Pwc pesquisa-global-seguranca-informacao-2011

PwC 3

Respeitada – mas ainda limitada

Consultoria em NegóciosSegurança da Informação

Como consequência do maior abalo econômico global em 30 anos, a segurança da informação confronta uma nova ordem econômica

Pesquisa Global de Segurança da Informação 2011

Segurança da Informação

PwC 5

Introdução

O segundo é que os efeitos da crise econômica ajudaram para que a área de segurança ampliasse seu nível de atuação, maturidade e importância. Além de ajudar a mitigar os riscos de negócio associados à globalização, à terceirização e ao cumprimento das políticas da empresa por terceiros, a área de segurança da informação agora também é cobrada por novos desafios e, em algumas empresas, com mais urgência do que nunca. A área de segurança e seus líderes agora são responsáveis também por ajudar a empresa a endereçar um conjunto de riscos e oportunidades derivados da crise, como aqueles associados à adoção de novos modelos de negócios, à retomada dos movimentos de fusões e aquisições, às sucessivas ondas de demissões, aos cortes de custos em outras áreas, à rapidez na retomada do crescimento e às mudanças estratégicas dos concorrentes.

Os resultados da pesquisa indicam otimismo e preocupação dos executivos. Por exemplo, 52% afirmam que sua empresa irá aumentar os investimentos ao longo do próximo ano. Ainda assim, muitos deles disseram que seus parceiros de negócios (52%) e fornecedores (50%) ainda se recuperam dos efeitos da recente crise na economia, percentuais significativamente maiores do que os registrados na edição anterior da pesquisa, 43% e 42% respectivamente. E 49% dos entrevistados afirmam que as condições econômicas ainda pesam sobre as decisões de investimento em segurança da informação, porém estão otimistas com relação aos próximos 12 meses.

É com satisfação que divulgamos ao mercado brasileiro os resultados da oitava edição de nossa Pesquisa Global de Segurança da Informação - Global State of Information Security Survey®. Um estudo conduzido por PwC, CIO Magazine e CSO Magazine, o maior estudo do gênero no mundo, o qual representa a análise consolidada dos dados fornecidos por mais de 12.800 executivos, entre CEOs, CFOs, CIOs, CSOs, vice-presidentes e diretores de TI e segurança da informação, de empresas médias, grandes e gigantes de 135 países e de todos os setores da economia. No Brasil, houve a participação de 500 executivos, o que permitiu enriquecer este estudo com dados reveladores sobre o momento da segurança da informação nas empresas do país.

Em particular, dois pontos se destacam na pesquisa deste ano. O primeiro é haver evidências claras de que, em alguns casos, a área de segurança parece estar no radar dos executivos da empresa. Tudo indica que os esforços para se alinhar as iniciativas de segurança com as necessidades reais de negócio estejam, de fato, começando a mostrar resultados e criar valor nas empresas.

PwC 7

Executivos da área de segurança informam que suas empresas também sofreram com a contenção de investimentos e despesas operacionais e que, em muitos casos, resultaram na perda ou degradação de algumas competências fundamentais da segurança.

Os principais aspectos que estão direcionando os gastos com segurança são as condições econômicas (49%), os planos de contingência e recuperação de desastres (40%), os riscos de reputação (35%), o cumprimento de políticas internas (34%) e o atendimento às questões regulatórias (33%). Estes direcionadores de gastos não são novos, o surpreendente é que quase todos eles estão tendendo ou já próximos dos níveis mais baixos em quatro anos.

O destaque de crescimento este ano, segundo a pesquisa, foram as “demandas de clientes”. Elas saíram do último lugar da lista, em 2007, para quase empatar com o primeiro do ranking – ambiente regulatório/legal. O aumento das demandas de segurança feita pelas áreas de negócio demonstra a importância estratégica e a integração cada vez maior da área de segurança com outras áreas da companhia.

Outra revelação da pesquisa se relaciona com o avanço no processo de mudança da linha de reporte do CISO, saindo da linha do CIO para responder a outros executivos de negócio da empresa. Como esperado, as redes sociais e o novo papel da segurança é destaque este ano. Pela primeira vez na resposta dos executivos surge a apólice de seguro e o ressarcimento por sinistros como uma medida adicional de segurança contra o mau uso dos ativos de informação.

A análise da pesquisa deste ano foi intitulada “Respeitada – mas ainda limitada”. O propósito deste estudo é permitir reflexões profundas e comparativas sobre o estado da segurança da informação nas empresas em todo o mundo. O tema introdutório deste estudo trata do cerne da questão, revelando os efeitos das condições econômicas globais nas áreas de segurança da informação das empresas. Em seguida, se apresentam as revelações (“descobertas”) da pesquisa sobre temas como gastos, contexto econômico, recursos e orçamentos, capacidades e brechas, novas áreas de foco e tendências regionais. Em seguida, dando importância aos resultados locais, apresentamos uma seção específica para revelar o estado da segurança da informação nas empresas no Brasil. A seção sobre a análise do que tudo isto significa para seu negócio conclui o estudo.

A equipe de especialistas em Segurança da Informação da PwC está à sua disposição para discutir temas específicos ou gerais dessa pesquisa, para compartilhar tendências setoriais ou para apoiar a sua organização em análises comparativas de segurança da informação.

Boa leitura,

Edgar D’AndreaSócioPwC

PwC 9

Conteúdo

O cerne da questão 10 Uma vez que as condições econômicas globais continuam a oscilar, a segurança da informação paira no equilíbrio entre uma relação de respeito duramente conquistada junto aos executivos e um ambiente econômico ainda de cautela.

Uma discussão profunda 12Sinais de ganhos e avanços estratégicos de segurança aparecem lado a lado com as recentes rachaduras na sua fundação.

I. Gastos: Uma alternância sutil, mas extremamente significativa 12

II. Contexto econômico: Os principais impactos e estratégias 17

III. Recursos e orçamentos: Um equilíbrio entre cuidado e otimismo 21

IV. Capacidades e brechas: tendências fortes para serem ignoradas 26

V. Novas áreas de foco: onde estão as oportunidades emergentes 33

VI. Tendências regionais: A troca da guarda 37

Como fica o Brasil neste contexto 42 Líder no mercado de segurança. Ou visionário que ainda possui demandas reprimidas?

O que isto significa para o seu negócio 46Aprenda com a desaceleração e retomada da economia.E faça mudanças importantes. Mas também esteja entreos primeiros a olhar para frente.

Metodologia 49

Contatos 50

Pesquisa Global de Segurança da Informação de 201110

O cerne da questãoUma vez que as condições econômicas globais continuam a oscilar, a segurança da informação paira no equilíbrio entre uma relação de respeito duramente conquistada junto aos executivos e um ambiente econômico ainda de cautela.

PwC 11

Durante o ano de 2009 foi difícil prever quando, onde e com que força as condições econômicas globais melhorariam.

Então não é surpreendente descobrir em 2010 que, de acordo com os resultados da Pesquisa Global de Segurança de Informação 2011, executivos em vários segmentos e mercados mundo afora estão relutantes por liberar fundos para a função de segurança da informação.

Esta restrição financeira ainda ocorre, muito embora haja clara evidência de que a segurança da informação está emergindo da fumaça de um ano difícil, que foi a verdadeira “prova de fogo” anunciada pela pesquisa do ano anterior, e está ostentando o respeito duramente conquistado com muito trabalho, não apenas de muitos, mas da maioria dos respondentes. Isto inclui mais de 12.800 CEOs, CFOs, CIOs, CISOs, CSOs e outros executivos responsáveis pelo departamento de TI e investimentos em segurança de suas organizações em mais de 135 países.

