O desafio da redução dos gaps de Segurança da Informação · • Ampliar os investimentos em...

Ideias e informações sobre o risco de TI

Novembro de 2012

O desafio da redução dos gaps de Segurança da InformaçãoPesquisa Global de Segurança da Informação Ernst & Young 2012

Índice

A velocidade das mudanças, um gap cada vez maior 3Inconcebível há alguns anos, a velocidade das mudanças na segurança da informação é vertiginosa. A 15a Pesquisa Global Anual de Segurança da Informação sugere que, embora as organizações adotem medidas para aprimorar as capacidades de segurança da informação, poucas conseguem acompanhar um cenário de riscos em constante mudança.

Por que o gap aumentou 11O gap entre a situação atual e a situação ideal da segurança da informação deve-se a uma ampla combinação de fatores nas áreas de alinhamento, pessoal, processos e tecnologia. Intervenções indesejáveis dos governos e novas pressões regulatórias tornarão o gap cada vez maior entre a vulnerabilidade e a segurança de informações vitais.

Uma transformação fundamental 35Mudanças incrementais de curto prazo e soluções temporárias não são suficientes. A única forma de reduzir o gap é transformar a arquitetura e o modelo de comunicação do departamento de segurança da informação.

Conclusão: faça a transição, reduza o gap 43Implantar a transformação na segurança da informação, com o objetivo de reduzir a crescente lacuna entre vulnerabilidade e segurança, não requer soluções tecnológicas complexas. Na verdade, requer liderança, compromisso, capacidade e coragem para agir – não daqui a um ou dois anos, e sim agora.

Metodologia da pesquisa 44

Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 1

Bem-vindo

A Pesquisa Global de Segurança da Informação da Ernst & Young é uma das mais antigas, reconhecidas e respeitadas pesquisas anuais do gênero. Completando 15 anos de existência, o estudo já ajudou clientes a centrar esforços nos riscos mais graves, identificar pontos fortes e fraquezas e aprimorar a segurança da informação.

Convidamos CIOs, CISOs, CFOs, CEOs e outros executivos da área de segurança da informação para participar da pesquisa. Recebemos respostas de 1.836 participantes em 64 países, de todos os setores da economia.

Nesta edição do relatório, começamos com uma retrospectiva para entender os avanços das organizações no aprimoramento dos programas de Segurança da Informação. Descobrimos que, embora muitas empresas tenham avançado nas medidas para proteger dados, elas não conseguem acompanhar o ritmo e a complexidade das mudanças.

A cada ano, a velocidade e a complexidade aumentam, criando um gap entre a situação atual do programa de segurança da informação das empresas e a situação ideal. Há oito anos, o gap era pequeno. Hoje, é um abismo.

As origens desse gap são tão intrincadas quanto à variedade das questões enfrentadas pelos profissionais de Segurança da Informação. Contudo, com base nos resultados da pesquisa, tais questões podem ser organizadas em quatro categorias distintas: alinhamento, pessoal, processos e tecnologia. O que ainda não pode ser dividido em categorias são as questões que despontam no horizonte, sob a forma de intervenções dos governos e novas pressões regulatórias para enfrentar os riscos à Segurança da Informação.

Soluções de curto prazo e recursos temporários não bastam. As empresas que lutam para reduzir o gap criado por computação móvel, redes sociais, computação em nuvem, crimes cibernéticos e ameaças grandes e persistentes precisam mudar radicalmente a estratégia de segurança da informação. Esta edição da pesquisa mostra o que é uma transformação radical e as medidas que as empresas devem adotar para ser bem-sucedidas.

Gostaria de enviar um agradecimento pessoal a todos os participantes da pesquisa, que concordaram em compartilhar ideias e experiências. Estamos ansiosos para aprofundar a discussão sobre as implicações das descobertas da pesquisa com os nossos clientes atuais e futuros, órgãos reguladores e governos, bem como com analistas e universidades.

Paul van KesselLíder global de serviços de Auditoria e Riscos em TI da Ernst & Young

Paul van KesselLíder global de serviços de Auditoria e Riscos em TI da Ernst & Young

Perguntas para os altos executivos

• O que sua empresa fez para ajustar a Segurança da Informação de modo a enfrentar um ambiente em transformação?

• A empresa implantou as melhorias necessárias na segurança da informação para acompanhar o ritmo das mudanças?

• Quais foram os impactos da mudança nos níveis de segurança?

• Sua organização fez o suficiente?

• Os objetivos e as medidas relacionados à Segurança da Informação estão alinhados à estratégia de negócios?


A velocidade das mudanças, um abismo cada vez maiorVirtualização, computação em nuvem, redes sociais, aparelhos móveis, o desaparecimento dos limites que separavam as atividades empresariais e pessoais de TI: a velocidade das mudanças na Segurança da Informação pode ser atordoante se pensarmos na rapidez e em quanto a tecnologia evoluiu num curto espaço de tempo. A ascensão dos mercados emergentes, a crise financeira e o offshoring só aumentam a complexidade e a permanente evolução das questões relacionadas à Segurança da Informação – e a urgência em resolvê-las. As empresas melhoraram consideravelmente os programas de Segurança da Informação, para enfrentar ameaças cada vez maiores. Acrescentaram novas funções aos sistemas, redefiniram estratégias, implementaram novos componentes e contrataram mais pessoal.É claro que esses ajustes graduais aprimoraram os recursos dos programas de Segurança da Informação, mas isso não é o bastante. Na verdade, os resultados da pesquisa sugerem que, embora as organizações estejam adotando muitas medidas para melhorar esse aspecto, poucas conseguem acompanhar tudo o que ocorre à sua volta. E menos empresas ainda têm a capacidade de se adiantar o suficiente para prever não apenas as ameaças de hoje, mas também as de amanhã.Nas próximas páginas, mapeamos a evolução e as tendências de Segurança da Informação de 2006 até o presente – e falamos sobre o que ainda precisa ser feito para reduzir o gap entre vulnerabilidade e segurança.

4 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012

Temas da pesquisa de segurança da informação

Medidas recomendadas

Principais tendências

Impacto sobre as organizações

Atingir sucesso num mundo globalizado

Atingir o equilíbrio entre risco e desempenho

2006• Envolver-se proativamente no cumprimento

das exigências regulatórias

• Aprimorar a gestão de risco de relacionamentos com terceiros

• Aumentar investimentos em privacidade e na proteção de dados pessoais

2007• Alinhar a segurança da informação

aos negócios

• Enfrentar o desafio de preencher cargos ligados à segurança da informação

2008• Adotar uma visão centrada no negócio

• Manter investimentos em segurança da informação, mesmo diante de pressões econômicas

• Investir em programas de treinamento e conscientização, para que o fator humano deixe de ser o elo mais fraco da corrente

2009• Considerar o co-sourcing para enfrentar a

falta de recursos e os orçamentos apertados

• Avaliar o impacto potencial das novas tecnologias e a capacidade de a empresa proteger seus ativos

• Conhecer os riscos impostos pelas crescentes ameaças externas e internas

Ir além da conformidade

Superar o ritmo das mudanças

Antes de 2006, a Segurança da Informação era vista principalmente como um importante componente na mitigação de riscos financeiros e no cumprimento de novas exigências regulatórias, como a SOX 404.

Depois de 2006, o escopo da segurança da informação foi expandido em duas direções

1. A Segurança da Informação precisava proteger as organizações de forma mais ampla, principalmente num mundo globalizado

2. A Segurança da Informação precisava de um retorno claro de investimento, e isso exigiu um alinhamento entre risco e desempenho.

Em 2008, a Segurança da Informação avançou para além da conformidade. Proteger marcas e reputações tornou-se a grande motivação, num ambiente repleto de crescentes ameaças. Identificar e administrar novos riscos e utilizar a tecnologia para garantir a segurança dos negócios também eram pontos centrais.

Ao mesmo tempo, o mundo mudou de forma radical:

• A crise financeira e a desaceleração econômica atingiram em cheio muitas organizações.

• Os mercados emergentes ganharam destaque.

• O ambiente competitivo mudou.

Para enfrentar esses desafios, as empresas se concentraram em reformar, reestruturar e reinventar-se, com o objetivo de acompanhar o ritmo das novas exigências e as pressões de custos cada vez maiores.

Baixo AltoVelocidade da mudança Complexidade da resposta Gravidade do impacto


2006 2007 2008 2009

Moving beyond compliance Ernst & Young’s 2008 Global Information Security Survey

Outpacing changeErnst & Young’s 12th annual global information security survey


Temas da pesquisa de segurança da informação

Medidas recomendadas

Principais tendências

O impacto sobre as organizações

2010• Enfrentar os riscos associados

às tecnologias emergentes

• Ampliar os investimentos em ferramentas de prevenção de perda de dados

• Adotar uma visão da segurança centrada em informações mais alinhadas ao negócio

2011• Trazer a Segurança da Informação

para a mesa do conselho

• Proteger as informações mais importantes

• Adotar a criptografia como controle básico

• Centrar esforços no que é mais importante

2012• Continuar considerando a Segurança da

Informação uma prioridade que deve chegar à mesa do conselho

• Desenvolver uma estratégia integrada em torno dos objetivos corporativos e considerar o panorama de risco como um todo

• Usar a análise de dados para testar o ambiente de risco e entender os dados que precisam de mais proteção

• Usar previsões orçamentárias num horizonte de três a cinco anos, para garantir o planejamento de longo prazo

• Inovar, inovar, inovar

• Começar a trabalhar com transformações fundamentais, conforme descreveremos mais adiante nesta pesquisa

Segurança sem fronteiras

Dentro da nuvem e longe da névoa

O gap na segurança da informação

Com a economia global ainda em processo de recuperação, e num ambiente com pressões permanentes de custos e recursos escassos, duas novas ondas de mudança surgiram:

1. As organizações começaram a entender que a globalização leva os dados a todos os lugares. Com frequência cada vez maior, os funcionários enviavam dados pela internet a parceiros de negócios, ou levavam consigo dados em aparelhos móveis. Os limites tradicionais das empresas desapareciam junto com os velhos paradigmas de segurança.

2. O processamento de dados passou para a nuvem. As organizações compreenderam as necessidades de segurança relacionadas à terceirização de TI. Adotar a nuvem exigia que os responsáveis pela Segurança da Informação redefinissem sua estratégia.

A velocidade e a complexidade das mudanças crescem em ritmo vertiginoso:

• Virtualização, computação em nuvem, redes sociais, dispositivos móveis e outras tecnologias novas e emergentes abrem as portas para uma onda de ameaças internas e externas.

• Mercados emergentes, a contínua instabilidade econômica, offshoring e as crescentes exigências regulatórias aumentam a complexidade do já difícil ambiente de Segurança da Informação.

As organizações deram grandes passos para aprimorar os recursos de Segurança da Informação. Apesar disso, continuam para trás, criando um gap crescente na Segurança da Informação.



2010 2011 2012

2012Into the cloud, out of the fog Ernst & Young’s 2011 Global Information Security Survey

Insights on IT riskBusiness briefing

November 2011

Borderless securityErnst & Young’s 2010 Global Information Security Survey

Insights on IT risk Business briefing

November 2012

Fighting to close the gapErnst & Young’s 2012 Global Information Security Survey


Melhorias adotadas pelas empresasComo reação às principais recomendações feitas ao longo dos anos, as organizações aprimoraram significativamente os programas de Segurança da Informação, de modo a enfrentar as mudanças em um ambiente de risco.

Talvez a evolução mais importante ocorrida entre 2006 e os dias de hoje tenha sido a mudança no modo de olhar das empresas para a Segurança da Informação. Até há algum tempo chamada de segurança de TI, a responsabilidade pela proteção dos dados de uma organização cabia apenas ao departamento de TI. Mas isso mudou. Hoje, as empresas entendem que a segurança dos dados é um imperativo da estratégia de negócios e exige uma resposta corporativa, alinhada à questão mais ampla da Segurança da Informação em toda a estrutura organizacional.

Outros avanços incluíram:

Maior cumprimento das exigências regulatórias Durante anos, as ameaças externas de programas maliciosos e vírus estiveram no centro da Segurança da Informação. Tudo mudou em 2005, quando o cumprimento das exigências regulatórias tornou-se assunto na mesa do conselho. Desde então, a conformidade com as regulações tornou-se a principal força motriz da Segurança da Informação para cerca de 80% dos participantes na pesquisa. A única exceção foi o ano de 2008, quando a questão de marca e reputação apareceu como mais importante.

