Pesquisa de Ciberseguranca

3 a Pesquisa Tempest de
CIBERSEGURANÇA
Sumário
03 Apresentação
04 Principais Achados
06 Cibersegurança & Estrutura Organizacional
13 A Relevância do Tema da Cibersegurança

nas Organizações
20 Indicadores de Maturidade
em Cibersegurança
24 Orçamento em Cibersegurança
27 Prioridades nos Investimentos de

Cibersegurança por Categoria
39 Gestão de Tecnologia X Cibersegurança
41 Incidentes Cibernéticos
e Riscos ao Negócio
46 Metodologia da Pesquisa
Apresentação
A cibersegurança cresceu em importância e parece estar definitivamente se

tornando parte do negócio. Isso significa que o tema se tornou mainstream?
Não necessariamente. Para que seja realmente mainstream a cibersegurança
depende de uma conexão ainda mais profunda com o negócio.
Afinal, se é verdade que temas ligados à segurança estão chegando aos ouvidos
dos Conselhos através dos CISOs e outros líderes de segurança, por outro lado
esses temas ainda se restringem (em grande parte) a questões puramente
operacionais - ameaças ao setor, ferramentas para combater essas ameaças, o
status de conformidade a normas e regulamentações…
Pontos importantes, sim, mas que passam longe de discussões mais

estratégicas como as formas de inclusão da cibersegurança no contexto do
negócio ou a corresponsabilidade entre os diferentes setores da organização
sobre os riscos da empresa.
O que é seguro é que os acontecimentos dos últimos dois anos colocaram

muitas empresas na situação de precisar acelerar uma decisão: a de investir
(pesadamente) na digitalização de seus processos. E é na esteira dessa mudança
brusca de rumo que vimos a cibersegurança crescer em importância para os
negócios e para a sociedade como um todo.
Sinais deste movimento foram sentidos de forma clara nas nossas pesquisas
em 2020 e 2021. Mas a pesquisa deste ano mostra que esses sinais
continuam reverberando.
Isso se dá tanto na própria presença da segurança e de seus líderes e gestores

na estrutura organizacional das empresas, quanto nos orçamentos dedicados
à cibersegurança e mesmo nas prioridades de investimentos - nesta edição
buscamos trazer uma visão destes tempos e movimentos comparando as
prioridades do início da pandemia, na sua fase aguda e neste
período pós-pandêmico.
Nesta edição também buscamos, pela primeira vez, trazer key takeaways sobre
alguns dos achados que entendemos serem os mais relevantes.
Mais do que oferecer respostas prontas, com essas análises queremos ajudar
a fomentar a discussão sobre a cibersegurança e seus aspectos operacionais,
táticos e estratégicos. Acreditamos que quanto maior for esse debate nas
organizações, maior o papel que nós, profissionais e líderes de cibersegurança,
iremos exercer na sua gestão.
Principais achados
Cibersegurança na pauta de negócios: CISOs são intérpretes de segurança nos

51% das organizações mencionam esta Conselhos, mas há espaço para um papel
disciplina em seus Mapas Estratégicos. mais significativo.
Presente no principal documento de Havendo CISO, em 53% das empresas ele já

disseminação interna da estratégia nas participa do Comitê Executivo ou Conselho
organizações, o tema conquistou espaço e de Administração.
objetivos claros.
Hoje, ainda com papel educativo e de

esclarecimento de questões tático-operacionais,
Deep Dive no board: 73% das empresas o desafio do CISO está diretamente relacionado
planejam Comitê exclusivo de Cyber à capacidade dele 1) Tratar e apresentar a
para assessoramento do Conselho cibersegurança como uma decisão de negócio;
de Administração. 2) Ter um profundo conhecimento das tecnologias
de proteção mais recentes; entre outras ações.
Com supervisão de um dos membros do
Conselho, estes comitês temáticos deverão ser
implementados em até 5 anos. A discussão do tema Cibersegurança vive
momentos distintos nos Conselhos de
Administração. Muitos estão nos primeiros
A vez do CISO: Liderança dedicada a cyber entendimentos e reports
ainda é restrita, mas vem crescendo tático-operacionais.
nas organizações.
Dentre os 5 temas prioritariamente discutidos,
Atualmente, 1/ 3 das organizações dispõem do 52% ou mais das organizações possuem pautas
cargo designado como CISO ou possuem um nestes fóruns que podem ser consideradas
líder de Segurança da Informação em ainda educativas e tático-operacionais, como,
dedicação integral. por exemplo, esclarecimentos das ameaças
mais comuns à indústria, o dimensionamento
dos riscos cibernéticos da organização, o status
da conformidade a normas e regulamentações
específicas, e o acompanhamento de indicadores
de frequência de cyber incidentes e
gestão deles.
3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 4

PRINCIPAIS ACHADOS
Barreiras a Cibersegurança: Centralização de fornecedor de cyber

Médias empresas sofrem com desafios e MSS híbrido são tendências.
orçamentários, tecnológicos e culturais,
enquanto as de grande porte precisam lidar 81% das organizações planejam executar esta
com a falta de engajamento dos setores nos estratégia em até 5 anos.
projetos de cibersegurança.
Desafios Orçamentários são a principal barreira Sob forte ataque: 4 em cada 10 empresas
para as empresas de maneira geral (65%), sofreram algum incidente cibernético
especialmente para as que não estão no setor ou fraudes nos últimos 12 meses que
financeiro (71%). consideraram grave; Ransomware,
Malware via atualização de software
e BEC lideraram.
Mais organizações expandem orçamento
em cyber. O crescimento, no entanto, No segmento financeiro, 50% alegaram ter
acompanha o aumento do orçamento incidentes graves. Ransomware, Malware
geral das empresas: 69% das pesquisadas via atualização de software e Business Email
expandiram seus investimentos em 2022, Compromise foram os tipos de ataque mais
ante 44% durante a fase aguda da pandemia. frequentes, com mais de 1/ 3 de menções
em cada um.
É destaque o aumento orçamentário superior
a 20% neste ano, que ocorre em 31% das
entrevistadas. E 80% das PMEs têm orçamento Ponto de Atenção: A Cadeia de Suprimentos
dedicado à cibersegurança de até R$400 mil, não é vista como risco elevado pelas empresas.
sendo a moda estatística de R$200 mil.
85% das organizações consideram baixo ou médio

o grau de exposição em cibersegurança de suas
Pessoas X Eficiência: Times enxutos operações em relação a suas cadeias de suprimentos.
precisam de reestruturação para operações
híbridas mais eficientes.
Investimentos em Cibersegurança
Dentre as organizações de grande porte, com acompanharam os movimentos tecnológicos
mais de 500 colaboradores, 36% possuem time causados pela pandemia nos 3 momentos.
dedicado a cyber com três a cinco pessoas, e
24% com até duas. Uma análise dos tamanhos dos Esse comportamento foi observado na pauta de
times em empresas de diferentes portes mostra investimentos em segurança nas empresas em
que esses times podem estar mal dimensionados, praticamente todos os quesitos investigados.Um
entre outras coisas, por falta de prioridades bem exemplo pode ser observado nos investimentos
definidas em diversos aspectos da operação. em Computação em Nuvem, cuja priorização
saltou 7 posições entre o início da pandemia e o
pós-pandemia.

Cibersegurança &
Estrutura Organizacional
O CISO vem ganhando cada vez mais importância na estrutura organizacional das
suas empresas. Com os temas da cibersegurança sendo cada vez mais plugados
ao negócio, também vem se consolidando seu papel como “intérprete” das pautas
de segurança junto ao Conselho.
A configuração dos times de segurança se mostrou enxuta na maioria dos casos,

com equipes mais robustas concentradas nos segmentos de mercado e nas
organizações que possuem maior dependência da tecnologia.
A EXISTÊNCIA DE UM CISO OU OUTRO CARGO

EXECUTIVO DEDICADO A CYBER
1. Atualmente, 36% das organizações dispõem do cargo designado como CISO ou possuem um
líder de Segurança da Informação em dedicação integral.
2. No segmento Financeiro, os CISOs estão presentes em 56% das empresas

(nos outros setores o percentual é de 30%).
3. Há 2x mais CISOs em grandes empresas do que empresas de médio porte. Enquanto que
60% das empresas de grande porte possuem uma posição de liderança para cyber em
dedicação integral, em empresas de médio porte - com 100 a 500 colaboradores - a
estrutura de cyber ainda reflete uma menor importância do tema para as organizações,
onde apenas 29% delas possui um líder em dedicação exclusiva à segurança da informação.

