ESTUDO LOCAL Segurana de TI: Sondagem e Previses, 2010

Timteo Figueir Janeiro de 2011

SUMRIO EXECUTIVO
Este caderno tem como objectivo analisar o grau de preparao das organizaes empresariais que actuam no territrio nacional para lidar com a
IDC Portugal: Centro Empresarial Torres de Lisboa, Rua Tomas da Fonseca, Torre G, 1600-209 Lisboa www.idc.pt

proliferao de ameaas segurana da informao corporativa. Para tal, a IDC Portugal procedeu realizao de um estudo junto das maiores empresas nacionais para avaliar questes como a governao da segurana de informao, o grau de risco para as empresas nacionais, as tecnologias implementadas para enfrentar estes desafios e a despesa com estes produtos e servios. Gradualmente, a segurana de informao das organizaes nacionais comea a ser encarada como um tpico com impacto no negcio das organizaes empresariais nacionais. Adopo de estratgias de segurana de informao, implementao de sistemas de gesto de segurana e adopo das normas ISO 27001 so alguns dos tpicos presentes na agenda das organizaes nacionais o que evidencia uma maior maturidade nas questes relacionadas com a segurana de informao, assim como um maior alinhamento com o negcio. Em simultneo, uma percentagem expressiva das organizaes inquiridas j atriburam as responsabilidades de segurana da informao a executivos de primeira linha. Por outro lado, e no que diz respeito ao risco da segurana da informao, a generalidade das organizaes inquiridas pela IDC revela que sofreram incidentes de segurana - internos e externos - nos ltimos 12 meses. No entanto, e apesar desta realidade, a maioria das empresas nacionais salienta que o risco das suas organizaes no aumentou. E a generalidade dos inquiridos assinalam os surtos de vrus/worms como o risco mais elevado para a segurana de informao. Por outro lado, a maioria dos responsveis pela segurana da informao sublinha a intensidade do risco associado aos incidentes de phishing/pharming e de spam. O estudo da IDC permite-nos ainda constatar que o grau de maturidade tecnolgica das empresas e instituies nacionais elevado. Neste contexto, no ser de estranhar que a despesa com produtos e servios de segurana v manter-se em nveis idnticos aos registados no ano passado.

SITUA O ACTUAL
Um novo paradigma, novas ameaas
O efeito conjugado da emergncia de uma nova gerao de malware Malware 2.0 -, caracterizada por uma maior sofisticao dos ataques aos sistemas informticos, pelo aparecimento de aplicaes de Crime-as-a-Service (CaaS) relacionadas com actividades cibercriminosas (por oposio necessidade de notoriedade associada aos criadores da primeira gerao de malware), do aparecimento da Web 2.0 e de ameaas relacionadas com esta nova infraestrutura de comunicao e pela crescente mobilidade dos colaboradores (a IDC estima que, presentemente, existam mais de 946,3 milhes de empregados mveis a nvel mundial e que este nmero alcance 1,2 mil milhes em 2013) vieram aumentar exponencialmente os perigos a que esto expostas as organizaes empresariais a nvel mundial. Por outro lado, a emergncia da Internet veio alterar profundamente o paradigma de segurana das organizaes empresariais a nvel mundial. Tradicionalmente, os responsveis pela segurana dos sistemas de informao implementavam solues de segurana de proteco do permetro da rede de comunicaes. Se as organizaes empresariais implementassem software antivrus, firewalls e sistemas de deteco e de preveno de intruses era possvel defender os sistemas de informao contra os intrusos e contra as perdas de dados. Contudo, presentemente, o permetro da rede de comunicaes corporativa alargou-se substancialmente, atravs da incluso da Web existe um conjunto mais diversificado de equipamentos e aplicaes na periferia dos sistemas de informao das organizaes. Os dados, as aplicaes de malware e os intrusos podem passar atravs destes equipamentos. Na medida em que o ncleo central dos sistemas de informao corporativos foi reforado, a fronteira das tecnologias de informao passaram a ser o elo mais fraco. Assim, mais fcil atacar os endpoints como seja o caso dos telefones mveis e dos equipamentos portteis que atacar directamente os sistemas centrais. Em simultneo, o processo de webizao da generalidade dos processos de negcio das organizaes empresariais a nvel mundial veio aumentar o nmero de utilizadores com acesso aos sistemas de informao corporativos. Se, tradicionalmente, o nmero de utilizadores dos sistemas de informao corporativos poderia no ultrapassar alguns milhares de utilizadores (nem todos os empregados das organizaes tinham acesso aos sistemas de informao da organizao), presentemente, com o desenvolvimento de aplicaes Web e a multiplicao dos equipamentos de acesso que possibilitam que colaboradores, clientes e parceiros tenham acesso aos sistemas de informao este nmero poder ultrapassar milhes de utilizadores. Mais recentemente, a exploso da utilizao das redes sociais veio potenciar ainda mais o nmero de contactos com os sistemas de informao das organizaes empresariais. Deste modo, no ser de estranhar que identificar o permetro de segurana da organizao se tenha tornado uma tarefa impossvel. E a emergncia de novos modelos de computao Software-as-a-Service, Cloud Computing vai contribuir para complexificar este cenrio. A figura 1 ilustra este novo cenrio tecnolgico.