A adesão mais sólida às exigências regulatórias melhorou consideravelmente a administração do risco relacionado à segurança da informação. Por exemplo: no setor de serviços financeiros – um dos mais regulamentados –, os bancos dos Estados Unidos discutem uma possível colaboração para identificar formas de enfrentar os riscos impostos à segurança da informação, mesmo sendo concorrentes. A Segurança da Informação está na pauta do presidente Barack Obama, dos Estados Unidos, da presidente Dilma Rousseff, do Brasil, e os bancos tentam melhorar a governança da gestão do risco da Segurança da Informação antes que os reguladores o façam.

Maior transparência Em 2008, apenas 18% dos participantes indicaram que a Segurança da Informação era parte integrada da estratégia de negócios, e 33% sugeriram que a estratégia de segurança da informação era integrada à estratégia de TI. Em 2012, esses números saltaram para 42% e 56%, respectivamente.

Até onde as empresas devem ir?


Ameaças imprevisíveis e diversasAo longo das últimas décadas, a civilização tornou-se mais dependente de infraestruturas grandiosas, centradas em TI. O presidente Barack Obama escreveu recentemente num artigo: “Até o momento, ninguém conseguiu causar danos ou interrupções graves às redes críticas de infraestrutura do país. Mas governos estrangeiros, grupos criminosos e indivíduos isolados estão sondando diariamente nossas finanças, nossa energia e nossos sistemas públicos de segurança... Uma derrubada

dos sistemas bancários essenciais poderia desencadear uma crise financeira”. (Barack Obama, “Levando a sério a ameaça de ataque cibernético”, The Wall Street Journal, 19 de julho de 2012.)

As fontes de ameaças catastróficas são consideradas cada vez mais imprevisíveis e diversas – ataques apoiados por governos, crime organizado, ativistas hackers, desastres naturais, terrorismo. A resiliência organizacional é o objetivo almejado, principalmente no caso

de redes críticas de estrutura. O termo “resiliência” é uma descrição, e não uma receita pronta, que denota a capacidade de uma empresa resistir a interrupções e garantir prosperidade a longo prazo.

Fica a questão: será que uma ocorrência cibernética relacionada à segurança poderia causar outro evento catastrófico na mesma escala do 11 de Setembro? Isso daria prioridade imediata aos riscos de alto impacto e baixa ocorrência – os mais difíceis de analisar e mitigar.

Desenvolver uma estratégia de Segurança da Informação integrada é fundamental para garantir uma visão abrangente do panorama de risco, e também para enfrentar esses riscos. Organizações líderes já reconheceram essa necessidade e trabalham com afinco para que a Segurança da Informação esteja atrelada às estratégias de negócios e de TI.

A crescente importância da gestão da continuidade dos negóciosO tema da continuidade dos negócios relacionada à Segurança da Informação começou a aparecer em 2006. Em 2008, o departamento de TI era visto como o principal responsável pela gestão da continuidade dos negócios - enquanto a prioridade era mais a recuperação em caso de desastres.

Em 2012, as organizações classificaram a continuidade dos negócios como a segunda função mais importante dentro de uma empresa. Contudo, é preciso fazer mais, e 47% dos entrevistados declararam esperar gastar mais neste ano para garantir a continuidade dos negócios e a recuperação em caso de desastres

A reação às novas tecnologias As empresas tiveram de reagir com rapidez às novas tecnologias. Em 2006, os smartphones eram usados principalmente por executivos, e os tablets não existiam como produto vendido comercialmente. Os riscos ligados aos aparelhos móveis, às redes sociais e à nuvem não eram prioritários para quase ninguém, pois ainda não haviam entrado no ambiente corporativo.

Desde então, a proliferação dos aparelhos e das redes móveis, bem como a tênue fronteira entre seu uso profissional e pessoal, forçaram as empresas a implantar, com urgência, políticas relativas aos riscos associados à evolução das tecnologias. As organizações vêm ajustando as políticas, adotando programas de conscientização – e, no caso da computação na nuvem, aprimorando a supervisão do processo de gestão de contratos com provedores desses serviços. Além disso, estão melhorando as técnicas de criptografia.


Ameaças velozesApesar de todos os investimentos que as empresas vêm fazendo para melhorar, o ritmo das mudanças é cada vez mais acelerado.

Em 2009, 41% dos entrevistados notaram um aumento nos ataques externos. Em 2011, esse número saltou para 72%. Em 2012, o número de participantes que apontou um aumento nas ameaças externas passou para 77%. Exemplos do aumento nas ameaças externas incluem ativismo dos hackers, espionagem apoiada por governos, crime organizado e terrorismo.

Ao longo do mesmo período, as organizações também notaram um aumento de vulnerabilidades no ambiente interno. Nesta edição da pesquisa, quase metade dos entrevistados (46%) afirma que houve aumento, e 37% apontam o descuido ou a falta de atenção dos funcionários como a ameaça que mais cresceu ao longo dos últimos 12 meses. Curiosamente, em termos relativos esse número não é muito inferior aos 50% que citaram, na pesquisa de 2008, a conscientização dentro da empresa como o desafio mais importante para concretizar iniciativas bem-sucedidas de Segurança da Informação.

O gap remanescenteEste estudo mostra claramente que as ameaças crescem em ritmo bem mais acelerado do que as melhorias adotadas pelas organizações. Mais preocupante é o fato de que, em algumas áreas críticas, as melhorias não só foram pequenas, como existe uma estagnação ou até uma redução na implantação de importantes iniciativas de Segurança da Informação.

Essas questões incluem:

• Alinhamento da estratégia de Segurança da Informação ao negócio

• Recursos suficientes para capacitação e treinamento adequados

• Processos e arquitetura

• Novas tecnologias em desenvolvimento

Esses são temas sobre os quais fazemos relatórios frequentes, e para os quais já fornecemos recomendações em estudos anteriores.

Na falta de ações adequadas e efetivas, o gap entre os níveis necessários para acompanhar as ameaças e vulnerabilidades e os níveis reais de Segurança da Informação continua a aumentar. Se não derem atenção a isso, as empresas correm riscos que podem causar impacto em suas marcas e até mesmo na participação de mercado.

“ Para o CIO de hoje, é normal pensar que rápido não é rápido o bastante. O mesmo raciocínio vale para a segurança da informação.”Paul van KesselLíder global de serviços de Auditoria e Riscos em TI da Ernst & Young


2006 2012

Melhorias reais aplicadas à segurança da informaçãoNecessi

dade de melhoria co

m base nas ameaças c

rescentes

Setor de serviços financeiros tenta equilibrar risco e crescimento na região Ásia-PacíficoNa região Ásia-Pacífico, o setor de serviços financeiros está de fato interessado em assumir riscos adicionais de negócios – desde que sejam mensurados. As empresas esperam

aumentar as receitas ou expandir sua participação nos países asiáticos. Embora os críticos possam dizer que essa é uma estratégia de negócios admirável, as organizações devem pensar nas

consequências relativas ao cumprimento das inúmeras exigências regulatórias em centros regionais, como Cingapura, Hong Kong e Filipinas.

Nível atual de segurança da informação

Nível necessário de segurança da informação

O gap


Por que o gap aumentouO gap entre onde Segurança da Informação está e onde deveria estar não é fruto de uma só questão. É resultado de uma gama de fatores relacionados a alinhamento estratégico organizacional, pessoas, processos e tecnologia. No entanto, ainda não é possível definir categorias para questões que vêm surgindo, na forma de intervenção governamental e novas pressões regulatórias para que o risco da Segurança da Informação seja enfrentado.

Ameaças reconhecidas que afetam a organização

Panorama de risco: 2006-2011

Panorama de risco: 2012 e alémAmeaças novas, maiores, mais perigosas e de impacto mais rápido

Questões ligadas à segurança

da informação:

alinhamento; pessoal; processo

e tecnologia

Efi cá

cia da segurança da informação

Efi cácia da segurança da inform

ação


Um alinhamento desequilibradoDurante anos, a Ernst & Young afirmou que a Segurança da Informação precisa de um posicionamento estratégico que vá além do departamento de TI. Deve tornar-se uma prioridade no conselho, e os executivos da área devem ter lugar garantido na mesa onde as decisões são tomadas. Há algum tempo, os executivos de Segurança da Informação vêm dando importantes passos para atingir essa visibilidade, essa responsabilidade e esse valor. Entretanto, em anos recentes, fatores como o aumento das ameaças, instabilidade econômica, mercados emergentes, offshoring e novas tecnologias aumentam a complexidade dessa área de atuação, e a segurança da informação se vê obrigada a competir com outras prioridades da diretoria. Como resultado, embora a segurança da informação esteja avançando na direção certa, talvez não receba toda a atenção necessária para acompanhar o ritmo das mudanças.

A necessidade de um alinhamento mais amploA pauta de Segurança da Informação continua sendo comandada por TI, e não fundamentada na estratégia de negócios da organização.Uma estratégia eficaz de Segurança da Informação precisa se estender por todo o negócio e funcionar em uníssono com diversas áreas. Por isso, é fundamental que seus objetivos estejam alinhados não apenas aos objetivos de negócios de toda a organização, mas também aos diversos objetivos departamentais e funcionais.

Entre 2008 e 2012, o número de entrevistados que afirmaram que a estratégia de segurança da informação está alinhada à estratégia de TI aumentou de 33% para 56%, o que é surpreendente. No mesmo período, o número de participantes que afirmaram que a estratégia de Segurança da Informação está alinhada à estratégia de negócios aumentou de 18% para 42%.

Contudo, em 2012:

• Pouco mais de um terço (38%) alinhou a estratégia de Segurança da Informação à disposição e à tolerância a riscos dentro da empresa.

• Pouco mais da metade (54%) afirmou realizar discussões trimestrais ou mais frequentes sobre temas relacionados à Segurança da Informação nas reuniões do conselho. Os 46% restantes quase nunca – ou nunca – discutem o assunto com a alta administração do organograma da empresa.

42%afirmam que a estratégia de Segurança da Informação da empresa está alinhada à estratégia de negócios

38%afirmam que a estratégia de Segurança da Informação da empresa está alinhada à disposição por riscos da organização

56%dos entrevistados afirmam que a estratégia de Segurança da Informação da empresa está alinhada à estratégia de TI


Governança e monitoramento de responsabilidadesApenas 5% têm a Segurança da Informação subordinada ao CRO (chief risk officer) – o maior responsável pela gestão do perfil de risco da empresa. Considerando que a Segurança da Informação continua sendo responsabilidade de TI dentro de tantas empresas, não surpreende que 63% dos entrevistados tenham indicado que suas organizações conferiram a responsabilidade pela área ao departamento de TI.

Esse departamento, sem dúvida, entende do assunto e sabe as ameaças que enfrenta. Mas depender de uma estratégia de segurança da informação tão subordinada a TI pode impedir a eficiente avaliação, medição e alinhamento às prioridades de negócios.

Alguns CIOs fazem a ponte entre o negócio e a tecnologia necessária para alinhar a Segurança da Informação às estratégias de negócios e TI. Mas, aliando os conhecimentos de TI a um olhar de fora, as organizações podem aprimorar a eficácia geral da Segurança da Informação.

• Ajudam a criar e manter medições precisas e alinhadas aos objetivos de negócios

• Asseguram uma avaliação objetiva da eficácia da Segurança da Informação

• Resolvem questões relacionadas à tomada de decisões, antecipam potenciais conflitos de interesse e facilitam discussões ligadas às prioridades que, de outra forma, poderiam representar desafios caso fossem conduzidas apenas por TI

É importante notar que 26% das empresas delegaram a responsabilidade pela segurança da informação ao CEO, CFO ou COO, transformando o assunto em prioridade para os altos executivos. Mas apenas 5% têm a segurança da informação subordinada ao CRO (chief risk officer) – o maior responsável pela gestão do perfil de risco da organização.

Essa decisão é importante na hora de selecionar ferramentas, processos e métodos adequados para monitorar ameaças, medir o desempenho e identificar gaps de cobertura. Tradicionalmente, o departamento de TI não tem um mecanismo formal para avaliação de cenários de risco – o que é essencial para a área responsável por gestão dos riscos da empresa. Talvez isso explique por que 52% das empresas não tenham um programa de controle de ameaças em vigor no momento.