Microempresas Segmento Demais
Total Pequena Média Grande
+ EPP Financeiro Segmentos
Há um cargo
36 32 19 29 60 56 30
designado
Não há um cargo
63 68 78 71 40 44 69
designado
Não sei responder 1 0 4 0 0 0 1
Base 172 34 27 66 45 39 133
Pergunta: Na sua empresa, há um cargo designado como CISO (Chief Information Security Officer) ou Líder de
Segurança da Informação em dedicação integral?
Os resultados do gráfico estão expressos em porcentagem.
O PAPEL DA LIDERANÇA DE CYBER

NO ORGANOGRAMA
Dentre as organizações que possuem cargo de CISO (36%), mais da METADE (53%)
já ocupam posição no Comitê Executivo.
53,5%
Está no Comitê
Não há um Comitê
6,7%
Não está no Comitê

40,7%
Pergunta: O CISO (o líder de Segurança da Informação) é membro do Comitê Executivo

ou Diretoria Executiva da sua organização?

A QUEM O CISO, OU LÍDER DE SEGURANÇA
DA INFORMAÇÃO, SE REPORTA
1. Dentre as empresas que possuem CISO ou líder de segurança, em 36% dos casos este cargo
responde ao Diretor de Tecnologia e 24% diretamente ao CEO.
2. Já em empresas de médio porte, com 100 a 500 colaboradores, em 33% dos casos o CISO está
sob a estrutura da Diretoria de Riscos, Compliance ou Jurídica.
3. É expressiva a diferença nas empresas de grande porte, com mais de 500 funcionários,
onde em 64% o líder de Segurança de Informação responde ao CTO ou CEO,
ante 45% nas médias empresas.
Total Médio Porte Grande Porte
Diretor de Tecnologia | CTO 36% 28% 44%
Presidente | CEO 24% 17% 20%
Diretor de Riscos | Compliance | Jurídico 15% 33% 12%
Diretor de Operações | COO 7% 11% 0%
Diretor Financeiro | CFO | ADM 7% 6% 4%
Outros 12% 6% 20%
Pergunta: A quem se reporta o líder de Segurança da Informação na sua empresa?

_Takeaway//
CISOs são intérpretes de segurança nos Conselhos, mas há espaço para
um papel mais significativo destes profissionais
Conforme os temas de segurança se tornam mais conectados ao negócio, aumentando sua

interdependência, aumenta a participação dos executivos de segurança nos Conselhos como
detentores de um conhecimento técnico específico altamente estratégico para o próprio
funcionamento das organizações. Sua presença nos Conselhos também é um facilitador na
obtenção de investimentos na cibersegurança (veremos isso com mais detalhes no capítulo
dedicado ao Orçamento de Cibersegurança)
Mas isso ainda não os torna tomadores de decisão no nível do Conselho. Esse papel ainda
depende de um amadurecimento tanto das organizações quanto dos próprios executivos, que
devem desenvolver suas habilidades de negócios, entender profundamente do mercado no qual
estão inseridas suas corporações, etc.
Outro aspecto sobre estes executivos é que, conforme aumenta a maturidade das organizações,
também aumenta a procura por CISOs, o que pode levar a uma escassez destes profissionais em
algum momento no futuro.

O TIME COM DEDICAÇÃO INTEGRAL A CYBER
1. 82% das organizações analisadas possuem até 5 pessoas em dedicação integral à cibersegurança.
2. Dentre as organizações de grande porte, com mais de 500 colaboradores, 36% possuem no time
dedicado a cyber entre três e cinco pessoas, e 24% até duas pessoas.
3. Organizações do segmento financeiro têm maiores estruturas internas de pessoas dedicadas do que
os demais segmentos de empresas. Somam 38% as faixas com mais 6 funcionários neste setor, ante
12% dos demais. O setor também conta com 8% de empresas com times de mais de 50 profissionais,
contra 1% dos demais setores.
PESSOAS EM DEDICAÇÃO INTEGRAL A CYBER
Mais de 50 pessoas 2% 5%
Mais de
50 pessoas 2%
Entre 21 e 50 pessoas 5% 0%
Entre 11 e 15 pessoas 5%
Entre 21 e 17%
50 pessoas 2%
0%
7%
Entre 11 e
Até 2 pessoas 57% 8%
15 pessoas
0%
Total 12%
Entre 6 e
5%
10 pessoas
2%
8% 36%
Mais de 50 pessoas Entre 3 e
1% 26%
5 pessoas
18%
8%
Entre 21 e 50 pessoas
4% 24%
Até 2
57%
pessoas
14% 81%
2%
8%
5% Grande Média
22% ME + EPP + Pequenas

Entre 3 e 5 pessoas
26%
39%
Até 2 pessoas
62%
Pergunta: Na sua empresa, quantos funcionários estão
dedicados em tempo integral à cibersegurança?
Segmento Financeiro Demais segmentos

O TIME COM DEDICAÇÃO INTEGRAL A CYBER –
GERÊNCIAS & DIRETORIAS
1. Com relação a cargos de executivos em cyber, a maioria das empresas (43%) possui somente
uma pessoa responsável, e outros 39% entre duas ou três gerências e/ou diretorias.
2. O maior destaque da estatística sobre posições executivas em cyber fica por conta dos
elevados 18% de empresas que possuem 4 ou mais pessoas em cargos de gerência e/
ou diretoria. Ou seja, além do CISO, existem ao menos outros 3 colaboradores em cargos
executivos ligados à cyber.
3. Numa visão de dois extremos, em 20% das empresas do segmento financeiro possuem
mais de 5 posições executivas dedicadas à Segurança da Informação, e nas dos demais
segmentos 46% possuem uma única posição executiva.
GERÊNCIAS / DIRETORIAS EM DEDICAÇÃO INTEGRAL A CYBER
0% 100%
Total 43% 39% 18%
ME + EPP + Pequenas 36% 64%
Média 53% 47%
Grande 40% 60%
Segmento Financeiro 31% 43% 6% 20%
Demais Segmentos 46% 38% 5% 11%
1 pessoa Entre 2 e 3 pessoas 2 ou mais pessoas 4 ou mais pessoas
Entre 4 a 5 pessoas Mais de 5 pessoas
Pergunta: Destes (funcionários estão dedicados em tempo integral à cibersegurança), quantos formam o
grupo de liderança, como gerência ou diretoria?

_Takeaway//
Hora de repensar o dimensionamento dos times de segurança?
Uma estrutura de operação de segurança conta com profissionais nos níveis operacional, tático e
estratégico. Quanto mais dependente de tecnologia e quanto maior o orçamento disponível em
uma organização, maior será o número de profissionais alocados nestes três níveis.
É possível afirmar que nos casos em que não há nem muita dependência tecnológica, nem
orçamento robusto, haverá uma tendência a uma maior terceirização de diversos aspectos das
operações de segurança.
No entanto, fica a pergunta: “o que” e “por que” terceirizar?
A resposta passa por um processo de autodeterminação de um modelo de segurança que passa

por (entre outras coisas) entender sua dependência de tecnologia, quais são suas jóias da coroa
e, nesse sentido, quais os perfis (operacional, tático, estratégico) que irão atender à segurança
desta estrutura.
O que observamos é que, com exceção do segmento financeiro e das empresas de maior porte,
há uma desproporção entre o número de líderes e de profissionais nas empresas.
A falta de clareza nos papéis dos profissionais em seus diferentes perfis, aliada à falta de uma
política de carreira voltada para a segurança cria um cenário no qual o profissional de segurança
pode estar se tornando um “gestor de contratos” firmados com prestadoras de serviços, alheio à
sua função original de conduzir a gestão de segurança de forma que esta esteja
conectada ao negócio.

A Relevância do Tema da Cibersegurança
nas Organizações
Apesar das iniciativas previstas para o longo prazo poderem

ser consideradas como pautas de vanguarda na segurança -
implementação de planos de resposta integrada, cyber como métrica
de desdobramento do Mapa Estratégico corporativo - a pauta dos
CISOs nos Conselhos ainda é essencialmente informativa e em nível
operacional, girando em torno dos riscos e ameaças ao negócio,
ferramentas a implementar, e indicadores de incidentes.
Elevar a discussão sobre cibersegurança nos conselhos, trazendo as

preocupações táticas e estratégicas para o centro da conversa é um
dos próximos desafios do CISO.