A restrição a gastos ainda é realidade em muitos países. Com isso, algumas funções operacionais de segurança, que demoraram uma década inteira para se desenvolver, estão se degradando e expondo empresas a riscos.

A tensão é aguda. Entre a maturação contínua da função de segurança e a regressão. Entre movimentos mais cuidadosos, à medida da recuperação da economia, e o otimismo exacerbado. Entre preservar os investimentos e proteger o negócio.

Pressionada pelos dois lados, a função de segurança da informação está sedenta por investimentos e determinada a contribuir cada vez mais para o negócio da empresa.

Qual a evidência destas tendências? Quais as implicações para os investimentos nos próximos 12 meses? Quais são as maiores vulnerabilidades emergentes relacionadas à segurança? E quais são as oportunidades e prioridades cruciais que a sua empresa deve considerar, agora e pelo próximo ano, para aumentar a contribuição que a segurança traz ao seu negócio?


Uma discussão profundaSinais de ganhos e avanços estratégicos de segurança aparecem lado a lado com as recentes rachaduras na sua fundação.

I. Gastos: Uma alternância sutil, mas extremamente significativa

Descoberta #1 Três tendências estratégicas de gastos (investimentos e despesas), em construção há anos, que dificilmente serão abandonadas.

Descoberta #2 Os direcionadores de gastos deste ano não são novos. Mas eis a surpresa: Quase todos eles estão tendendo ou já chegaram próximos dos níveis mais baixos em quatro anos.

Descoberta #3 A demanda de clientes agora emergiu – como o “novo sabor do ano” ou talvez como um direcionador estratégico de gastos que resistirá ao tempo.

PwC 13

Descoberta #1Três tendências estratégicas de gastos (investimentos e despesas), em construção há anos, que dificilmente serão abandonadas. Analisando os números das pesquisas destes vários anos, pela primeira vez, neste ano, se destacam três tendências estratégicas de longo prazo em relação aos gastos em segurança.

1. Segurança está na lista de “proteger” dos CFOs

As primeiras evidências disto já apareceram nos dados da pesquisa do ano passado. Os dados deste ano evidenciam definitivamente esta tendência. À medida que a função amadurece e contribui de maneira mais clara e direta para os objetivos do negócio, as curvas de investimentos e despesas se tornam muito mais estáveis. Conforme revelado na pesquisa do ano passado, os recursos de segurança ficaram protegidos durante o período de crise. E, como mostraremos nas páginas que seguem, os investimentos em segurança deste ano irão crescer à medida que a economia se restabeleça e se torne mais vigorosa.

2. Ainda assim, a segurança continua vulnerável ao “sabor do ano”

Como segurança é importante para o negócio das organizações, os direcionadores para os gastos tendem a ser atrelados às principais prioridades de negócio, conforme enfatizam de forma proeminente e freqüente os executivos que buscam recursos para as iniciativas de segurança. Em suma, os direcionadores para os gastos em segurança estão suscetíveis ao que podemos chamar de “sabor do ano”.

Tomando o mercado nos EUA como exemplo, em 2007, isto é seis anos depois do evento de 11 de setembro, 68% dos respondentes apontaram continuidade do negócio e recuperação de desastre como o direcionador de investimento mais relevante em segurança, contra 43% na atualidade. Também em 2007, cinco anos após o Sarbanes-Oxley Act e dois anos após o HIPAA (Health Insurance Portability and Accountability Act), os respondentes dos EUA identificaram conformidade regulatória como o segundo mais importante direcionador, contra 47% na atualidade.

3. O efeito “gota d’água”

Há o grande respingo e depois vem a dispersão. Após despontarem como direcionadores relevantes, de continuidade do negócio à conformidade regulatória, cada um deles, inicialmente influenciados por fatores externos, passa com o tempo a se integrar às práticas internas. Eles continuam importantes para a organização, aliás em muitos casos são cruciais, mas precisamente pelo sua importância se integram às práticas de negócio. Como? Através, por exemplo, de novos sistemas automatizados. De novos papéis e responsabilidades. De políticas e práticas de negócio, ou de ambientes de controles internos otimizados.


Descoberta #2 Os direcionadores de gastos deste ano não são novos. Porém, eis a surpresa! Quase todos eles estão tendendo ou já chegaram próximos dos níveis mais baixos em quatro anos.

Que fatores estão direcionando os gastos com segurança de informação este ano? Em um primeiro olhar, a resposta não surpreende: Condições econômicas (mencionadas por 49% dos respondentes), continuidade do negócio e recuperação de desastres (40%), reputação da empresa (35%), conformidade política interna (34%) e conformidade regulatória (33%). (Figura 1).

Ou seja, estes fatores são primários e naturalmente esperados de serem apontados, se consideramos os impactos da crise econômica mundial nos últimos 18 meses, a expansão da globalização, a introdução de novas tecnologias, habilitando continuamente o fluxo livre de informações pelo mundo, a introdução da APT (“Advanced Persistent Threat”) e a onda de maior vigor na regulamentação entre mercados, indústrias e regiões ocorrida nos últimos dez anos.

O que surpreende, no entanto, é que quase todos estes fatores estão tendendo ou já chegaram próximos dos níveis mais baixos em quatro anos. Continuidade do negócio e recuperação de desastre, como direcionador dos gastos em segurança, por exemplo, obteve este ano 40%, contra 68% há quatro anos. Isto significa decrescimento de 28 pontos percentuais ou 41% de redução. Os outros direcionadores mostram reduções semelhantes. (Figura 2).

Vale ressaltar uma questão importante: isto significa que estes fatores são menos importantes? De maneira alguma! Em muitos casos, eles ainda são vitais. Apenas não são direcionadores de gastos tão relevantes quanto já foram no passado. Possivelmente, estão em um estágio de maturidade mais avançado, o que requer muito mais manutenção e ajustes finos do que processos transformacionais.

Figura 1: Percentual de respondentes que identificaram as seguintes questões de negócio ou fatores como direcionadores mais importantes para gastos com segurança da informação na sua empresa. (1)

40%35% 34%

33%

49%

Condições econômicas

Continuidade do negócio/ recuperação de desastres

Reputação da empresa

Conformidade com políticas internas

Conformidade regulatória

(1) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.

Fonte: 2011 Global State of Information Security Survey®

PwC 15

Figura 2: Percentual de respondentes que identificaram as seguintes questões de negócio ou fatores como direcionadores mais importantes para gastos com segurança da informação na sua empresa. (2)

2007 2008 2009 2010 Diferençaem 3 anos

Condições econômicas N/D N/D 39% 49% N/D

Plano de continuidade /recuperação de desastres 68% 57% 41% 40% – 41%

Reputação da empresa 44% 39% 32% 35% – 20%

Conformidade com políticas internas 51% 46% 38% 34% – 33%

Conformidade regulatória 54% 44% 37% 33% – 39%

(2) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey®

Descoberta #3A demanda de clientes agora emergiu – como o “novo sabor do ano” ou talvez como um direcionador estratégico de gastos que resistirá ao tempo.

Qual é o novo “sabor do ano”? É a demanda do cliente, muito embora o significado deste termo varie um pouco entre os respondentes.

Este ano, quando os respondentes foram questionados sobre como os gastos com segurança de informação eram justificados na empresa, quase todos os fatores entre os sete maiores identificados, de práticas comuns na indústria à responsabilidade pelo impacto de um incidente na receita, refletiram declínios em comparação com 2007. As reduções variaram de 10% a 26%.

A demanda de clientes não foi apenas o único fator entre os sete mais importantes a aumentar neste período, ela também subiu no ranking (da posição 6) para próximo da paridade com o fator líder (posição 2). (Figura 3).