Sem uma estratégia disciplinada para pesquisa e monitoramento de ameaças, a área de TI não apenas será incapaz de enfrentar proativamente as ameaças atuais como também não conseguirá prever as ameaças à espreita. Isso aumenta ainda mais o gap.

63%das empresas confiaram à área de TI a responsabilidade pela Segurança da Informação

26%das empresas confiaram ao CEO, CFO ou COO a responsabilidade pela Segurança da Informação

5%das empresas confiaram ao CRO (chief risk officer) a responsabilidade pela Segurança da Informação


Avaliações conduzidas pela área de auditoria interna 68%

Autoavaliações feitas por TI ou pela área de segurança da informação 64%

Avaliações feitas por terceiros 56%

Monitoramento e avaliação de incidentes e eventos de segurança 48%

Em conjunto com a auditoria externa responsável pelo balanço financeiro 35%

Benchmarking em relação a pares/concorrência 27%

Avaliação do desempenho operacional da segurança da informação 19%

Certificação formal de acordo com normas externas de segurança (ex.: ISO/IEC 27001:2005) 15%

Certificação formal de acordo com as normas de segurança do setor (ex.: Padrão de Segurança de

Dados do Setor de Cartões de Pagamento)15%

Avaliação dos custos de segurança da informação 14%

Avaliação de desempenho do retorno sobre investimento (ou similar, como o Rosi – Retorno sobre Investimento em Segurança)

5%

Nenhuma avaliação foi feita 4%

Os diversos meios usados para monitorar a Segurança da Informação dificultam ainda mais a clareza da avaliação. Conforme demonstra o gráfico abaixo, a maioria das empresas utiliza uma auditoria interna (68%) para avaliar a eficiência da Segurança da Informação. Uma porcentagem um pouco menor (64%) usa a área de TI ou a própria Segurança da Informação para realizar autoavaliações.

De fato, a proliferação das ameaças e o crescente gap entre vulnerabilidade e segurança exigem mais de uma fonte de avaliação. O ideal seria as empresas utilizarem as quatro principais técnicas identificadas: avaliação por auditoria interna; autoavaliação; avaliação por terceiros e monitoramento e avaliação de incidentes de segurança. Organizações de alto desempenho usam uma combinação de duas ou mais técnicas de avaliação para determinar a eficiência da segurança da informação. Com base na alta porcentagem observada nas quatro principais opções de avaliação, é possível concluir que muitos entrevistados são empresas de alto desempenho.

Infelizmente, um bom desempenho nas avaliações não basta para proteger algumas áreas de segurança da informação de críticas a seu desempenho como um todo. Apenas 16% dos participantes declaram que a área de segurança da informação atende completamente às necessidades da empresa; 70% dizem que a área de segurança da informação atende parcialmente a essas necessidades e afirmam que melhorias estão a caminho.

Como a sua empresa avalia a eficiência da Segurança da Informação? Escolha todas as respostas que se apliquem ao seu caso.

70%dos entrevistados dizem que a área de Segurança da Informação atende apenas parcialmente às necessidades da empresa e que há melhorias sendo feitas


Um cenário de risco em transformaçãoÉ possível adotar medidas físicas para evitar ações criminosas. Mas é frequentemente mais difícil evitar incompetência, maldade ou vingança.As empresas reconhecem que o cenário de risco está mudando. Cerca de 80% concordam que há um nível crescente de ameaças externas, e quase metade afirma que a vulnerabilidade interna é cada vez maior.

Além disso, 31% dos entrevistados observaram um aumento no número de incidentes de segurança em relação a 2011, enquanto apenas 10% sentiram uma redução desse fator. O número de incidentes ficou estável de acordo 59%. Com o aumento na frequência e no tipo de ameaças à segurança da informação, e diante do número cada vez mais alto de incidentes, aumenta também o impacto das perdas provocadas pelas falhas na segurança.

Ameaças externas não são o único gap de segurança enfrentado pelas organizações. O volume de perdas não intencionais de dados provocadas pelos funcionários também está crescendo.

Gestão eficiente, treinamentos e conscientização podem frear a crescente ocorrência de perda de dados, e é possível adotar medidas físicas para evitar atos criminosos. Mas com frequência é mais difícil evitar as ações de pessoas determinadas a causar danos por ações maliciosas, vingança ou ganância.

A segurança da informação é prioridade para profissionais de auditoria internasEm 2012, a Ernst & Young encomendou uma pesquisa global para estudar a evolução no papel da auditoria interna. Quase metade dos entrevistados (48%) declarou que o risco à segurança da

informação e à privacidade era prioridade absoluta dentro da empresa. Na verdade, 14% dedicam entre 10% e 20% de seu tempo de auditoria ao risco da segurança da informação e pretendem continuar

a fazer isso durante os próximos dois anos. Para ler o relatório The future of internal audit is now, acesse www.ey.com/internalaudit.

The future of internal audit is nowIncreasing relevance by turning risk into results

Insights on riskJuly 2012

Mudanças no cenário de risco nos últimos 12 meses

“ As empresas têm de deixar para trás a ideia de proteger o perímetro de segurança e passar a proteger informações. Tudo se resume a centrar esforços no alvo correto.”Manuel Giralt HerreroLíder de serviços de auditoria e riscos em TI para a região EMEIA (Europa, Oriente Médio, Índia e África) da Ernst & Young

Nível de risco decrescente devido a:

18%6%Redução nas ameaças externas

Redução na vulnerabilidade interna

Nível de risco crescente devido a:

77%46%

Aumento nas ameaças externas

Aumento na vulnerabilidade interna


O investimento aumentou. Mas será que o dinheiro é bem empregado? Os participantes da pesquisa classificam a gestão da continuidade dos negócios como a maior prioridade de investimentos para os próximos 12 meses. Em todo o mundo, as empresas registram um aumento nos níveis de ameaças e reagem gastando mais e ajustando prioridades:

• 44% dos entrevistados vão manter inalterado o orçamento ao longo dos próximos 12 meses

• 30% preveem um aumento de 5% a 15% no orçamento para segurança da informação

• 9% preveem um aumento de 25% ou mais no orçamento para segurança da informação

Do ponto de vista orçamentário, o volume varia muito:

• 32% investem US$ 1 milhão ou mais em Segurança da Informação

Conforme mostra o gráfico à direita, a área prioritária para investimentos ao longo dos próximos 12 meses (apontada por 51% dos entrevistados) é a gestão da continuidade dos negócios e a recuperação em caso de desastres. Em 2011, essa porcentagem era de 36%. Isso reflete nossa afirmação, já destacada neste relatório, de que as organizações trabalharam com afinco para avançar na área da continuidade dos negócios. Esperamos que seja também, ao menos em parte, uma reação aos acontecimentos prejudiciais e por vezes catastróficos dos últimos anos – terremotos, incêndios, furacões e tsunamis – que enfraqueceram a tecnologia, destruíram cadeias de fornecimento e dizimaram receitas.

É interessante observar que a segunda prioridade apontada pelos entrevistados foi a remodelagem do programa de segurança da informação. Isso mostra que as empresas líderes reconhecem a existência do gap descrito no primeiro capítulo do relatório. Essas empresas compreendem que adotar soluções pontuais ou melhorias temporárias não basta. Para enfrentar os problemas atuais é preciso realizar uma transformação (ou uma mudança radical) na segurança da informação.

Por outro lado, os testes de segurança foram considerados alta prioridade por apenas 6% das empresas. As baixas porcentagens no final do gráfico sugerem que os entrevistados sentem-se confiantes nessas áreas – acreditam estar fazendo o suficiente e, portanto, podem voltar a atenção para áreas de maior prioridade.

Em relação às áreas nas quais as empresas pretendem aumentar os investimentos em 2013, não surpreende que garantir novas tecnologias, continuidade nos negócios e recuperação em caso de desastre esteja no alto da lista de prioridades. Conforme mostra o gráfico da página 19, mais de metade (55%) espera aumentar os gastos na compra de novas tecnologias. Uma porcentagem ligeiramente inferior (47%) planeja gastar mais na prioridade número um – a continuidade dos negócios. Pouco mais de um quarto (26%) planeja gastar mais na sua prioridade número dois: a transformação da segurança da informação.

30%esperam um aumento de 5% a 15% no orçamento para Segurança da Informação

44%dos entrevistados esperam manter inalterado o orçamento para Segurança da Informação nos próximos 12 meses

32%gastam US$ 1 milhão ou mais em Segurança da Informação

9%esperam um aumento de 25% ou mais no orçamento para Segurança da Informação


Quais áreas abaixo, ligadas à segurança da informação, são definidas como “prioridades essenciais” para os próximos 12 meses?

Continuidade dos negócios/recuperação em caso de desastres

Transformação da segurança da informação (reformulação fundamental)

Vazamento de dados/prevenção de perda de dados, tecnologias e processos

Adoção de normas de segurança (ex.: ISO/IEC 27002:2005)

Gestão do risco de segurança da informação

Garantir novas tecnologias (ex.: computação na nuvem, virtualização e computação para aparelhos móveis)

Monitoramento de conformidade

Tecnologias e processos de gestão de identidade e acesso

Operações de segurança (antivirus IDS IPS patching encryption)

Governança e gestão de segurança (ex.: gestão de programas de arquitetura de dados e de relatórios)

Privacidade

Atividades de segurança ligadas a offshoring/terceirização

Apoio contra fraudes/investigação criminal

Recrutamento de pessoal de segurança

Gestão de eventos e incidentes de segurança

Capacitação para reagir a incidentes

Conscientização e treinamento sobre segurança

Tecnologias e processos de gestão de ameaças e vulnerabilidade

Testes de segurança (ex.: ataques e invasões)

Garantir processos de desenvolvimento (ex.: processos de garantia de qualidade para codificação segura)

Legenda: 1º 2º 3º 4º 5º


Informação interessanteAs empresas que usam a concorrência como base de referência para avaliar a eficácia da segurança da informação relatam um impacto financeiro acima da média. É importante notar ainda que

quase 25% de todos os entrevistados declaram desconhecer o impacto financeiro. Para organizações que não fazem avaliação de eficácia (4% dos participantes na pesquisa), a porcentagem

dos que desconhecem o impacto de problemas de segurança da informação sobe para 40%.

Um paradigma completamente novo

Na guerra pela segurança dos dados de governos, as estatísticas mostram que os vilões estão levando a melhor. Alguns especialistas em segurança afirmam que, para reverter essa tendência, é preciso adotar um “paradigma completamente novo” de segurança de TI.

O Government Accountability Office dos Estados Unidos (órgão do congresso americano responsável por questões relativas ao recebimento e pagamento de recursos públicos) informou que as violações de dados federais envolvendo a divulgação não autorizada de informações pessoalmente identificáveis aumentaram 19% entre 2010 e 2011(1), num salto de 13.000 para 15.500 registros. As vítimas dessas violações passam pelo menos alguns meses sem saber o que está acontecendo. Cerca de 123.000 contribuintes do Thrift Savings Plan (plano de pensão para servidores públicos americanos), cujos dados pessoais foram comprometidos numa violação ocorrida em julho de 2011, só foram avisados sobre o episódio em maio de 2012.

Não é o único exemplo de casos do tipo. Em um artigo, o Washington Business Journal informou que a Agência de Proteção Ambiental dos Estados Unidos (EPA) levou meses para notificar 5.100 funcionários e 2.700 “outros indivíduos” sobre uma violação na segurança de dados, em março de 2012, que deixou expostos números de CPF e informações bancárias(2).

(1) “GAO registra alta de 19% em violações de dados”, www.federaltimes.com; 31 de julho de 2012; http://federaltimes.com/article/20120731/IT01/307310003/Data-breaches-up-19-percent-GAO-reports

(2) Aitoro, Jill; “Violação de segurança na EPA expõe informações pessoais de 8.000 pessoas”; Washington Business Journal; www.bizjournals.com; 2 de agosto de 2012; http://www.bizjournals.com/washington/news/2012/08/02/epa-security-breach-exposes-personal.html.


Em comparação com o ano anterior, sua empresa planeja investir mais, aproximadamente a mesma quantia ou menos nas atividades abaixo ao longo do próximo ano?

