito mais


avanado do que os outros

24%

No confio em nossos concorrentes


Organizaes maiores, com mais recursos
financeiros, usariam a colaborao em seu
prprio benefcio

22%
16%

Observao: Nem todos os fatores so mostrados. A soma no equivale a 100%.


Os respondentes puderam indicar vrios fatores.

PwC, PwCs 5th Annual Digital IQ Survey, 2013.

20

A Equifax fornece um exemplo.


Participamos do FS ISAC (Financial
Services Information Sharing
and Analysis Center), diz o CSO
Mauldin. Isso bastante importante
para ns porque muitas agncias
do governo tambm participam do
FS ISAC, e esse centro fornece uma
maneira proativa de se aprender
sobre a evoluo das ameaas. A
Equifax participa de vrios outros
grupos da indstria, e tambm
colabora com seus pares no
mesmo segmento.

Pesquisa Global de Segurana da Informao 2014

Obstculos ao avano
da segurana
Embora a maioria dos stakeholders
de segurana concorde que aes
devem ser tomadas para melhorar
a segurana da informao, parece
haver pouco consenso sobre os
desafios em faz-lo.
Pedimos aos participantes que
identificassem os maiores obstculos
para melhorar a segurana. As
respostas revelaram uma ampla gama
de opinies divergentes e, em alguns
casos, com trocas de acusaes.
De modo geral, os participantes da
pesquisa dizem que os obstculos
mais importantes so insuficincia
de investimentos, entendimento
inadequado de como futuras
necessidades de negcios afetaro
a segurana das informaes,
liderana comprometida e falta
de uma estratgia de segurana
eficaz (Figura 13).
Quando se leva em conta a
expanso dos oramentos de
segurana este ano, parece que o
problema de capital j est resolvido.
Mas perturbador saber que questes
fundamentais, como o entendimento
e o alinhamento da segurana com
futuras necessidades de negcios e a
eficcia das estratgias de segurana,
esto entre as maiores preocupaes.
Os respondentes tambm tendem a
apontar a liderana executiva, o CEO
em especial, como um dos principais
impedimentos ao aperfeioamento
da segurana.

Figura 13: Maiores obstculos para melhorar a segurana da informao

Despesas de capital insuficientes

24%

Falta de viso prtica ou entendimento de como as


necessidades futuras do negcio afetam a segurana da informao

24%

Liderana: CEO, presidente, conselho ou equivalente

23%

Falta de uma estratgia de segurana da informao eficaz

22%

Despesas operacionais insuficientes

19%

Ausncia ou carncia de conhecimentos tcnicos internos

19%

Sistemas de TI e informaes excessivamente


complexas ou mal integradas

18%

Liderana: CISO, CSO ou equivalente

18%

Liderana: CIO ou equivalente

16%

Observao: A soma no equivale a 100%. Os respondentes puderam indicar vrios fatores.

E quem ou o que os CEOs culpam?


Curiosamente, os CEOs, por
esmagadora maioria, apontaram a
si mesmos como o obstculo n 1. Os
CFOs, por sua vez, apontam o CEO
como principal impedimento, seguido
do CIO, do CISO e do CSO. Quando
a pergunta feita aos CISOs, os
executivos diretamente responsveis

pela segurana da informao, eles


colocam o financiamento insuficiente
(tanto de capital como operacional)
no topo da lista, seguido da falta de
conhecimentos tcnicos internos. Os
CIOs apontam a falta de estratgia,
viso e liderana dos CEOs e
executivos de segurana.

Essa falta de clareza sobre os obstculos segurana eficaz


mostra, em parte, que as empresas estabeleceram dilogo
suficiente sobre a questo. Nessa conversa, funcionrios,
executivos e terceiros, todos entendem seu papel na segurana
da informao, as grandes prioridades e os principais riscos,
diz Edgar DAndrea, scio da PwC. Criar e apoiar uma
cultura de conscincia sobre segurana tambm exigir o
apoio total dos principais executivos, inclusive do CEO e do
conselho. Essa deve ser uma discusso permanente.

PwC 21

A corrida global de
defesa ciberntica
Por vrios anos, a regio da
sia-Pacfico esteve na liderana
do investimento em tecnologias,
processos e gastos de segurana.
Como resultado, a regio saltou
frente das outras no desenvolvimento
e na implementao de programas de
segurana efetivos (Figura 14). E ela
ainda mantm o primeiro lugar.
De fato, 28% do que identificamos
como lderes verdadeiros so da sia-Pacifico, o que representa apenas
21% do total geral de respondentes.
Mas a elevada classificao da sia-Pacfico nas prticas de segurana
est sendo seriamente desafiada
pela Amrica do Sul. Pela primeira
vez, os sul-americanos parecem
prontos para assumir a liderana em
termos de investimentos, polticas
e salvaguardas de segurana da
informao. O continente lidera
em fatores-chave, como gastos de
segurana e emprego de um CISO
para supervisionar a segurana,
e est no mesmo patamar que a
regio sia-Pacfico em muitas
outras questes.
No entanto, a sia-Pacfico
permanece muito forte em gastos de
segurana e adoo das melhores
prticas. A Europa e a Amrica do
Norte, por sua vez, esto atrasadas
em muitos aspectos, inclusive no
emprego de um CISO, na incluso de
polticas importantes, como backup
e recuperao/continuidade de
negcios, e colaborao com outras
empresas. A Amrica do Norte exibe
algumas foras importantes, como a
exigncia de que terceiros cumpram
polticas de privacidade e tambm a
conscientizao e o treinamento de
funcionrios, mas est defasada em
relao a muitas outras medidas.