As demandas de clientes se referem a um cliente interno ou externo? Um mandato contratual ou um limite mínimo em uma solicitação de proposta? Apesar da pesquisa apresentar ambigüidade neste ponto, está claro que a “demanda do cliente”, em geral, motiva maiores gastos que no passado.

Demanda de clientes é somente o novo “sabor” ou se provará mais duradoura do que nunca? Poderia “demanda de clientes” se tornar um destaque entre os direcionadores de gastos em segurança, reconhecido globalmente, nos próximos três ou quatro anos?

Talvez. Neste momento parece ser mais um sinal, após 15 anos, de que a função de segurança da informação continua a assumir um papel mais avançado voltado para as “demandas do cliente”, o suporte ao negócio e a criação de valor estratégico da organização.


Figura 3: Percentual de respondentes que identificaram os seguintes fatores quando solicitados a revelar como segurança de informação é justificada nas suas empresas. (3)

2007 2008 2009 2010 Diferença em 3 anos

Ambiente regulatório/legal 58% 47% 43% 43% – 26%

Demanda do cliente 34% 31% 34% 41% + 21%

Julgamento profissional 45% 46% 40% 40% – 11%

Responsabilidade potencial/exposição 49% 40% 37% 38% – 22%

Práticas comuns na indústria 42% 37% 34% 38% – 10%

Redução do risco quantificado 36% 31% 31% 30% – 17%

Impacto potencial na receita 30% 27% 26% 27% – 10%



PwC 17

II. Contexto econômico: Os principais impactos e estratégias

Descoberta #4 Enquanto os impactos da retração econômica permanecem, o maior aumento em risco está associado às fraquezas de segurança existentes em parceiros e fornecedores.

Descoberta #5 As estratégias de segurança definidas pelas empresas neste ano são basicamente as mesmas adotadas no ano passado. A preocupação é que algumas delas podem abrir novas áreas de risco.


Descoberta #4Enquanto os impactos da retração econômica permanecem, o maior aumento em risco está associado às fraquezas de segurança existentes em parceiros e fornecedores.

A recuperação da economia em países emergentes como Brasil, Índia e China está sendo muito mais rápida que nos países europeus. A maioria dos economistas concorda que as condições do mercado hoje são muito melhores que no final de 2008. Neste contexto, seria natural se a percepção dos respondentes sobre os impactos provocados pela crise econômica na função de segurança fosse diferente daquela do ano passado.

Mas ela não é, pelo menos para a maioria. De fato, as percepções dos respondentes a este respeito são surpreendentemente consistentes com as do ano passado. A maioria concorda, por exemplo, que o ambiente regulatório se tornou mais complexo e oneroso. E que o ambiente de risco crescente continua a elevar a importância da função de segurança. E que as políticas atuais de redução de custo dificultam o alcance de níveis adequados de segurança. (Figura 4).

Então, qual a maior mudança relatada no impacto da economia global para a função este ano? Os respondentes são bem mais propensos a relatar que parceiros de negócios e fornecedores foram enfraquecidos pelas condições econômicas, quando comparados ao ano passado.

Isto é compreensível, especialmente considerando fatores como a recente onda de globalização e de desenvolvimento dos mercados emergentes, que inseriu economicamente outros países na cadeia de produção e de consumo global. Da mesma forma, era de se esperar que os impactos reais em parceiros e fornecedores levassem pelo menos um ano para surgir.

Mas há uma implicação muito menos óbvia, que é enormemente reveladora, sobre a evolução estratégica da maturidade da função de segurança.

Os dados desta descoberta não vêm apenas daqueles que ocupam posições executivas de negócio ou de TI. A informação claramente vem, direta ou indiretamente, do nível gerencial das áreas centrais de operação das empresas. Isto inclui os responsáveis por unidades de negócio, os tomadores de decisão operacionais, os especialistas de “supply chain”, ou seja, aqueles que trabalham diretamente com parceiros de negócios e fornecedores das organizações.

PwC 19

Em outras palavras, este ano, estamos começando a ver evidências quantitativas das tendências subjetivas que estão sendo acompanhadas há vários anos. Os holofotes sobre o valor da segurança estão acesos e brilhando intensamente não apenas no nível C-Suite das organizações, mas também no cerne das áreas operacionais como produção, cadeia de suprimentos, compras, desenvolvimento de negócios, marketing, inovação e parcerias estratégicas.

Ambiente regulatório se tornou mais complexo e oneroso

(4) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey®

Figura 4: Percentual de respondentes relatando os seguintes impactos das condições econômicas atuais nas funções de segurança da informação da empresa. (4)

2010 56%

55%

56%

52%

50%

52%

43%

43%

52%

43%

50%

42%

2010

2010

2010

2010

2010

2009

2009

2009

2009

2009

2009

Ambiente de risco crescente aumentou o papel e a importância da função de segurança

Esforços de redução de custo fazem com que a segurança adequada seja mais difícil de atingir

Ameaças à segurança de nossos ativos de informação aumentaram

Nossos parceiros de negócios se enfraqueceram pelas condições econômicas

Nossos fornecedores se enfraqueceram pelas condições econômicas


Descoberta #5As estratégias de segurança definidas pelas empresas neste ano são basicamente as mesmas adotadas no ano passado. A preocupação é que algumas delas podem abrir novas áreas de risco.

está fundamentada na busca por confidencialidade e eficiência da segurança. Assim como a área de TI, a de segurança precisa ter custos operacionais mais baixos e concentrar os esforços em atividades de maior valor agregado. Fica o alerta que estas ações, para alguns casos, podem criar novos riscos para a empresa.

Por exemplo, se as empresas estabelecem uma relação de prestação de serviços de gerenciamento contínuo de segurança com um determinado fornecedor, elas estariam também (1) aumentando a necessidade por supervisão e governança desta prestação de serviços? (2) tendo que conduzir auditorias mais freqüentes das operações deste fornecedor? e (3) assegurando o alinhamento dos processos do fornecedor com as políticas de segurança da empresa, com as exigências regulatórias correspondentes e com o gerenciamento estratégico de riscos?

Figura 5: Percentual de respondentes que relataram

A Figura 5 mostra as ações definidas pelas empresas para atingir seus objetivos de segurança face às condições incertas da economia neste ano.

Pelo segundo ano consecutivo, aumentar o foco em proteção de dados é a ação prioritária em todo o mundo. Consistente com os resultados do ano passado estão outras prioridades, como os investimentos de segurança com base em risco, o fortalecimento da governança da empresa, o estabelecimento de programas de risco e conformidade e a adoção de tecnologias de automação relacionada à segurança.

Um segundo conjunto de tendências inclui outras ações, tais como o aumento de confiança em serviços de segurança gerenciados, a redução do número de pessoal de segurança em tempo integral e a migração das responsabilidades relacionadas à segurança para áreas que não sejam de segurança de TI.

Com certeza a lógica de negócio por trás destas ações

que estratégias são importantes para atingir seus objetivos de segurança diante das incertezas da econômica. (5)

(5) Respondentes que responderam “Importante”, “Muito Importante” ou “Prioridade Top”. Nem todas as respostas incluídas. Não soma 100%. Respondentes podiam indicar vários fatores.


Aumentar o foco em proteção de dados

Priorizar investimentos de segurança com base em risco

Fortalecer a governança da empresa, o risco e o programa de conformidade

Redirecionamento da estratégia central existente

Acelerar a adoção de tecnologia de automação de segurança para aumentar a eficiência e cortar custos

Buscar configurações mais completas de ferramentas de DLP

Aumentar a confiança em serviços gerenciados de segurança

Alocar as tarefas de segurança a funcionários que não são de TI

Reduzir o número de pessoal de segurança em tempo integral

71%

69%

67%

66%

66%

65%

59%

48%

43%

PwC 21

III. Recursos e orçamentos: Um equilíbrio entre cuidado e otimismo

Descoberta #6 A precaução financeira permanece alta na medida em que executivos na indústria mantêm políticas de arrocho orçamentário, pelo menos por enquanto. Descoberta #7 Entretanto, esta precaução parece estar menor para projetos com mais de seis meses e para casos em que a redução orçamentária é acima de 10%.