Garantir novas tecnologias

Continuidade dos negócios/recuperação em caso de desastre

Vazamento de dados/tecnologias e processos de prevenção de perda de dados

Tecnologias e processos de gestão de identidade e acesso

Conscientização e treinamento de segurança

Gestão de risco de segurança da informação

Testes de segurança

Operações de segurança

Governança e gestão da segurança

Tecnologias e processos de gestão de vulnerabilidade e ameaças

Monitoramento de conformidade

Gestão de eventos e incidentes de segurança

Adoção de normas de segurança

Capacidade de reação em caso de incidentes

Transformação da segurança da informação

Processos seguros de desenvolvimento

Privacidade

Recrutamento de pessoal de segurança

Apoio contra fraudes/investigação criminal

Atividades e segurança ligadas a offshoring/terceirização

Legenda: Investir mais Investir o mesmo Investir menos


Recursos insuficientes, capacitação inadequadaÉ um mantra conhecido, principalmente nesta era de instabilidade econômica e retenção de custos: trabalho demais, recursos de menos. Entretanto, a falta de recursos é apenas parte da história. A Segurança da Informação não precisa apenas de mais dinheiro; ela requer pessoas com capacitação e treinamento adequados para enfrentar com rapidez as mudanças contínuas no cenário da segurança da informação.

Limitação de recursosApenas 22% dos entrevistados indicam que planejam investir mais na área nos próximos 12 meses.Perguntados sobre as principais barreiras e obstáculos que desafiam o trabalho da área de Segurança da Informação, 43% dos entrevistados citaram a falta de mão de obra capacitada. Essa porcentagem sem dúvida está ligada ao único fator com pontuação ainda mais alta: as restrições orçamentárias. Porém, apenas 22% dos participantes na pesquisa planejam gastar mais na área ao longo dos próximos 12 meses.

Treinamento limitado sobre conscientização de segurançaAs empresas precisam treinar funcionários que não sejam da área de segurança da informação sobre o papel que têm de exercer para garantir a segurança das informações da organização. Encontrar pessoas bem preparadas na área de Segurança da Informação é apenas parte da equação. Considerando a aceleração das ameaças externas, aliada à proliferação de aparelhos e redes usadas para fins profissionais e de lazer, as empresas têm de dedicar profissionais e dinheiro ao treinamento de funcionários que não sejam da área de Segurança da Informação, para deixar claro seu papel na segurança das informações da organização. Conforme já dissemos, 37% dos entrevistados apontam funcionários descuidados ou desinformados como a ameaça que mais aumenta a exposição da empresa a riscos. Da mesma maneira, o número de incidentes ligados à perda de dados causada por funcionários negligentes aumentou 25% ao longo do último ano.

Os entrevistados indicam que pretendem gastar mais; entretanto, a quantia ainda representa aproximadamente 5% de todos os gastos com Segurança da Informação.

Principais obstáculos para a eficácia da Segurança da Informação

43%Falta de pessoal capacitado

26%Falta de ferramentas

20%Falta de apoio dos executivos

62%Restrições orçamentárias


Quais ameaças e vulnerabilidades aumentaram mais sua exposição ao risco nos últimos 12 meses?

Funcionários descuidados ou desinformados

Ataques cibernéticos para roubar informações financeiras

Controles ou arquitetura de segurança da informação ultrapassados

Ataques cibernéticos para interromper serviços ou prejudicar a empresa

Fraude

Desastres naturais

Programas maliciosos

Ataques cibernéticos para roubar dados ou propriedade intelectual

Vulnerabilidades relacionadas ao uso de computação móvel

Vulnerabilidades relacionadas ao uso da computação na nuvem

Espionagem

Phishing

Acesso não autorizado

Spam

Ataques internos

Vulnerabilidades relacionadas ao uso de redes sociais

Legenda: 1º 2º 3º 4º 5º

Dados roubados do carro de um funcionárioDe acordo com relatórios da eweek.com, softpedia.com e nakedsecurity.com, em agosto de 2012 um grupo de médicos do estado americano de Indiana – o Cancer Care Group – admitiu que mídias de backup com dados de 55.000 pacientes e funcionários haviam sido roubadas

do carro de um funcionário no mês anterior.

Embora a escala desse evento seja pequena em relação às violações registradas por grandes empresas, os dados roubados continham nome, endereço, data de nascimento, número de CPF, número de prontuário

médico, informações sobre planos de saúde e dados clínicos dos pacientes envolvidos, bem como as datas de nascimento, números de CPF e nomes dos beneficiários dos funcionários desses médicos.


Falta rigor ao processoEm 2009, sugerimos que as empresas deveriam adotar uma postura que colocasse a informação no centro das atenções da segurança, de modo a garantir mais alinhamento ao fluxo de informação. Afirmamos ainda que a compreensão do uso da informação em importantes processos de negócios era a única forma de administrar de maneira eficiente as necessidades de segurança – principalmente na área de Segurança da Informação. Tais recomendações foram feitas na crença de que as empresas já haviam adotado, ou iriam adotar, os processos necessários – incluindo uma estrutura efetiva e organizada, ou um sistema de gestão de Segurança da Informação. Em 2012, descobrimos que a maioria das empresas ainda não tem essa estrutura.

A falta de uma estrutura de arquitetura de segurança O que existe é uma colcha de retalhos de defesas não integradas, complexas e frequentemente frágeis, que cria sérios gaps de segurança.Surpreendentemente, 63% dos entrevistados nesta edição da pesquisa indicaram que suas empresas não desenvolveram qualquer estrutura formal de arquitetura de segurança, e não necessariamente planejam utilizar alguma. Para algumas organizações, mão de obra capacitada, maturidade na segurança ou questões orçamentárias podem causar impacto nas decisões tomadas. Outras empresas simplesmente esperam que o problema desapareça por conta própria. Ainda assim, é animador observar o gráfico ao lado, segundo o qual 37% utilizam uma ou mais estruturas, sendo que a mais popular é a TOGAF - Open Group Architecture Framework.

Essas descobertas podem explicar por que 56% das empresas realizam apenas entre um e dez testes anuais de ataque e invasão, e por que 19% não fazem nenhum tipo de teste.

“A Segurança da Informação deve partir da proteção do negócio, e não das vulnerabilidades tecnológicas.”Bernie WedgeLíder de Serviços de Auditoria e Riscos em TI para as Américas, Ernst & Young LLP

56%dos entrevistados realizam apenas de um a dez testes anuais de ataque e invasão

19%não realizam qualquer teste de ataque e invasão


Que estruturas formais de arquitetura de segurança são usadas (ou se planeja utilizar) na sua organização?

Em reação às necessidades de curto prazo de segurança da informação, as empresas parecem cada vez mais inclinadas a unir ou “empilhar” soluções para contornar o problema. Isso cria uma colcha de retalhos de defesas não integradas, complexas e frequentemente frágeis que cria sérios gaps de segurança. As soluções usadas para contornar o problema não são fáceis de entender, usar ou atualizar. Cerca de um terço das organizações classifica a própria arquitetura como a ameaça ou vulnerabilidade que mais aumentou ao longo dos últimos 12 meses, principalmente porque os controles estão defasados e não podem ser aprimorados ou substituídos facilmente.

Informação interessanteOs setores com maior exposição são aqueles com mais probabilidade de executar testes de ataque e invasão. Isso vale principalmente no caso de bancos e mercados de capitais. É interessante,

porém, notar que os setores de seguros e telecomunicações realizaram um número desproporcionalmente inferior de testes em relação à exposição que enfrentam.

Não temos uma estrutura formal de arquitetura de segurança 63%

TOGAF – Open Group Architecture Framework 11%

ANSI/IEEE 1471:ISO/IEC 42010 4%

Estrutura e metodologia SABSA 3%

Estrutura de arquitetura do Departamento de Defesa dos EUA 3%

Estrutura Zachman 2%

Estrutura Estendida de Arquitetura Empresarial 1%

Estrutura de Arquitetura do Ministério da Defesa do Reino Unido 1%

OBASHI 0%

Outros 12%

“A estratégia de segurança das empresas deve ser constantemente atualizada, de modo a reagir com rapidez à evolução das necessidades.” Jenny ChanLíder de serviços de auditoria e riscos em TI para a região Ásia-Pacífico da Ernst & Young


Uma enxurrada de tecnologiaA inovação é a arma secreta que ajudará as empresas a acompanhar o ritmo das mudanças. As organizações precisam explorar, implantar e refinar novas tecnologias para continuar crescendo e se desenvolvendo, adaptando-se às mudanças principalmente porque as ameaças e os riscos aumentam. No entanto, as mesmas tecnologias que ajudam uma empresa a seguir em frente são as que trazem novos riscos. Elas abrem excelentes oportunidades para as organizações, mas a área de Segurança da Informação deve estar especialmente atenta aos riscos associados a elas, para que seja possível administrá-los à luz das necessidades organizacionais.

Lá em cima, na nuvemA computação na nuvem continua sendo um dos principais impulsos de inovação nos modelos de negócios e na concretização dos serviços de TI.A computação em nuvem permite tirar maior proveito de TI, uma vez que possibilita centrar mais esforços na parte estratégica, e menos na operacional. Serviços na nuvem são ágeis e flexíveis, e aumentam a capacidade de entender e reagir às constantes mudanças nas condições do mercado, atendendo às necessidades do cliente e respondendo às iniciativas da concorrência.

Por tudo isso, a computação em nuvem continua sendo um dos principais determinantes de inovação nos modelos de negócios e na concretização dos serviços de TI. Em 2010, só 30% das empresas indicaram que usavam ou planejavam usar serviços de computação em nuvem. Em 2011, o número subiu para 44%. Hoje, 59% das organizações estão na nuvem, ou a caminho dela. Essa porcentagem não inclui as empresas que talvez desconheçam a extensão do próprio envolvimento.

Embora a maioria dos entrevistados indique que está usando ou usará a nuvem nos próximos 12 meses, 38% não adotaram nenhuma medida para mitigar os riscos. Em 2011, esse número era superior a 50%. O que ocorre é que as empresas reconhecem os riscos, mas muitas continuam vulneráveis. As medidas adotadas com mais frequência incluem o aumento na supervisão do processo de gestão de contratos com provedores de serviços na nuvem (28%) e o uso de técnicas de criptografia (28%).

Informação interessanteMais de 25% dos entrevistados que disseram não utilizar a nuvem e/ou afirmaram não utilizar serviços na nuvem e não ter planos de fazê-lo no próximo ano afirmam que contam com avaliações externas para determinar a eficácia da área de segurança da informação.

Caso queira saber mais sobre isso, leia a publicação Ready for takeoff: preparing for your journey into the cloud, disponível no endereço www.ey.com/informationsecurity.

59%afirmam que estão usando ou planejam usar serviços de computação em nuvem

44%afirmam que estão usando ou planejam usar serviços de computação em nuvem

30%dos entrevistados afirmam que estão usando ou planejam usar serviços de computação em nuvem

38%afirmam que não tomaram nenhuma medida para mitigar os riscos da utilização de serviços de computação em nuvem

Ready for takeoffPreparing for your journey into the cloud

Insights on IT riskBusiness brie ng

April 2012


Quais dos seguintes controles você já implantou para mitigar riscos novos ou crescentes relacionados ao uso da computação na nuvem?

Supervisão aprimorada do processo de gestão de contratos para provedores de serviços na nuvem 28%

Técnicas de criptografia 28%

Maior due diligence nos provedores de serviços 25%

Reforço nos controles de identificação e gestão de acesso 22%

Inspeção ou avaliação in loco por parte das equipes de segurança/riscos de TI 16%

Processos ajustados de monitoramento de conformidade 15%

Aumento na auditoria do fornecimento de serviços na nuvem 15%

Ajustes nos processos de gestão de incidentes 15%

Maior responsabilidade contratual para provedores de serviços na nuvem 14%

Contrato com terceiros para testar controles do provedor de serviços na nuvem 13%

Multas em caso de violações de segurança 13%

Maior dependência de certificações independentes dadas aos provedores de serviços na nuvem 12%

Multas em caso de problemas de conformidade e privacidade 12%

Nenhum 38%

Tecnologias emergentes apontadas como os 10 principais riscos para organizações globais Numa pesquisa recente realizada pela Ernst & Young com 700 grandes empresas, o risco imposto pelas tecnologias emergentes foi apontado como o número cinco numa lista dos dez principais riscos a ser enfrentados pelas organizações nos próximos anos.

Quando se observam as causas de riscos, a resposta mais frequente entre os participantes da pesquisa foi a dificuldade no desenvolvimento de uma cultura

de inovação. Um número semelhante de entrevistados identificou também a incerteza inerente a tecnologias ainda não testadas.

A maioria das empresas pesquisadas afirmou realizar uma gestão ativa de risco.