INICIATIVAS ESTRATÉGICAS DE CYBER NAS
ORGANIZAÇÕES PARA 5 ANOS
1. 51% das organizações entrevistadas concordam haver a menção direta da cibersegurança numa das
dimensões de seus Mapas Estratégicos, e 35% concordam parcialmente, entendendo que de alguma forma
um dos objetivos endereça a atenção de suas empresas ao tema.
2. Em 78% das organizações já há a inclusão de métricas a serem perseguidas pela gestão da cibersegurança.
3. 37% das organizações afirmam possuir ou já planejar um comitê dedicado à cibersegurança derivado do
Conselho de Administração e que tenha a supervisão de um de seus membros mais qualificados no tema.
Outros 36% confirmam este caminho, ainda que parcialmente.
Possui ou planeja um Plano de

53% 30% 18%
Resposta Integrada de cyber incidentes
O Mapa Estratégico da
51% 35% 13%
organização menciona cyber
Cyber como métrica do desdobramento

47% 31% 22%
do Mapa Estratégico
Tem ou busca estratégia de consolidação

44% 37% 19%
de fornecedor de cyber.
Tem ou planeja um Comitê de Cyber

37% 36% 27%
supervisionado por Conselheiro qualificado
Tem ou planeja adotar

23% 31% 46%
Privacy-Enhancing Computing
Concordo Concordo parcialmente Não concordo
Pergunta: Quanto às iniciativas de proteção digital ligadas ao Planejamento Estratégico e ao Mapa de Riscos da sua organização
para os próximos 5 anos, o quanto você concorda com cada uma das alternativas a seguir?
Dentre as iniciativas de longo prazo pesquisadas neste estudo, três delas, comentadas a seguir, têm contorno mais
tático e procuram demonstrar os níveis de aderência das organizações às mais consensuais boas práticas de gestão e
tecnologias em cibersegurança apontadas por especialistas como sendo agendas de vanguarda em cyber.
4. 53% das empresas já possuem ou planejam criar um Plano de Resposta Integrada de incidentes cibernéticos
em que áreas não técnicas estejam envolvidas no processo de tratamento de incidentes.
5. Importantes 81% das empresas entrevistadas concordam total ou parcialmente já terem ou buscarem
estruturar uma estratégia de consolidação de fornecedores de cibersegurança.

TEMAS DE SEGURANÇA NAS PAUTAS ESTRATÉGICAS DAS ORGANIZAÇÕES
Se entre as iniciativas de cibersegurança sendo gestadas pelas lideranças corporativas há uma tendência de
amadurecimento, as pautas sendo levadas aos Conselhos apontam uma realidade em que a segurança ainda é tratada
como assunto operacional.
Dentres os 5 temas prioritariamente discutidos, 52% ou mais das empresas possuem pautas nestes fóruns que podem
ser consideradas ainda educativas e tático-operacionais, como, por exemplo, esclarecimentos das ameaças mais
comuns à indústria, o dimensionamento dos riscos cibernéticos da organização, o status da conformidade a normas e
regulamentações específicas, e o acompanhamento de indicadores de frequência de cyber incidentes e gestão deles.
TOTAL
O esclarecimento do dimensionamento dos

62
riscos cibernéticos da organização
A priorização das ferramentas 59

a implementar
O esclarecimento das ameaças mais

56
comuns à indústria
O status da gestão de conformidades de normas

55
e regulamentações
Indicadores de frequência de incidentes, e

52
status da gestão deles
Definições de corresponsabilidade do corpo

49
executivo sobre os cyber riscos da empresa
O orçamento de cyber e o equilíbrio em relação

48
ao mercado
A quantificação dos riscos, impacto financeiro e

45
probabilidade de ocorrência
A abordagem de Apetite ao Risco, e a definição de escalas

43
de mensuração que suporte a tomada de decisão
Forma de inclusão da cibersegurança no

42
contexto de negócios
As descobertas de Auditoria Interna e níveis de

39
conformidade regulatória e padrões
Não há discussão de cibersegurança em Comitê

Executivo e/ou Conselho 15
Pergunta: Com relação ao tema cibersegurança no Conselho de Administração (ou Comitê Executivo) da sua organização, indique até 5 temas que são pautas
predominantes nestes fóruns. Os resultados do gráfico estão expressos em porcentagem. Os resultados do gráfico estão expressos em porcentagem.

Quando separamos os resultados para o segmento financeiro há uma ligeira mudança de foco para temas
regulatórios do setor e para a apresentação de indicadores de risco além da discussão sobre a quantificação
dos riscos e seu impacto financeiro ao negócio.
SEGMENTO FINANCEIRO
O esclarecimento do dimensionamento dos riscos 69

cibernéticos da organização
O status da gestão de conformidades de normas e 59

regulamentações específicas
A apresentação dos resultados dos indicadores de frequência 59

de incidentes de cibersegurança, e status da gestão deles
O esclarecimento das potenciais ameaças

51
mais comuns à industria
O report da quantificação dos riscos quanto ao impacto

51
financeiro e à probabilidade de ocorrência
A discussão sobre a priorização de quais serão as

49
ferramentas de cibersegurança a serem implementadas
A discussão de uma abordagem de Apetite ao Risco, e a

49
definição de escalas mensuráveis de risco e do processo.
As definições da corresponsabilidade do corpo executivo 46

sobre os riscos cibernéticos da organização
O report das descobertas da Auditoria Interna e dos níveis

44
de conformidade regulatória e padrões.
O orçamento de cibersegurança e o equilibrio em relação

41
aos patamares do mercado
A discussão sobre como envolver o corpo executivo na

38
inclusão da cibersegurança no contexto de negócios
Não há discussão de cibersegurança no nível de Comitê

Executivo e/ou Conselho de Administração 13

DEMAIS SEGMENTOS
A discussão sobre a priorização de quais serão as 62

ferramentas de cibersegurança a serem implementadas
O esclarecimento do dimensionamento dos riscos 60

cibernéticos da organização
O esclarecimento das potenciais ameaças 57

mais comuns à industria
O status da gestão de conformidades de normas e

54
regulamentações específicas
A apresentação dos resultados dos indicadores de frequência

50
de incidentes de cibersegurança, e status da gestão deles
As definições da corresponsabilidade do corpo executivo

50
sobre os riscos cibernéticos da organização
O orçamento de cibersegurança e o equilibrio em relação

50
aos patamares do mercado
O report da quantificação dos riscos quanto ao impacto 43

financeiro e à probabilidade de ocorrência
A discussão sobre como envolver o corpo executivo na

43
inclusão da cibersegurança no contexto de negócios
A discussão de uma abordagem de Apetite ao Risco, e a

41
definição de escalas mensuráveis de risco e do processo.
O report das descobertas da Auditoria Interna e dos níveis

38
de conformidade regulatória e padrões.
Não há discussão de cibersegurança no nível de Comitê

Executivo e/ou Conselho de Administração 16

_Takeaway//
A presença da cibersegurança nos negócios é fato consumado, mas as pautas
no conselho ainda são primordialmente operacionais
A presença ou intenção de trazer os temas de cibersegurança, incluindo métricas, como parte dos Mapas
Estratégicos aponta uma tendência de amadurecimento das organizações de todos os setores.
No entanto, as discussões sobre o tema levantadas nos Conselhos ainda envolvem questões operacionais
como os riscos ao setor, ferramentas prioritárias e assuntos regulatórios.
Em que pese a importância de levar estes temas à alta administração, o desafio agora parece ser como
transicionar a discussão dos tópicos essencialmente operacionais para pautas táticas e até estratégicas no que
se refere à segurança.
Este desafio está diretamente relacionado à capacidade dos CISOs em 1) Tratar a cibersegurança como uma
decisão de negócio: isso envolve conhecer a fundo os riscos ao negócio - como eles afetam a sua continuidade
e quais os impactos de um eventual incidente - e conseguir traduzir esses riscos ao Conselho; 2) Ter um
profundo conhecimento das tecnologias de proteção mais recentes, inclusive e especialmente as capazes de
automatizar tarefas na gestão de segurança; entre outras ações.

FREQUÊNCIA DA PAUTA DE CYBER NOS CONSELHOS
ADMINISTRATIVOS E/OU COMITÊS EXECUTIVOS
1. Em geral, 47% das empresas já possuem uma cadência na discussão de cibersegurança em seus Conselhos
de Administração ou Comitês Executivos, sendo 43% entre mensal e semestralmente. E em 35% das
entrevistadas não houve uma frequência estabelecida na discussão de cyber nestes fóruns organizacionais
em 2021, sendo ainda algo sob demanda.
2. É evidente a diferença entre empresas do segmento financeiro e outro segmentos neste quesito: 69% das
financeiras já possuem cadência estabelecida, e uma predominância de 42% na frequência trimestral de
relatório ao Conselho ou comitê executivo.
FREQUÊNCIA DO TEMA A CIBERSEGURANÇA NO CONSELHO DE ADMINISTRAÇÃO

OU COMITÊ EXECUTIVO NOS ÚLTIMOS 12 MESES
15%
Não teve agenda 6%
17%
5%
Mensalmente 6%
5%
1%
Bimestral
1%
23%
Trimestralmente 42%
18%
13%
Semestralmente 17%
11%
4%
Anulamente 6%
4%
35%
Sob demanda; sem cadência
22%
de report
39%
1%
Outras formas de cadência
1%
3% Total
A empresa não possui Conselho de
3% Segmento Financeiro
Administração ou Comitê Executivo
3% Demais Segmentos
Pergunta: Com que frequência a cibersegurança esteve na agenda do Conselho

de Administração ou Comitê Executivo nos últimos 12 meses?

