Escolar Documentos
Profissional Documentos
Cultura Documentos
CIBERSEGURANÇA
Sumário
03 Apresentação
04 Principais Achados
20 Indicadores de Maturidade
em Cibersegurança
24 Orçamento em Cibersegurança
41 Incidentes Cibernéticos
e Riscos ao Negócio
46 Metodologia da Pesquisa
Apresentação
Afinal, se é verdade que temas ligados à segurança estão chegando aos ouvidos
dos Conselhos através dos CISOs e outros líderes de segurança, por outro lado
esses temas ainda se restringem (em grande parte) a questões puramente
operacionais - ameaças ao setor, ferramentas para combater essas ameaças, o
status de conformidade a normas e regulamentações…
Sinais deste movimento foram sentidos de forma clara nas nossas pesquisas
em 2020 e 2021. Mas a pesquisa deste ano mostra que esses sinais
continuam reverberando.
Nesta edição também buscamos, pela primeira vez, trazer key takeaways sobre
alguns dos achados que entendemos serem os mais relevantes.
Mais do que oferecer respostas prontas, com essas análises queremos ajudar
a fomentar a discussão sobre a cibersegurança e seus aspectos operacionais,
táticos e estratégicos. Acreditamos que quanto maior for esse debate nas
organizações, maior o papel que nós, profissionais e líderes de cibersegurança,
iremos exercer na sua gestão.
Principais achados
Desafios Orçamentários são a principal barreira Sob forte ataque: 4 em cada 10 empresas
para as empresas de maneira geral (65%), sofreram algum incidente cibernético
especialmente para as que não estão no setor ou fraudes nos últimos 12 meses que
financeiro (71%). consideraram grave; Ransomware,
Malware via atualização de software
e BEC lideraram.
Mais organizações expandem orçamento
em cyber. O crescimento, no entanto, No segmento financeiro, 50% alegaram ter
acompanha o aumento do orçamento incidentes graves. Ransomware, Malware
geral das empresas: 69% das pesquisadas via atualização de software e Business Email
expandiram seus investimentos em 2022, Compromise foram os tipos de ataque mais
ante 44% durante a fase aguda da pandemia. frequentes, com mais de 1/ 3 de menções
em cada um.
É destaque o aumento orçamentário superior
a 20% neste ano, que ocorre em 31% das
entrevistadas. E 80% das PMEs têm orçamento Ponto de Atenção: A Cadeia de Suprimentos
dedicado à cibersegurança de até R$400 mil, não é vista como risco elevado pelas empresas.
sendo a moda estatística de R$200 mil.
O CISO vem ganhando cada vez mais importância na estrutura organizacional das
suas empresas. Com os temas da cibersegurança sendo cada vez mais plugados
ao negócio, também vem se consolidando seu papel como “intérprete” das pautas
de segurança junto ao Conselho.
1. Atualmente, 36% das organizações dispõem do cargo designado como CISO ou possuem um
líder de Segurança da Informação em dedicação integral.
3. Há 2x mais CISOs em grandes empresas do que empresas de médio porte. Enquanto que
60% das empresas de grande porte possuem uma posição de liderança para cyber em
dedicação integral, em empresas de médio porte - com 100 a 500 colaboradores - a
estrutura de cyber ainda reflete uma menor importância do tema para as organizações,
onde apenas 29% delas possui um líder em dedicação exclusiva à segurança da informação.
Há um cargo
36 32 19 29 60 56 30
designado
Não há um cargo
63 68 78 71 40 44 69
designado
Pergunta: Na sua empresa, há um cargo designado como CISO (Chief Information Security Officer) ou Líder de
Segurança da Informação em dedicação integral?
Os resultados do gráfico estão expressos em porcentagem.
Dentre as organizações que possuem cargo de CISO (36%), mais da METADE (53%)
já ocupam posição no Comitê Executivo.
53,5%
Está no Comitê
Não há um Comitê
6,7%
1. Dentre as empresas que possuem CISO ou líder de segurança, em 36% dos casos este cargo
responde ao Diretor de Tecnologia e 24% diretamente ao CEO.