22

Figura 14: Prticas de segurana por regio

Os gastos de segurana aumentaro


nos prximos 12 meses

Amrica do Sul

sia-Pacfico

Europa

Amrica do Norte

66%

60%

46%

38%

Tem uma estratgia geral de segurana

75%

79%

77%

81%

Emprega um diretor de segurana da informao

75%

74%

68%

65%

Tem um executivo snior que comunica


a importncia da segurana

68%

69%

51%

55%

Mediu/avaliou a eficcia de polticas


e procedimentos de segurana
no ano passado

70%

69%

53%

49%

Tem uma poltica de backup e


recuperao/continuidade de negcios

58%

55%

45%

47%

Exige que terceiros cumpram polticas


de privacidade

55%

58%

55%

62%

Emprega um programa de conscientizao


e treinamento de segurana

54%

63%

55%

64%

Tem procedimentos dedicados para proteger


a propriedade intelectual

20%

24%

17%

21%

Tem tecnologias de deteco de intruso


em vigor

64%

67%

63%

67%

Inventrio sobre onde os dados pessoais so


coletados, transmitidos e armazenados

53%

60%

52%

64%

Colabora com terceiros para melhorar a


segurana e reduzir riscos

66%

59%

45%

42%

Observao: Nem todos os fatores so mostrados. A soma no equivale a 100%.


Os respondentes puderam indicar vrios fatores.

sia-Pacfico: Ainda
na liderana
A regio da sia-Pacfico continua
na liderana em termos de gastos e
prticas de segurana. O investimento
forte: a mdia dos oramentos de
segurana aumentou 85% em relao
ao ano passado. A regio informa ter
o mais alto oramento de segurana
da informao como percentual do
gasto de TI: 4,3%. Os respondentes
esto otimistas sobre o futuro dos
gastos com segurana da informao:
60% dizem que seu oramento de
segurana aumentar nos prximos
12 meses. No entanto, a mdia
das perdas financeiras devido a
incidentes de segurana cresceu 28%
em relao ao ano passado.

Pesquisa Global de Segurana da Informao 2014

Os oramentos de segurana
cresceram em mdia

85%

na sia-Pacfico.

A sia-Pacfico se equipara
Amrica do Sul em relao a prticas
importantes, como empregar um
CISO para supervisionar o programa
de segurana. A regio tambm tem
um percentual maior de adoo
de novas medidas de segurana
progressistas, como ter um executivo
snior para comunicar a importncia
da segurana (69%) e colaborar
com outras empresas para melhorar
a segurana (59%). Tambm tende
mais a implantar tecnologias de
deteco de intruso (67%) e a ter

um inventrio dos locais onde dados


pessoais so coletados, transmitidos e
armazenados (60%) em comparao
com a Amrica do Sul.
No entanto, uma comparao
ano a ano revela que a sia-Pacfico
est comeando a paralisar
a implementao de algumas
polticas e tecnologias de segurana.
Por exemplo, o nmero de
respondentes que informam
ter uma poltica de backup e
um plano de recuperao/
continuidade de negcios
menor do que no ano anterior, e
outras polticas importantes, como
treinamento de funcionrios e
procedimentos dedicados a proteger
a propriedade intelectual, esto
essencialmente paradas.
A China representa 33% dos
respondentes da sia-Pacfico na
pesquisa, seguida de ndia (31%) e
Japo (17%). Em vrios aspectos,
os chineses ofuscam outros pases
em prticas e polticas de segurana.
Por exemplo, 60% dos respondentes
da China utilizam monitoramento
e perfil comportamental, 73% tm
armazenamento centralizado de
dados de usurios, e 72% empregam
ferramentas de verificao de
vulnerabilidades, todos acima das
taxas de adoo de outros pases.
Alm disso, 62% dos participantes
chineses tm solues de gesto de
proteo/deteco para APTs e 66%
implementaram tecnologias SIEM,
resultados que superam em muito os
de outras naes. E mais: nenhum
pas adotou polticas de segurana
para dispositivos mveis, BYOD (sigla
em ingls para a utilizao do prprio
dispositivo dos funcionrios na rede
corporativa) e mdias sociais em
percentuais maiores do que a China.

Por exemplo, 71% dos respondentes


da China tm uma poltica em vigor
para o uso de dispositivos pessoais
na rede da empresa, contra 64% nos
EUA e 54% na ndia. Em comparao
com a China, a ndia vem obtendo
ganhos expressivos com programas
e polticas de segurana, mas est
defasada em praticamente todos os
outros aspectos.
Amrica do Sul: A nova potncia
A Amrica do Sul mostra fortes
avanos em termos de gastos,
polticas e tecnologias de segurana.
Em vrios aspectos, a regio se
equipara e s vezes supera a
sia-Pacfico.
Por exemplo, os oramentos de
segurana da informao saltaram
69% em relao ao ano anterior,
e 66% dos respondentes da regio
dizem que os gastos de segurana
aumentaro ao longo dos prximos
12 meses. O oramento de segurana
representa 4,1% do gasto geral de TI,
menor apenas que o da sia-Pacfico.
Os respondentes da Amrica do Sul
tendem a empregar um CISO (75%) e
a ter uma poltica de backup e planos
de recuperao/continuidade de
negcios (58%). O continente lidera
em colaborao com terceiros (66%)
e est empatado com a sia-Pacfico
em polticas progressistas, como ter
um executivo snior que comunique
a importncia da segurana (68%).
A mdia de perdas financeiras totais
devido a incidentes de segurana est
crescendo modestamente (4%) em
comparao com o ano passado.

75%

dos respondentes
da Amrica do
Sul dizem que
suas organizaes
empregam um CISO.