#227158

2011 IDC

FIGURA 1
Rede de comunicaes corporativas

PC &

Enterprise Apps Web Apps

Notebooks PDA

Mobile Voice
Fonte: IDC

eMail IM

Por ltimo, a crise financeira e econmica internacional, despoletada com a crise do crdito imobilirio no mercado norte-americano, veio afectar seriamente a evoluo da economia mundial nos ltimos dois anos, assim como contribuiu para agravar as condies de segurana das tecnologias de informao das organizaes empresariais a nvel mundial. A IDC analisou o impacto desta nova realidade nas organizaes empresariais a nvel mundial - Western European Top 10 Security Predictions - e identificou um conjunto de tpicos que iro condicionar a evoluo da despesa com segurana de informao. O quadro abaixo sintetiza as prioridades das organizaes empresariais a nvel mundial.

TABELA 1
Western European Top 10 Security Predictions
Prioridades #1 A crise financeira reduziu a despesa com segurana e confirmou o preo como o principal diferenciador no lado da oferta Consolidao/Fuses porque no desconsolidao? Comoditizao A privacidade permanece o tpico principal de conformidade devido necessidade de implementao da Directiva136 at Maio de 2011. Mais regulamentao e multas mais pesadas no vo prever a m utilizao e ataques geis

#2 #3 #4

#5

2011 IDC

#227158

TABELA 1
Western European Top 10 Security Predictions
Prioridades #6 Normalizao significa consolidao do investimento num nmero reduzido de fabricantes A segurana mvel no apenas um tpico de segurana A segurana cloud vai quebrar mais barreiras do que seria expectvel A necessidade de consultoria gil e inteligente versus a automatizao de tarefas bsicas de segurana vai aumentar a necessidade de profissionais qualificados em segurana Os governos vo combater o cibercrime mas vo necessitar de gastar mais dinheiro

#7 #8

#9

# 10

Fonte: IDC, 2011

Neste contexto, a IDC Portugal procedeu ao desenvolvimento de um estudo atravs do qual procurou caracterizar a atitude das organizaes a actuar no territrio nacional face s crescentes ameaas segurana de informao. Para tal, o estudo procurou identificar o grau de governao da segurana de informao existente nas organizaes nacionais, os riscos inerentes a esta nova realidade, os processos e tecnologias implementadas e a despesa consagrada segurana de informao.

GOVERNA O DA SEGURAN A DE INFORMA O

Empresas nacionais assumem governao da segurana de informao
Gradualmente, a segurana de informao das organizaes nacionais comea a ser encarada como um tpico de negcio no interior das organizaes empresariais nacionais. Esta uma das concluses que se podem retirar da anlise dos dados do inqurito realizado pela IDC junto das maiores empresas nacionais. Adopo de estratgias de segurana de informao, implementao de sistemas de gesto de segurana e adopo das normas ISO 27001 so alguns dos tpicos presentes na agenda das organizaes nacionais o que evidencia uma maior maturidade nas questes relacionadas com a segurana de informao, assim como um maior alinhamento com o negcio. Em simultneo, e apesar de ainda ser reduzido o nmero de organizaes que procederam atribuio das responsabilidades de segurana e de privacidade dos dados a executivos especializados - Chief Security Officer, Chief Privacy Officer ou ainda Chief Risk Officer - , uma percentagem expressiva das organizaes inquiridas j atriburam estas responsabilidades a executivos de primeira linha. A maioria das organizaes a actuar no territrio nacional j implementou estratgias de segurana de informao ou esto em fase de implementao.

#227158

2011 IDC

Somente um nmero reduzido de empresas ainda no adoptou estratgias de segurana de informao. Esta outra das concluses que se pode retirar da anlise dos dados do inqurito realizado pela IDC Portugal. Assim, cerca de um tero das organizaes inquiridas j implementaram a estratgias de segurana de informao, enquanto que mais de 37% das organizaes esto em fase de implementao deste tipo de estratgias. Contudo, e apesar desta realidade, um nmero expressivo d empresas no de implementou, nem tem planos de implementao.

FIGURA 2
A sua organizao possui uma estratgia de segurana de informao documentada para os prximos anos?