2. Já em empresas de médio porte, com 100 a 500 colaboradores, em 33% dos casos o CISO está
sob a estrutura da Diretoria de Riscos, Compliance ou Jurídica.
3. É expressiva a diferença nas empresas de grande porte, com mais de 500 funcionários,
onde em 64% o líder de Segurança de Informação responde ao CTO ou CEO,
ante 45% nas médias empresas.
Mas isso ainda não os torna tomadores de decisão no nível do Conselho. Esse papel ainda
depende de um amadurecimento tanto das organizações quanto dos próprios executivos, que
devem desenvolver suas habilidades de negócios, entender profundamente do mercado no qual
estão inseridas suas corporações, etc.
Outro aspecto sobre estes executivos é que, conforme aumenta a maturidade das organizações,
também aumenta a procura por CISOs, o que pode levar a uma escassez destes profissionais em
algum momento no futuro.
1. 82% das organizações analisadas possuem até 5 pessoas em dedicação integral à cibersegurança.
2. Dentre as organizações de grande porte, com mais de 500 colaboradores, 36% possuem no time
dedicado a cyber entre três e cinco pessoas, e 24% até duas pessoas.
3. Organizações do segmento financeiro têm maiores estruturas internas de pessoas dedicadas do que
os demais segmentos de empresas. Somam 38% as faixas com mais 6 funcionários neste setor, ante
12% dos demais. O setor também conta com 8% de empresas com times de mais de 50 profissionais,
contra 1% dos demais setores.
Mais de 50 pessoas 2% 5%
Mais de
50 pessoas 2%
Entre 21 e 50 pessoas 5% 0%
Entre 11 e 15 pessoas 5%
Entre 21 e 17%
50 pessoas 2%
Entre 6 e 10 pessoas 6%
0%
Entre 3 e 5 pessoas 25%
7%
Entre 11 e
Até 2 pessoas 57% 8%
15 pessoas
0%
Total 12%
Entre 6 e
5%
10 pessoas
2%
8% 36%
Mais de 50 pessoas Entre 3 e
1% 26%
5 pessoas
18%
8%
Entre 21 e 50 pessoas
4% 24%
Até 2
57%
pessoas
14% 81%
Entre 11 e 15 pessoas
2%
8%
Entre 6 e 10 pessoas
5% Grande Média
39%
Até 2 pessoas
62%
Pergunta: Na sua empresa, quantos funcionários estão
dedicados em tempo integral à cibersegurança?
1. Com relação a cargos de executivos em cyber, a maioria das empresas (43%) possui somente
uma pessoa responsável, e outros 39% entre duas ou três gerências e/ou diretorias.
2. O maior destaque da estatística sobre posições executivas em cyber fica por conta dos
elevados 18% de empresas que possuem 4 ou mais pessoas em cargos de gerência e/
ou diretoria. Ou seja, além do CISO, existem ao menos outros 3 colaboradores em cargos
executivos ligados à cyber.
3. Numa visão de dois extremos, em 20% das empresas do segmento financeiro possuem
mais de 5 posições executivas dedicadas à Segurança da Informação, e nas dos demais
segmentos 46% possuem uma única posição executiva.
0% 100%
Pergunta: Destes (funcionários estão dedicados em tempo integral à cibersegurança), quantos formam o
grupo de liderança, como gerência ou diretoria?
Uma estrutura de operação de segurança conta com profissionais nos níveis operacional, tático e
estratégico. Quanto mais dependente de tecnologia e quanto maior o orçamento disponível em
uma organização, maior será o número de profissionais alocados nestes três níveis.
É possível afirmar que nos casos em que não há nem muita dependência tecnológica, nem
orçamento robusto, haverá uma tendência a uma maior terceirização de diversos aspectos das
operações de segurança.
O que observamos é que, com exceção do segmento financeiro e das empresas de maior porte,
há uma desproporção entre o número de líderes e de profissionais nas empresas.
A falta de clareza nos papéis dos profissionais em seus diferentes perfis, aliada à falta de uma
política de carreira voltada para a segurança cria um cenário no qual o profissional de segurança
pode estar se tornando um “gestor de contratos” firmados com prestadoras de serviços, alheio à
sua função original de conduzir a gestão de segurança de forma que esta esteja
conectada ao negócio.