Os participantes do Brasil
representam o maior percentual
da Amrica do Sul (48% do total),
seguidos de Mxico (30%) e
Argentina (21%). O Brasil lidera
em muitos aspectos monitoramento
e definio de perfis (57%) e uso
de ferramentas de verificao
de vulnerabilidades (63%), por
exemplo mas, em geral, est atrs
da China e dos EUA.
A Amrica do Sul tambm tem
suas fraquezas. Por exemplo, a
porcentagem de respondentes cujas
organizaes tm uma poltica para
treinamento e conscientizao de
segurana comparativamente baixa
(54%), como tambm a das empresas
que tm um inventrio dos locais
onde os dados pessoais so coletados,
transmitidos e armazenados (53%).

PwC 23

Os oramentos de
segurana na
Europa caram

3%

em relao ao
ano passado.

Europa: Ficando para trs em


investimento e salvaguardas
Ao contrrio do que acontece em
outras regies, o investimento
em segurana da informao est
caindo ligeiramente (3%) na Europa
em relao ao ano passado, e o
continente continua atrasado na
adoo de importantes salvaguardas
de segurana.
Alm da pequena degradao
dos investimentos em segurana,
somente 46% dos participantes
europeus acreditam que os gastos
com a rea aumentaro ao longo
dos prximos 12 meses. Enquanto o
nmero de incidentes de segurana
detectados caiu 22% em um ano, a
mdia das perdas financeiras devido
a esses incidentes subiu 28%.
A implementao de polticas
importantes, inclusive de backup
e recuperao/continuidade de
negcios (45%) e comunicao e
treinamento para conscientizao
sobre segurana (21%),
comparativamente baixa na Europa.
Tambm baixo o percentual
dos respondentes que informam
colaborar com terceiros (45%) e
daqueles que tm uma poltica de
segurana mvel (38%).

24

Amrica do Norte:
resultados opostos
O investimento em segurana
est crescendo na Amrica do
Norte, como tambm o nmero de
incidentes detectados. E, embora
a adoo de polticas-chave de
segurana permanea baixa, a
Amrica do Norte lidera em
algumas reas importantes.
A mdia dos oramentos de
segurana cresceu 80% em relao ao
ano anterior, mas o panorama para
gastos no prximo ano o mais baixo
de todas as regies: apenas 38% dos
respondentes da Amrica do Norte
dizem que os gastos de segurana
aumentaro nos prximos 12 meses.
O nmero de incidentes de segurana
detectados saltou 117% em relao a
2012, enquanto as perdas financeiras
mdias causadas por incidentes de
segurana aumentaram 48%.
A Amrica do Norte lidera outras
regies em algumas prticas
importantes, incluindo ter uma
estratgia geral de segurana
(81%), exigir que terceiros
cumpram polticas de privacidade
(62%), e oferecer treinamento
para conscientizao de segurana
dos funcionrios (64%). A regio
tambm tem como prtica manter
um inventrio dos locais onde coleta,
transmite e armazena dados pessoais
(64%) e ter tecnologias de deteco
de intruso (67%). Em contrapartida,
a Amrica do Norte est atrs de
outras regies na colaborao com
outras empresas (42%) e no emprego
de um CISO (65%). Os respondentes
norte-americanos apresentam
tambm menos probabilidade de ter
analisado a eficcia de suas prticas
de segurana no ltimo ano.

Pesquisa Global de Segurana da Informao 2014

Na Amrica do Norte,
os incidentes detectados
aumentaram

117%

em relao ao
ano passado.

Os EUA, que representam 84% dos


participantes da nossa pesquisa
na Amrica do Norte, esto bem
classificados em estratgias de
computao em nuvem (52%),
segurana de dispositivos mveis
(60%), mdias sociais (58%) e BYOD
(64%), atrs apenas da China na
maioria dos aspectos analisados.

Mercado brasileiro
Incidentes de hoje, estratgias
de ontem

Figura 15: Nmero de incidentes nos ltimos 12 meses


7.523

No Brasil, o volume de incidentes segue


a mesma tendncia do resto do mundo:
continua a crescer. Em 2012, houve uma
reduo em relao ao ano anterior,
porm, em 2013, foi registrada uma
elevao superior a 200%.
De forma semelhante, a interpretao
desses dados nos leva a duas concluses:
(1) o volume de incidentes de fato tem
aumentado e (2), concomitantemente,
as empresas esto adotando novas
tecnologias que possibilitam a
identificao de tais incidentes.
O fato de as organizaes
estarem se tornando alvo de
ataques cada vez mais frequentes faz
com que elas aprimorem seus controles
detectivos, e isso pode explicar a suposta
elevao no volume de incidentes. A
Figura 17 confirma essa suposio. Ao
analisarmos as principais tecnologias
empregadas para deteco de ameaas,
para todas, sem exceo, houve elevao
no nmero de respondentes que afirmam
empregar o componente tecnolgico.

4.665
3.741
2.989
2.562
1.957

2011
Mundo

2012

2013

Brasil

O volume de respondentes que


desconhecem se foram alvo de
incidentes permaneceu praticamente
estvel desde 2011, como demonstra
o grfico, mas vale destacar um
aumento considervel na quantidade
de incidentes relatados em relao ao
ano anterior.

PwC 25

Os resultados indicam que as


ferramentas de deteco de
cdigos maliciosos continuam
sendo predominantes dentro das
organizaes. Todavia, foi possvel
observar um avano na utilizao
de solues de ferramentas de
Data Loss Prevention, Correlao
de Eventos de Segurana e
Monitoramento de Internet.