De longe, a estratégia de mitigação mais utilizada é o desenvolvimento de uma “cultura de inovação” específica para a organização, com o objetivo

de realizar um monitoramento contínuo das novas tecnologias e de revisar permanentemente produtos, serviços e processos internos.

Para mais detalhes sobre os riscos relacionados a tecnologias emergentes, leia o relatório Turn risks and opportunities into results, disponível no endereço www.ey.com/top10challenges.

Turn risks and opportunities into resultsExploring the top 10 risks and opportunities for global organizationsGlobal report


Como a sua organização lida com as redes sociais?

Redes sociais nas empresasAs redes sociais têm o poder de construir rapidamente a marca de uma organização – mas podem destruí-la com a mesma velocidade.Até recentemente consideradas tabu dentro de muitas empresas, as redes sociais passaram a ser vistas como essenciais para desenvolver produtos, colher opiniões e garantir a interação e a participação dos clientes. Elas reinventaram o relacionamento entre organizações, clientes, funcionários, fornecedores e órgãos reguladores, além de encurtar para horas ou até minutos processos que costumavam levar dias ou semanas.

No entanto, além das inúmeras oportunidades geradas pelas redes sociais, existem desafios. Num mundo que opera 24 horas por dia, a qualquer momento e em qualquer lugar, as redes sociais – e qualquer pessoa com acesso à internet – podem construir a marca de uma empresa em segundos, mas também destruí-la. Os desafios incluem segurança de dados, privacidade, exigências regulatórias e de cumprimento de normas, o uso do tempo de trabalho dos funcionários e as ferramentas de negócios para participar desse universo.

Conforme mostra o gráfico abaixo, nossa pesquisa aponta que 38% das organizações não têm uma estratégia coordenada para lidar com o uso de redes sociais dentro da empresa ou que considere as diretrizes da alta administração e suporte da Segurança da Informação. O resultado é um aumento no risco geral e uma capacidade limitada de explorar todo o potencial das redes sociais no futuro.

19%Temos uma estratégia coordenada comandada pelo departamento de Segurança da Informação

43%Temos uma estratégia coordenada, comandada por um departamento que não é o departamento de Segurança da Informação

38%Não temos uma estratégia coordenada para lidar com as redes sociais


No caso das organizações que não têm uma estratégia formal para o uso de redes sociais, o gráfico acima mostra que as medidas de mitigação de riscos implantadas com maior frequência incluem: acesso limitado ou nenhum acesso a redes sociais (45%), ajustes nas políticas (45%) e programas de conscientização (40%).

Quais dos seguintes controles você já implantou para mitigar riscos novos ou crescentes relacionados ao uso de redes sociais?

Acesso limitado ou nenhum acesso a redes sociais 45%

Ajustes nas políticas 45%

Programas de conscientização sobre segurança e redes sociais 40%

Monitoramento de redes sociais 32%

Novos processos disciplinares 11%


Nenhum 20%

Informação interessanteDe maneira quase universal, a maioria dos participantes na pesquisa afirma que ajustes nas políticas são a forma preferida de mitigar preocupações relacionadas a redes sociais, independentemente do método com que mensuram a efetividade do departamento de segurança da informação.

No entanto, a maioria dos participantes que afirmam não realizar avaliação da efetividade do departamento de segurança da informação diz também que, para mitigar preocupações relativas a redes sociais, simplesmente proíbe ou limita o acesso dos funcionários a redes sociais.

Para mais informações, confira a publicação Protecting and strengthening your brand, sobre redes sociais, que pode ser consultada no endereço www.ey.com.

Protecting and strengtheningyour brandSocial media governanceand strategy


May 2012


Como aproveitar ao máximo os benefícios das tecnologias móveisConforme a mobilidade da força de trabalho cresce, a frase “no momento estou fora do escritório” perde relevância.De acordo com uma previsão divulgada recentemente pela Cisco, em 2016 haverá 10 bilhões de dispositivos móveis com acesso à internet – quase 1,5 para cada homem, mulher e criança do planeta. Se no passado os telefones celulares serviam apenas para fazer ligações, os aparelhos móveis de hoje são uma ferramenta de comunicação e uma fonte de conhecimento essencial para atividades pessoais e de negócios. Eles permitem conectividade à internet e à nuvem 24 horas por dia, sete dias por semana.

Os avanços tecnológicos e os benefícios de negócios trazidos por eles aumentaram consideravelmente as taxas de adoção das tecnologias móveis. De acordo com a nossa pesquisa, e conforme demonstra o gráfico desta página, o uso de tablets para fins de negócios mais do que dobrou desde 2011. Essa porcentagem passou de 20% em 2011 para 44% de organizações que atualmente permitem o uso de tablets particulares ou pertencentes à empresa dentro das organizações em 2012: 19% dizem que tablets da empresa são amplamente utilizados; 13% dão apoio ao uso de tablets particulares com uma política BYOD (sigla em inglês para a expressão “traga seu próprio aparelho”); e 12% permitem o uso particular de tablets, mas não oferecem apoio.

Conforme a mobilidade da força de trabalho cresce, a frase “no momento estou fora do escritório” perde relevância. Além disso, fica cada vez mais difícil controlar o aumento no fluxo das informações que entram e saem da empresa.

De acordo com o gráfico da próxima página, 52% dos participantes na pesquisa implantaram ajustes nas políticas, e 40% investiram em programas de conscientização. Mas as organizações reconhecem que é necessário fazer mais. Elas estão começando a se informar sobre as funcionalidades e o design dos produtos de software de segurança para aparelhos móveis disponíveis no mercado. Mesmo assim, ainda é baixa a adoção de técnicas e softwares de segurança no mercado de computação móvel, que se movimenta em alta velocidade. Um exemplo: técnicas de criptografia são utilizadas por menos de metade (40%) das organizações.

Sua empresa permite o uso de tablets para fins de negócios?

O uso de tablets está em fase de avaliação ou é bastante limitado 35%

Sim, os tablets pertencentes à empresa são amplamente utilizados 19%

Sim, os tablets particulares são amplamente utilizados e contam com o apoio da organização,

por intermédio de uma política BYOD (traga seu próprio aparelho)

13%

Sim, os tablets particulares são amplamente utilizados, mas não contam

com o apoio da organização12%

Não, e não existem planos para usar tablets ao longo dos próximos 12 meses 11%

Não, mas planejamos usar tablets ao longo dos próximos 12 meses 9%


Ajustes nas políticas 52%

Atividades para aumentar a conscientização sobre segurança 40%

Técnicas de criptografia 40%

Novo software de gestão de aparelhos móveis 36%

Permissão de uso de aparelhos pertencentes à empresa e proibição do uso de aparelhos pessoais 34%

Processo de governança para administrar o uso de aplicativos móveis 31%

Mudanças na arquitetura 24%


Testes de ataque e invasão de aplicativos móveis 14%

Maior capacidade de auditoria 12%

Novos processos disciplinares 9%

Proibir o uso de qualquer tipo de tablet/smartphone para fins profissionais 6%

Nenhum 14%

Quais dos seguintes controles você já implantou para mitigar os riscos novos ou crescentes relacionados ao uso da computação móvel, incluindo tablets e smartphones?

Tecnologias móveis: oportunidades X ameaças

Oportunidades: Ameaças:

• Aumento na produtividade • Roubo/perda/vazamento de dados

• Escolha de tecnologias • Infecção por programas maliciosos

• Redução com gastos de capital • Acesso não autorizado

• Promoção de um ambiente mais criativo • Questões jurídicas

• Incentivo à felicidade e motivação dos funcionários

• Questões de privacidade

• Aumento dos gastos administrativos gerais

• Equilíbrio entre trabalho e diversão

• Enterprise-ready [pronto para utilização]/integração de sistemas


Traga seu próprio aparelho

Conforme o ritmo de vendas de aparelhos móveis e smartphones supera o de computadores, e à medida que as empresas se apressam para criar maneiras que ajudem os funcionários a unir os dispositivos de trabalho aos aparelhos pessoais, é preciso considerar em detalhes questões relativas à segurança de dados e informações.

Os funcionários já compram telefones e pacotes de dados por conta própria. Oferecer apoio à habilitação de aparelhos no ambiente de trabalho ajuda não apenas a reduzir os custos com funcionários, como também elimina alguns gastos até então associados a grandes compras de celulares apoiadas pela empresa. Essa integração de aparelhos pessoais que tenham acesso pela empresa pode ajudar a reduzir custos coletivos e a aumentar a produtividade, o ânimo e a criatividade dos funcionários.

No entanto, oportunidades sempre trazem riscos. Aumentar as atividades BYOD (sigla em inglês para a expressão “traga seu próprio aparelho”) significa que os funcionários podem atualizar por conta própria o tablet ou o smartphone, sem qualquer envolvimento do departamento de TI. Isso pode ter impactos sobre a funcionalidade e a segurança de qualquer aplicativo corporativo, ou de algum aplicativo com outro tipo de autorização que possa estar instalado no aparelho. Daí a importância da gestão de aparelhos móveis. Ao apoiar a estratégia BYOD, as organizações devem considerar as seguintes atividades:

1. Decidir quem é o verdadeiro “dono” do aparelho. Depois que se determina isso, a empresa pode estabelecer políticas mais precisas em relação a limites. Por exemplo: a organização pode instalar um aplicativo que permita desligar câmeras ou outros aplicativos, ou bloquear redes sociais através das quais possa haver vazamento de dados.

2. Garantir a segurança da rede corporativa. Para evitar a perda de dados causada pelo acesso autorizado a partir de aparelhos sem suporte, vale a pena considerar a possibilidade de ter uma rede paralela para “convidados”, separada da rede principal. Isso permite que os funcionários utilizem aparelhos pessoais para ter acesso direto à internet – às vezes até por uma conta de e-mail usada exclusivamente para fins profissionais. Além disso, vale a pena considerar a utilização de serviços terceirizados ou de suas codificações para criar “nichos” nesses aparelhos, onde fiquem localizados dados e aplicativos da empresa, isolados da interação com dados, aplicativos ou serviços on-line de uso pessoal.

3. Manter a segurança dos dados básicos. As empresas devem garantir que os dados armazenados no aparelho estejam protegidos de hackers, de acesso por pessoas externas e de vírus.


Vazamento de dadosProgramas maliciosos cada vez mais sofisticados são um caminho para que informações confidenciais saiam da empresa sem que se perceba nada.A digitalização global de produtos, serviços e processos tem um profundo impacto sobre as organizações. A disponibilidade de grandes quantidades de dados cria excelentes oportunidades para obter valor e ideias interessantes. As empresas que dominam a disciplina da gestão de grandes dados podem colher importantes benefícios e se destacar da concorrência.

A despeito de todos os benefícios, entretanto, as organizações devem estar cientes dos riscos. Ao longo dos últimos cinco anos, as empresas testemunharam um aumento no volume de vazamentos de dados, intencionais ou não. Programas maliciosos cada vez mais sofisticados são um caminho para que informações confidenciais saiam da empresa sem que se perceba nada.

Conforme mostra o gráfico abaixo, esta edição da pesquisa sugere que a maioria das organizações já definiu uma política relativa ao sigilo de informações (72%). Além disso, muitas empresas (68%) realizaram programas de conscientização. A adoção de tecnologias de DLP (prevenção de perda de dados), no entanto, permanece relativamente baixa (38%).

Quais das seguintes iniciativas sua empresa já adotou para controlar o vazamento de dados relativos a informações sigilosas?

Definição de uma política específica sobre sigilo e trato de informações 72%

Programas de conscientização de funcionários 68%

Implantação de mecanismos adicionais de segurança para proteção de informações (exemplo: criptografia) 57%

Uso impedido/restrito de determinados componentes de hardware (exemplo: pen-drives, portas FireWire) 43%

Auditoria interna para testar controles 41%

Definição de exigências específicas para trabalho a distância, relativas à proteção de informações

levadas para fora do escritório 39%

Implantação de ferramentas de revisão de log 38%

Uso restrito ou proibido de ferramentas de “bate-papo” on-line ou e-mail para transmissão de dados sigilosos 31%

Uso proibido de câmeras em áreas sensíveis ou restritas 23%

Acesso restrito a informações sigilosas em determinados períodos 16%

“As empresas devem implantar defesas flexíveis e adaptáveis, que continuem resistentes mesmo diante de violações dos dados – e essas violações vão ocorrer.”