28,74%

33,33%

37,93%

Sim
Fonte: IDC, 2011

No

Em implementao

2011 IDC

#227158

Neste contexto, e apesar do elevado nmero de organizaes que j procederam implementao ou esto a proceder adopo de estratgias de plementao segurana da informao, ainda reduzido o nmero de organizaes nacionais que optaram pela contratao de um Chief Security Officer (CSO) ou Chief Information Security Officer (CISO). Com efeito, a anlise dos dados compilados revela que apenas 5% das organizaes inquiridas optaram pela criao de uma destas funes, enquanto que em cerca de 1/3 das organizaes a segurana da informao da responsabilidade do Chief Information Officer (CIO). Nas restantes organizaes, estas responsabilidades esto dispersas por um conjunto diversificado de funes - Chief Technology Officer, Chief Financial Officer ou ainda do Chief Executive Officer. De salientar que em algumas organizaes a segurana da responsabilidade do Conselho de Administrao.

FIGURA 3
Na sua organizao quem tem a responsabilidade da segurana da informao?

33,14%

61,71% 5,14%

CIO
Fonte: IDC, 2011

CSO

Outros

#227158

2011 IDC

Realidade algo semelhante pode ser observada no que diz respeito privacidade dos dados das organizaes empresariais nac nacionais. A anlise dos dados compilados pela equipa da IDC permite permite-nos verificar que somente 1% das organizaes tem um Chief Privacy Officer (CPO). semelhana do que assinalmos com a funo de segurana, em cerca de 1/3 das organizaes inquiridas, o CIO a funo sobre a qual recai a responsabilidade da privacidade O dos dados das organizaes organizaes. Nas restantes organizaes, estas responsabilidades esto pulverizadas por um conjunto diversificado de funes Chief Technology Officer, Chief Financial Office ou ainda do Chief Executive Officer Officer.

FIGURA 4
Na sua organizao quem tem a responsabilidade da privacidade dos dados?

30,36%

68,45%

1,19%

CIO

CPO

Outros

Fonte: IDC, 2011

2011 IDC

#227158

A maioria das organizaes inquiridas (68%) ainda no adoptou sistemas de gesto de segurana da informao (Information Security Management Systems) que contemplem a totalidade dos processos e tecnologias relacionados com a segurana de informao. No entanto, e apesar desta realidade, enquanto que cerca de 30% das organizaes inquiridas pela IDC sublinham que esto a avaliar a implementao destes sistemas nas suas organizaes, cerca de 40% lementao das empresas que participaram no inqurito da IDC referem que no tem planos para implementao deste tipo de sistemas. Por outro lado, e ainda de acordo com os dados recolhidos, apenas um ter das organizaes inquiridas j tero procederam implementao destes sistemas ou esto em fase de implementao.

FIGURA 5
A sua organizao implementou um sistema de gesto de segurana de informao (Information Security Management System, ISMS) que abarca a totalidade da gesto da segurana de informao?

5,23%

No, e no temos planos

15,12% 38,37% 10,47%

No, mas estamos a avaliar a sua implementao Sim, estamos em fase de implementao Sim, mas sem objectivos de certificao 30,81% Sim, implementmos e estamos formalmente certificados

Fonte: IDC, 2011

#227158

2011 IDC

Por outro lado, e segundo os dados compilados, ainda escasso o nmero de organizaes no territrio nacional que procederam implementao da norma ISO 27001. Com efeito, a anlise dos dados do inqu inqurito realizado pela equipa da IDC permite-nos evidenciar que apenas 8% das organizaes inquiridas j nos procederam implementao desta norma. De salientar que um elevado nmero de organizaes no possui planos para vir a adoptar esta certificao.

FIGURA 6
A sua organizao implementou, ou vai implementar, a norma ISO 27001?

8,14% 10,47% J implementmos Em fase de implementao 11,63% Temos planos para implementar nos prximos 12 meses 69,77% Sem planos

Fonte: IDC, 2011

2011 IDC

#227158

Avaliar quais as prioridades relacionadas com a segurana da informao das organizaes a actuar no territrio nacional foi outro dos tpicos includos pela equipa da IDC no inqurito. Face ao nmero crescente de ameaas, externas e internas, no de estranhar que a proteco dos dados corporativos lidera a lista de preocupaes das organizaes inquiridas, enquanto que a continuidade do negcio surge na segunda posio. Por outro lado, e ainda no topo das preocupaes das organizaes nacionais aparecem tpicos como a melhoria dos processos e da infra-estrutura de segurana. Por ltimo, questes como a formao e sensibilizao interna para as prticas de segurana so outro dos tpicos referenciados pela maioria das organizaes inquiridas.