Figura 16: Nmero de incidentes ocorridos

7.523

4.665

No
sabem
6%
2011

1.957

No
sabem
5%

2012

Incidentes relatados

No
sabem
5%
2013

No sabem

Figura 17: Principais tecnologias empregadas para deteco

57%

Ferramenta de deteco de malware


para mobile

49%

57%
Ferramenta de DLP

38%

57%

Ferramenta de correlao de eventos


de segurana

40%

58%
Servio de monitoramento de internet

37%

63%
Ferramenta de scanning de vulnerabilidades

50%

64%
Ferramenta de deteco de intruso

60%

64%

Ferramenta para descoberta de dispositivos


no autorizados

50%

82%

Ferramenta de deteco e cdigo malicioso


(spyware e adware)

78%

Brasil 2013

26

Pesquisa Global de Segurana da Informao 2014

Brasil 2012

Figura 18: Impacto dos incidentes de segurana

41%
35%

36%

36%

31%
29%
23%

Registros
de clientes
comprometidos
ou indisponveis

Registros
de funcionrios
comprometidos

Mundo

Brasil

24%

Roubo de identidade
(dados de clientes
ou funcionrios
roubados)

No Brasil, o principal impacto


dos incidentes, em termos de
privacidade, est relacionado ao
comprometimento dos registros
de clientes. No resto do mundo, o
principal aspecto comprometido
so os registros de empregados.
Outro aspecto cuja tendncia segue
a do resto do mundo a origem
dos incidentes. No Brasil, 41% dos
respondentes afirmam que os hackers
so ainda a principal origem dos
incidentes, enquanto nos demais
pases esse percentual ficou em 32%.

Perda ou dano a
registros internos

De acordo com a Pesquisa de


Segurana da Informao 2014,
61,5% dos respondentes disseram
conduzir voluntariamente testes
regulares de penetrao de dados a
fim de avaliar suas vulnerabilidades e
seu nvel de exposio.
De modo complementar, apenas 10%
dos respondentes no Brasil afirmam
desconhecer a origem dos incidentes,
enquanto nos demais pases esse
percentual de 24%.

No Brasil, a identificao precisa


da origem provvel dos incidentes
identificados superior em todos os
casos, com exceo apenas dos que
responderam Funcionrios atuais e
No sabe (Figura 19).
De acordo com os dados da pesquisa,
possvel observar que, no Brasil,
a ao de hackers e concorrentes
quase 10% maior do que no restante
do mundo.

PwC 27

Uma defesa fraca


contra os adversrios

Figura 19: Origem provvel dos incidentes

41%

Hackers

32%
23%

Concorrentes

14%
17%

Ativistas/grupos ativistas/hackerativistas

10%

10%
15%

Crime organizado

12%
12%

Terroristas

8%
10%

No Sabem

Naes estrangeiras

Entidades/organizaes estrangeiras

De fato, alm de conhecer as


origens desses problemas, muito
importante que as empresas
conheam quais so os principais
alvos dos ataques, a fim de orientar
corretamente os investimentos.

15%

Intermedirios de informaes

24%
8%
4%
8%
6%
33%

Ex-funcionrios

27%
31%

Funcionrios atuais

31%
22%

Provedores de servio/consultores/contratados atuais

No Brasil, as empresas tambm


esto buscando se reinventar para
conseguir lidar com o aumento
significativo no volume de incidentes.

Com relao s prticas adotadas


para proteger a propriedade
intelectual de suas informaes,
o Brasil continua fortemente
alinhado s tendncias globais.
Aproximadamente 32% dos
respondentes afirmam que
empregam prticas regulares de
reviso dos privilgios de acesso.
No resto do mundo, o percentual
de 31%.

16%
20%

Fornecedores/parceiros de negcios

12%
19%

Ex-provedores de servio/consultores/contratados

13%
15%

Clientes

10%

Brasil

Mundo

importante destacar que a


correta gesto dos privilgios
de acesso de colaboradores
e/ou terceiros contribui
para conter o potencial
impacto dos incidentes,
independentemente de
sua origem.
O segundo aspecto mencionado
no Brasil e no resto do mundo
como medida preventiva a
execuo do inventrio como
parte da gesto de ativos, o que
foi informado por 26% dos
respondentes (local e globalmente).

28

Pesquisa Global de Segurana da Informao 2014

Figura 20: Polticas para proteger a propriedade intelectual e os segredos comerciais


40%
36%
31%

30%
26%

26%

27%

26%
21%

20%

21%
17%

Procedimentos
dedicados a proteger a
propriedade intelectual

Inventrio/gesto
de ativos
Mundo

32%

19%
16% 16%

Classificao do valor
comercial dos dados

Reviso regular de
usurios e acessos

Brasil

2013

2013

2012

2011

Figura 21: Iniciativas adotadas para lidar com os riscos de segurana mvel

Estratgia de segurana mvel

42%
54%

Software de gesto de
dispositivos mveis

39%
51%

Proibio de dispositivos de
propriedade dos usurios para acesso
ao ambiente de trabalho/rede

30%
38%

Proteo de e-mail e calendrio


corporativo em dispositivos de
propriedade de usurios e funcionrios

37%
39%

Forte autenticao de dispositivos

35%
32%

Uso de controles de geolocalizao

As principais aes apontadas pelos


respondentes brasileiros a fim
de mitigar os riscos provenientes
das tecnologias mveis so: (1)
estabelecer uma estratgia para
segurana mvel; e (2) adoo
de software para gesto de
dispositivos mveis. Apenas 3% dos
respondentes no Brasil informaram
que no executam nenhuma ao
especfica para controlar os riscos de
tecnologias mveis.
No Brasil, podemos observar que
h uma forte preocupao com o
tratamento dado aos dispositivos
mveis, pois o percentual de
respondentes que afirmou ter uma
estratgia de segurana mvel foi
12 pontos maior que a do restante
do mundo. A mesma diferena entre
os resultados globais e do Brasil
foi observada em relao aos que
afirmam ter um software para gesto
de dispositivos mveis (MDM Mobile Device Management).

19%
32%

Armazenamento de aplicaes para


dispositivos mveis de empregados

19%
27%

Outros

O uso de dispositivos mveis


uma questo amplamente
discutida tanto no mbito local
quanto global. De fato, essa uma
realidade que forou as empresas
a se posicionar rapidamente, dado
o crescimento exponencial no
volume de dispositivos utilizados por
colaboradores e terceiros.