Haruyoshi YokokawaLíder de serviços de Auditoria e Riscos em TI para o Japão da Ernst & Young


Gaps iminentesEmbora tenhamos identificado alguns gaps atuais, há outros no horizonte, na forma de intervenções governamentais e novas pressões regulatórias.

Talvez as empresas até estejam estudando – com maior ou menor eficácia – o cenário de riscos e avaliando questões de inteligência relativas a ameaças. Mas elas não são as únicas com essa preocupação. Os governos e órgãos reguladores também vêm observando os riscos crescentes em Segurança da Informação e estão começando a tomar atitudes. Caso as organizações não ajam por conta própria, a consequência combinada das questões atuais (descritas nas páginas anteriores) e futuras (descritas a seguir) irá aumentar ainda mais esse gap.

Provedores de infraestrutura essencialÉ provável que os governos comecem a publicar diretrizes – com o apoio dos legisladores – aplicáveis a todas as organizações que considerarem essenciais do ponto de vista econômico, com o objetivo de garantir que não sejam vítimas de ameaças à segurança da informação.Ainda que as empresas se preocupem com o próprio desempenho individual, os governos buscam assegurar que as organizações responsáveis pelo fornecimento de serviços essenciais que apoiam o bem-estar contínuo da sociedade sejam capazes de manter suas operações com o menor grau possível de problemas, em qualquer circunstância.

Espera-se que as empresas de fornecimento de energia, telecomunicações, abastecimento de água, produção e distribuição de alimentos, ou dos setores de saúde e serviços financeiros implantem medidas sólidas para se proteger de incidentes de segurança da informação que possam interromper ou prejudicar suas operações.

Informação interessanteComo reação ao impasse no Congresso americano envolvendo a Lei de Cibersegurança [Cybersecurity Act] de 2012, o senador John D. Rockefeller IV desafiou 500 das maiores empresas do país a exercer um papel de liderança na reforma da legislação relativa à segurança da informação.

O lobby da Câmara Americana de Comércio e de outras partes contrárias a medidas de segurança adiou a aprovação de leis tidas como vitais tanto pelo Comandante geral de cibersegurança dos Estados Unidos quanto pelo chefe do Estado-Maior, considerando a gravidade da ameaça cibernética enfrentada pelo país.

Com uma série de perguntas incluídas numa carta enviada a empresas

como Exxon Mobil, Wal-Mart, General Electric, AT&T, Apple, Citigroup e UnitedHealth Group, entre outras, o senador Rockefeller pediu que esses líderes corporativos se diferenciassem, trabalhando em conjunto no desenvolvimento de soluções proativas de combate às crescentes ameaças à segurança da informação nos Estados Unidos.

Com a Lei de Cibersegurança de 2012, o senador Rockefeller e outros defensores da causa buscam proteger infraestruturas críticas, como usinas de energia, oleodutos, prestadoras de serviços essenciais, hospitais, redes de transporte e empresas de telecomunicações, descritas pelos americanos como imprescindíveis no dia a dia.


Informação interessanteMuitas empresas ainda têm dificuldades para encontrar violações de segurança e registrá-las de modo a cumprir as exigências regulatórias sobre a divulgação desses fatos.

Grandes violações ou vazamentos de dados que chegam ao conhecimento do público recebem ampla cobertura de imprensa, numa demonstração da importância social de tais acontecimentos. No entanto, a ENISA – Agência de Segurança de Redes e Informação da União Europeia – divulgou recentemente um relatório(3) alertando para o fato de que muitos incidentes não são detectados ou registrados, a despeito da importância fundamental da internet e das comunicações eletrônicas confiáveis para a economia atual.

“Incidentes cibernéticos costumam ser mantidos em sigilo quando descobertos,

o que deixa clientes e legisladores no escuro em relação à frequência, ao impacto e às causas centrais desses fatos”, dizem os autores do texto.

O relatório identifica gaps no marco regulatório sobre registros de incidentes e pede melhorias no compartilhamento desses fatos por toda a União Europeia. Ainda há “pouco intercâmbio de informações entre as autoridades nacionais” sobre lições aprendidas e boas práticas, apesar da natureza transnacional dessa ameaça.

(3) Dr. Marnix Dekker, Christoffer Karsberg, Barbara Daskala, “Cyber Incident Reporting in the EU: An overview of security articles in EU legislation” [Registo de Incidentes Cibernéticos na União Europeia: panorama geral dos artigos relativos à segurança na legislação da UE], Agência de Segurança de Redes e Informação da União Europeia, agosto de 2012.

Os governos não têm de levar em conta apenas a proteção dos cidadãos. É preciso considerar também a imagem de eficiência das autoridades e a proteção do crescimento econômico.

Além das organizações da infraestrutura essencial, outras 100 ou 500 grandes empresas de todos os setores da economia estão sob um olhar atento. O crescimento econômico é prioritário na pauta dos governos. Organizações que fazem o máximo para apoiar esse crescimento e impulsionar o PIB, graças à produtividade e geração de emprego, terão de comprovar a eficácia de seus programas de segurança da informação.

É provável que os governos comecem a publicar diretrizes – com o apoio dos legisladores – aplicáveis a todas as organizações que considerarem essenciais do ponto de vista econômico, com o objetivo de garantir que não sejam vítimas de ameaças à segurança da informação. Essas diretrizes vão exigir que as empresas compartilhem conhecimentos sobre ameaças, bem como as medidas tomadas para mitigar ou administrar os riscos corporativos.

Num cenário ideal, a comunidade de negócios deveria se unir por iniciativa própria para compartilhar experiências e estabelecer estruturas e soluções comuns. Essa estratégia já funcionou no caso de outros desafios, e possivelmente é a melhor alternativa de que o setor privado dispõe para interromper o fluxo iminente de regulações.


As empresas estão trabalhando com afinco para acompanhar o ritmo das mudanças tecnológicas e o número crescente de ameaças à Segurança da Informação. Os resultados têm tido níveis variados de êxito. As organizações capazes de minimizar a distância entre o trabalho atual dos departamentos de Segurança da Informação e aquilo que essas áreas de fato têm de fazer vão garantir uma vantagem competitiva. As empresas têm de tomar quatro medidas essenciais para promover uma mudança fundamental nos departamentos de segurança da informação:

1 Conectar a estratégia de Segurança da Informação à estratégia de negócio e aos resultados gerais desejados para a empresa.

2 Começar do princípio ao considerar as novas tecnologias e ao redesenhar arquiteturas, para chegar a uma definição mais precisa do que precisa ser feito. Isso representa uma oportunidade de derrubar barreiras e remover qualquer viés tendencioso que possa prejudicar mudanças imprescindíveis.

3 Executar a transformação com a criação de um ambiente que possibilite uma mudança bem-sucedida e sustentável da área de Segurança da Informação.

4 Ao considerar as novas tecnologias, mergulhar profundamente nas oportunidades e nos riscos apresentados por elas. Redes sociais, volumes imensos de dados, nuvem e tecnologias móveis vieram para ficar, e as empresas têm de estar preparadas para usar isso.

Uma transformação fundamental


Conexão com a estratégia de negóciosConforme já observamos nos resultados da desta edição da pesquisa, é fundamental alinhar a estratégia de Segurança da Informação das empresas à estratégia e aos objetivos de negócios. Mas será que isso muda de acordo com os objetivos de negócios da organização? O que é preciso ter na estratégia de Segurança da Informação? Quais iniciativas e táticas devem estar presentes na pauta de Segurança da Informação da empresa?

No ambiente econômico atual, as organizações costumam centrar esforços para atingir um ou mais dos seguintes resultados: crescimento, inovação, otimização e proteção. À medida que as empresas trabalham para concretizar esses resultados, o papel da Segurança da Informação torna-se cada vez mais indispensável.

CrescimentoAs empresas buscam expandir seus negócios para novos mercados e atrair novos clientes com novos produtos – sempre com o objetivo de gerar receita. Uma estrutura de Segurança da Informação eficaz pode proteger toda a organização, salvaguardar a receita e deixar parte dos recursos disponível para ser usada no aumento das oportunidades de geração de lucro.

InovaçãoAs empresas estão usando as novas tecnologias para interagir diretamente com os clientes, de maneiras até então inexistentes. Os dados gerados por esse processo têm de ser seguros, sendo que a privacidade é crítica. Diante das ameaças existentes hoje, uma Segurança da Informação eficaz permite que a organização demonstre liderança na hora de garantir a proteção dos clientes e de suas respectivas empresas.

OtimizaçãoEstruturas e métodos de Segurança da Informação custam dinheiro, mas as empresas nem sempre gastam recursos com sabedoria. As organizações podem reduzir custos por todo o negócio se tiverem uma Segurança da Informação bem estruturada e gerida com eficiência.

ProteçãoPara transmitir confiança a todas as partes interessadas, a Segurança da Informação deve demonstrar boa governança e transparência. Um monitoramento forte e efetivo, além de testes, devem ser componentes indispensáveis de toda a estrutura de Segurança da Informação.

É importante ainda desenvolver a estratégia e a estrutura, e identificar atividades cuja realização é necessária.

1


Redesenhar a arquitetura e demonstrar como a Segurança da Informação pode trazer resultados de negócios A melhor forma de começar é partir do princípio, para que, desde os estágios iniciais, o projeto como um todo não apresente qualquer viés tendencioso, problemas de sistemas ultrapassados ou outros fatores que possam causar distorções.

Em vez de observar a paisagem existente e buscar uma forma de redesenhá-la, o departamento de Segurança da Informação deve fazer um redesenho a partir da essência. É preciso deixar espaço para a inovação e considerar a constante necessidade de utilizar tecnologias novas e emergentes, de modo a ajudar a empresa a atingir resultados que realmente promovam proteção e progresso. Uma vez definidos os resultados que a Segurança da Informação deve produzir (“o que” a Segurança da Informação pode fazer), o próximo passo é descobrir como chegar lá.

Identificar os riscos reaisComo ponto de partida, as empresas devem desenvolver uma estratégia absolutamente nova de Segurança da Informação. Essa estratégia deve começar com a inclusão de tecnologias e questões como computação em nuvem, redes sociais, volumes escaláveis de dados, computação móvel, globalização e o fim das fronteiras – e não acrescentar esses tópicos como “novos itens” a uma estratégia já existente. É preciso concentrar-se também na identificação dos riscos atuais (“riscos reais”), que serão diferentes daqueles que a organização enfrentou no passado. Esse processo de identificação não é a simples transferência para o futuro de riscos já conhecidos em anos anteriores; a identificação dos riscos de hoje exige um olhar renovado, que parte do reconhecimento daquilo que é mais importante no cenário atual.

Deve-se começar avaliando a própria disposição para riscos e como isso se traduz em riscos para a informação. É preciso ter uma ideia clara de quais são os dados, aplicações e outros ativos de TI mais importantes, e onde eles estão. No caso da computação em nuvem, responder a essas questões pode ser complexo. O passo seguinte é avaliar o cenário de ameaças e determinar os pontos de exposição, o que tende a diferir de organização para organização.

2


Proteger o mais importanteTendo em mente os riscos reais, a próxima etapa é desenvolver uma estrutura empresarial de Segurança da Informação. Historicamente, essas estruturas costumam ser estáticas – mas no ambiente de hoje exigem flexibilidade: as empresas precisam ser capazes de se adaptar, mudar e reagir com rapidez e eficácia. Uma estrutura de Segurança da Informação deve se concentrar naquilo que é fundamental, bem como nas ameaças emergentes. Deve supor que violações vão ocorrer – e, por isso, planejar e proteger é tão importante quanto detectar e reagir (dois aspectos que costumam ser ignorados).

A estrutura deve cobrir a governança da Segurança da Informação (incluindo papeis e responsabilidade), a ligação entre a cadeia de valor (prioridades de negócio) e as medidas de Segurança da Informação, o monitoramento da Segurança da Informação (índices), processos de conformidade, principais indicadores de controle) e também como reagir em caso de incidentes.

Incorporar no negócioA Segurança da Informação é uma responsabilidade de todos, e não apenas uma tarefa para a gerência ou o departamento específico da área. Sendo assim, qualquer estrutura de Segurança da Informação deve estar profundamente incorporada ao negócio. Todos os funcionários, departamentos, projetos e elementos relacionados têm um papel a exercer. Mas incutir essa mentalidade não é tarefa fácil. É preciso tomar uma série de decisões fundamentais, tais como:• O que precisa ser feito no cotidiano do negócio e qual deve ser

a responsabilidade do departamento de Segurança da Informação ?• O que precisa ser feito manualmente e o que pode ou deve ser incorporado

por vias tecnológicas ?• O que precisa ser feito internamente e o que deve ou pode ser terceirizado ?