TABELA 2
Prioridades estratgicas ao nvel da segurana da informao
Prioridades #1 #2 #3 #4 #5 Proteco de dados Continuidade do negcio Implementao / melhoria dos processos de segurana Melhoria da infra-estrutura de segurana Formao e sensibilizao de interna de prticas de segurana de informao

Fonte: IDC, 2011

10

#227158

2011 IDC

RISCO DE SEGURANA DE INFORMA O

Ameaas segurana da informao no aumentaram nas empresas nacionais
Para l das condies estruturais referidas anteriormente - emergncia de uma nova gerao de malware e do aparecimento do Crime Crime-as-a-Service, crescimento da adeso a redes sociais, maior mobilidade dos colaboradores, alterao do paradigma tecnolgico -, a alterao das condies econmicas a nvel mundial nos ltimos dois anos, em virtude da recesso das actividades econmicas provocada pela crise financeira internacional veio contribuir para aumentar consideravelmente o risco das organizaes empresariais a nvel mundial. No entanto, e apesar desta realidade, a maioria das organizaes a actuar no territrio nacional no registou alteraes nas ameaas segurana de informao. Com efeito, os dados compilados pela equipa da IDC permitem permitem-nos constatar que mais de dois teros das instituies inquiridas no detectaram um is crescimento das ameaas. importante salientar que cerca de um tero das organizaes inquiridas referiram que assistiram a um crescimento do nmero de ameaas externas.

FIGURA 7
Tendo em conta as actuais condies econmicas, detectou alteraes nas ameaas que enfrenta a sua organizao?

2,88% 3,60% 4,32%

Crescimento das fraudes internas Crescimento das fraudes externas 27,34% 61,87% Aumento dos ataques internos Aumento dos ataques externos Sem alteraes

Fonte: IDC, 2011

2011 IDC

#227158

11

Os dados compilados pela IDC permitem permitem-nos ainda constatar que a sada de colaboradores da organizao, devido ao agravamento das condies econmicas, um factor que preocupa as organizaes inquiridas pela IDC no territrio nacional e que poder contribuir para aumentar o risco da segurana de informao. Com efeito, cerca de 40% das organizaes inquiridas referem esta situao como algo preocupante p para o risco de segurana das suas organizaes e referem que esto a tentar compreender os riscos potenciais desta realidade. Por outro lado, mais de 13% dos inquiridos referem que esta situao muito preocupante e que adoptaram medidas com o objectivo d de mitigar os riscos potenciais. De referir ainda que mais de 10% dos inquiridos considera esta situao como muito preocupante mas no implementou qualquer tipo de medida para minimizar este risco. de salientar ainda que cerca de um tero das organizaes inquiridas no considera esta realidade preocupante para s o risco global de segurana.

FIGURA 8
Tendo em conta as actuais condies econmicas, qual o grau de preocupao da sua organizao com a possibilidade de represlias de empregados que abandonaram a organizao?

10,95%

Muito preocupante, mas no enderemos os riscos potenciais

Nada preocupante 40,88%

35,04%

Muito preocupante , estamos a adoptar medidas para mitigar o risco Algo preocupante , e estamos a tentar compreender os riscos potenciais

13,14%

Fonte: IDC, 2011

12

#227158

2011 IDC

Apesar do crescimento das ameaas segurana da informao, a maioria das organizaes inquiridas sente aes sente-se muito confiante ou extremamente confiante no grau de segurana de informao da sua organizao, em particular no que diz respeito a ataques internos. Relativamente aos ataques externos, a maioria das organizaes inquiridas sublinha que se considera algo confiante ou muito confiante com a segurana da informao.

FIGURA 9
Qual o grau de confiana acerca da segurana de informao d sua organizao? da

Nada confiante

No muito confiante

Algo confiante

Ataques externos Ataques internos

Muito confiante

Extremamente confiante

0%
Fonte: IDC, 2011

10%

20%

30%

40%

50%

2011 IDC

#227158

13

O inqurito elaborado pela IDC Portugal procurou ainda identificar o grau de risco das organizaes nacionais nos prximos meses. Assim, a generalidade das organizaes inquiridas assinalam os surtos de vrus/worms como o risco mais elevado para a segurana de informao nos prximos meses. Por outro evado lado, e semelhana dos incidentes de segurana registados nos inquiridos, a maioria dos responsveis pela segurana da informao sublinha a intensidade do risco associado aos incidentes de phishing/pharming e de spam nos prximos meses. Os dados compilados permitem permitem-nos ainda constatar que as organizaes nacionais esto preocupadas com o risco associado a 'passwords' fracas e a incidentes de spyware. Por ltimo, e entre os riscos com mai intensidade, os maior responsveis de segurana assinalam ainda os acessos remotos maliciosos e o comportamento inadequado dos colaboradores da organi organizao.