4%
5%

Nenhum

7%
3%

No sabe

14%

Em contrapartida, no restante do
mundo nota-se uma postura mais
restritiva do que no Brasil em relao
ao uso de dispositivos de propriedade
dos usurios para acesso ao ambiente
de trabalho ou rede corporativa:
38% disseram proibir o uso desses
dispositivos em comparao com
30% no Brasil.

4%

Mundo

Brasil

PwC 29

Como se preparar para


as ameaas futuras
Para combater ativamente as
ameaas s quais esto sujeitas, as
empresas tm buscado reinventar
a forma de fazer segurana da
informao. Nesse contexto, obter
o patrocnio adequado da alta
administrao essencial para
implantao das aes. No Brasil,
71% dos respondentes afirmam
contar com um executivo snior
que comunica a importncia da
segurana para a corporao. Esse
aspecto essencial para o sucesso das
demais iniciativas.
Em paralelo, 61% dos respondentes
afirmam que sua estratgia de
segurana est alinhada com as
necessidades de negcio. De fato,
esse alinhamento permite que haja
uma real percepo de valor pelas
reas usurias.

30

Figura 22: Polticas e salvaguardas de segurana atualmente em vigor


71%

68%
61%

60%
55%

Estratgia
de segurana
alinhada com
as necessidades
do negcio

Mundo

Normas
para parceiros
externos, clientes,
fornecedores e
prestadores de
servios

59%
53%

Processo
centralizado
de gesto de
informaes
de segurana

Brasil

No resto do mundo, o alinhamento


da estratgia de segurana com
as necessidades do negcio
foi informado por 68% dos
respondentes como uma das
principais salvaguardas.

Pesquisa Global de Segurana da Informao 2014

56%

58%

Equipe
multifuncional
coordena/
comunica
questes de
segurana

59%

Um executivo
snior que
comunica a
importncia da
segurana

Obstculos no avano
da segurana

Figura 23: Motivos para no colaborar sobre segurana da informao


39%

Existe um entendimento comum


de que aes de segurana
da informao devem ser
implementadas para deter as
ameaas cada vez mais diversificadas.
No Brasil, a pesquisa mostrou
que 39% dos respondentes no
atuam de forma colaborativa com
as demais empresas do mesmo
setor, pois no querem chamar a
ateno para possveis fraquezas.
Esse um aspecto que merece
reflexo cuidadosa. Por um lado,
ao compartilhar as dificuldades, as
empresas conseguem aprender com
a experincia de outras do mesmo
setor e se antecipar na adoo de
contramedidas. Na contramo desse
benefcio direto, existe a insegurana
quanto exposio excessiva.

33%
30%

31%
28%
24%

22%

22%
19%
16%

16%
10%

9%
6%

No confio
em nossos
concorrentes

Mundo

No quer
chamar ateno
para possveis
fraquezas

Estou preocupado
que um
concorrente use
essas informaes
para obter
vantagem de
mercado sobre ns

Nenhum
concorrente
est muito mais
avanado do
que os outros

Outro
Organizaes
maiores, com
mais recursos
financeiros, usariam
a colaborao em
seu prprio
benefcio

No sabe

Brasil

Os demais indicadores mapeados


pela pesquisa corroboram com esse
quadro. Do total de respondentes,
31% esto preocupados que um
concorrente use essas informaes
para obter vantagem de mercado,
enquanto 30% afirmam que no
confiam nos concorrentes.

PwC 31

Figura 24: Maiores obstculos para melhorar a segurana da informao


35%

22%

22%

27%

26%

25%
23%

24% 24%

24%
19%

18%

20%

19% 18%

16%

Liderana, CEO,
presidente,
conselho ou
equivalente

Mundo

Liderana:
CIO ou
equivalente

Liderana:
CISO, CSO
ou equivalente

Falta de viso
prtica ou
entendimento de
como as
necessidades
futuras do
negcio afetam a
segurana da
informao

Despesas de
capital
insuficientes

Brasil

A implantao de um programa
robusto de segurana da informao
envolve diversos aspectos, que
compreendem desde investimentos
adequados e entendimento das
necessidades de negcio, at a
obteno do patrocnio da alta
administrao para suportar tais
iniciativas. Quando um desses
componentes no adequadamente
abordado pela empresa, o sucesso
das aes de segurana pode
ficar comprometido.

32

Falta de uma
estratgia de
segurana da
informao
eficaz

No Brasil, 35% dos respondentes


acreditam que a maior dificuldade
para melhorar a segurana da
informao em sua empresa
est relacionada liderana
da organizao. O oramento
inadequado foi mencionado por
27% dos participantes como a
segunda grande preocupao.

Pesquisa Global de Segurana da Informao 2014

Despesas
operacionais
insuficientes

Ausncia ou
carncia de
conhecimentos
tcnicos internos

18%

16%

Seistemas de TI
e informaes
excessivamente
complexas ou
mal integradas

Aspectos relevantes no
contexto brasileiro

Figura 25: Magnitude dos investimentos


$500,00 a $999,999

Investimentos em segurana
da informao

$1 milho a $4.9 milhes

No Brasil, o oramento destinado


segurana da informao ainda
fortemente condicionado pela
situao econmica do pas,
conforme indicado por 47,8%
dos respondentes.
Quando perguntados sobre
o investimento dedicado a
segurana da informao, 28%
dos respondentes estimam que
seus oramentos atinjam o teto de
um milho de dlares, o que pode
ser considerado razoavelmente
baixo quando comparado perda
financeira que uma ameaa pode
causar empresa, ao explorar
uma vulnerabilidade.
Principais desafios de
segurana da informao
Ao analisarmos os cinco principais
desafios de segurana mencionados
pelos respondentes, observamos que
existe uma certa coerncia entre as
questes indicadas em 2012 e 2013,
como demonstra a figura a seguir.
Um ponto de destaque,
ao compararmos os desafios
indicados em cada ano, que o
tema da computao em nuvem
deixou de ser uma preocupao,
e o da preveno contra vazamento
de informaes ganhou visibilidade.
O volume acentuado de incidentes
apresentados na mdia ao longo de
2013 pode ter contribudo para
que a perda de dados tenha
ganhado destaque.