Indicadores de Maturidade na
Governança da Cibersegurança
Há bem pouco tempo a cibersegurança ainda era encarada como um “plugin”, com
uma clara tendência à simples adaptação de ferramentas em torno de sistemas já
existentes em busca de conformidade, seja com legislações ou normativas, seja
com boas práticas de mercado.
Esta tendência parece vir sendo revertida entre as empresas brasileiras, com o
envolvimento da cibersegurança já nas primeiras etapas de qualquer projeto de
inovação na maioria dos departamentos da organização.
OS DEPARTAMENTOS MAIS ENVOLVIDOS NA DEFINIÇÃO DE POLÍTICAS

E NO GERENCIAMENTO DE CYBER RISCOS NA ORGANIZAÇÃO
A definição de política de cibersegurança já é feita de forma compartilhada com o Comitê Executivo em 27% das
organizações entrevistadas, e em 14% dos casos já conta com o envolvimento do Conselho de Administração.
DEPARTAMENTOS MAIS ENVOLVIDOS NA DEFINIÇÃO DE POLÍTICAS

E NO GERENCIAMENTO DE CYBER RISCOS
TI / Segurança da Informação 93%
Jurídico 30%
Comitê Executivo 27%
Compliance 18%
Conselho de Administração 14%
Gestão de Riscos 14%
Finanças 5%
Compras 2%
Outros departamentos 27%

(exemplo: Operações, RH,...)
Pergunta: Quais são os departamentos mais envolvidos na definição das políticas e no gerenciamento de cyber riscos na sua organização?
Identifique até 3 opções.

A ETAPA EM QUE A EQUIPE DE CIBERSEGURANÇA É ENVOLVIDA
EM UM NOVO PROJETO NOS DIVERSOS DEPARTAMENTOS
1. Em linhas gerais 49% das organizações entrevistadas afirmam que o time de cibersegurança é
envolvido desde as etapas de planejamento das novas iniciativas, como na etapa de planejamento,
de design, e de construção da solução.
2. Outros 20% informam que é apenas a partir das etapas de implantação, que inclui a fase dos testes,
ou seja, quando a arquitetura daquele projeto já foi concebida sem antes contar com uma análise
estrutural voltada à cibersegurança.
3. Um percentual ainda expressivo de 31% das respondentes alegaram só terem o envolvimento

de cyber depois da implantação ou nunca.
Planejamento 49
Implantação 20
Total
Depois da Implantação 19
Nunca 12
Marketing Produtos / P&D Finanças Recursos

Humanos
33 40 48 46
26 23
10 9
12
17 23
25
21
20 18
19 19
Operações / Projetos / Riscos & Jurídico / Tecnologia

Unidades de Negócio Controles / Estratégia Compliance da Informação
46 60 55 76
9
13 2
8
20 11
14 17
19 11
22 16
Planejamento Implantação Depois da Implantação Nunca
Pergunta: A partir de qual etapa das novas iniciativas da sua empresa em cada departamento, a equipe de cibersegurança é envolvida?
Por favor, considere uma resposta por linha. Os resultados dos gráficos estão expressos em porcentagem.

BARREIRAS PARA INICIATIVAS EM CIBERSEGURANÇA
1. Desafios Orçamentários são a principal barreira para as empresas de maneira geral (65%),
especialmente para as que não estão no setor financeiro (71%). Neste segmento este é um desafio
para 46% das empresas.
2. No setor financeiro a principal barreira é a falta de alinhamento e/ou envolvimento da cibersegurança

em projetos desde o seu início (60%). De maneira geral, esse tópico é desafiador para 52% das empresas.
3. A questão cultural tende a ser menos desafiadora conforme aumenta o porte da empresa.
BARREIRAS ÀS INICIATIVAS DE CIBERSEGURANÇA
Desafios orçamentários 65%
Desafios tecnológicos 56%
Questões Culturais 55%
Falta de alinhamento / envolvimento 52%
Demonstração de resultados 29%
Bloqueios ao negócio 26%
Outros 7%
Nenhuma 2%
POR PATAMAR DE FATURAMENTO POR SEGMENTO

Desafios Desafios
orçamentários orçamentários
Desafios Desafios
Nenhuma tecnológicos Nenhuma tecnológicos
Questões Questões
Outros Outros
Culturais Culturais
Bloqueio Falta de alinhamento / Bloqueio Falta de alinhamento /

ao negócio envolvimento ao negócio envolvimento
Demonstração Demonstração
de resultados de resultados
< R$ 1Bi > R$ 1Bi Segmento Financeiro Demais Segmentos
Pergunta: Na sua empresa, quais são as maiores barreiras em relação às iniciativas de Cibersegurança? Escolha as 3 principais.
Os resultados dos gráficos estão expressos em porcentagem.

_Takeaway//
Apesar de tendência, o conceito de security by design ainda é um processo em andamento
que enfrenta uma série de barreiras importantes mesmo em grandes empresas
O estágio no qual a segurança é considerada durante o desenvolvimento de um novo projeto

é um indicador importante da governança e da visão de negócios da cibersegurança numa
organização em processo de amadurecimento de seus processos em cyber.
Apesar de positiva, esta avaliação dos respondentes da pesquisa - em sua maioria, os

responsáveis pela gestão de ciber de suas empresas - feita departamento a departamento,
também ajuda a construir a percepção de que áreas centrais do negócio, como Produto / P&D
ou mesmo Operações e Unidades de Negócio, ainda possuem uma participação moderada do
time de segurança da informação nas novas iniciativas dos departamentos: entre
40 a 46% respectivamente.
Pode-se entender que a contribuição do time de cibersegurança ainda está restrita e mais
focada nos departamentos de TI, Jurídico e de governança como o de Compliance, de Projeto,
Riscos e Controles, Projetos e Estratégia.
Fazer com que essa contribuição esteja presente nas áreas mais centrais ao negócio envolve
barreiras que não poupam nem mesmo as empresas de grande porte - nestas corporações, ao
contrário de empresas de menor porte que ainda colocam o orçamento como maior desafio,
a visão de que a cibersegurança é um bloqueio ao negócio ainda é realidade
para 35% dos gestores.

Orçamento de Cibersegurança
O pós-pandemia traz uma boa notícia: os orçamentos em cibersegurança

devem voltar a crescer. No entanto, o patamar dos orçamentos ainda pode ser
considerado bastante modesto.
Também é digno de destaque o fato de que apesar dos orçamentos de

cibersegurança ainda serem em grande parte vinculados aos orçamentos de TI,
15% das organizações já possuem um orçamento em separado para segurança.
VARIAÇÃO ANUAL DO ORÇAMENTO DE CIBERSEGURANÇA
Em 2022, haverá expansão orçamentária em 69% das empresas,

contra um percentual de 44% no ano anterior.
Para 38% dos entrevistados esse aumento irá girar entre 6% e 20%.
46%
42%
38%
31%
27%
24%
22%
20%
18%
11%
7%
4% 4% 4%
2%
0% 0% 0%
Muito Ligeiramente Estável Ligeiramente Muito Outlier

inferior inferior superior superior
(-21% ou mais) (de -6% a -20%) (de -5% a +5%) (de 6% a 20%) (de 20% a 100%) (mais que 100%)
2019x2020 2020x2021 2021x2022
Perguntas: Qual você espera ser a variação do orçamento de cibersegurança de sua organização para 2022 em relação a 2021?
Qual foi a variação do orçamento de cibersegurança de sua organização em 2021 em relação ao ano anterior?

PATAMAR DO ORÇAMENTO DE CIBERSEGURANÇA
O orçamento anual de cyber das organizações no Brasil ainda está concentrado em patamares
modestos. A moda apurada foi de R$200.000,00. O resultado desta edição da Pesquisa está em linha
com outros estudos 1 .
ORÇAMENTO DE CYBER
Até R$250 mil 53,5%
De R$251 mil a R$400 mil 9,9%
De R$401 mil a R$600 mil 8,5%
De R$601 mil a R$900 mil 4,2%
De R$901 mil a R$1,2 milhão 2,8%
De R$1,2 milhão a R$3,5 milhões 8,5%
De R$3,5 milhões a R$8,5 milhões 7%
De R$8,5 milhões a R$15 milhões 2,8%
Acima de R$20 milhões 2,8%
80% DAS PMES R$ 4.731.818,00

TÊM ORÇAMENTO é a média do orçamento das
empresas com faturamento
DE ATÉ R$400 MIL superior a R$1 bilhão.
MÉDIA DO ORÇAMENTO ANUAL
Segmento Financeiro Demais Segmentos
R$ 1.802.174 R$ 747.188
Pergunta: Qual é o tamanho do orçamento de cibersegurança da sua organização?