Descoberta #8 Quando perguntados sobre as expectativas de gastos com segurança no próximo ano, os respondentes estão mais otimistas do que em qualquer momento desde 2005.


Descoberta #6A precaução financeira permanece alta na medida em que executivos na indústria mantêm políticas de arrocho orçamentário, pelo menos por enquanto.

Sua empresa reduziu orçamentos para iniciativas de segurança? 2009 2010

Sim, para investimentos 47% 47%

Sim, para despesas operacionais 46% 46%

A sua empresa adiou iniciativas de segurança? 2009 2010



Os recursos ainda estão restritos. Não há dúvidas quanto a isso. Embora alguns mercados e segmentos pareçam estar se fortalecendo, as empresas ainda estão reagindo com extrema atenção.

Quando perguntados se a empresa havia reduzido os orçamentos de segurança durante o ano passado, aproximadamente metade de todos os 12.847 respondentes declara que houve redução para investimentos (47% dos respondentes) e para despesas operacionais (46%). O interessante é que estes percentuais foram exatamente os mesmos do ano passado para a mesma pergunta (47% e 46% respectivamente). (Figura 6).

De forma surpreendente, pelo menos dados os sinais de um iminente retorno do mercado para níveis sustentáveis de crescimento, mais respondentes que no ano passado relataram que suas empresas tinham adiado investimentos (CAPEX) relacionados à segurança. Isto é, de 43% em 2009 para 46% este ano e despesas operacionais (OPEX), de 40% para 42% respectivamente.

Um ajuste sutil do controle de custos? Sim, aparentemente. Um sinal de que ainda haverá restrições mais rígidas de investimentos? Talvez. Mas provavelmente não. As evidências sugerem que este comportamento de extremo foco em custo, em alguns casos, por exemplo, pode ser comparado com aquela situação em que o consumidor não gasta dinheiro nos meses imediatamente anteriores à compra de um novo carro. Economizar agora para gastar depois.


Figura 6: Percentual de respondentes que relataram que sua empresa está reduzindo orçamentos para iniciativas de segurança ou adiando os mesmos.

PwC 23

Descoberta #7Entretanto, esta precaução parece estar menor para projetos com mais de seis meses e para casos em que a redução orçamentária é acima de 10%.

Nos segundos após o timão de um navio oceânico de 200 toneladas, que se move rapidamente, ser direcionado em uma rota notoriamente diferente, e antes da evidência desta virada ser indicada na bússola do navio, o nível de água em um lado do casco que corta ondas registra uma mudança inconfundível.

É o que está acontecendo aqui – de certa maneira. Analisamos mais a fundo como os executivos responderam nossa pergunta sobre restrição de investimentos e de despesas operacionais. E o que descobrimos é fascinante.

As precauções com gastos parecem estar menores para projetos com mais de seis meses e para as reduções orçamentárias de mais de 10%. Por outro lado, a atenção está naqueles projetos inferiores a seis meses ou com reduções orçamentárias inferiores a 10%.

Por que existe grande concentração em projetos de curto prazo? É difícil dizer. Alguns de nossos clientes ainda estão atentos à recuperação da economia no curto prazo. Outros estão interessados em determinar o CAPEX e OPEX de segurança com base no fluxo de caixa e não no reconhecimento da receita. Como conseqüência, muitos gerentes de segurança buscam alocar recursos em projetos do tipo “quick win”, com resultados de curto prazo, em detrimento de projetos cujas demandas têm caráter estruturantes ou transformacionais de médio e longo prazo.

Como foi possível perceber esta tendência? Os dados apresentam uma alternância perceptível em relação a CAPEX e OPEX nos últimos dois anos. Analisando esta alternância, se percebe distância das iniciativas de longo prazo e foco crescente nas iniciativas planejadas para o curto prazo. Tomamos esta tendência como o primeiro sinal de otimismo, embora cauteloso.

Sua empresa reduziu orçamentos para iniciativas de segurança? 2009 2010



A sua empresa adiou iniciativas de segurança? 2009 2010




Figura 7: Percentual de respondentes que relataram que sua empresa está reduzindo orçamentos para iniciativas de segurança ou adiando as mesmos.

A sua empresa adiou iniciativas de segurança? 2009 2010 Diferença

de 1 ano

Sim, para investimento 43% 46%

- por menos de 6 meses 21% 27% +6pts

- por mais de 6 meses 22% 19% -3pts


- por menos de 6 meses 22% 26% +4pts

- por mais de 6 meses 18% 16% -2pts

Sua empresa reduziu o orçamento para iniciativas de segurança? 2009 2010 Diferença

de 1 ano

Sim, para investimento 47% 47%

- em menos de 10% 19% 22% +3pts

- em mais de 10% 28% 25% -3pts


- em menos de 10% 19% 22% +3pts

- em mais de 10% 27% 24% -3pts


PwC 25

Descoberta #8Quando perguntados sobre as expectativas de gastos com segurança no próximo ano, os respondentes estão mais otimistas do que em qualquer momento desde 2005.

42%

2005 2006 2007 2008 2009 2010

46%44% 44%

38%

52%



O segundo sinal de otimismo revelado na pesquisa é mais exuberante. Nunca na história desta pesquisa se registrou um salto tão grande na expectativa de que os gastos com segurança aumentarão nos próximos 12 meses. Este otimismo, declarado por 52% dos respondentes, é significativo e representa o maior nível percentual desde antes de 2005. (Figura 8).

Isto significa a total disposição das empresas em aumentarem seus CAPEX e OPEX em segurança nos próximos 12 meses, a menos que a economia global sofra outro revés.

Figura 8: Percentual de respondentes da pesquisa que relatam que os gastos com segurança aumentarão nos próximos 12 meses. (6)


IV. Capacidades e brechas: tendências muito fortes para se ignorar

Descoberta #9 Após demonstrarem avanços sólidos nos últimos anos, algumas empresas estão permitindo que suas capacidades em segurança piorem.

Descoberta #10 À medida que as organizações continuam a ganhar mais visibilidade a partir dos incidentes de segurança, mais elas aprendem sobre os custos reais de suas brechas.

Descoberta #11 O processo de mudança da linha de reporte do CISO, do CIO para outros executivos de negócio da empresa, deu uma guinada significativa este ano.

PwC 27

Descoberta #9Após demonstrarem avanços sólidos nos últimos anos, algumas empresas estão permitindo que suas capacidades em segurança piorem.

Além disso, em muitos casos, os índices de adoção estão em declínio. Quando comparado com o ano passado, por exemplo, menos respondentes declaram ter a prática de checar antecedentes civis e criminais como parte do processo de contratação de pessoal ou terceiros (60% em 2009, 56% este ano), de monitorar o uso da internet e dos ativos de informação pelos funcionários (57% em 2009, 53% este ano) e de conduzir programas de sensibilização e conscientização de segurança (53% em 2009, 49% este ano).

Um impacto de apenas um ano? Talvez. Mas nos casos em que isto ocorre, a regressão das capacidades leva a segurança aos níveis de 2008 ou de antes.

Este ano, a adoção de muitos dos processos planejados relacionados à segurança de informação parece ter sofrido estagnação. Quem sabe seja a conseqüência não prevista da austeridade de redução de custos nas empresas. Os respondentes estão na mesma posição que declaram estar no ano passado, por exemplo, em relação a ter definida a estratégia geral de segurança (65% em 2009, 65% este ano), a usar ferramentas de varredura de vulnerabilidades (53% em 2009, 53% este ano) e a ter padrões e procedimentos de segurança para os recursos sem fio (celular e wi-fi) (45% em 2009, 45% este ano). (Figura 9).