19%
12%
16%
13%

$5 milhes a $9.9 milhes

13%
11%

$10 milhes $49.9 milhes

11%
10%

$50 milhes to $99.9 milhes

9%
7%

Menos de $500,000

9%
14%

$1 bilho ou mais

7%
4%

No sabe

6%
20%

$100 milhes to $499.99 milhes

5%
6%

$500 milhes to $999.99 milhes

4%
3%

Brasil

Mundo

Figura 26: Principais desafios de segurana


53%

50%

40%

40%

37%
32%

50%

32%

30% 32%

21%

20%

21%

10%

0%
Controle de
Mascaramento de
acesso e gesto informaes
de identidades
para usurios
finais
Brasil
2012

Preveno contra
vazamento de
informaes

0%
Dispositivos de
seguranas para
dispositivos
mveis
(smartphones,
PDAs, tablets)

Identificao de
roubo e perda
de patente ou
informaes
pessoais

Computao em Roubo de
nuvem
propriedade
intelectual

Monitoramento
do acesso e uso
da informao

2013

PwC 33

O que as empresas terceirizam


em termos de segurana
da informao
H tempos os profissionais da rea
vm discutindo com muita cautela
o tema da terceirizao no contexto
de segurana da informao. Por
um lado, existe forte presso por
reduo de custos, e isso se traduz na
busca de alternativas que viabilizem
a execuo de uma determinada
atividade, conduzindo a soluo para
um cenrio de terceirizao. Por
outro lado, ser que a organizao
no se expe demais ao transferir a
um terceiro a atribuio de executar
determinados procedimentos de
segurana? De fato, esse hiato no
ser de fcil soluo. A experincia
tem demonstrado que, embora
determinadas funes de segurana
sejam terceirizadas, as atividades
de controle e medio do servio
prestado tm relevncia acentuada.
A figura abaixo mostra quais so
as principais reas em que as
empresas tm terceirizado suas
atribuies, do ponto de vista de
processos, pessoas e tecnologia.

34

Figura 27: Principais atividades de segurana terceirizadas pelas organizaes

Empregam consultores de Segurana


da Informaes

43,7%

Possuem equipe dedicada


para empregar programas de
conscientizao sobre, polticas,
procedimentos e normas tcnicas

40,3%

Possuem pessoas dedicadas para


monitorar o uso da internet e ativos de
informao pelos empregados

Estratgias de segurana da informao


est alinhada as necessidades de negcio

Estabelecer o baseline
de segurana para prestadores de
servio, parceiros, clientes, fornecedores

40,3%

34,2%

34%

Teste de compliance
38,4%

Mobile device management (MDM)

32,1%

Medidas de controle de acesso

Pesquisa Global de Segurana da Informao 2014

30,4%

Como as organizaes
tm lidado com as novas
tecnologias
Computao em nuvem
A cloud computing j uma realidade
para muitas empresas no Brasil.
Nos ltimos anos, houve grande
discusso a respeito da garantia da
privacidade de dados no ambiente da
nuvem. Isso exigiu dos fornecedores
desse tipo de servio discursos
comerciais embasados tecnicamente
e contratos consistentes em relao
a suas prticas de segurana e
privacidade. O objetivo demonstrar
o conjunto de controles empregados
para proteger as informaes das
organizaes clientes.
No Brasil, entre os diferentes tipos
de servios em nuvem oferecidos,
o principal o Software as Service,
conforme mostra a Figura 28. A
adoo de servios em nuvem no
Brasil tambm tem se mostrado
maior do que no restante do universo
da pesquisa, principalmente no
que tange a Infraestrutura (IaaS) e
Plataforma (PaaS).

Os respondentes do Brasil tm uma


percepo positiva sobre a segurana
que o ambiente de nuvem pode
fornecer. Entre os participantes,
73% afirmam que a segurana do
ambiente est melhor do que no
passado, enquanto nos demais pases
esse percentual de 59%. Para 16%
dos respondentes da pesquisa global
a situao piorou, enquanto para 20%
no houve mudana significativa. No
Brasil, esses percentuais so de 10% e
14%, respectivamente.

Figura 28: Tipo de servio em nuvem utilizado pelas empresas


69%

69%

57%
47%

46%
37%

3%
Infrastructure-as-a-Service
(Iass)

Mundo

Software-as-a-Service
(SaaS)

Platform-as-a-Service (Paas)

Outro

6%

4%

1%

No sabe

Brasil

PwC 35

Carteiras virtuais

Figura 29: Como a computao em nuvem afeta a sua organizao?

As carteiras virtuais tm se
mostrado uma tendncia e j
h movimentos empresariais no
sentido de adot-las. Cerca de 56%
dos respondentes declaram estar
preparados para a implementao de
sistemas que suportem as carteiras
virtuais, porm apenas 6% disseram
j t-los implementado.

73%

59%

20%

16%

14%

10%
Segurana
est melhor

Segurana
est pior

Mundo

No houve
mudana na
segurana

5%

3%

No sabe

Brasil

Figura 30: Sua organizao est se preparando para implementar sistemas para
suportar o conceito de carteiras digitais?