ORÇAMENTO DE CIBERSEGURANÇA x ORÇAMENTO DE TI
1. 11% das Organizações relacionam pelo menos 21% do orçamento de TI para cibersegurança,
no setor financeiro essa taxa alcança 22%.
2. Cyber e TI têm orçamentos independentes em 15% das organizações. Entre grandes

empresas, com mais de 500 colaboradores, o percentual é de 23%; cenário que ocorre
predominantemente em outros setores que não o Financeiro.
3. No segmento financeiro, destaca-se o fato do orçamento de cyber representar

entre 10% e 15% do de TI em 1/ 3 das organizações.
Segmento Outros
Total Pequena Média Grande Financeiro Segmentos
De 1% a 5% 30 31 29 23 11 35
De 6% a 9% 17 15 14 15 22 16
De 10% a 15% 20 23 36 8 33 16
De 16% a 20% 7 23 11 5
De 21% a 30% 4 8 7 11
Mais de 30% 7 8 7 8 11 3
São orçamentos 15 15 7 23 5
independentes
Pergunta: Qual é a representatividade do orçamento de cibersegurança em relação ao orçamento de TI?


Prioridades nos Investimentos
de Cibersegurança
No documento Top Security and Risk Management Trends for 20222 , o

Gartner aponta que as Organizações ao redor do mundo “estão tendo
que lidar com ransomware, ataques à cadeia de suprimentos digitais
e vulnerabilidades profundas em suas estruturas”, e lembra que a
pandemia acelerou o trabalho híbrido e a migração para a nuvem
“desafiando os CISOs a proteger uma empresa progressivamente
distribuída - ao mesmo tempo em que tem que lidar com uma mão de
obra escassa”.
Os movimentos de investimento em cibersegurança no mercado

brasileiro acompanham as tendências apontadas pelo Gartner, com as
empresas priorizando investimentos em Gestão de Riscos e Prevenção
a Ameaças e aspectos dedicados à Computação em Nuvem, nos quais se
destacam a Arquitetura em Nuvem e a Avaliação de Riscos
e Compliance em Nuvem.

CATEGORIAS PRIORITÁRIAS DE INVESTIMENTO EM 2022
A agenda prioritária de investimentos em cibersegurança das empresas mantém as categorias de

Gestão de Riscos e de Prevenção de Ameaças entre as três principais para 2022, assim como em 2021,
com respectivas 44% e 40% das menções. Computação em Nuvem surge, após a fase crítica
da pandemia, como a terceira área de prioridade de tecnologias para cyber, com 36%.
2019 / 2020 2020 / 2021 2022

Cenário Pré-Covid Fase Aguda da Pandemia Estabilização da Pandemia
Arquitetura de Segurança Gestão de Riscos +2 Gestão de Riscos 44
Prevenção de Ameaças Detecção de Ameaças Prevenção de Ameaças 40
Gestão de Riscos Prevenção de Ameaças Computação em Nuvem +7 36
Detecção de Ameaças Gestão de Incidentes +5 Conscientização em Segurança +3 29
Gestão de Identidades Arquitetura de Segurança -4 Arquitetura de Segurança 27
Conscientização em Segurança Viabilização de Negócios Detecção de Ameaças 26
Viabilização de Negócios Conscientização em Segurança Viabilização de Negócios 23
Governança, Compliance e Auditoria Gestão de Identidades Gestão de Incidentes -4 23
Gestão de Incidentes Governança, Compliance e Auditoria Governança, Compliance e Auditoria 20
Computação em Nuvem Computação em Nuvem Gestão de Identidades 17
Operacionais de segurança 17
Pergunta: Considerando as categorias abaixo, em 2022, por favor, ordene segundo a prioridade de investimento da sua organização.
_Takeaway//
Os rumos dos investimentos em segurança no pós-pandemia
Nesta série de três edições da Pesquisa Tempest de Cibersegurança, pode-se observar

uma trajetória da agenda a partir do foco do investimento.
No período pré-pandemia a escolha de Arquitetura de Segurança como prioritária (seguida por Prevenção de
Ameaças e Gestão de Riscos) mostra um ambiente em busca de maturidade a partir da adoção, por exemplo, de
frameworks de segurança e da definição de políticas que considerem o negócio como um todo.
Durante a fase aguda da pandemia a Gestão de Riscos se tornou prioritária, seguida da Detecção e da
Prevenção de Ameaças. Foi um momento de mudança acelerada na estrutura das empresas, na qual avaliar e
conhecer os riscos ao negócios, além de estar preparado para responder a incidentes, foi fundamental.
A estabilização da pandemia traz um novo cenário consolidado, no qual grande parte dos negócios já migrou
para a nuvem. Dessa forma, o foco dos investimentos se desloca para disciplinas de segurança ligadas à nuvem.
Além disso, a Conscientização para Segurança também ganha nova importância dada a consolidação (em
muitos casos) dos modelos híbridos de trabalho.

Gestão de Riscos
1. Na categoria de Gestão de Riscos, observou-se o foco dos investimentos em tecnologias

para Gestão de Vulnerabilidades com 72% das menções.
2. Houve também um importante crescimento do foco em Segurança Física, acompanhado da

diminuição proporcional dos investimentos em Pentest que no cenário pré-covid e na fase
aguda figurava entre as três prioridades.
2019 / 2020 2020 / 2021 2022

Gestão de Vulnerabilidades Gestão de Vulnerabilidades Gestão de Vulnerabilidades 72
Abordagem Central de Dados Abordagem Central de Dados Segurança Física +4 63
Abordagem Central de Dados

Pentest Pentest (DLP, Monitoramento / Alerta, criptografia, 59
recuperação de dados, classificação de dados)
Code Review Code Review Risk Assessment Methodology 40
Risk Assessment Methodology Risk Assessment Methodology Pentest -2 37
Segurança Física Segurança Física Code Review 27
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade
máxima. Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Prioridade para a proteção dos endpoints
O cenário apontado pelo Gartner no documento Top Security and Risk Management Trends
for 2022 inclui altos índices de colaboradores trabalhando em modelo híbrido e ambientes
migrados para a nuvem, o que colabora para tornar o ambiente corporativo altamente
distribuído. Nesse sentido, a proteção de endpoints se torna uma prioridade.

Prevenção de Ameaças
A Gestão de Vulnerabilidade mantém-se entre os três de investimentos prioritários em Prevenção de

Ameaças, juntamente com Network Firewall e Antimalware / Antispam, que aumentaram as citações
em relação aos cenários pré-pandemia e a fase crítica dela em 2021.
2019 / 2020 2020 / 2021 2022

Gestão de Vulnerabilidade Segurança de Aplicação Gestão de Vulnerabilidade 74
Segurança de Aplicação Gestão de Vulnerabilidade Network Firewall +6 68
DLP Segurança de Desktop Antimalware / Antispam 68

+8
Segurança de Desktop DLP Segurança de Aplicação -3 60
App Firewall App Firewall Segurança de Desktop 59
Criptografia Modelagem de Ameaças App Firewall 54
Antimalware / Antispam Criptografia DLP 47
Network Firewall Network Firewall DDOS 46
Modelagem de Ameaças Mobile Device Management Modelagem de ameaças -3 40
Mobile Device Management DDOS Mobile Device Management 40
DDOS Antimalware / Antispam
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade
máxima. Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Para prevenir ameaças no pós-pandemia, a segurança se volta para a nuvem,
endpoints e o tráfego de informações
Entre o cenário pré-Covid e a fase aguda da pandemia vemos uma pequena mudança de foco entre as três
primeiras prioridades na Prevenção de Ameaças com a entrada da Segurança de Desktop, algo coerente com
um momento que se seguiu à migração para o Home Office em boa parte das empresas.
Com a estabilização da pandemia, temos a consolidação de um ambiente distribuído, com dispositivos

acessando o ambiente do negócio de virtualmente qualquer lugar; cenário no qual é fundamental garantir que
o acesso à rede corporativa seja feito apenas por dispositivos e serviços autorizados. Além disso, é importante
que esses dispositivos, ou endpoints, possuam proteção contra malware e spam.
A categoria Network Firewall também pode incluir soluções como o CASB (Cloud Access Security Broker)
usadas para monitorar atividades e aplicar políticas de segurança a ambientes em nuvem - o que também se
aplica à atual conjuntura.