Figura 9: Percentual de respondentes cujas empresas possuem as seguintes práticas de segurança e privacidade. A amostra destaca a estagnação no avanço da capacidade de segurança nas empresas. (7)

11%

29%35%

43% 43%

2006 2007 2008 2009 2010

30%

50%54% 53% 53%

2006 2007 2008 2009 2010

29% 29%40%

45% 45%

2006 2007 2008 2009 2010

37%

57% 59%65% 65%

2006 2007 2008 2009 2010

21%28%

36%44% 42%

2006 2007 2008 2009 2010

38%58%

67%

59% 60%

2006 2007 2008 2009 2010



Têm definida a estratégia geral de segurança da informação

Integram os planos de segurança, privacidade e conformidade

Implementaram software de correlação de eventos de segurança

Asseguram o descarte seguro de hardware

Usam ferramentas de varredura de vulnerabilidades

Tem padrões e procedimentos de segurança para recursos sem fio (celular e Wi-Fi)

PwC 29

Figura 10: Percentual de respondentes cujas empresas possuem as seguintes práticas de segurança e privacidade. A amostra reflete a piora emergente de algumas funções de segurança. (8)



60%

2006 2007 2008 2009 2010

51% 52% 51%56%

2006 2007 2008 2009 2010

40%48%

50% 57%53%

2006 2007 2008 2009 2010

25%42% 43%

50% 46%

2006 2007 2008 2009 2010

34%44%

51% 53%48%

2006 2007 2008 2009 2010

39% 42%

54% 53% 49%

2006 2007 2008 2009 2010

49% 47%54%

58% 54%

Conduzem verificação do histórico pessoal

Estabelecem baselines de segurança para parceiros externos, clientes, fornecedores e distribuidores

Conduzem programas de sensibilização ou conscientização de segurança para os colaboradores

Tem pessoal dedicado ao monitoramento do uso de internet e ativos de informação pelos funcionários

Usam processo centralizado de gerenciamento de informações

Monitoram e analisam ativamente a inteligência de segurança da informação


Descoberta #10À medida que as organizações continuam a ganhar mais visibilidade a partir dos incidentes de segurança, mais elas aprendem sobre os custos reais de suas brechas.

Por anos, os percentuais de respondentes que relatavam desconhecer os fatos chave relacionados a incidentes de segurança foram sempre inacreditavelmente altos. Em 2007, por exemplo, 40% declararam não saber quantos incidentes de segurança haviam ocorrido nos últimos 12 meses na empresa. Este ano, houve uma melhora significativa tendo apenas 23% declarado desconhecer os fatos chave dos incidentes de segurança. Em 2007, quase metade (45%) não sabia que tipo de incidente de segurança havia ocorrido. Hoje, 33% não sabem. (Figura 11).

Trata-se de uma evolução importante com conseqüências ainda mais importantes. Isto porque, ao se colocar luzes nas ocorrências e na causa raiz, o que de descobre é preocupante. O impacto dos incidentes de segurança no negócio este ano aumentou para níveis significativos, particularmente em relação às perdas financeiras, relatadas por 20% dos respondentes, seguido por roubo de propriedade intelectual (15%) e comprometimento de marcas ou reputações (14%). (Figura 12).

À medida que estes números continuam a crescer, prevemos maior pressão no CFO para a liberação de recursos, não apenas para manter funções de segurança no nível atual, mas também para avançar na habilidade de proteger e habilitar o próprio negócio da empresa.

Figura 11: Percentual de respondentes que relataram as seguintes informações com relação às ocorrências de incidentes de segurança com impacto negativo à empresa. (9)

2007 2008 2009 2010

40% 35% 32%23%

2007 2008 2009 2010

45% 44% 39% 33%

2007 2008 2009 2010

42% 39% 34%

Não disponível

Não sabem quantos incidentes de segurança ocorreram nos últimos 12 meses

Não sabem que tipo de incidente de segurança ocorreu, i.e. se houve exploração de aplicativos, dados, dispositivos móveis (como smart phones e armazenamento em USB), sistemas, redes ou por meio de engenharia social

Não conhecem a possível origem do evento, i.e. colaboradores ou ex-colaboradores, hackers, clientes, parceiros ou fornecedores

(9) Nem todos os fatores apresentados. Não soma 100%. Respondentes podiam indicar múltiplos fatores.


PwC 31

Figura 12: Percentual de todos os respondentes que relataram os seguintes impactos em suas empresas. (10)

(10) Nem todos os fatores apresentados. Não soma 100%. Respondentes podiam indicar múltiplos fatores.


2007 2008 2009 2010

8% 10%

21% 20%

2007 2008 2009 2010

6%8%

15% 15%

2007 2008 2009 2010

7%7%

15% 14%

Perdas financeiras

Roubo de propriedade intelectual

Marca ou reputação comprometida


Descoberta #11O processo de mudança da linha de reporte do CISO, do CIO para outros executivos de negócio da empresa, deu uma guinada significativa este ano.

Então, para onde caminha a linha de reporte do CISO? Para o lado do negócio, tipicamente para o “Board” de Diretores, o CEO, o CFO, o COO e o CPO. (Figura 13).

Qual é o significado estratégico desta mudança de reporte? Em todos os segmentos, as evidências são claras do alinhamento da segurança com o negócio e do reconhecimento executivo em relação à importância e ao valor estratégico da segurança no âmbito corporativo, muito além de somente TI.

Figura 13: O percentual de respondentes da pesquisa que relatou que o CISO de sua empresa ou líder equivalente de segurança da informação reporta aos seguintes executivos sênior. (11)

2007 2008 2009 2010 Diferença % em 3 anos

Diretor de Tecnologia (CIO) 38% 34% 32% 23% –39%

“Board” de Diretores 21% 24% 28% 32% +52%

Diretor Executivo (CEO) 32% 34% 35% 36% +13%

Diretor Financeiro (CFO) 11% 11% 13% 15% +36%

Diretor de Operações (COO) 9% 10% 12% 15% +67%

Diretor de Privacidade (CPO) 8% 8% 14% 17% +113%

(11) Nem todos os fatores aparecem. Não soma 100% Respondentes podiam indicar múltiplos fatores.


A diferença aumentou. Há três anos, empresas ainda viam a função de segurança da informação substancialmente como um centro de custo de tecnologia. Um sinal claro disto era a linha de reporte do CISO (ou executivo equivalente, responsável por segurança da informação) para o CIO (ou executivo equivalente responsável por TI).

As mudanças foram rápidas. Desde 2007, o número de respondentes que relataram responder ao CIO diminuiu significativamente, de 38% para 23% este ano.

PwC 33

V. Novas áreas de foco: onde estão as oportunidades emergentes

Descoberta #12 Não é de surpreender que as redes sociais apareçam como a mais nova área de risco crescente.

Descoberta #13 Para muitas empresas, uma das prioridades é atenuar as consequências de uma violação de segurança, por meio de uma melhor resposta a incidentes.

Descoberta #14 Um elemento familiar novo no portfólio do CISO? O seguro.


Descoberta #12Não é de surpreender que as redes sociais apareçam como a mais nova área de risco crescente.

Poucas empresas se encontram adequadamente preparadas para conter esta nova fronteira de riscos. A maioria das empresas (60%) ainda precisa implementar tecnologias de segurança que suportem aplicações Web 2.0 como redes sociais, blogs ou wikis. Além disto, 77% ainda não estabeleceram políticas e práticas de segurança específicas para o uso corporativo de redes sociais ou da tecnologia Web 2.0, uma medida crítica que custaria virtualmente muito pouco. (Figura 14).