A ateno ao tema de cyber security


tem se consolidado, em reao aos
inmeros casos de ataques digitais a
governos, organizaes e indivduos
no pas. A veiculao desses casos
pela mdia tem contribudo para que
o tema esteja na pauta de discusses
dos profissionais da rea, bem como
na agenda dos executivos.

56%

32%
29%

29%

21%
18%
9%

6%
Sim

J est
implantada

Mundo

36

No

No sabe

Brasil

Pesquisa Global de Segurana da Informao 2014

Cyber security

As organizaes j esto cientes


de que as ameaas se sofisticaram,
os motivadores das invases so
outros e que os controles atualmente
empregados no so mais suficientes
para conter tais aes.
Os resultados da pesquisa deste
ano mostram que a mitigao das
fraquezas de segurana e a conteno
dos incidentes continuam sendo o
maior direcionador dos gastos em
cyber security no Brasil, assim como
no restante do mundo. Esse aspecto
nos leva a uma reflexo interessante
sobre o nvel de conscincia das
organizaes a respeito da relevncia
dos temas de cyber security e
cyber investigation.

Outro aspecto que demonstra o


nvel de interesse e preparo das
organizaes sobre o tema de cyber
security o fato de que, no Brasil,
66,7% dos respondentes afirmaram
possuir um framework integrado de
competncias para abordar os riscos
de cyber security.

Figura 31: Principais direcionadores para os gastos de cyber security em


sua organizao
57%

43%

43%
34%

9%
Mitigao das
fraquezas de
segurana e
incidentes
(exemplo:
malware, intruso
da rede ou
sistemas, perda
de dados etc.)
Mundo

Compliance com
regulamentaes,
leis e polticas

13%
0%

Suporte para
inovao e
iniciativas de
modernizao
tais como
smart grid

1%

0%

0%

Outros

No sabe

Brasil

Figura 32: A empresa adota um framework integrado para abordar os riscos de


cyber security
66,7%
54,6%

31,1%
23,8%
14,3%
9,5%
Sim
Mundo

De fato, a conteno desses riscos


demanda que as organizaes
faam investimentos coordenados
em tecnologia, processos e pessoas.
A antiga ideia de que um arsenal
isolado de ferramentas tecnolgicas
seria suficiente para minimizar
os riscos parece no ser mais uma
realidade no presente.

No
Brasil

No sabe

As ameaas persistentes avanadas


foram responsveis por boa parte
dos incidentes de segurana da
informao de grande impacto
recentemente. As estratgias
adotadas at ento no cuidavam
totalmente dessas ameaas, mas,
aps acontecimentos marcantes
em alguns pases, as organizaes
passaram a se preocupar mais com
essas questes. A pesquisa mostra
que, no Brasil, essa preocupao
ainda 20% maior do que no
restante do mundo e que 71% dos
respondentes declararam possuir
um programa para monitorar e
responder aos ataques de APT.

PwC 37

Figura 33: Quantidade de empresas que possuem um programa para monitorar e


responder a APTs Advanced Persistent Threats
71,4%

51,1%

32,6%
23,8%
16,3%
4,8%

No sabe

Sim

Brasil

No

Mundo

Figura 34: Tecnologias empregadas para se proteger contra APTs

93%
87%
78%

76%

49%

47%

47%
37%

Proteo por
Antivrus
Mundo

38

Intrusion-detection ou
intrusion-prevention

Solues APT
baseada
assinatura

Solues APT
baseada memria

Brasil

Pesquisa Global de Segurana da Informao 2014

Para combater as APTs, as empresas


tm se baseado principalmente
em solues de segurana
tradicionalmente empregadas, como
antivrus, IDS e IPS. As solues
especficas para tratamento de APTs,
sejam baseadas em memria ou
assinatura, no so to frequentes. Os
respondentes no Brasil declaram que
as solues baseadas em memria
fazem parte de suas realidades com
mais frequncia que os do restante do
mundo. O mesmo no acontece com
as baseadas em assinatura.

O que isso significa para a sua empresa


Os resultados da Pesquisa Global
de Segurana da Informao 2014
revelam que a rea vive um momento
incerto: encontra-se ao mesmo tempo
no limiar da mudana e paralisada
na inrcia. Os participantes da
pesquisa demonstram avanos
na implantao de importantes
iniciativas de segurana de um lado,
mas parecem desatentos em relao
a estratgias-chave, como proteo
da propriedade intelectual, de outro.
H um compromisso renovado com
o investimento em segurana, que
convive com um direcionamento
incerto sobre como melhorar
as prticas.
Dadas as enormes mudanas e os
desafios provocados pela evoluo
do ecossistema de ameaas, no
surpreende por completo que o
caminho a seguir seja ambguo.
Uma coisa certa: as defesas do
passado no so eficazes contra as
ameaas atuais em rpida evoluo.
E os riscos futuros demandaro um
modelo completamente novo de
segurana da informao.
Sugerimos uma abordagem mais
sofisticada do que pode ser a
segurana, baseada no conhecimento
das ameaas, dos ativos relevantes
e dos inimigos. Uma abordagem
na qual os incidentes de segurana
sejam tratados como um risco crtico
para o negcio que nem sempre pode
ser prevenido, mas que pode ser
gerenciado em nveis aceitveis.

Identificamos esse modelo como Da


Conscincia Ao. No que tem de
mais bsico, essa abordagem abrange
quatro preceitos importantes:
A segurana um imperativo
de negcios. A segurana eficaz
requer que se entenda a exposio
e o impacto potencial de negcio
associado a operar no ciberespao,
em um ecossistema global e
interconectado de empresas.
Uma estratgia de segurana
integrada deve ser uma parte
essencial do seu modelo de
negcios; a segurana no mais
simplesmente um desafio de TI
e nem apenas um conjunto de
aes para proteger o negcio.
A segurana deve ser definida
com base em riscos e ter um
direcionamento de criao
de valor.
Ameaas de segurana so riscos
de negcios. Voc deve ver os
riscos de segurana como ameaas
organizacionais. essencial
antecipar essas ameaas, conhecer
as vulnerabilidades da organizao
e ser capaz de identificar e
gerenciar os riscos associados.
Assegure-se de que fornecedores,
parceiros e outras organizaes
com quem se relaciona conheam
e concordem em aderir a suas
polticas e prticas de segurana.