1. 51% das organizações entrevistadas concordam haver a menção direta da cibersegurança numa das
dimensões de seus Mapas Estratégicos, e 35% concordam parcialmente, entendendo que de alguma forma
um dos objetivos endereça a atenção de suas empresas ao tema.
2. Em 78% das organizações já há a inclusão de métricas a serem perseguidas pela gestão da cibersegurança.
3. 37% das organizações afirmam possuir ou já planejar um comitê dedicado à cibersegurança derivado do
Conselho de Administração e que tenha a supervisão de um de seus membros mais qualificados no tema.
Outros 36% confirmam este caminho, ainda que parcialmente.
O Mapa Estratégico da
51% 35% 13%
organização menciona cyber
Pergunta: Quanto às iniciativas de proteção digital ligadas ao Planejamento Estratégico e ao Mapa de Riscos da sua organização
para os próximos 5 anos, o quanto você concorda com cada uma das alternativas a seguir?
Dentre as iniciativas de longo prazo pesquisadas neste estudo, três delas, comentadas a seguir, têm contorno mais
tático e procuram demonstrar os níveis de aderência das organizações às mais consensuais boas práticas de gestão e
tecnologias em cibersegurança apontadas por especialistas como sendo agendas de vanguarda em cyber.
4. 53% das empresas já possuem ou planejam criar um Plano de Resposta Integrada de incidentes cibernéticos
em que áreas não técnicas estejam envolvidas no processo de tratamento de incidentes.
5. Importantes 81% das empresas entrevistadas concordam total ou parcialmente já terem ou buscarem
estruturar uma estratégia de consolidação de fornecedores de cibersegurança.
Se entre as iniciativas de cibersegurança sendo gestadas pelas lideranças corporativas há uma tendência de
amadurecimento, as pautas sendo levadas aos Conselhos apontam uma realidade em que a segurança ainda é tratada
como assunto operacional.
Dentres os 5 temas prioritariamente discutidos, 52% ou mais das empresas possuem pautas nestes fóruns que podem
ser consideradas ainda educativas e tático-operacionais, como, por exemplo, esclarecimentos das ameaças mais
comuns à indústria, o dimensionamento dos riscos cibernéticos da organização, o status da conformidade a normas e
regulamentações específicas, e o acompanhamento de indicadores de frequência de cyber incidentes e gestão deles.
TOTAL
Pergunta: Com relação ao tema cibersegurança no Conselho de Administração (ou Comitê Executivo) da sua organização, indique até 5 temas que são pautas
predominantes nestes fóruns. Os resultados do gráfico estão expressos em porcentagem. Os resultados do gráfico estão expressos em porcentagem.
SEGMENTO FINANCEIRO
A presença ou intenção de trazer os temas de cibersegurança, incluindo métricas, como parte dos Mapas
Estratégicos aponta uma tendência de amadurecimento das organizações de todos os setores.
No entanto, as discussões sobre o tema levantadas nos Conselhos ainda envolvem questões operacionais
como os riscos ao setor, ferramentas prioritárias e assuntos regulatórios.
Em que pese a importância de levar estes temas à alta administração, o desafio agora parece ser como
transicionar a discussão dos tópicos essencialmente operacionais para pautas táticas e até estratégicas no que
se refere à segurança.
Este desafio está diretamente relacionado à capacidade dos CISOs em 1) Tratar a cibersegurança como uma
decisão de negócio: isso envolve conhecer a fundo os riscos ao negócio - como eles afetam a sua continuidade
e quais os impactos de um eventual incidente - e conseguir traduzir esses riscos ao Conselho; 2) Ter um
profundo conhecimento das tecnologias de proteção mais recentes, inclusive e especialmente as capazes de
automatizar tarefas na gestão de segurança; entre outras ações.
1. Em geral, 47% das empresas já possuem uma cadência na discussão de cibersegurança em seus Conselhos
de Administração ou Comitês Executivos, sendo 43% entre mensal e semestralmente. E em 35% das
entrevistadas não houve uma frequência estabelecida na discussão de cyber nestes fóruns organizacionais
em 2021, sendo ainda algo sob demanda.