Computação em Nuvem
Diante do importante crescimento da categoria de Computação em Nuvem no ranking

de priorização de investimentos que apuramos nesta edição da Pesquisa Tempest de
Cibersegurança, tendo ela alcançando a terceira categoria mais importante de investimento
para este ciclo, identificaram-se projetos de Arquitetura de Nuvem (65%), Avaliação de Risco de
Nuvem (65%) e de Compliance para tecnologia em Nuvem (63%) como as áreas prioritárias de
gasto, em igual importância.
2019 / 2020 2020 / 2021 2022

Cenário Pré-Covid Fase Aguda da Pandemia Estabilização da Pandemia Total
Arquitetura de Nuvem DevSecOps Arquitetura de Nuvem 65
DevSecOps Visibilidade de “Shadow IT” Avaliação de Risco de Nuvem 65
Avaliação de Risco de Nuvem Avaliação de Risco de Nuvem Compliance para tecnologia de Nuvem 63
Compliance para tecnologia de Nuvem Arquitetura de Nuvem SaaS 50
Visibilidade de “Shadow IT” Compliance para tecnologia de Nuvem Log Integration 44
SaaS SaaS DevSecOps -5 44
Log Integration PaaS IaaS 42
IaaS Log Integration PaaS 34
PaaS IaaS Visibilidade de “Shadow IT” -7 31
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade máxima.
_Takeaway//
Repriorização dos investimentos na nuvem acompanha as mudanças
causadas nos negócios durante a pandemia
No período entre o início da pandemia e sua fase mais aguda vemos movimentações de investimento em
implantação e migração de serviços para a nuvem além da avaliação de riscos neste ambiente (2019/2020)
seguidos por investimentos em DevSecOps e visibilidade de Shadow IT (2020/2021).
Uma interpretação possível é que esses investimentos partem da necessidade de implementar práticas de
segurança diretamente ao desenvolvimento de novas aplicações (DevSecOps) e na demanda por investigar
sistemas implantados por diferentes departamentos durante a fase aguda da pandemia (Shadow IT).
Ambos os casos, no entanto, foram claramente uma prioridade momentânea.
Com a estabilização da pandemia, nos parece estar clara uma consolidação e uma crescente maturidade nos
processos de migração para a nuvem, o que é evidenciado nos investimentos em uma Arquitetura voltada
para a nuvem, e na Avaliação dos Riscos e na aplicação de práticas de Compliance, que surgem à frente das
prioridades neste item.

Conscientização para Cibersegurança
1. A Conscientização para o Vazamento e a Proteção de dados estão no topo das prioridades das
organizações, com menção de 80% e 78% dos participantes respectivamente.
2. O percentual é particularmente alto no setor financeiro (100% e 93%, respectivamente).
Segmento Demais
Total
Financeiro Segmentos
Vazamento de dados 80 100 72
Proteção de dados 78 93 72
Phishing 64 64 64
Treinamento em
62 64 61
Conscientização em Segurança
Network Access Control (NAC) 58 57 58
Phishing Físico 58 43 64
Vishing 52 50 53
Smishing 50 50 50
Social Engineering 50 57 47

Arquitetura de Segurança
1. No topo das prioridades em arquitetura de segurança estão a Proteção de Aplicações (72%),

a Segmentação de Redes (65%) e as Tecnologias de Criptografia (63%).
2. No caso do segmento financeiro há uma distinção: para as empresas do setor, tecnologias de segurança
envolvendo nuvem híbrida de vários fornecedores continua em segundo lugar na lista de prioridades
com 77%, mantendo a mesma colocação dos últimos 3 anos, ao contrário dos outros segmentos.
2019 / 2020 2020 / 2021 2022

Proteção de aplicações Proteção de aplicações Proteção de aplicações 72
Nuvem / Híbrido / Nuvem / Híbrido /

Segmentação de rede +2 65
vários fornecedores de nuvem vários fornecedores de nuvem
Segmentação de rede Acesso remoto Tecnologias de criptografia 63
Tecnologias de criptografia Segmentação de rede Acesso remoto 59
Nuvem / Híbrido / -3
Acesso remoto Tecnologias de criptografia 54
vários fornecedores e nuvem
2022 (Estabilização da Pandemia) Segmento Financeiro Demais Segmentos
Proteção de aplicações 69 73
Segmentação de rede 69 64
Tecnologias de criptografia 54 67
Acesso remoto 46 64
Nuvem / Híbrido / vários 77 45

fornecedores de nuvem
_Takeaway//
Segmento Financeiro pode apontar o futuro dos investimentos
em Arquitetura de Segurança nos outros setores
Nos anos anteriores, a maioria dos setores investiu na migração para o digital. Neste ano, o
investimento em Proteção de Aplicações pode ser lido como um movimento natural de proteção de
novos canais de comunicação com clientes internos e externos.
No entanto, ao contar com operações em nuvem e com alta dependência tecnológica há mais tempo
do que a maioria dos setores, o segmento financeiro pode estar apontando o futuro dos investimentos
neste quesito em outros setores, ao priorizar o investimento em Nuvem Híbrida / Vários fornecedores.

Detecção de Ameaças
1. Quanto às tecnologias de detecção de ameaças há um equilíbrio entre o segmento financeiro e

os outros setores nas empresas de médio e grande porte. Para este recorte, as prioridades se
dividem entre Monitoração (76%), DLP (58%) e SOC (56%).
2. Nas empresas de pequeno porte parece não haver consenso entre as prioridades neste item.
2019 / 2020 2020 / 2021 2022

Análise de Log / Correlação / SIEM Análise de Log / Correlação / SIEM Monitoração 76
SOC SOC Análise de DLP 58
Análise de DLP Análise de DLP SOC 56
Threat Intel Netflow Analysis Asset Recovery 49
Netflow Analysis Threat Intel Threat Intel 40
Takedown Takedown Netflow Analysis 36
Asset Recovery Asset Recovery Takedown 24
Segmento Outros
Pequena Média Grande
Financeiro Segmentos
Monitoração 60 65 88 87 70
Análise de DLP 40 47 81 73 50
SOC 20 47 75 73 47
Asset Recovery 40 41 69 60 43
Threat Intel 20 35 50 40 40
Netflow Analysis 40 24 44 47 30
Takedown 20 29 19 33 20

Viabilização de Negócios
1. Na visão com todos os setores, a viabilização dos negócios passa por investimentos
prioritariamente na Computação em Nuvem (51%) , Mobile (38%) e Inteligência Artificial (31%).
2. Ao destacar o segmento financeiro nota-se que este setor tem um forte foco na computação
em nuvem (83% contra 45% nos demais segmentos) e em Inteligência Artificial
(67% contra 24% nos demais setores).
2022 Segmento Outros

Estabilização da Pandemia Total Financeiro Segmentos
Computação em Nuvem 51 83 45
Mobile Technologies 38 17 42
Inteligância Artificial / Machine Learning 31 67 24
IoT 28 33 27
Fusões e Aquisições 21 33 18
Criptomoedas e Blockchain 5 0 6
_Takeaway//
Distinções acentuadas entre setores nas suas prioridades
em tecnologias para viabilização de negócios
Ficam claras as distinções entre o setor financeiro e os outros setores no seu entendimento
das prioridades tecnológicas para viabilização dos negócios.
Para o segmento financeiro há uma clara prioridade na Computação em Nuvem e em

tecnologias de Inteligência Artificial e Machine Learning e uma baixa prioridade em
tecnologias as quais os outros setores consideram prioritárias como Mobile.
Esta priorização em Mobile pode ser explicada com a necessidade de abertura de novos
canais de comunicação com clientes internos e externos.

Gestão de Incidentes
1. A gestão de incidentes envolvendo ransomware está no foco de empresas de todos os setores,

incluindo o financeiro, totalizando 90% na média das respostas.
2. Tecnologias e práticas envolvendo a Resposta a Incidentes também se destacam

em todos os segmentos (77%).
2019 / 2020 2020 / 2021 2022

Resposta a Incidentes Resposta a Incidentes Ransomware +1 90
Preparação para violação de dados Ransomware +1 Resposta a Incidentes 77
Ransomware Preparação para violação de dados Preparação para violação de dados 54
Orquestração Orquestração Investigação Forense 33
Investigação Forense Investigação Forense Orquestração 33
2022
Segmento Demais
Estabilização
da Pandemia Pequena Média Grande Financeiro Segmentos
Ransomware 80 77 100 91 89
Resposta a
80 69 87 82 75
Incidentes
Preparação para
40 54 67 73 46
violação de dados
Investigação
20 31 47 27 36
Forense
Orquestração 20 46 40 18 39
_Takeaway//
Ransomware como maior ameaça
É possível observar como o grande número de incidentes envolvendo ransomware (e sua

exposição na mídia) desde o início da pandemia afetaram seriamente as prioridades das
empresas de todos os setores no que se refere à resposta a incidentes.