Como se não bastasse a complexidade em se proteger a informação nos processos, na tecnologia e na estrutura organizacional das empresas, a disseminação do uso das redes sociais no âmbito corporativo cria, em todo o mudo, uma nova fronteira de riscos para as organizações.

Os riscos, na perspectiva da segurança de informação, incluem os de perda ou vazamento de informações, os de impacto na imagem da empresa por declarações ou informações inapropriadas em nome da empresa, os de impacto legal ou financeiro por download de programas piratas, os de roubo de identificação (Id e Senha), que direta ou indiretamente comprometa a rede e as informações da empresa, e os de agregação de dados na construção do perfil de um indivíduo para se estruturar ataques de segurança por meio de práticas de engenharia social.

PwC 35

Figura 14: Percentual de respondentes que relataram as seguintes medidas de segurança em suas empresas. (12)

40%

40%

2010

2009

2010

2009

23%

23%

Implementaram tecnologias de segurança para aplicações Web 2.0 como redes sociais, blogs ou wikis

Possuem políticas de segurança para o uso de redes sociais ou de tecnologias Web 2.0



À primeira vista, o fato de quase seis em cada dez entrevistados (58%) declarar que sua empresa tem um plano de contingência para incidentes de segurança parece positivo. (Figura 15).

Mas quando você analisa este número considerando o percentual dos que consideram este plano eficaz (63%), os resultados são decepcionantes.

Isso significa que, de fato, a maioria das empresas (63%) ou não tem um plano de contingência ou, se tem, ele não cumpre o seu propósito com eficácia.

Descoberta #13Para muitas empresas, uma das prioridades é atenuar as consequências de uma vulnerabilidade de segurança, por meio de uma melhor resposta a incidentes.

58% 23% 19%Sim Não Não sei

Figura 15: Percentual de respondentes que relataram se a empresa tem ou não um plano de contingência para resposta a incidentes



Descoberta #14Um elemento familiar novo no portfólio do CISO? O seguro.

É fato que as empresas tomam continuamente medidas para conter riscos de segurança da informação. Pela primeira vez este ano, perguntamos se as empresas possuíam apólices de seguro contra roubo ou uso inadequado de ativos de informação como dados e registros eletrônicos de clientes.

Figura 16: Percentual dos respondentes que declarou as seguintes questões relacionadas a apólices de seguro. (13)



17%

46%

13%

Sim, nossa empresa tem apólice de seguro contra roubo ou uso inadequado de ativos como dados ou registros eletrônicos de clientes

Sim, foi requerido o direito diante de um sinistro

Sim, recebemos a indenização dos respectivos direitos

Surpreendente, pois quase a metade (46%) respondeu “sim”. Além disto, 17% declararam ter requerido os direitos diante de um sinistro e 13% ter recebido a indenização pelos direitos. A expectativa é que estes números cresçam significativamente nos próximos anos. (Figura 16).

PwC 37

VI. Tendências regionais: a troca da guarda

Descoberta #15 Com confiança, persistência e iniciativa, a Ásia parece determinada em se tornar o novo líder global em segurança de informação. Descoberta #16 Com mais atenção e restrição e sem apresentar a mesma perspectiva de crescimento da Ásia, a América do Norte desacelera os motores.

Descoberta #17 Com otimismo e cautela, a América do Sul pisa no acelerador e no freio quase ao mesmo tempo. Com falta de senso de urgência e de direção segue a Europa.


Descoberta #15Com confiança, persistência e iniciativa, a Ásia parece determinada em se tornar o novo líder global em segurança de informação.

Após perseguir a América do Norte por muitos anos, a Ásia demonstra níveis superiores de maturidade e de capacidade em segurança do que qualquer outra região do mundo.

Escolha uma métrica. As respostas dos asiáticos apontam a “demanda do cliente” como um dos principais motivadores para os gastos com segurança, cujos montantes são muito superiores aos gastos de outras regiões do mundo. Eles, também, perceberam rapidamente o aumento da importância e do papel da segurança nas empresas em função da crise e da instabilidade econômica mundial. Eles estão muito mais focados em programas de proteção de dados do que seus pares em outras regiões do mundo Eles têm uma atitude muito mais progressiva a respeito de práticas emergentes como, por exemplo, na contratação de pessoal dedicado à segurança para apoio às áreas de negócios e na implementação de tecnologias de segurança para soluções Web 2.0.

Da mesma forma, as empresas asiáticas buscam, com maior vigor e energia, medidas estratégias para atingir os objetivos de segurança no atual contexto econômico. Por exemplo, o fortalecimento das competências de governança, risco e compliance no contexto da segurança da informação é apontado com determinação pelos respondentes asiáticos que consideram estas competências como “prioridade top”, “muito importante” ou “importante” (75%), superando a América do Sul com 70% e contrastando com América do Norte com 66%) e Europa com 56%.

Seria apenas um ponto fora da curva de tendências de vários anos? Não. Muito pelo contrário. A Ásia, há anos, vem destinando volumes significativos de recursos para programas de segurança de informação.

O cenário na Ásia é muito favorável. Os asiáticos estão muito mais otimistas quanto ao aumento dos investimentos em segurança nos próximos meses, quando comparados aos seus pares em outras regiões do mundo. Em breve, a Ásia será líder em segurança da informação. Será em um ano? Ou em dois? O fato é que a Ásia está posicionada para conquistar a liderança. (Figuras 17 e 18).

PwC 39

Descoberta #16Com mais atenção e restrição e sem apresentar a mesma perspectiva de crescimento da Ásia, a América do Norte desacelera os motores.

Em enorme contraste com os avanços asiáticos em segurança de informação, que vem dando foco em questões estratégicas como o alinhamento entre a segurança e o negócio e a necessidade vital de se proteger os dados nas empresas, a América do Norte decidiu reduzir os investimentos em segurança da informação e preservar os recursos financeiros.

Era de se esperar. O nível de maturidade da maioria das competências de segurança de informação na América do Norte se manteve estável ou declinou nos últimos 12 meses.

Embora em menor número, há alguns pontos para serem destacados. Eles incluem os avanços da América do Norte na adoção de softwares de gestão de segurança e melhorias no impacto causado pela virtualização nas funções de segurança de informação.

Entretanto, a “gasolina do carro” Norte Americano não é a mesma. Se por um lado os executivos asiáticos agem proativamente e apontam a “demanda de clientes” como a principal justificativa de gastos com segurança, os norte-americanos são reativos e apontam como principal justificativa de gastos as exigências legais e regulatórias.

Isto é revelador e, talvez, um pouco profético. Em alguns anos, poderemos olhar para a primeira década deste século e concordar que a segurança da informação, em sua adolescência, se desenvolveu tendo como referência o rigor do ambiente legal e regulatório determinado pela liderança norte-americana em segurança até 2009. Mas, com o amadurecimento da segurança de informação até se tornar parte integrante das funções de negócio, garantindo assento na direção da empresa, o atendimento à demanda dos clientes e o incremento de receita que segurança pode trazer ao se alinhar verdadeiramente ao negócio se tornaram a “cenoura” ou o principal direcionador do setor. E podemos, também, considerar o domínio da Ásia no setor, cujos primeiros sinais apareceram em 2009 e 2010, marcando o início de uma nova fase de evolução para a segurança da informação nas organizações em todo o mundo. (Figuras 17 e 18).

Descoberta #17Com otimismo e cautela, a América do Sul pisa no acelerador e no freio quase ao mesmo tempo. Com falta de senso de urgência e de direção segue a Europa.