2. É evidente a diferença entre empresas do segmento financeiro e outro segmentos neste quesito: 69% das
financeiras já possuem cadência estabelecida, e uma predominância de 42% na frequência trimestral de
relatório ao Conselho ou comitê executivo.
15%
Não teve agenda 6%
17%
5%
Mensalmente 6%
5%
1%
Bimestral
1%
23%
Trimestralmente 42%
18%
13%
Semestralmente 17%
11%
4%
Anulamente 6%
4%
35%
Sob demanda; sem cadência
22%
de report
39%
1%
Outras formas de cadência
1%
3% Total
A empresa não possui Conselho de
3% Segmento Financeiro
Administração ou Comitê Executivo
3% Demais Segmentos
Há bem pouco tempo a cibersegurança ainda era encarada como um “plugin”, com
uma clara tendência à simples adaptação de ferramentas em torno de sistemas já
existentes em busca de conformidade, seja com legislações ou normativas, seja
com boas práticas de mercado.
Esta tendência parece vir sendo revertida entre as empresas brasileiras, com o
envolvimento da cibersegurança já nas primeiras etapas de qualquer projeto de
inovação na maioria dos departamentos da organização.
A definição de política de cibersegurança já é feita de forma compartilhada com o Comitê Executivo em 27% das
organizações entrevistadas, e em 14% dos casos já conta com o envolvimento do Conselho de Administração.
Jurídico 30%
Compliance 18%
Finanças 5%
Compras 2%
Pergunta: Quais são os departamentos mais envolvidos na definição das políticas e no gerenciamento de cyber riscos na sua organização?
Identifique até 3 opções.
1. Em linhas gerais 49% das organizações entrevistadas afirmam que o time de cibersegurança é
envolvido desde as etapas de planejamento das novas iniciativas, como na etapa de planejamento,
de design, e de construção da solução.
2. Outros 20% informam que é apenas a partir das etapas de implantação, que inclui a fase dos testes,
ou seja, quando a arquitetura daquele projeto já foi concebida sem antes contar com uma análise
estrutural voltada à cibersegurança.
Planejamento 49
Implantação 20
Total
Depois da Implantação 19
Nunca 12
33 40 48 46
26 23
10 9
12
17 23
25
21
20 18
19 19
46 60 55 76
9
13 2
8
20 11
14 17
19 11
22 16
Pergunta: A partir de qual etapa das novas iniciativas da sua empresa em cada departamento, a equipe de cibersegurança é envolvida?
Por favor, considere uma resposta por linha. Os resultados dos gráficos estão expressos em porcentagem.
1. Desafios Orçamentários são a principal barreira para as empresas de maneira geral (65%),
especialmente para as que não estão no setor financeiro (71%). Neste segmento este é um desafio
para 46% das empresas.
3. A questão cultural tende a ser menos desafiadora conforme aumenta o porte da empresa.
Outros 7%
Nenhuma 2%
Desafios Desafios
Nenhuma tecnológicos Nenhuma tecnológicos
Questões Questões
Outros Outros
Culturais Culturais
Demonstração Demonstração
de resultados de resultados
Pergunta: Na sua empresa, quais são as maiores barreiras em relação às iniciativas de Cibersegurança? Escolha as 3 principais.
Os resultados dos gráficos estão expressos em porcentagem.
Pode-se entender que a contribuição do time de cibersegurança ainda está restrita e mais
focada nos departamentos de TI, Jurídico e de governança como o de Compliance, de Projeto,
Riscos e Controles, Projetos e Estratégia.
Fazer com que essa contribuição esteja presente nas áreas mais centrais ao negócio envolve
barreiras que não poupam nem mesmo as empresas de grande porte - nestas corporações, ao
contrário de empresas de menor porte que ainda colocam o orçamento como maior desafio,
a visão de que a cibersegurança é um bloqueio ao negócio ainda é realidade
para 35% dos gestores.
Para 38% dos entrevistados esse aumento irá girar entre 6% e 20%.
46%
42%
38%
31%
27%
24%
22%
20%
18%
11%
7%
4% 4% 4%
2%
0% 0% 0%
Perguntas: Qual você espera ser a variação do orçamento de cibersegurança de sua organização para 2022 em relação a 2021?