FIGURA 10
Na sua opinio, qual o grau de intensidade do risco associado s seguintes ameaas internas e externas no decorrer nos prximos 12 meses? Brecha de dados Senhas de acesso fracas Phishing/pharming Spam Brecha ou roubo de propriedade intelectual Incorrecta gesto de patches Brecha em rede wireless Adware Acessos remotos maliciosos Spyware Exposio de dados sensveis atravs de ataque Web Fraude financeira interna envolvendo sistemas de informao Extoro online Redes de comunicaes zombies Comportamento inadequado de empregados Fraude financeira externa envolvendo sistemas de informao Engenharia social Ataques DoS (Denial of Service) Ameaas fsicas Ciber-terrorismo Surto de vrus/worms Ataque a website

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 0 - Sem risco
Fonte: IDC, 2011

5 - Elevado risco

14

#227158

2011 IDC

Os dados compilados pela IDC permitem permitem-nos ainda constatar que os incidentes de segurana da informao - externos e internos - nas organizaes a actuar no territrio nacional no so muito frequentes. Dest modo, e segundo os dados Deste recolhidos pela IDC, os incidentes de segurana de informao externos mais comuns nas organizaes inquiridas esto relacionados com os surtos de vrus/worms - mais de 50% das organizaes inquiridas registaram incidentes -, mensagens de correio electrnico no solicitadas ('spam') - a esmagadora sagens maioria (75%) das organizaes registaram ocorrncias deste tipo -, spyware mais de 50% das instituies reportam incidentes - e ataques de phishing/pharming - comuns a cerc de 40% das empresas inquiridas. De cerca salientar ainda que a conduta incorrecta de colaboradores das organizaes outro dos aspectos responsveis por ocorrncias de incidentes de segurana nas organizaes a actuar no territrio nacional. As restantes categorias de riscos registaram ocorrncias mais limitadas. A figura 11 ilustra o nvel de iscos incidentes registados nas organizaes nacionais.

FIGURA 11
A sua organizao enfrentou incidentes de segurana de informao externos no decorrer do ano passado? Outra forma de brecha externa Incidentes acidentais Ameaas fsicas Exposio de dados sensveis atravs de ataque Web Fraude financeira externa envolvendo sistemas de informao Roubo ou brecha de propriedade intelectual Conduta incorrecta de empregados Engenharia social Phishing/Pahrming Brecha em redes wireless Extorso online Acesso remoto malicioso Website defacement Denial of Service Redes zombies Spyware Spam Surto de vrus/worms

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Uma nica ocorrncia
Fonte: IDC, 2011

Mltiplas ocorrncias

No registmos nenhum incidente

2011 IDC

#227158

15

 semelhana do que constatmos com os incidentes de segurana externos, os incidentes internos so pouco frequentes nas organizaes nacionais. Assim, e com excepo dos incidentes relacionados com vrus/worms, apenas uma minoria das organizaes inquiridas registou i incidentes de segurana de informao internos.

FIGURA 12
A sua organizao enfrentou incidentes de segurana de informao internos no decorrer do ano passado?

Outra forma de brecha interna Incidentes acidentais Fraude financeira interna envolvendo sistemas de informao Roubo ou brecha de propriedade intelectual Questes relacionadas com a perda de dados de clientes Brecha em redes wireless Surto de vrus/worms 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Uma nica ocorrncia
Fonte: IDC, 2011

Mltiplas ocorrncias

No registmos nenhum incidente

16

#227158

2011 IDC

A generalizao do acesso a redes sociais dos utilizadores corporativos FaceBook. Twitter, LinkedIn, s para citar alguns dos exemplos mais utilizados -, , da utilizao de equipamentos mveis c com funcionalidades acrescidas (smartphones, tablets) e da adopo do modelo de computao na nuvem (cloud ) computing) pode contribuir para aumentar o risco da segurana de informao ) das organizaes empresariais a nvel mundial. Neste contexto, o estudo da IDC procurou identificar qual o grau de risco inerente adopo destes novos modelos de utilizao das tecnologias de informao e comunicaes. A Assim, e segundo os dados compilados, as opinies das organizaes inquiridas dividem dividem-se. Assim enquanto a maioria das organizaes inquiridas (54%) acredita que estes novos modelos de computao vo aumentar o risco da segurana da informao das organiza organizaes nacionais, uma percentagem ainda elevada (43%) evidencia que a utilizao destes novos modelos no vai alterar o panorama de risco das suas organizaes.

FIGURA 13
Tendo em conta as actuais tendncias de utilizao de redes sociais, computao em nuvem e equipamentos pessoais no interior das organizaes, constatou alguma alterao vem no ambiente de risco externo que enfrenta a sua organizao?