Ao contrário da Ásia, que parece ter quase ignorado muitos dos impactos de curto prazo da economia global na segurança de informação, o foco da América do Sul no último ano foi volátil e antagônico. Se por um lado a América do Sul ficou atrás do Oriente Médio e da África como regiões propensas a adiar as ações de segurança ou a reduzir investimentos e despesas operacionais, como sinal de cautela à crise econômica, por outro, os sul-americanos estão próximos dos asiáticos quanto ao otimismo no aumento dos investimentos em segurança da informação nos próximos 12 meses.

Ao mesmo tempo, em um ano em que várias regiões do mundo estão aumentando em dois dígitos sua preocupação com o enfraquecimento da segurança de seus fornecedores e parceiros de negócios devido às condições econômicas, a preocupação com esse aspecto diminuiu na América do Sul. Um sinal de preocupação é que apenas 28% dos sul-americanos declararam que suas empresas realizam avaliações de segurança em terceiros que lidam com os dados pessoais de clientes e funcionários.

Na Europa, o foco em informação é muito mais suave. A Europa está atrás de outras regiões quanto ao nível de maturidade de segurança. Embora estejam buscando estratégias semelhantes para fazer frente aos impactos causados pelas condições econômicas, como priorizar investimentos de segurança com base em risco, os europeus estão fazendo isso com um nível de comprometimento muito menor do que seus pares em outras regiões do mundo. Como a América do Norte, a Europa tem uma visão limitada das ocorrências de segurança e, portanto, não está percebendo o verdadeiro impacto dessas ocorrências nos negócios. Enquanto 68% dos europeus que responderam a pesquisa dizem que sua empresa dispensa alto nível de importância à proteção de informações dos clientes, nas outras regiões do mundo as respostas refletem mais convicção, direção e urgência. Isto é na Ásia, 80%; América do Norte, 80%; América do Sul, 76%. (Figuras 17 e 18).


Figura 17: Diferenças regionais nas práticas de segurança de informação. (14)

Ásia América do Norte

Américado Sul Europa

Um direcionador líder nas despesas com segurança: condições econômicas 53% 55% 51% 41%

Um direcionador líder nas despesas com segurança: continuidade do negócio 50% 42% 35% 29%

Um direcionador líder nas despesas com segurança: reputação da empresa 41% 33% 37% 28%

Uma das justificativas mais dadas para segurança: ambiente regulatório/legal 45% 55% 35% 35%

Uma das justificativas mais dadas para segurança: exposição/resp. potencial 45% 50% 32% 25%

Uma das justificativas mais dadas para segurança: demanda do cliente 52% 37% 39% 29%

Despesas com segurança crescerão ou se manterão estáveis 86% 71% 81% 68%

Percebem proteção de informações do cliente “importante/extremamente importante” 80% 80% 76% 68%

Usam software corporativo de gestão de segurança 49% 42% 41% 34%

Têm inventário preciso de onde os dados sensíveis estão armazenados 42% 40% 33% 24%

Têm uma estratégia geral de segurança da informação 68% 73% 58% 60%

Têm baselines de segurança estabelecidas para parceiros e clientes 46% 55% 47% 39%

Têm pessoal dedicado à segurança dando suporte a departamentos de negócio 56% 45% 51% 38%

Têm padrões de segurança para dispositivos portáteis 52% 47% 41% 36%

Criptografam mídia removível 59% 44% 53% 43%

Usam ferramentas para descobrir dispositivos não autorizados 56% 56% 52% 45%

Usam ferramentas para evitar o vazamento de dados (DLP) 50% 46% 41% 40%

Têm tecnologias de segurança com suporte à Web 2.0 48% 36% 43% 32%

Número de incidentes de segurança nos últimos 12 meses: desconhecido 14% 37% 19% 29%

Tipo de incidentes de segurança: desconhecido 22% 43% 35% 40%

Possível fonte de incidentes: desconhecido 26% 44% 31% 41%

Impactos de incidentes de segurança no negócio: perdas financeiras 26% 12% 27% 14%

Impactos de incidentes de segurança no negócio: roubo de propriedade intelectual 18% 11% 17% 12%

Impactos de incidentes de segurança no negócio: marca/reputação comprometida 18% 8% 13% 12%

Conduzem avaliação de risco da empresa pelo menos duas vezes ao ano 41% 28% 42% 33%

Continuamente priorizam ativos de informação de acordo com o nível do risco 24% 16% 20% 16%

Têm processo centralizado de gestão de segurança da informação 52% 57% 44% 40%

(14) Nem todos os fatores aparecem. Não soma 100% Respondentes podiam indicar vários fatores.Fonte: 2011 Global State of Information Security Survey®

PwC 41

Figura 18: Diferenças entre percepções regionais dos impactos da desaceleração econômica na função de segurança de informação (15)

Ásia Américado Norte

América do Sul Europa

O ambiente de risco elevou o papel e aimportância da função de segurança de informação. 65% 53% 56% 45%

O ambiente regulatório se tornou mais complexo e pesado. 62% 58% 52% 50%

Esforços de redução de custo fazem com que segurança adequada seja mais difícil de se atingir. 53% 53% 55% 43%

Nossos parceiros de negócio foram enfraquecidos pela desaceleração. 57% 54% 48% 48%

Nossos fornecedores foram enfraquecidos peladesaceleração. 55% 52% 46% 46%

Os riscos a dados da empresa aumentaram devidoa demissões de funcionários. 46% 39% 43% 38%

As ameaças à segurança de nossos ativos de informação aumentaram 48% 50% 41% 33%

(15) Aqueles que responderam “concordo” ou “concordo totalmente”.



Como fica o Brasil neste contextoLíder no mercado de segurança. Ou visionário que ainda possui demandas reprimidas?

PwC 43

Cerca de 4% executivos que responderam à Pesquisa Global de Segurança da Informação 2011 informaram ocupar posições de trabalho no Brasil, o que é significativo em termos absolutos (quase 500 do total de participantes). Nesta edição da pesquisa decidimos então, pela primeira vez, incluir este capítulo com alguns dados específicos e conclusões a respeito do mercado nacional de segurança da informação.

A primeira informação analisada não surpreende e demonstra consistência ao ser comparada com o resultado obtido na edição anterior da pesquisa. O

otimismo do Brasil com relação ao crescimento dos gastos com segurança da informação é maior, se comparado ao resultado global. Isto se deve ao fato de a crise econômica mundial não ter surtido por aqui o mesmo efeito devastador que surtiu em outros mercados, especialmente nos EUA. Ou seja, enquanto no restante do mundo as corporações ainda encontram-se um pouco tímidas e cautelosas em voltar a aumentar os gastos no curto e médio prazo, no Brasil as expectativas são mais promissoras, uma vez que dois terços das empresas indicam aumentos nos gastos com segurança da informação nos próximos 12 meses. (Figura 19)

Figura 19: Percentual de respondentes da pesquisa que relatam que os gastos com segurança aumentarão nos próximos 12 meses.

44%

52%55%

66%

2009 2010

Resultados globais

Brasil

Por outro lado, um dado do mercado nacional que muito surpreende, diz respeito à estrutura organizacional. Conforme já mencionado anteriormente neste relatório, já faz alguns anos que a área de segurança da informação não é mais vista única e exclusivamente como um centro de custo de Tecnologia da Informação (TI). A tendência é de que a linha de reporte do CISO, cada vez mais, desprenda-se do CIO. O que surpreende no Brasil é que este movimento parece ocorrer de forma mais intensa, com 46% das respostas relatando que o CISO já se reporta ao “Board” de Diretores. (Figura 20)


Figura 20: Percentual de respondentes que relatou que o CISO de sua empresa ou líder equivalente de segurança da informação reporta aos seguintes executivos sênior.