Qual foi a variação do orçamento de cibersegurança de sua organização em 2021 em relação ao ano anterior?
O orçamento anual de cyber das organizações no Brasil ainda está concentrado em patamares
modestos. A moda apurada foi de R$200.000,00. O resultado desta edição da Pesquisa está em linha
com outros estudos 1 .
ORÇAMENTO DE CYBER
R$ 1.802.174 R$ 747.188
1. 11% das Organizações relacionam pelo menos 21% do orçamento de TI para cibersegurança,
no setor financeiro essa taxa alcança 22%.
Segmento Outros
Total Pequena Média Grande Financeiro Segmentos
De 1% a 5% 30 31 29 23 11 35
De 6% a 9% 17 15 14 15 22 16
De 10% a 15% 20 23 36 8 33 16
De 16% a 20% 7 23 11 5
De 21% a 30% 4 8 7 11
Mais de 30% 7 8 7 8 11 3
São orçamentos 15 15 7 23 5
independentes
Operacionais de segurança 17
Pergunta: Considerando as categorias abaixo, em 2022, por favor, ordene segundo a prioridade de investimento da sua organização.
Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Os rumos dos investimentos em segurança no pós-pandemia
No período pré-pandemia a escolha de Arquitetura de Segurança como prioritária (seguida por Prevenção de
Ameaças e Gestão de Riscos) mostra um ambiente em busca de maturidade a partir da adoção, por exemplo, de
frameworks de segurança e da definição de políticas que considerem o negócio como um todo.
Durante a fase aguda da pandemia a Gestão de Riscos se tornou prioritária, seguida da Detecção e da
Prevenção de Ameaças. Foi um momento de mudança acelerada na estrutura das empresas, na qual avaliar e
conhecer os riscos ao negócios, além de estar preparado para responder a incidentes, foi fundamental.
A estabilização da pandemia traz um novo cenário consolidado, no qual grande parte dos negócios já migrou
para a nuvem. Dessa forma, o foco dos investimentos se desloca para disciplinas de segurança ligadas à nuvem.
Além disso, a Conscientização para Segurança também ganha nova importância dada a consolidação (em
muitos casos) dos modelos híbridos de trabalho.
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade
máxima. Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Prioridade para a proteção dos endpoints
O cenário apontado pelo Gartner no documento Top Security and Risk Management Trends
for 2022 inclui altos índices de colaboradores trabalhando em modelo híbrido e ambientes
migrados para a nuvem, o que colabora para tornar o ambiente corporativo altamente
distribuído. Nesse sentido, a proteção de endpoints se torna uma prioridade.
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade
máxima. Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Para prevenir ameaças no pós-pandemia, a segurança se volta para a nuvem,
endpoints e o tráfego de informações
Entre o cenário pré-Covid e a fase aguda da pandemia vemos uma pequena mudança de foco entre as três
primeiras prioridades na Prevenção de Ameaças com a entrada da Segurança de Desktop, algo coerente com
um momento que se seguiu à migração para o Home Office em boa parte das empresas.
A categoria Network Firewall também pode incluir soluções como o CASB (Cloud Access Security Broker)
usadas para monitorar atividades e aplicar políticas de segurança a ambientes em nuvem - o que também se
aplica à atual conjuntura.
Avaliação de Risco de Nuvem Avaliação de Risco de Nuvem Compliance para tecnologia de Nuvem 63
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade máxima.
Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Repriorização dos investimentos na nuvem acompanha as mudanças
causadas nos negócios durante a pandemia
No período entre o início da pandemia e sua fase mais aguda vemos movimentações de investimento em
implantação e migração de serviços para a nuvem além da avaliação de riscos neste ambiente (2019/2020)
seguidos por investimentos em DevSecOps e visibilidade de Shadow IT (2020/2021).
Uma interpretação possível é que esses investimentos partem da necessidade de implementar práticas de
segurança diretamente ao desenvolvimento de novas aplicações (DevSecOps) e na demanda por investigar
sistemas implantados por diferentes departamentos durante a fase aguda da pandemia (Shadow IT).