43,28% 53,73%

Sim, aumentou o nvel de risco No, diminuiu o nvel de risco Nvel de risco constante

2,99%

Fonte: IDC, 2011

2011 IDC

#227158

17

TECNOLOGI AS EM UTILIZA O
Maturidade tecnolgica na rea de segurana
A maioria das organizaes nacionai tem um grau de maturidade tecnolgica nacionais em questes de segurana bastante avanado. Esta uma das concluses que se podem retirar da anlise dos dados do inqurito realizado pela IDC. Com efeito, solues tecnolgicas como firewalls, anti anti-vrus, anti-spam, anti-spyware, encontram-se difundidas no interior das organizaes nacionais, registando se taxas de penetrao superiores a 80% das organizaes inquiridas. Por outro lado, e com um grau de penetrao mais reduzido, mas mesmo assim presentes na maioria das empresas inquiridas, encontramos solues como tecnologias de preveno de perda de dados (68%), filtragem e monitorizao de contedos (61%), solues anti-phishing (54%), segurana wireless (52%) e segurana de phishing servios Web (50%). Entre as tecnologias com reduzida implementao nas organizaes nacionais om inquiridas encontram-se as tecnologias biomtricas, as tecnologias de se encriptao de correio electrnico e de equipamentos mveis e a gesto de identidades federadas.

FIGURA 14
Quais as tecnologias de segurana de informao em utilizao (ou planeadas) na sua gurana organizao? Firewalls Anti-vrus Solues anti-spam Solues anti-spyware Filtragem e monitorizao de contedos Solues anti-phishing Sistemas de deteco e preveno de intruses (IDS/IPS) Segurana de servios Web Sistemas de gesto de acessos Web Solues de segurana wireless Ferramentas de workflow para gesto de incidentes Sistemas de gesto de eventos Sistemas biomtricos para autenticao de utilizadores Encriptao de correio electrnico Ferramentas de conformidade de segurana Network Acess Control (NAC) Encriptao de equipamentos mveis Entreprise Single Sign On Tecnologias de encriptao de equipamentos de armazenamento Gesto de identidades federadas Tecnologias de preveno de perda de dados 0% Implementado Em avaliao 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% No se aplica

Planeado para os prximos 12 meses

Fonte: IDC, 2011

18

#227158

2011 IDC

O inqurito da IDC procurou ainda avaliar os principais obstculos implementao de tecnologias de segurana no interior das empresas instaladas no territrio nacional. Assim, os responsveis pela segurana de informao referem que a proliferao de novas tecnologias um dos principais obstculos existncia de uma segurana de informao eficaz. Por outro lado, os responsveis referem ainda que o oramento disponvel para a rea de segurana de informao insuficiente para dar uma resposta adequada aos riscos da segurana de informao. Por outro lado, factores como a Inexistncia de estratgia de segurana de informao na organizao e ausncia de visibilidade e de influncia no interior da organizao so referidos pelos responsveis das empresas nacionais como obstculos segurana de informao das suas organizaes. Por ltimo, os responsveis das empresas nacionais referem ainda a indefinio do mandato, das funes responsabilidades outro dos obstculos existncia de uma segurana de informao eficaz nas suas organizaes. O quadro abaixo sintetiza os principais obstculos implementao de uma segurana de informao eficaz.

TABELA 3
Obstculos implementao eficaz de segurana da informao
Prioridades #1 #2 #3 #4 Proliferao de novas tecnologias Oramento insuficiente Inexistncia de estratgia de segurana de informao Ausncia de visibilidade e de influncia no interior da organizao Indefinio do mandato, funes e responsabilidades

#5
Fonte: IDC, 2011

2011 IDC

#227158

19

A IDC procurou ainda identificar quais as principais razes subjacentes ao fracasso dos projectos relacionados com segurana de informao. Assim, e para cerca de um tero dos responsveis da organizaes inquiridas, a das alterao das prioridades da organizao em matria de segurana uma das principais razes para a falha dos projectos de segurana. Por outro lado, os responsveis de segurana das empresas nacionais identificam ainda a escassez de competncia e de qualificaes dos recursos humanos e o fraco sez compromisso dos executivos de topo com as questes de segurana de informao.

FIGURA 15
Quais as principais razes de falha dos projectos de segurana de informao?

Outra(s), por favor especifique Escassez de suporte dos executivos Escassez de suporte do negcio Escassez de competncias/qualificaes Expectativas irrealistas problemas de integrao Alterao de prioridades 0%
Fonte: IDC, 2011

5%

10%

15%

20%

25%

30%

35%

40%

20

#227158

2011 IDC

A IDC procurou ainda identificar quais as principais razes subjacentes ao fracasso dos projectos relacionados com segurana de informao. Assim, e para cerca de um tero dos responsveis das organizaes inquiridas, a ro alterao das prioridades da organizao em matria de segurana uma das principais razes para a falha dos projectos de segurana. Por outro lado, os responsveis de segurana das empresas nacionais id identificam ainda a escassez de competncia e de qualificaes dos recursos humanos e o fraco compromisso dos executivos de topo com as questes de segurana de informao.