Governança, Compliance e Auditoria
1. Projetos de Gestão de Riscos e Control Frameworks (68%) serão foco de investimento na categoria
de Governança, Compliance e Auditoria, juntamente com os projetos de adequação a políticas de
privacidade como GDPR, LGPD, Marco Civil e outras resoluções (68%).
2. Secundariamente, mas com igual importância verifica-se uma priorização do Alinhamento de

Estratégias e Negócios (65%) e questões relacionadas à Propriedade de Dados (62%).
3. As organizações respondentes nesta categoria são majoritariamente de

outros segmentos que não o Financeiro.
2019 / 2020 2020 / 2021 2022

Privacidade Privacidade Gestão de Riscos /

+3 68
(GDPR / Marco Civil / outra resoluções) (GDPR / Marco Civil / outra resoluções) Control Framework
Privacidade
Propriedade de dados Alinhamento de Estratégia e Negócios 68
(GDPR / Marco Civil / outra resoluções)
Alinhamento de Estratégia e Negócios Propriedade de dados Alinhamento de Estratégia e Negócios 65
Gestão de Riscos / Gestão de Riscos / 62

Propriedade de dados
Control Framework Control Framework
Gestão de Conflitos Gestão de Conflitos PCI 32
PCI NIST / FISMA Gestão de Conflitos 26
NIST / FISMA IT / IoT / OT Convergence HIPAA e HITECH +4 24
SOX PCI SSAE 16 24
IT / IoT / OT Convergence SOX IT / IoT / OT Convergence 21
HIPAA e HITECH SSAE 16 SOX 21
SSAE 16 HIPAA e HITECH NIST / FISMA -5 21

Gestão de Identidades
Ferramentas de Controle de Acessos tornaram-se prioritárias de investimento em relação

às edições anteriores deste estudo em todos os setores. E Segundo Fator de Autenticação
mantém-se como importante neste quesito.
2019 / 2020 2020 / 2021 2022

20 Fator de Autenticação 20 Fator de Autenticação Controle de acessos 62
Controle de acessos Controle de acessos 20 Fator de Autenticação 52
Controle de acesso baseado

Credenciamento Credenciamento 45
em geolocalização
Passwords reset / Serf-service Biometria E-commerce e mobile apps 34
Biometria Device fingerprint Passwords resets / Self-service 31
Device fingerprint Biometria 21
Device fingerprint 17
Controle de acesso baseado 17

em geolocalização
Segmento Outros
2022
Estabilização da Pandemia Média Grande Financeiro Segmentos
Controle de acessos 54 70 64 61
20 Fator de Autenticação 46 60 45 56
Credenciamento 31 50 36 50
E-commerce e mobile apps 46 20 45 28
Passwords resets / Self-service 38 30 36 28
Biometria 15 30 27 17
Device fingerprint 23 10 36 6
Controle de acesso baseado em geolocalização 8 20 18 17
_Takeaway//
Gestão de Identidades traz diferentes prioridades para o setor financeiro e demais segmentos
Depois de dois anos como segunda prioridade vemos o controle (gestão) de acessos se tornar categoria
prioritária em todos os segmentos. A mudança é coerente com a crescente ameaça do ransomware (entre outras)
que se aproveitam de um acesso inicial para infectar o ambiente. Não basta ter um controle de credenciais, é
preciso investir na gestão destas credenciais para que o seu acesso se dê apenas no nível necessário.
Outro aspecto interessante é que essa gestão se refere aos acessos internos e externos. Nas empresas onde há
acesso externo como o segmento financeiro nota-se que tecnologias de contexto de acesso (device fingerprint,
geolocalização) são priorizadas, diferentemente dos outros setores.

Gestão de Tecnologia X Cibersegurança
Entre as prioridades de adoção de novas tecnologias nas empresas estão o Big Data, Analytics e Distributed Cloud. No geral,
a percepção que os responsáveis pela segurança têm dos riscos envolvidos na adoção destas tecnologias é baixa.
PERSPECTIVA DE ADOÇÃO DE NOVAS TECNOLOGIAS E PERCEPÇÃO

DOS SEUS RISCOS À CIBERSEGURANÇA
1. O uso de Big Data e Analytics (31%), Distributed Cloud (22%), Assistentes Virtuais (21%), Inteligência Artificial e
Machine Learning (19%) aparecem em percentuais mais avançados de incorporação.
2. No entanto, 5G (57%) e Inteligência artificial / Machine Learning (52%) são as fronteiras de mudança
tecnológica escolhidas para os próximos três anos.
3. Tecnologias como blockchain e digital twins ainda aparecem distantes das realidade de boa parte das
organizações atualmente; tanto no nível de adoção até aqui - Blockchain 7% e Digital Twins 4% - quanto no
planejamento de médio prazo, com 28% e 21% respectivamente.
4. Nenhuma das tecnologias pesquisadas aparecem em algum grau excessivamente alto de exposição a cyber
riscos, segundo a opinião dos gestores, com todas elas girando em patamares abaixo dos 24%.
INTENÇÃO DE ADOÇÃO *Excluindo ‘não sabe’ e ‘não tem interesse’
57%
52%
47% 48%
46%
42% 43%
31%
28% 30%
24%
21% 21% 22% 21%
16% 19% 21%
22% 11% 14%
13% 14%
19% 17% 10%
4% 3%
13% 11% 5%
10% 7% 1%
2% 3%
Big data e Distributed Assistentes AI / ML IoT Edged 5G Drones Blockchain Impressão Digital AR / VR /
analytics Cloud Virtuais computing 3D Twins AH
Pretende Adotou Alto exposição a cyber risco
Perguntas: Em relação às tendências de novas tecnologias digitais, marque no quadro qual é o estágio de adoção em sua organização.
Em relação às tendências de novas tecnologias digitais, como você avalia os cyber riscos que estão ou estarão associados ao negócio da sua organização?

5. Quanto ao prazo para adoção destas tecnologias, Inteligência Artificial e Machine Learning (14%) ,
Distributed Cloud (13%) e o 5G (12%) são as que serão priorizadas no durante 2022.
6. É interessante notar que a incorporação de 5G e Inteligência Artificial / Machine Learning apresentam

uma maior certeza de sua adoção no médio prazo; em até 3 anos, 57% e 52% sinalizam que as adorarão,
respectivamente. Já outras como IoT (48%) e Big Data (46%), apesar de haver a intenção de serem
incorporadas, no curto prazo não serão a prioridade.
PRAZO PARA ADOÇÃO DE TECNOLOGIA
AI / ML 14% 38%
Distributed Cloud 13% 34%
5G 12% 45%
Assistentes Virtuais 11% 31%
Edged computing 9% 33%
Big data e Analytics 9% 37%
IoT 9% 39%
AR / VR / AH 5% 26%
Blockchain 5% 23%
Drones 3% 8%
Impressão 3D 2% 12%
Digital Twins 1% 19%
12m De 24 a 36m
Pergunta: Em relação às tendências de novas tecnologias digitais, marque

no quadro qual é o estágio de adoção em sua organização.

Incidentes Cibernéticos
e Riscos ao Negócio
Quase metade das empresas afirmou ter sofrido algum incidente cibernético grave
nos últimos 12 meses. No topo da lista de incidentes sofridos estão o ransomware
e a infecção com malwares disfarçados de updates de softwares.
INCIDENTES GRAVES E FRAUDES SOFRIDOS NOS ÚLTIMOS 12 MESES
4 em cada 10 empresas, sofreram tiveram algum cyber incidentes ou fraudes nos últimos 12 meses que
consideraram grave; e no segmento financeiro, metade das entrevistadas.
TIPOS DE CYBER INCIDENTES OU FRAUDE OCORRIDOS, CONSIDERADOS GRAVES
Ransomware 44%
Malware via software update 38%
Business e-mail compromise 37%
Disinformation / Fake News 25%
Attack on cloud services 23%
Cryptomining 14%
State-sponsored attack
13%
on critical infrastructure
Attack on software supply chain 11%
Attack on hardware supply chain 11%
Foreign influence in
8%
research and develpment
Organizações criminosas
7%
& Estado Nação
Pergunta: Quais dos seguintes cyber incidentes ou fraudes afetaram diretamente

sua organização nos últimos 12 meses?

RISCOS AO NEGÓCIO NA VISÃO DO GESTOR DE CIBERSEGURANÇA
1. Ameaças Cibernéticas (64%) estão no topo dos riscos ao negócio mencionados

por gestores de cyber de todos os segmentos.
2. No segmento financeiro, as Fraudes e Roubos (18%) aparecem como a risco número um após Ameaças
Cibernéticas; e nos demais segmentos, Defasagem Tecnológica com 14%.
3. Destaca-se também a quarta posição do risco de Perda de Pessoal Chave (25%) dentre os desafios das
organizações de todos os segmentos; um risco que se reflete com grande importância nas funções
e no organograma de cibersegurança das empresas.
Ataques cibernéticos / ameaças cibernéticas 37 27 64
Fraudes e roubos 11 37 48
Danos à marca / reputação 12 23 35
Perda de pessoal chave 5 20 25
Defasagem tecnológica 10 14 24
Mudanças de governos / instabilidade política 4 16 20
Perda de competitividade e market-share 7 12 19
Incerteza econômica 4 16 20
Risco de Crédito / Falta de liquidez 1 15 16
Interrupção da cadeia de suprimentos 4 6 10
Mudanças na legislação / regulatórias 2 6 8

Risco n 0 1
Espionagem industrial 1 6 7 Entre os tops
3 riscos
Terrorismo / Ativismo 0 4
Mudanças climáticas ou desastres naturais 1 0
Segmento Financeiro Demais Segmentos
Ataques cibernéticos / Ataques cibernéticos /

ameaças cibernéticas 41 27 68 ameaças cibernéticas 36 27 63
Fraudes e roubos 18 32 50 Fraudes e roubos 8 36 44
Risco de Crédito / Danos à marca /

5 32 37 12 17 29
falta de liquedez reputação
Danos à marca / reputação 14 23 37 Defasagem tecnológica 14 17 31
Mudança de governos / Perda de

9 23 32 7 20 27
instabilidade política pessoal chave
Perda de Perda de competitividade

0 18 8 14 22
pessoal chave e market-share
Incerteza econômica 9 9 18 Incertezas econômicas 2 19 21
Pergunta: Dentre os possíveis riscos ao negócio, por favor, ordene as 5 principais preocupações atualmente na sua organização.