Com a estabilização da pandemia, nos parece estar clara uma consolidação e uma crescente maturidade nos
processos de migração para a nuvem, o que é evidenciado nos investimentos em uma Arquitetura voltada
para a nuvem, e na Avaliação dos Riscos e na aplicação de práticas de Compliance, que surgem à frente das
prioridades neste item.
1. A Conscientização para o Vazamento e a Proteção de dados estão no topo das prioridades das
organizações, com menção de 80% e 78% dos participantes respectivamente.
Segmento Demais
Total
Financeiro Segmentos
Proteção de dados 78 93 72
Phishing 64 64 64
Treinamento em
62 64 61
Conscientização em Segurança
Phishing Físico 58 43 64
Vishing 52 50 53
Smishing 50 50 50
Social Engineering 50 57 47
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade máxima.
Os resultados do gráfico estão expressos em porcentagem.
2. No caso do segmento financeiro há uma distinção: para as empresas do setor, tecnologias de segurança
envolvendo nuvem híbrida de vários fornecedores continua em segundo lugar na lista de prioridades
com 77%, mantendo a mesma colocação dos últimos 3 anos, ao contrário dos outros segmentos.
Nuvem / Híbrido / -3
Acesso remoto Tecnologias de criptografia 54
vários fornecedores e nuvem
Proteção de aplicações 69 73
Segmentação de rede 69 64
Tecnologias de criptografia 54 67
Acesso remoto 46 64
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade máxima.
Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Segmento Financeiro pode apontar o futuro dos investimentos
em Arquitetura de Segurança nos outros setores
Nos anos anteriores, a maioria dos setores investiu na migração para o digital. Neste ano, o
investimento em Proteção de Aplicações pode ser lido como um movimento natural de proteção de
novos canais de comunicação com clientes internos e externos.
No entanto, ao contar com operações em nuvem e com alta dependência tecnológica há mais tempo
do que a maioria dos setores, o segmento financeiro pode estar apontando o futuro dos investimentos
neste quesito em outros setores, ao priorizar o investimento em Nuvem Híbrida / Vários fornecedores.
2. Nas empresas de pequeno porte parece não haver consenso entre as prioridades neste item.
Segmento Outros
Pequena Média Grande
Financeiro Segmentos
Monitoração 60 65 88 87 70
Análise de DLP 40 47 81 73 50
SOC 20 47 75 73 47
Asset Recovery 40 41 69 60 43
Threat Intel 20 35 50 40 40
Netflow Analysis 40 24 44 47 30
Takedown 20 29 19 33 20
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade máxima.
Os resultados do gráfico estão expressos em porcentagem.
1. Na visão com todos os setores, a viabilização dos negócios passa por investimentos
prioritariamente na Computação em Nuvem (51%) , Mobile (38%) e Inteligência Artificial (31%).
2. Ao destacar o segmento financeiro nota-se que este setor tem um forte foco na computação
em nuvem (83% contra 45% nos demais segmentos) e em Inteligência Artificial
(67% contra 24% nos demais setores).
Computação em Nuvem 51 83 45
Mobile Technologies 38 17 42
IoT 28 33 27
Fusões e Aquisições 21 33 18
Criptomoedas e Blockchain 5 0 6
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade máxima.
Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Distinções acentuadas entre setores nas suas prioridades
em tecnologias para viabilização de negócios
Ficam claras as distinções entre o setor financeiro e os outros setores no seu entendimento
das prioridades tecnológicas para viabilização dos negócios.
Esta priorização em Mobile pode ser explicada com a necessidade de abertura de novos
canais de comunicação com clientes internos e externos.
2022
Segmento Demais
Estabilização
da Pandemia Pequena Média Grande Financeiro Segmentos
Ransomware 80 77 100 91 89
Resposta a
80 69 87 82 75
Incidentes
Preparação para
40 54 67 73 46
violação de dados
Investigação
20 31 47 27 36
Forense
Orquestração 20 46 40 18 39
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade máxima.
Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Ransomware como maior ameaça
1. Projetos de Gestão de Riscos e Control Frameworks (68%) serão foco de investimento na categoria
de Governança, Compliance e Auditoria, juntamente com os projetos de adequação a políticas de
privacidade como GDPR, LGPD, Marco Civil e outras resoluções (68%).