Resultados globais

2007 2008 2009 2010

Brasil

Diretor de Tecnologia (CIO) 38% 34% 32% 23% 17%

“Board” de Diretores 21% 24% 28% 32% 46%

Diretor Executivo (CEO) 32% 34% 35% 36% 26%

Diretor Financeiro (CFO) 11% 11% 13% 15% 11%

Diretor de Operações (COO) 9% 10% 12% 15% 14%

Diretor de Privacidade (CPO) 8% 8% 14% 17% 15%

Figura 21: Tipos de incidentes ocorridos.

Exploração de dados

Exploração de rede

Exploração de sistema

Exploração de aplicação

Exploração de dispositivo móvel

Engenharia social

Não sei

Resultados globaisBrasil

27%34%

25%33%

23%

25%

16%18%

20%19%

15%18%

33%28%

Outra constatação interessante da pesquisa foi que as empresas no Brasil parecem ter mais conhecimento a respeito dos incidentes de segurança da informação ocorridos, se comparadas às respostas dos resultados globais da pesquisa. Além disso, os incidentes relacionados com exploração de dados ocupam a primeira posição no ranking e são ainda mais representativos no Brasil do que no resto do mundo, tendo recebido 34% das respostas. (Figura 21).

PwC 45

Figura 22: Percentagem de respondentes que relataram que, a fim de atingir seus objetivos de segurança, o foco em proteção de dados é importante.

Resultados globaisBrasil

71%83%

Mas é claro que nem tudo são flores, e de certa forma o Brasil também possui os mesmos desafios em segurança da informação que os demais países, como a tendência de novas soluções tecnológicas (ex.: nova geração de dispositivos móveis) que podem ser aplicadas diretamente ao negócio da companhia e trazem novos riscos. Ou questões relacionadas à Web 2.0, como redes sociais, blogs e wikis, que provocam tanta dor de cabeça aos CISOs.

Talvez os dados positivos do Brasil se justifiquem pelo crescimento das demandas que se encontravam estranguladas. Talvez os números de outros mercados é que estejam aquém do seu potencial devido ainda a reflexos da crise global recentemente superada. Ou talvez os números realmente signifiquem que o Brasil assumiu, com certeza, uma liderança regional e, quem sabe, mundial no tema segurança da informação por conta do excelente trabalho dos CISO e outros executivos das empresas no país que têm tratado segurança da informação de forma ampla e com a devida importância em suas organizações ao longo destes anos.

Os executivos apontaram que a principal estratégia para a mitigação de riscos e o atendimento aos objetivos de segurança é o foco em proteção de dados, com 71% das indicações gerais da pesquisa. No caso do Brasil, esta preocupação é ainda maior, uma vez que 83% dos respondentes brasileiros da pesquisa indicam proteção de dados como “importante”, “muito importante” ou “prioridade imediata”. (Figura 22)


O que isto significa para o seu negócioAprenda com a desaceleração e retomada da economia. E faça mudanças importantes. Mas também esteja entre os primeiros a olhar para frente.

PwC 47

Foi um ano de muitas incertezas em que o balanço da segurança esteve sob avaliação permanente. Da mesma forma, os alertas empresariais continuam com:

• A disciplina rígida na redução de custos.

• O foco na economia de recursos, embora alguns processos de segurança estejam começando a se degradar.

• O menor número de incidentes, mas com impactos negativos cada vez maiores para o negócio.

• O surgimento de novas áreas de risco e com maior possibilidade, em comparação com o ano passado, de que os sistemas de segurança não estejam adequados para proteger o negócio.

Entretanto, os sinais de otimismo são incontestáveis. A crescente maturidade funcional da segurança nas organizações é uma realidade e impossível de não ser notada em todo o mundo.

• Após a “prova de fogo” da economia em 2009, a área de segurança está ganhando mais respeito sob o aspecto de negócios.

• Maior compreensão do valor da segurança, não apenas pelo “C-level”, mas também pelas áreas operacionais da empresa.

• A “demanda dos clientes” está se tornando, cada vez mais, um direcionador de investimentos em segurança.

• A análise sobre a causa raiz dos incidentes de segurança, onde eles se originam e qual impacto eles causam aumenta a visibilidade da segurança nas empresas. O nível de otimismo dos últimos cinco anos é o mais alto em relação aos investimentos em segurança nas empresas.

O que isso significa para o seu negócio?

Tire lições da desaceleração e da retomada da economia e faça mudanças cruciais. Da mesma forma, fique atento e seja o primeiro entre os seus concorrentes a encarar e a posicionar estrategicamente a segurança da informação na sua empresa, criando valor e apoiando o desempenho corporativo nos próximos anos.


Imagem 23: É um ano incerto – e a segurança está equilibrada?

Cuidado Otimismo

2011

A disciplina rígida na redução de custos

Após a “prova de fogo” da economia em 2009, a área de segurança está ganhando mais respeito sob o aspecto de negócios

Maior compreensão do valor da segurança, não apenas pelo “C-level”, mas também pelas áreas operacionais da empresa

A “demanda dos clientes” está se tornando, cada vez mais, um direcionador de investimentos em segurança

A análise sobre a causa raiz dos incidentes de segurança, onde eles se originam e qual impacto eles causam aumenta a visibilidade da segurança nas empresas. O nível de otimismo dos últimos cinco anos é o mais alto em relação aos investimentos em segurança nas empresas

O foco na economia de recursos, embora alguns processos de

segurança estejam começando a se degradar

O menor número de incidentes, mas com impactos negativos cada vez

maiores para o negócio

O surgimento de novas áreas de risco e com maior possibilidade, em comparação com o ano passado, de que os sistemas de

segurança não estejam adequados para proteger o negócio

PwC 49

Metodologia

A Pesquisa Global de Segurança da Informação 2011 (Global State of Information Security Survey®) é um estudo mundial de segurança realizado pela PwC em parceria com a CIO Magazine e CSO Magazine. Esta pesquisa foi conduzida online entre 19 de fevereiro de 2010 e 4 de março de 2010. Leitores das revistas CIO e CSO e clientes da PwC de todo o mundo foram convidados por email a responder à pesquisa. Os resultados discutidos neste relatório têm por base as respostas de mais de 12.800 CEOs, CFOs, CIOs, CSOs, vice-presidentes e diretores de TI e segurança da informação de 135 países, sendo quase 500 respondentes do Brasil. 37% dos respondentes são da Ásia, 30% da Europa, 17% da América do Norte, 14% da América do Sul e 2% do Oriente Médio e da África do Sul. A margem de erro é menos de 1%.


Contatos

pwc.com/giss2011

Para mais informações, entre em contato com a nossa equipe de Segurança da Informação:

São Paulo Rio de Janeiro

Edgar R. P. D’Andrea Rodrigo MiloSócio Gerente [email protected] [email protected]

Eliane Kihara Jeferson StabilleSócia [email protected] [email protected] Antonio Gesteira Felipe AlmeidaDiretor [email protected] [email protected]

Ana RosaGerente Executiva [email protected] Claudinei Vieira Gerente Executivo [email protected]

Marcos Martins Gerente Executivo [email protected]

Viviane OliveiraGerente [email protected]

Afonso [email protected]

Joana [email protected]

Marcelo LimaGerente [email protected]

Patrícia [email protected]

Ou visite:www.pwc.com/giss2011

Porto Alegre

Ricardo DastisGerente [email protected]

© 2010 PricewaterhouseCoopers Brasil. Todos os direitos reservados. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Brasil, firma membro da PricewaterhouseCoopers International Limited, constituindo-se cada firma membro da PricewaterhouseCoopers International Limited pessoa jurídica separada e independente. Imagens: Banco de imagens da PwC e de Edi Pereira

Pwc pesquisa-global-seguranca-informacao-2011

Technology

Transcript of Pwc pesquisa-global-seguranca-informacao-2011