FIGURA 16
Quais as principais razes de falha dos projectos de segurana de informao?

Outra(s), por favor especifique Escassez de suporte dos executivos Escassez de suporte do negcio Escassez de competncias/qualificaes Expectativas irrealistas problemas de integrao Alterao de prioridades 0%
Fonte: IDC, 2011

5%

10%

15%

20%

25%

30%

35%

40%

2011 IDC

#227158

21

DESPESA COM PRODUTOS E SERVIOS DE SEGURAN A DE INFORMA O

Estabilidade dos investimentos
A maioria das organizaes inquiridas pela IDC (cerca de 39% dos inquiridos) consagra entre 2 a 5% do oramento de tecnologias de informao e comunicaes segurana de informao. Por outro lado, e de acordo com os egurana dados compilados, cerca de um quarto da empresas inquiridas consagra entre 6% e 10% do oramento a estas questes. E um nmero reduzido das empresas (14%) consagra entre 11 e 25% do oramento a tecnologias e processos de segurana de informao. Por ltimo, igualmente reduzido o nmero de organizaes que consagra menos de 1% do oramento de tecnologias de informao e comunicaes resoluo dos problemas relacionados com a segurana de informao.

FIGURA 17
Qual a percentagem do oramento de tecnologias de informao atribudo segurana de informao?

2,78% 5,56% 13,89% 16,67% Mais de 25% Entre 11% e 25% Entre 6% e 10% 22,22% Entre 2% e 5% 1% ou menos Nenhum 38,89%

Fonte: IDC, 2011

22

#227158

2011 IDC

A conjuntura econmica no territrio nacional no afectou seriamente a despesa das organizaes nacionais com segurana da informao. Com efeito, os dados compilados pela equipa da IDC evidenciam que na maioria das organizaes inquiridas o oramento de segurana de informao vai manter manter-se idntico ao do ano anterior. De salientar ainda que a percentagem de organizaes em que a despesa com estas tecnologias vai aumentar suplanta o nmero de empresas tas que prev uma diminuio do oramento anual consagrado segurana de informao.

FIGURA 18
Em comparao com o ano anterior, a despesa da sua organizao com produtos e servios de segurana de informao vai aumentar, manter formao manter-se idntica ou diminuir nas seguintes actividades? Tecnologias e processos de preveno de fuga e perda de dados Planos e tecnologias de continuidade de negcio e recuperao Tecnologias e processos de gesto de acessos e identidades Segurana de novas tecnologias Sensibilizao e formao em segurana Conformidade com requisitos regulamentares Gesto do risco da segurana de informao Testes de segurana Proteco da informao pessoal Tecnologias e processos de gesto de vulnerabilidades Proteco de informao proprietria Mtricas e relatrios de segurana Implementao de normas de segurana Segurana dos processos de desenvolvimento Conformidade dom polticas corporativas Planos e tecnologias de resposta a incidentes Recrutamento de recursos de segurana Suporte forense/fraude Outsourcing das funes de segurana 0% Aumentar significativamente (mais de 10%) Manter- idntica -se Diminuir significativamente (mais de 10%)
Fonte: IDC, 2011

10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Aumentar Diminuir No se aplica

2011 IDC

#227158

23

Neste contexto, no ser de estranhar que, de acordo com as estimativas da IDC, a despesa global com segurana de informao deva crescer 5,6% at final do ano e que registe um crescimento acima de 10% no prximo ano. E a despesa com aquisio de hardware, mais afectada pela recesso das actividades econmicas, dever registar um crescimento superior a 14,4% (17,8 em 2012), enquanto a despesa com a aquisio de software dever crescer a dever um ritmo ligeiramente inferior a 4% acelerando no decorrer de 2012 (11,5%). Comportamento idntico pode ser assinalado na despesa com servios que dever registar um crescimento de 5,9% at final do ano e de 8,6% no decorrer do prximo ano. O grfico 19 evidencia o comportamento da despesa com segurana no territrio nacional nos prximos anos.

FIGURA 19
Despesa com segurana de informao em Portugal (20102014) - Crescimento homlogo (em %)

25 20,9 20 15 10 5 0 -5 -10 -15 -20 -25

Fonte: IDC, 2011

17,8 14,4 11,5 10,8

22,4

Hardware Software Service Total

8,8 3,9 0,6 2010 2011 2012 2013 2014

-18,6

24

#227158

2011 IDC

Continuidade do negcio das organizaes e integridade e conformidade dos dados so as principais prioridades das organizaes a actuar no territrio nacional da despesa com segurana de informao.