Manter o programa de segurançaUma das questões fundamentais da gestão de riscos é: como garantir que a estrutura de gestão de riscos vai funcionar de forma ininterrupta e eficaz, conforme o plano? O mesmo se aplica a uma estrutura de segurança da informação disseminada por toda a empresa. Organizações podem estar presentes em diversos países, ter um grande número de funcionários e administrar muitos ativos de TI. Como garantir que todas as medidas relativas à segurança da informação sejam eficazes, todos os dias?

Como resultado, a ideia de fazer a “manutenção do programa de Segurança da Informação” é essencial para essa mudança básica. Medidas relativas a conformidade, autoavaliações, aprendizado contínuo e iniciativas de melhoria (bem como o acompanhamento de eventuais incidentes) vão garantir a eficácia contínua da estrutura de Segurança da Informação. Isso permitirá à organização saber se de fato está aplicando permanentemente as medidas de Segurança da Informação conforme o planejado. Mais importante ainda: essa postura mostra claramente se a estrutura está atualizada e preparada para determinar quais riscos emergentes podem levar a mudanças na estratégia de Segurança da Informação e indica a resposta adequada enquanto esses problemas ainda são pequenos.

2


O que as organizações devem fazer para ter uma Segurança da Informação que apoie o negócio

Identificar os riscos reais:

• Desenvolver uma estratégia de segurança voltada para as prioridades de negócios e a proteção dos dados mais valiosos

• Definir a disposição geral da empresa ao risco e de que forma os riscos de informação se encaixam nesse cenários

• Identificar as informações e aplicações mais importantes, onde elas estão localizadas e quem tem/deve ter acessos

• Avaliar o cenário de ameaças e desenvolver modelos de previsão que deixem claras as áreas reais de exposição

Manter o programa de segurança:

• Acertar na governança – transformar a segurança numa prioridade que chegue à mesa do conselho

• Garantir que boas medidas de segurança liderem o processo de conformidade com as regras, e não o contrário

• Avaliar os principais indicadores para identificar os problemas enquanto ainda são pequenos

• Aceitar riscos administráveis que sirvam para melhorar o desempenho

Proteger o mais importante:

• Partir do pressuposto de que haverá violações – aprimorar processos de planejamento, proteção, detecção e reação

• Equilibrar o fundamental com a gestão de ameaças emergentes

• Estabelecer e racionalizar modelos de controle de acesso para aplicações e informações

Incorporar ao negócio:

• Fazer da segurança uma responsabilidade de todos

• Alinhar ao negócio todos os aspectos da segurança (informação, privacidade, continuidade física e de negócios)

• Gastar com sabedoria em controles e tecnologia – investir mais em pessoas e processos

• Considerar a terceirização seletiva de áreas de programas de segurança operacional


Executar a transformação de forma bem-sucedida e sustentável Transformações fundamentais não exigem apenas implantar um programa e depois virar as costas. Para que as mudanças permaneçam, as empresas devem:• Responsabilizar os líderes pela entrega de resultados e pela visibilidade

ao longo de toda a vida do programa.• Alinhar toda a empresa à estratégia de transformação – desde

o planejamento e concretização do programa até a adoção sustentada dos objetivos de desempenho.

• Prever, monitorar e administrar riscos continuamente na execução do programa.• Adotar novas soluções até o fim antes de encerrar um programa,

de modo que o jeito antigo de fazer as coisas não interfira.

Liderança• Envolver líderes e outras pessoas importantes no processo de tomada

de decisões na hora de definir a situação futura • Estabelecer um processo de benefícios por realização, além

de responsabilidades e métricas de desempenho• Conectar análises e alertas externos à estratégia do programa• Criar justificativas abrangentes para a mudança

Alinhamento• Definir e envolver toda a empresa no entendimento e na participação

em relação à situação futura • Impulsionar os resultados logo cedo, e com frequência, de modo

a acelerar a transição para a situação futura• Ouvir ativamente, com o objetivo de identificar os problemas

e implantar melhorias contínuas• Fornecer capacitação especializada e dedicada exclusivamente ao apoio

das várias partes interessadas, por toda a empresa

Execução• Ampliar o apoio às etapas de execução, de modo a permitir

uma concretização bem-sucedida• Implantar um projeto cuidadoso de tecnologia, bem como as bases

do processo, para garantir estabilidade e flexibilidade• Utilizar dados para criar modelos de riscos na concretização do programa,

e aprimorar estratégias e planos permanentemente

Adoção• Construir relacionamentos de longo prazo com as partes interessadas,

de modo a adotar soluções sustentáveis• Utilizar as redes sociais para facilitar a interação e aumentar o grau

de influência do programa logo de início, e fazê-lo com frequência• Identificar técnicas de adoção• Comunicar vitórias e ser transparente em relação aos desafios e soluções

Questões do cliente

Liderança

Ad

oção

ExecuçãoAlinhamen

to

3


Um mergulho profundo nas novas tecnologias A despeito dos riscos, as novas tecnologias vieram para ficar. As empresas precisam usá-las para obter vantagens, aumentando seu alcance e impulsionando um crescimento lucrativo. Qualquer estrutura de segurança da informação deve avaliar constantemente o papel das novas tecnologias e como aproveitar ao máximo seu potencial para a organização, preservando sempre a segurança.Aspectos como virtualização, mobilidade e tecnologia na nuvem aumentaram a ameaça de ataques graves, elevando o número de pontos de entrada para os negócios de uma empresa. As atividades dos hackers e a espionagem apoiada por Estados são cada vez mais sofisticadas e persistentes, e as altas recompensas oferecidas pela venda de dados organizacionais alimentam o crescimento de grupos criminosos num ritmo sem precedentes. Esses ataques podem causar perdas financeiras significativas, além de danos às marcas.O que surpreende, considerando a natureza sinistra desses crimes, é que os ataques muitas vezes ocorrem sem que as empresas se deem conta.Estratégias de curto prazo, mudanças incrementais e soluções temporárias não bastam. As empresas têm de adotar uma visão de 360 graus sobre cada uma das novas tecnologias de modo a identificar e compensar os riscos inerentes a elas.

4Avaliação de portfólio e

racionalização da nuvem

Modelos de negócio e

oportunidades na nuvem

Governos e incentivos na nuvem

Visão e estratégia na nuvem

Sourcing e departamentos

de compras na nuvem

Risco e comunicação

na nuvem

Gestão e governança de fornecedores

na nuvem

Continuidade de negócios e

disponibilidade na nuvem

Preço e ROI na nuvem

Segurança e privacidade

na nuvem

Tributação e contabilidade

na nuvem

Conformidade e regulações

na nuvem

Adoção da nuvem e gestão

de mudança

Sistemas e desenvolvimento

na nuvem Padrões e

interoperabilidade na nuvem

Arquitetura e modelo de utilização da nuvem

Mentalidade setorial sobre

novos modelos de negócios

possibilitados pela nuvem para cada indústria

Garantia de que a nuvem irá apoiar

preocupações relativas à

continuidade das operações

Definir a estratégia de curto, médio e longo prazo

para a arquitetura da empresa

Modelos de negócio da nuvem e modelos de preço

para otimizá-los

Apoio ao desenvolvimento econômico para

a nuvem em todo o mundo

Quais são os principais riscos da nuvem e o desenvolvimento

de um modelo de risco na nuvem para ajudar

na mitigação?

Usar as plataformas

na nuvem para desenvolvimento e para uma nova

governança associada

Sistemas de gestão de contabilidade,

ideias sobre localização e

caracterização tributária

Pesquisa de fornecedores na nuvem, ajustes,

acordos, dependência de fornecedores e estratégia de saída

Estabelecer a direção certa da nuvem e contar com

uma estrutura adequada de tomada de decisões

Adesão a regras e regulações

no mundo sem fronteiras

da nuvemGestão de

programa de transição/

transformação; exigência de

treinamento e novas habilidades

Nova mentalidade sobre SLAs

e governança de múltiplos fornecedores

Revisar o cenário de aplicações – determinar

o alinhamento entre valor de negócios de commodity

X valor estratégico

Questões relativas a

“ceder o controle” e a novas culturas

de confiança

Maturidade e adoção de padrões e

desafios mais amplos para a integração de serviços

Visão de 360 graus da nuvem

Gara

ntia

da

nuve

m

Posicionamento da nuvem

Provisão da nuvem

Realização da nuvem

Uma visão de 360 graus da computação em nuvemEm todos os aspectos da nuvem, a garantia é uma consideração essencial. Acreditamos que existem quatro componentes fundamentais para concretizá-la:

1. Risco e comunicação na nuvem: identificar os principais riscos da nuvem e desenvolver um modelo de risco específico para ajudar na mitigação

2. Continuidade de negócios e disponibilidade na nuvem: ter a garantia de que a nuvem dará apoio a preocupações relativas à continuidade das operações

3. Segurança e privacidade na nuvem: enfrentar questões relativas a “ceder o controle” e a uma nova cultura de confiança

4. Conformidade e regulações na nuvem: assegurar a adesão a regras e regulações no mundo sem fronteiras da nuvem

Para mais detalhes sobre a nuvem, leia o relatório Cloud computing issues and impacts, disponível no endereço www.ey.com/informationsecurity.


De 2006 até hoje, os resultados da nossa pesquisa sugerem que a disparidade entre o aumento no ritmo das ameaças e a reação das organizações não está diminuindo. Na verdade, está crescendo exponencialmente, transformando o gap de Segurança da Informação de uma fenda em um abismoUma transformação efetiva na Segurança da Informação não exige soluções tecnológicas complexas. Exige, sim, liderança e compromisso, capacidade e disposição para agir. E isso não deve ocorrer daqui a 12, 24 ou 36 meses, mas agora. Se houver atrasos, muitas empresas poderão perder um terreno que não conseguirão recuperar depois.

A Ernst & Young acredita que, ao seguir os quatro passos essenciais discutidos nas páginas anteriores: 1. Conectar a estratégia de Segurança da Informação à estratégia de negócios2. Redesenhar a arquitetura3. Executar a transformação de forma bem-sucedida e sustentável4. Mergulhar profundamente nas oportunidades e nos riscos apresentados

pelas novas tecnologiasAs organizações podem transformar as bases sobre as quais os departamentos de segurança da informação operam e tornar-se mais capazes de fechar o crescente gap de riscos de TI.

Faça a transição, reduza o gap

Conclusão

Iniciativas tomadas por algumas grandes empresas• Fazer a transição da proteção

do perímetro de segurança para a proteção de seus dados, cientes de que alguns ataques inevitáveis vão invadir o perímetro que está sob defesa.

• Criar recursos dinâmicos para administrar a Segurança da Informação, de modo a reagir rapidamente num ambiente que evolui em alta velocidade.

• Envolver ativamente os mais altos líderes de todos os departamentos na tomada de decisão sobre os problemas relativos à segurança.

• Criar estratégias e processos de Segurança da Informação com base num grau mais elevado de transparência em relação a ativos críticos, ataques, capacidades de segurança, riscos de negócios e opções de defesa.


A Pesquisa Global de Segurança da Informação da Ernst & Young foi realizada entre maio e julho de 2012. Ouvimos 1.836 pessoas dos principais setores da economia, em 64 países.

Convidamos CIOs, CISOs, CFOs, CEOs e outros executivos ligados à Segurança da Informação para participar da pesquisa. Distribuímos um questionário aos profissionais escolhidos pela Ernst & Young no escritório de cada país, além de instruções para que o processo de pesquisa fosse realizado de forma consistente.

A maioria das respostas foi obtida em entrevistas pessoais. Nos casos em que isso não foi possível, o questionário foi respondido on-line.

Caso deseje participar da edição de 2013 da Pesquisa Global de Segurança da Informação da Ernst & Young, entre em contato com nosso escritório na sua cidade/país, ou acesse www.ey.com/US/en/Home/Home-ContactUS e preencha um breve formulário de solicitação.