Privacidade
Propriedade de dados Alinhamento de Estratégia e Negócios 68
(GDPR / Marco Civil / outra resoluções)
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade máxima.
Os resultados do gráfico estão expressos em porcentagem.
Device fingerprint 17
Segmento Outros
2022
Estabilização da Pandemia Média Grande Financeiro Segmentos
Controle de acessos 54 70 64 61
20 Fator de Autenticação 46 60 45 56
Credenciamento 31 50 36 50
Biometria 15 30 27 17
Device fingerprint 23 10 36 6
Pergunta: Avalie na categoria abaixo, as prioridades/tendências de investimento de 1 a 5, sendo um sem prioridade e 5 prioridade máxima.
Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Gestão de Identidades traz diferentes prioridades para o setor financeiro e demais segmentos
Depois de dois anos como segunda prioridade vemos o controle (gestão) de acessos se tornar categoria
prioritária em todos os segmentos. A mudança é coerente com a crescente ameaça do ransomware (entre outras)
que se aproveitam de um acesso inicial para infectar o ambiente. Não basta ter um controle de credenciais, é
preciso investir na gestão destas credenciais para que o seu acesso se dê apenas no nível necessário.
Outro aspecto interessante é que essa gestão se refere aos acessos internos e externos. Nas empresas onde há
acesso externo como o segmento financeiro nota-se que tecnologias de contexto de acesso (device fingerprint,
geolocalização) são priorizadas, diferentemente dos outros setores.
Entre as prioridades de adoção de novas tecnologias nas empresas estão o Big Data, Analytics e Distributed Cloud. No geral,
a percepção que os responsáveis pela segurança têm dos riscos envolvidos na adoção destas tecnologias é baixa.
1. O uso de Big Data e Analytics (31%), Distributed Cloud (22%), Assistentes Virtuais (21%), Inteligência Artificial e
Machine Learning (19%) aparecem em percentuais mais avançados de incorporação.
2. No entanto, 5G (57%) e Inteligência artificial / Machine Learning (52%) são as fronteiras de mudança
tecnológica escolhidas para os próximos três anos.
3. Tecnologias como blockchain e digital twins ainda aparecem distantes das realidade de boa parte das
organizações atualmente; tanto no nível de adoção até aqui - Blockchain 7% e Digital Twins 4% - quanto no
planejamento de médio prazo, com 28% e 21% respectivamente.
4. Nenhuma das tecnologias pesquisadas aparecem em algum grau excessivamente alto de exposição a cyber
riscos, segundo a opinião dos gestores, com todas elas girando em patamares abaixo dos 24%.
57%
52%
47% 48%
46%
42% 43%
31%
28% 30%
24%
21% 21% 22% 21%
16% 19% 21%
22% 11% 14%
13% 14%
19% 17% 10%
4% 3%
13% 11% 5%
10% 7% 1%
2% 3%
Big data e Distributed Assistentes AI / ML IoT Edged 5G Drones Blockchain Impressão Digital AR / VR /
analytics Cloud Virtuais computing 3D Twins AH
Perguntas: Em relação às tendências de novas tecnologias digitais, marque no quadro qual é o estágio de adoção em sua organização.
Em relação às tendências de novas tecnologias digitais, como você avalia os cyber riscos que estão ou estarão associados ao negócio da sua organização?
AI / ML 14% 38%
5G 12% 45%
IoT 9% 39%
AR / VR / AH 5% 26%
Blockchain 5% 23%
Drones 3% 8%
Impressão 3D 2% 12%
12m De 24 a 36m
Quase metade das empresas afirmou ter sofrido algum incidente cibernético grave
nos últimos 12 meses. No topo da lista de incidentes sofridos estão o ransomware
e a infecção com malwares disfarçados de updates de softwares.
4 em cada 10 empresas, sofreram tiveram algum cyber incidentes ou fraudes nos últimos 12 meses que
consideraram grave; e no segmento financeiro, metade das entrevistadas.