_Takeaway//
Apesar de parecer óbvio que os líderes e gestores de cibersegurança iriam apontar
as Ameaças Cibernéticas como principal risco ao negócio, essa posição não está distante da
percepção de outros atores econômicos.
Na survey The Global Risks Report 2022, produzida pelo Fórum Econômico Mundial, os autores
investigaram os principais riscos percebidos pelos entrevistados como ameaças globais para os
próximos dois anos. No quesito “riscos tecnológicos” as falhas de cibersegurança figuraram com o
principal risco, sendo mencionados por 19,5% dos participantes.

GRAU DE EXPOSIÇÃO EM CIBERSEGURANÇA DA SUA ORGANIZAÇÃO
À CADEIA DE SUPRIMENTO, E VICE-VERSA
1. Para os entrevistados, os riscos envolvendo a cadeia de suprimentos à organização

são majoritariamente moderados (47%).
2. No caminho inverso, as organizações entendem representar um baixo nível de risco

à cadeia de suprimentos nas quais elas estão inseridas (59%).
Da organização ante a sua Da cadeia de suprimentos

cadeia de suprimentos ante a sua organização
Alto 15 3
Moderado 47 32
Baixo 38 59
Não há exposição 0 6
Pergunta: A que nível de riscos cibernéticos sua organização está exposta ante a cibersegurança da sua cadeia de suprimentos (de terceiros), e vice-versa?
_Takeaway//
Cadeia de Suprimentos não é vista como risco elevado pelas empresas
Nos chamou a atenção a confiança que as empresas ouvidas depositam em suas cadeias de suprimentos.
Afinal, as conexões com terceiros em diferentes níveis se tornaram uma das mais sérias formas de exposição
a ciberataques. Apenas para citar um exemplo, o caso envolvendo o SolarWinds expôs 18 mil clientes do
software a malware, incluindo agências governamentais. Outro ataque, envolvendo a Kaseya, colocou em
risco mais 1500 empresas em diversos países.
Projeções da Forrester apontam que em 2022 60% dos incidentes de segurança serão resultado de falhas e
vulnerabilidades presentes em alguma parte da cadeia de suprimentos das empresas.
No entendimento da Tempest, a visibilidade dos riscos envolvendo a cadeia de suprimentos deverá ser uma
prioridade para CISOs de todas as organizações.

Referências
1.
Organizações ciber-resilientes, de MIT Technology Review, Edição Especial.
2.
Global Risks Report 2022, do World Economic Forum, publicado em 11 de janeiro de 2022.
Top Security and Risk Management Trends 2021, de Peter Firstbrook e Zaira Pirzada,
publicado publicado pelo Gartner em 30 de março de 2021.
The Urgency to Treat Cybersecurity as a Business Decision, de Paul Proctor,

publicado pelo Gartner em 12 de fevereiro de 2020 e atualizado em 2 de agosto de 2021.
The cybersecurity priorities every CISO is focusing on in 2022. Orange Business. 8 March 2022.

Metodologia da Pesquisa
A 3ª Pesquisa Tempest de Cibersegurança possui uma amostra de 172 empresas participantes, tendo
sido conduzida pelo Datafolha entre Janeiro e Abril de 2022. Foram consultados gestores, líderes e
técnicos responsáveis ou que participam da gestão de cibersegurança ou da Segurança da Informação
de empresas de pequeno, médio e grande porte.
O estudo é uma pesquisa quantitativa, com técnica híbrida. Contou com abordagem online através
do envio de convite por email para o auto-preenchimento pelo respondente, em duas versões de
questionário, e abordagem telefônica via CATI com base em questionário estruturado reduzido em
relação às versões online.
Em algumas análises realizadas por porte das empresas segundo a quantidade de funcionários,
este trabalho usou a referência do IBGE que é empregada para a classificação das indústrias, onde
médias empresas são definidas pela faixa de 100 a 499 colaboradores e grandes as com mais 500.
Para as pequenas empresas adaptamos a faixa para de 50 a 99 empregados e selecionamos dentre as
microempresas e empresas de pequeno porte as que possuem entre 20 a 49 pessoas.
A margem de erro é de 7,5 pontos percentuais para o total da amostra, considerando

um intervalo de confiança de 95%.

_Recife
+55 81 3419 0800
Rua da Alfândega, 35
Loja 216A - 1o Piso
Bairro do Recife / Recife - PE 50030-030
_São Paulo
+55 11 3419 6200
Av. Lavandisca, 777
Moema / São Paulo - SP 04515-011
_London
+44 203 818 3248
70 White Lion Street,
London, England, N1 9PP
_www.tempest.com.br

Pesquisa de Ciberseguranca

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Pesquisa de Ciberseguranca

Enviado por

Direitos autorais:

Formatos disponíveis

3 a Pesquisa Tempest de

06 Cibersegurança & Estrutura Organizacional

13 A Relevância do Tema da Cibersegurança

27 Prioridades nos Investimentos de

39 Gestão de Tecnologia X Cibersegurança

A cibersegurança cresceu em importância e parece estar definitivamente se

Pontos importantes, sim, mas que passam longe de discussões mais

O que é seguro é que os acontecimentos dos últimos dois anos colocaram

Isso se dá tanto na própria presença da segurança e de seus líderes e gestores

Cibersegurança na pauta de negócios: CISOs são intérpretes de segurança nos

Presente no principal documento de Havendo CISO, em 53% das empresas ele já

Hoje, ainda com papel educativo e de

3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 4

Barreiras a Cibersegurança: Centralização de fornecedor de cyber

85% das organizações consideram baixo ou médio

3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 5

A configuração dos times de segurança se mostrou enxuta na maioria dos casos,

A EXISTÊNCIA DE UM CISO OU OUTRO CARGO

2. No segmento Financeiro, os CISOs estão presentes em 56% das empresas

3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 6

Não sei responder 1 0 4 0 0 0 1

Base 172 34 27 66 45 39 133

O PAPEL DA LIDERANÇA DE CYBER

Não está no Comitê

Pergunta: O CISO (o líder de Segurança da Informação) é membro do Comitê Executivo

3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 7

Total Médio Porte Grande Porte

Diretor de Tecnologia | CTO 36% 28% 44%

Presidente | CEO 24% 17% 20%

Diretor de Riscos | Compliance | Jurídico 15% 33% 12%

Diretor de Operações | COO 7% 11% 0%

Diretor Financeiro | CFO | ADM 7% 6% 4%

Outros 12% 6% 20%

Pergunta: A quem se reporta o líder de Segurança da Informação na sua empresa?

3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 8

Conforme os temas de segurança se tornam mais conectados ao negócio, aumentando sua

3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 9

PESSOAS EM DEDICAÇÃO INTEGRAL A CYBER

22% ME + EPP + Pequenas

Segmento Financeiro Demais segmentos

3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 10

GERÊNCIAS / DIRETORIAS EM DEDICAÇÃO INTEGRAL A CYBER

Total 43% 39% 18%

ME + EPP + Pequenas 36% 64%

Média 53% 47%

Grande 40% 60%

Segmento Financeiro 31% 43% 6% 20%

Demais Segmentos 46% 38% 5% 11%

1 pessoa Entre 2 e 3 pessoas 2 ou mais pessoas 4 ou mais pessoas

Entre 4 a 5 pessoas Mais de 5 pessoas

3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 11

No entanto, fica a pergunta: “o que” e “por que” terceirizar?

A resposta passa por um processo de autodeterminação de um modelo de segurança que passa

3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 12

Apesar das iniciativas previstas para o longo prazo poderem

Elevar a discussão sobre cibersegurança nos conselhos, trazendo as

3 a PES QUIS A TEMPEST DE CIBER SEGUR A NÇ A 13

Possui ou planeja um Plano de

Cyber como métrica do desdobramento

Tem ou busca estratégia de consolidação

Tem ou planeja um Comitê de Cyber

Tem ou planeja adotar

Concordo Concordo parcialmente Não concordo