TABELA 4
Motivao da despesa com segurana de informao
Prioridades #1 #2 #3 #4 #5
Fonte: IDC, 2011

Prevenir tempo de inactividade e interrupes dos sistemas Continuidade do negcio numa situao de desastre Manuteno da integridade dos dados Proteco da informao de clientes Conformidade com leis e regulamentaes

2011 IDC

#227158

25

Uma grande percentagem dos incidentes de segurana de informao ocorridos os nas organizaes empresariais a nvel mundial est directamente relacionada aes com a conduta dos colaboradores internos. Deste modo, as iniciativas de sensibilizao de segurana de informao destinadas aos colaboradores so um dos aspectos cruciais para o sucesso da implementao de polticas de segurana da informao. Neste sentido, o inqurito da IDC procurou identificar quais as iniciativas em curso nas organizaes empresariais nacionais com o objectivo de melhorar a segurana da informao. Assim, aces de sensibilizao geral e alertas sobre as ameaas segurana da informao so as iniciativas mais comuns no interior das empresas inquiridas. O grfico abaixo ilustra esta realidade.

FIGURA 20
Quais os elementos includos no programa de sensibilizao de segurana de informao da sua organizao?

No implementmos nenhum programa de sensibilizao de segurana de informao Sensibilizao geral sobre tpicos de segurana Reviso e concordncia com as actuais polticas e normas de segurana Actualizaes informacionais sobre riscos associados utilziao de computao mvel Actualizaes/alertas frequentes sobre as actuais ameaas organizao Actividades especficas de sensibilizao ou sesses de formao para grupos de utilizadores de Actualizao da informao sobre riscos associados utilizao de redes sociais Medida da eficcia das actividades de sensibilizao 0%
Fonte: IDC, 2011

5%

10%

15%

20%

25%

30%

35%

26

#227158

2011 IDC

A crescente complexidade das tecnologias e processos relacionados com segurana da informao, assim como o crescimento das ameaas aos sistemas de informao, tem levado a que as organizaes empresariais equacionem a mao, externalizao de algumas das tarefas relacionadas com a segurana da informao. Os dados compilados pela IDC permitem permitem-nos identificar que a utilizao de servios de outsourcing para algum das funes de segurana j algumas uma realidade nas organizaes nacionais. Assim, cerca de metade das organizaes inquiridas j procederam contratao de servios de outsourcing de anti-vrus, VPN e firewall, assim como recorreram contratao de servi vrus, servios de filtragem de contedos. No entanto, e apesar desta realidade, ainda significativo o nmero de organizaes que no tenciona recorrer a entidades externas.

FIGURA 21
Quais os servios de outsourcing de funes de segurana de informao da sua organizao em utilizao (ou planeados ? ao planeados)

Governao Gesto de aplicaes Resposta a incidentes Gesto e monitorizao de ameaas VPN Forenses e de represso Formao Armazenamento Anti-vrus Filtragem de contedos Firewall Gesto de vulnerabilidades Monitorizao e de gesto de IDS 0% Em utilizao
Fonte: IDC, 2011

10%

20%

30%

40%

50%

60%

70%

80%

90% 100%

Planeados nos prximos 12 meses

Sem planos

2011 IDC

#227158

27

METODOLOGIA
Baseando-nos numa viso global e integrada dos mercados das TIC em Portugal nos e do seu enquadramento no espao europeu, o estudo que agora publicamos apresenta uma anlise de um inqurito lanado aos principais responsveis pelos departamentos de tecnologias de informao e comunicaes em Portugal. O inqurito foi enviado por email para Chief Information Officer (CIO) e directores de informtica das maiores empresas nacionais. O perodo de recolha dec decorreu do dia 20 de Janeiro de 2011 ao dia 7 de Fevereiro de 2011 e foram recebidas 215 respostas. A figura abaixo resume o perfil das respostas analisadas neste inqurito.

FIGURA 22
Amostra A. Pblica Financeiro Indstria & Construo civil Distribuio e retalho Utilities Transportes & Telecom Servios Outros Mais de 500 M 50 - 500 M 10 - 50 M Menos de 10 M

Fonte: IDC, 2011

28

#227158

2011 IDC

I NFORM A O SOB RE DIR EITO S D E AU TOR

Divulgao Pblica de Informao e Dados da IDC Qualquer informao da IDC a ser utilizada em publicidade, notas de imprensa ou materiais promocionais requer a aprovao prvia por escrito do respectivo Vice-presidente ou Director-Geral Nacional da IDC. Um rascunho do documento proposto deve acompanhar tal pedido. A IDC reserva-se, por qualquer razo, o direito de negar a aprovao de utilizao externa. Direitos de autor 2011 IDC. A reproduo sem autorizao prvia totalmente proibida.

2011 IDC

#227158

29