Ransomware 44%
Cryptomining 14%
State-sponsored attack
13%
on critical infrastructure
Foreign influence in
8%
research and develpment
Organizações criminosas
7%
& Estado Nação
2. No segmento financeiro, as Fraudes e Roubos (18%) aparecem como a risco número um após Ameaças
Cibernéticas; e nos demais segmentos, Defasagem Tecnológica com 14%.
3. Destaca-se também a quarta posição do risco de Perda de Pessoal Chave (25%) dentre os desafios das
organizações de todos os segmentos; um risco que se reflete com grande importância nas funções
e no organograma de cibersegurança das empresas.
Fraudes e roubos 11 37 48
Defasagem tecnológica 10 14 24
Incerteza econômica 4 16 20
Pergunta: Dentre os possíveis riscos ao negócio, por favor, ordene as 5 principais preocupações atualmente na sua organização.
Os resultados do gráfico estão expressos em porcentagem.
Na survey The Global Risks Report 2022, produzida pelo Fórum Econômico Mundial, os autores
investigaram os principais riscos percebidos pelos entrevistados como ameaças globais para os
próximos dois anos. No quesito “riscos tecnológicos” as falhas de cibersegurança figuraram com o
principal risco, sendo mencionados por 19,5% dos participantes.
Alto 15 3
Moderado 47 32
Baixo 38 59
Não há exposição 0 6
Pergunta: A que nível de riscos cibernéticos sua organização está exposta ante a cibersegurança da sua cadeia de suprimentos (de terceiros), e vice-versa?
Os resultados do gráfico estão expressos em porcentagem.
_Takeaway//
Cadeia de Suprimentos não é vista como risco elevado pelas empresas
Nos chamou a atenção a confiança que as empresas ouvidas depositam em suas cadeias de suprimentos.
Afinal, as conexões com terceiros em diferentes níveis se tornaram uma das mais sérias formas de exposição
a ciberataques. Apenas para citar um exemplo, o caso envolvendo o SolarWinds expôs 18 mil clientes do
software a malware, incluindo agências governamentais. Outro ataque, envolvendo a Kaseya, colocou em
risco mais 1500 empresas em diversos países.
Projeções da Forrester apontam que em 2022 60% dos incidentes de segurança serão resultado de falhas e
vulnerabilidades presentes em alguma parte da cadeia de suprimentos das empresas.
No entendimento da Tempest, a visibilidade dos riscos envolvendo a cadeia de suprimentos deverá ser uma
prioridade para CISOs de todas as organizações.
1.
Organizações ciber-resilientes, de MIT Technology Review, Edição Especial.
2.
Global Risks Report 2022, do World Economic Forum, publicado em 11 de janeiro de 2022.
Top Security and Risk Management Trends 2021, de Peter Firstbrook e Zaira Pirzada,
publicado publicado pelo Gartner em 30 de março de 2021.
The cybersecurity priorities every CISO is focusing on in 2022. Orange Business. 8 March 2022.
A 3ª Pesquisa Tempest de Cibersegurança possui uma amostra de 172 empresas participantes, tendo
sido conduzida pelo Datafolha entre Janeiro e Abril de 2022. Foram consultados gestores, líderes e
técnicos responsáveis ou que participam da gestão de cibersegurança ou da Segurança da Informação
de empresas de pequeno, médio e grande porte.
O estudo é uma pesquisa quantitativa, com técnica híbrida. Contou com abordagem online através
do envio de convite por email para o auto-preenchimento pelo respondente, em duas versões de
questionário, e abordagem telefônica via CATI com base em questionário estruturado reduzido em
relação às versões online.
Em algumas análises realizadas por porte das empresas segundo a quantidade de funcionários,
este trabalho usou a referência do IBGE que é empregada para a classificação das indústrias, onde
médias empresas são definidas pela faixa de 100 a 499 colaboradores e grandes as com mais 500.
Para as pequenas empresas adaptamos a faixa para de 50 a 99 empregados e selecionamos dentre as
microempresas e empresas de pequeno porte as que possuem entre 20 a 49 pessoas.
_São Paulo
+55 11 3419 6200
Av. Lavandisca, 777
Moema / São Paulo - SP 04515-011
_London
+44 203 818 3248
70 White Lion Street,
London, England, N1 9PP
_www.tempest.com.br