Participantes da pesquisa por área (1.836 participantes em 64 países)

Japão

EMEIA (Europa, Oriente Médio, Índia e África)

Américas

Ásia-Pacífico

11%

20%

23%

46%

Metodologia da pesquisa


Bancos e mercado de capitais 358

Seguros 154

Tecnologia 148

Governo e setor público 130

Produtos industriais diversos 121

Bens de consumo 121

Varejo e atacado 96

Telecomunicações 79

Mídia e entretenimento 64

Imóveis 57

Escritórios e serviços profissionais 56

Energia e serviços públicos 56

Automotivo 49

Óleo e gás 41

Saúde 41

Gestão de patrimônio 38

Produtos químicos 37

Ciências biológicas 33

Transporte 32

Metais e mineração 29

Serviços de cuidados médicos 15

Indústria aeroespacial e de defesa 15

Companhias aéreas 12

Domicílios particulares 2

Private equity 2

Outros 50

Participantes da pesquisa por setor da economia (1.836 participantes em 64 países)


Participantes da pesquisa por receita anual total da empresa

Menos de US$ 50 milhões 326

US$ 50 milhões a US$ 99 milhões 167




US$ 1 bilhão a US$ 1,9 bilhão 170

US$ 2 bilhões a US$ 2,9 bilhões 86




US$ 7,5 bilhões a US$ 9,9 bilhões 48




Mais de US$ 50 bilhões 66

Não se aplica (exemplo: governo, entidade sem fins lucrativos) 126


Executivo de tecnologia da informação 347

Executivo de segurança da informação 271

Chief information security officer (CISO) 249

Chief information officer (CIO) 226

Chief security officer (CSO) 70

Diretor/gerente de auditoria interna 63

Chief technology officer (CTO) 55

Administrador de rede/sistema 40

Executivo/vice-presidente de unidade de negócios 30

Chief operating officer (COO) 21

Chief risk officer (CRO) 9

Chief financial officer (CFO) 8

Chief compliance officer (CCO) 6

Chefe do departamento jurídico 1

Outros 440

Participantes da pesquisa por cargo


Outras fontes de informações para líderes

Protecting and strengtheningyour brandSocial media governanceand strategy


May 2012 Protecting and strengthening your brand: social media governance and strategyPara muitas empresas, o sucesso de longo prazo depende do êxito de diversos programas essenciais de transformação individual. Concentradas em responder ao tumulto no mercado atual, as organizações têm de executar concomitantemente inúmeros programas e projetos de mudança, além de manter o negócio em funcionamento. Várias companhias têm dificuldade em resolver o dilema entre “fazer as coisas certas” e “fazer as coisas do jeito certo”. Como resultado, muitas recebem pouco retorno sobre os investimentos feitos em projetos e programas.

Ready for takeoffPreparing for your journey into the cloud


April 2012 Ready for takeoff: preparing for your journey into the cloudMuitas empresas estão considerando a computação na nuvem para aumentar a eficácia das iniciativas de TI, reduzir o custo das operações internas, aumentar a flexibilidade operacional e gerar vantagem competitiva. Se usada com uma estratégia eficaz, a computação na nuvem pode garantir um melhor aproveitamento de TI, centrado na estratégia e não nas operações. Os serviços na nuvem são ágeis e flexíveis, aumentam a capacidade de compreender e reagir às constantes mudanças nas condições do mercado, permitem atender às necessidades do cliente e reagir às iniciativas tomadas pela concorrência.

Privacy trends 2012The case for growing accountability

Insights on IT risk Business brie ng

January 2012

Privacy trends 2012Com a mesma rapidez com que os governos adotam medidas para regulamentar a privacidade, grupos empresariais exploram oportunidades de autorregulamentação, com o objetivo de limitar a intervenção governamental. Em última análise, contudo, quem deve agir são as próprias organizações. Para aumentar suas responsabilidades, muitas empresas terão de rever o conceito de privacidade.

Insights on IT riskTechnical brie ng

January 2012

Mobile device security Understanding vulnerabilities and managing risks

Mobile device security Os enormes avanços tecnológicos dos aparelhos móveis estenderam as fronteiras virtuais do negócio, apagando as linhas entre casa e escritório e garantindo o acesso permanente a e-mails. Essa realidade gerou novos aplicativos móveis de negócios e permitiu o acesso e a armazenagem de dados confidenciais da empresa. Neste estudo, exploramos os riscos das plataformas e da tecnologia inerentes aos dispositivos mais populares, além dos métodos que podem ser usados para avaliar a exposição das empresas e mitigar os riscos.

Cloud computing issues and impactsA computação na nuvem é uma mudança fundamental de TI, que altera a estrutura de poder da área de tecnologia, aprimora a agilidade dos negócios e facilita o acesso de todos aos dados armazenados. O relatório descreve os problemas e impactos de todos os aspectos da computação na nuvem.

Insights on IT riskTechnical brie� ng

January 2012

Bringing IT into the fold Lessons in enhancing industrial control system security

Bringing IT into the fold: lessons in enhancing industrial control system securityConcessionárias e empresas de energia elétrica, bem como outras empresas com operações industriais – como concessionárias de óleo e gás e diversas empresas do setor de produção –, enfrentam o crescente risco de ataques cibernéticos, ao mesmo tempo em que buscam unir os ambientes de operações tecnológicas, em tempo real, aos ambientes empresariais de TI.

Insights on IT riskTechnical briefing

October 2011

A path to making privacy countFive steps to integrating privacy protection into IT transformations

A path to making privacy countSerá que as informações pessoais que você obtém de seus clientes está protegida de olhares indiscretos? Por toda a parte, os departamentos de TI enfrentam a evolução tecnológica e seu impacto sobre os sistemas já existentes e sobre as novas integrações. Nesse cenário, a privacidade é uma questão imprescindível. Uma gestão eficaz dos riscos impostos à privacidade pode proteger contra violações custosas, que podem prejudicar a imagem da empresa e o valor para os acionistas, além de oferecer oportunidades para melhorar o desempenho de negócios e garantir vantagem competitiva.

A Ernst & Young publica regularmente textos e artigos para dar ideias a líderes sobre uma ampla gama de temas relacionados a TI e segurança da informação – incluindo a série Insights on IT Risk, centrada no risco de TI e nos desafios e oportunidades a ele relacionados. As publicações trazem informações e descobertas oportunas, desenvolvidas para ajudar os clientes a oferecer conhecimentos valiosos e importantes sobre questões fundamentais para seus altos executivos.Para acessar os relatórios listados abaixo, use o QR Code correspondente ou acesse www.ey.com/informationsecurity.

A visão da Ernst & Young sobre o risco de TI

Na Ernst & Young, os serviços de assessoria estão centrados em necessidades de negócios específicas e nos problemas individuais dos clientes: sabemos que cada empresa tem necessidades e problemas específicos.

TI é um importante elemento de capacitação para que as organizações atuem em meio à concorrência do atual cenário global de negócios. TI oferece uma oportunidade de aproximação com os clientes, permitindo atendê-los com mais rapidez. Isso pode melhorar consideravelmente a eficiência das operações. No entanto, conforme as empresas adotam a nuvem e tiram proveito das novas tecnologias, os riscos também aumentam.

Nossos 6.000 profissionais da área de Auditoria e Riscos em TI têm ampla experiência pessoal para oferecer novas ideias e uma assessoria franca e objetiva – onde quer que você esteja.

Para nós, TI é tanto um “negócio” como uma “ferramenta que possibilita a realização de negócios”. TI é fundamental para auxiliar as empresas a aprimorar continuamente o desempenho e manter as melhorias num cenário em constante transformação.

Além de TI, nossos profissionais de Consultoria reúnem a experiência obtida trabalhando com importantes organizações, essencial para ajudar na concretização de avanços mensuráveis e sustentáveis no desempenho do seu negócio.

Formamos uma equipe multidisciplinar, criada sob medida para as necessidades específicas de cada cliente. No campo, nossas equipes contam com o alcance global da Ernst & Young, com a nossa ampla experiência setorial e o profundo conhecimento sobre inúmeros temas para ajudar você a vencer a guerra contra as constantes mudanças nos riscos de TI.

Para mais informações sobre o que podemos fazer pela sua empresa, entre em contato com um profissional local da Ernst & Young ou com qualquer uma das pessoas listadas abaixo.


Contatos

Global

Norman Lonergan Líder de Serviços de Consultoria +44 20 7980 [email protected]

Paul van Kessel Líder de Serviços de Auditoria e Riscos em TI+31 88 40 [email protected]

ÁreaAméricas

Robert PattonLíder de Serviços de Consultoria+1 404 817 5579 [email protected]

Bernie WedgeLíder de Serviços de Auditoria e Riscos em TI+1 404 817 [email protected]

Brasil

Antonio VitaSócio-líder de Consultoria para o Brasil e América do Sul+ 55 11 2573 [email protected]

Wilson GellacicSócio-líder de Auditoria e Riscos em TI para o Brasil e América do Sul+ 55 11 2573 [email protected]


Sergio KoganSócio de Auditoria e Riscos em TI / Segurança da Informação+ 55 11 2573 [email protected]

Alberto FaveroSócio de Auditoria e Riscos em TI / Segurança da Informação para a Indústria Financeira+ 55 11 2573 [email protected]

Claudia MaronaSócia de Auditoria e Riscos em TI + 55 11 2573 [email protected]

Francesco BottinoSócio de Auditoria e Riscos em TI / Segurança da Informação+ 55 21 3263 [email protected]

Henrique OliveiraSócio de Auditoria e Riscos em TI+ 55 11 2573 [email protected]

Demétrio CarrionDiretor de Segurança da Informação+ 55 21 3263 [email protected]

Eduardo BatistaDiretor de Segurança da Informação+ 55 11 2573 [email protected]


Anotações

Ernst & YoungAuditoria | Impostos | Transações Corporativas | Consultoria

Sobre a Ernst & Young

A Ernst & Young é líder global em serviços de Auditoria, Impostos, Transações Corporativas e Consultoria. Em todo o mundo, nossos 167 mil colaboradores estão unidos por valores pautados pela ética e pelo compromisso constante com a qualidade. Nosso diferencial consiste em ajudar nossos colaboradores, clientes e as comunidades com as quais interagimos a atingir todo o seu potencial, em um mundo cada vez mais integrado e competitivo.

No Brasil, a Ernst & Young Terco é a mais completa empresa de Auditoria, Impostos, Transações Corporativas e Consultoria, com 4.900 profissionais que dão suporte e atendimento a mais de 3.400 clientes de pequeno, médio e grande portes

Sobre os serviços de Consultoria da Ernst & Young

A relação entre risco e melhoria no desempenho é um desafio de negócios cada vez mais complexo e importante. O desempenho corporativo está diretamente ligado ao reconhecimento e à gestão eficaz do risco. Quer o risco esteja na transformação dos negócios ou na manutenção de conquistas já realizadas, a presença dos consultores certos pode fazer uma imensa diferença. Nossos 25 mil consultores profissionais formam uma das mais amplas redes globais de consultoria de qualquer organização profissional. Temos equipes experientes e multidisciplinares que trabalham com os clientes para atingir uma experiência de qualidade superior. Utilizamos metodologias comprovadas e integradas para ajudar você a atingir suas prioridades estratégicas e a realizar melhorias sustentáveis no longo prazo. Sabemos que, para atingir seu potencial máximo, uma empresa precisa de serviços que ajudem a solucionar problemas específicos. Por isso, reunimos nossa ampla experiência em diversos setores da economia a um profundo conhecimento especializado, agindo de forma proativa e objetiva. Acima de tudo, nosso compromisso é mensurar ganhos e identificar os pontos em que a estratégia agrega valor às necessidades de negócios. É assim que a Ernst & Young faz a diferença.

Esta publicação contém informações resumidas e, portanto, tem a intenção de servir como orientação geral. Ela não pretende substituir pesquisas detalhadas ou avaliações profissionais. Nem a EYGM Limited, nem qualquer outro membro da organização global Ernst & Young podem aceitar responsabilidade por danos causados a qualquer pessoa ao agir ou abster-se de qualquer ação como resultado de qualquer material contido nesta publicação. Para consultas sobre assuntos específicos, consulte o assessor adequado.

© 2012 EYGM Limited. Todos os direitos reservados.

Esta é uma publicação do Departamento de Marketing.

A reprodução deste conteúdo, na totalidade ou em parte, é permitida desde que citada a fonte.

O desafio da redução dos gaps de Segurança da Informação · • Ampliar os investimentos em...

Documents

Transcript of O desafio da redução dos gaps de Segurança da Informação · • Ampliar os investimentos em...