Proteja as informaes que


realmente importam. Uma
segurana eficaz requer que voc
entenda as mudanas no ambiente
de ameaas e se adapte a elas,
identificando suas informaes
mais valiosas. Saiba onde esto
localizadas essas joias da coroa
e quem tem acesso a elas o tempo
todo. Aloque e priorize, de modo
competente, os recursos da
organizao para proteger suas
informaes mais valiosas.
Ganhe vantagem com o
modelo Da Conscincia
Ao. Nesse novo modelo de
segurana da informao, todas as
atividades e todos os investimentos
devem estar baseados no melhor
conhecimento disponvel sobre
ativos de informao, ameaas e
vulnerabilidades do ecossistema
e monitoramento de atividades
de negcios. Voc deve criar
uma cultura de segurana que
comece com o compromisso dos
principais executivos e se desdobre
para todos os funcionrios e
terceiros. Participe de projetos de
colaborao pblico-privada com
outras organizaes para melhorar
os conhecimentos sobre ameaas.
Podemos ajud-lo a entender as
implicaes dessa nova abordagem
de segurana da informao e a
aplicar seus conceitos s necessidades
exclusivas da sua empresa, do seu
setor e do seu ambiente de ameaas.
Podemos mostrar a voc como
combater de forma eficaz os riscos de
segurana atuais e como planejar sua
proteo contra os riscos futuros.

PwC 39

Para obter mais informaes, entre em contato com:

So Paulo e Barueri
Av. Francisco Matarazzo, 1400
05001-903 So Paulo/SP
Torre Torino gua Branca
Telefone: (11) 3674-2000
Edgar R. P. DAndrea
edgar.dandrea@br.pwc.com
Eliane Kihara
eliane.kihara@br.pwc.com
Sergio Alexandre
sergio.alexandre@br.pwc.com

Rio de Janeiro
Av. Jos Silva de Azevedo Neto,
200 1 e 2 Torre Evolution IV,
Barra da Tijuca
22775-056 Rio de Janeiro/RJ
Telefone: (21) 3232-6112
Rodrigo Milo
rodrigo.milo@br.pwc.com
Eduardo Luczinski
eduardo.luczinski@br.pwc.com

Claudinei Vieira
claudinei.vieira@br.pwc.com

Regio Centro Oeste


SHS Quadra 6, Conj. A
Bloco C Edifcio Business
Center Tower Salas 801 a 811
CEP: 70322-915 Braslia
Distrito Federal
Telefone: (61) 2196-1800

Viviane Oliveira
viviane.oliveira@br.pwc.com

Fernando Bravo
fernando.bravo@br.pwc.com

Camilla Gemelli
camila.gemelli@br.pwc.com
Claudia Fukasawa
claudia.fukasawa@br.pwc.com

Regio Nordeste e Norte


Av. Tancredo Neves, 620 - 30 e 34
Ed. Empresarial Mundo Plaza
41820-020 Salvador/BA
Telefone: (71) 3319-1900

Joo Castilho
joao.castilho@br.pwc.com

Ricardo Santana
ricardo.santana@br.pwc.com

Maria Romn
maria.roman@br.pwc.com

Bruno Barros
bruno.barros@br.pwc.com

Ana Rosa
ana.rosa@br.pwc.com

Mauricio Baldin
mauricio.baldin@br.pwc.com

Interior de So Paulo
Rua Jos Pires Neto, 314 - 10
13025-170 Campinas/SP
Telefone: (19) 3794-5400
Edmilson Monutti
edmilson.monutti@br.pwc.com
Regio Sul
Rua Mostardeiro, 800 8 e 9
Edifcio Madison Center
90430-000 Porto Alegre/RS
Telefone: (51) 3378-1700
Jerri Ribeiro
jerri.ribeiro@br.pwc.com
Renato Lara
renato.lara@br.pwc.com

Ou visite www.pwc.com/gsiss2014 para conhecer os dados detalhados do seu setor


de atuao ou fazer um benchmarking da sua empresa.
Siga-nos

Twitter@PwCBrasil
facebook.com/PwCBrasil

The Global State of Information Security marca registrada da International Data Group, Inc.
2014 PricewaterhouseCoopers Servios Profissionais Ltda. Todos os direitos reservados. Neste documento, PwC refere-se PricewaterhouseCoopers Servios
Profissionais Ltda., a qual uma firma membro do network da PricewaterhouseCoopers, sendo que cada firma membro constitui-se em uma pessoa jurdica
totalmente separada e independente. O termo PwC refere-se rede (network) de firmas membro da PricewaterhouseCoopers International Limited (PwCIL) ou,
conforme o contexto determina, a cada uma das firmas membro participantes da rede da PwC. Cada firma membro da rede constitui uma pessoa jurdica separada
e independente e que no atua como agente da PwCIL nem de qualquer outra firma membro. A PwCIL no presta servios a clientes. A PwCIL no responsvel
ou se obriga pelos atos ou omisses de qualquer de suas firmas membro, tampouco controla o julgamento profissional das referidas firmas ou pode obrig-las
de qualquer forma. Nenhuma firma membro responsvel pelos atos ou omisses de outra firma membro, nem controla o julgamento profissional de outra firma
membro ou da PwCIL, nem pode obrig-las de qualquer forma.
DC0 - Informao Pblica