segurança cibernética: como se preparar para enfrentar os ...File/GISS... · Yahoo divulgou que...
-
Upload
truongduong -
Category
Documents
-
view
214 -
download
0
Transcript of segurança cibernética: como se preparar para enfrentar os ...File/GISS... · Yahoo divulgou que...
Retomada da segurança cibernética: como se preparar para enfrentar os ataques cibernéticos
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Sumário Boas-vindas 01
Seção 1: Enfrente as ameaças cibernéticas 02
Seção 2: Entenda o cenário de ameaças 06
Seção 3: Combata as ameaças 10
Seção 4: Serviço de emergência: responda a um ataque 18
Seção 5: Conclusão 22
Seção 6: Metodologia de pesquisa 26
20ª Pesquisa Global sobre Segurança da Informação 2017-2018 1
Boas-vindas
Paul van Kessel Líder Global de
Consultoria em
Segurança
Cibernética da EY
Seja bem-vindo à 20ª Pesquisa Global sobre Segurança da Informação
(GISS na sigla em inglês), que explora as questões mais importantes
enfrentadas pelas organizações hoje quanto à segurança cibernética.
Duas décadas depois de a EY publicar pela primeira vez sua pesquisa anual
detalhando as preocupações das organizações sobre a segurança cibernética (e
suas ações para enfrentá-las), a necessidade de uma resposta colaborativa e
coerente às ameaças, que já não são as mesmas, não poderia ser mais urgente.
Em nossas conversas com organizações de diversos setores e portes, está
claro que a segurança cibernética é uma prioridade para todos os níveis
hierárquicos. Entretanto, em um cenário complexo e em constante evolução,
pode ser difícil enxergar o todo: a ameaça cibernética geralmente está bem
camuflada, escondida à primeira vista.
Este ano, temos o prazer de informar que aproximadamente 1.200
organizações participaram da pesquisa. Analisamos as respostas de
Diretores de Tecnologia da Informação (CIO), Diretores de Segurança
da Informação (CISO) e outros executivos dessas organizações,
identificando pontos fortes e fracos a fim de gerar insights a partir dos
quais todos possamos nos beneficiar. O relatório GISS também reúne
nossa vasta experiência trabalhando com clientes no mundo todo com o
objetivo de melhorar a resiliência cibernética destas organizações.
Caso sua organização sinta alguma ansiedade com relação à segurança
cibernética, saiba que não está sozinho: a maioria das organizações sente
um maior risco hoje do que há 12 meses. Era de se esperar: os ataques
cibernéticos não só estão se tornando cada vez mais sofisticados, mas
também as próprias organizações estão cada vez mais se conectando, com
ondas e mais ondas de novas tecnologias, o qual cria oportunidades e
riscos em toda a cadeia de valor. Essa explosão de conectividade
alimentada pelo crescimento da Internet das Coisas (IoT na sigla em inglês)
e a pegada digital cada vez maior de muitas empresas criaram novos pontos
de vulnerabilidade para serem explorados pelos que praticam os ataques. É
por isso que as empresas precisam explorar o digital de todos os ângulos, de
forma a ajudá-las a crescer e proteger suas organizações hoje, amanhã e
sempre.
Entretanto, apesar dos riscos, há também boas notícias. As organizações que
enfrentam o desafio da segurança cibernética voltarão a se sentir em ordem:
não é possível repelir todas as ameaças, mas as organizações resilientes
sabem se proteger, identificar um problema quando este ocorre, e reagir de
forma rápida e eficaz quando aparece um problema.
Além disso, temos hoje um bom entendimento da maior parte dos
métodos comuns de ataque e conhecemos os principais elementos de
uma boa segurança cibernética, com os quais se pode vencer a maioria
desses ataques. Estratégias ativas de defesa e a inteligência avançada
de ameaças formam a base para resistir aos métodos de ataque mais
avançados e, embora apareçam novos métodos de ataque a todo
momento, uma boa governança de segurança cibernética e conceitos
como security-by-design dá às organizações uma chance de lutar.
Se trabalharmos juntos, podemos reconquistar a segurança cibernética.
Com isso em mente, gostaríamos de agradecer nossos clientes por
dedicarem um pouco do seu tempo para responder à pesquisa: deixem-nos
continuar compartilhando nosso conhecimento a fim de construir um mundo
mais seguro para todos nós.
Enfrente as ameaças cibernéticas
Atualmente, todas as organizações são, por padrão,
digitais. Nem todas entregam seus produtos e serviços
utilizando os canais digitais como meio principal, mas todas
operam com a cultura, a tecnologia e os processos da era
da Internet. Além disso, no mundo conectado e
convergente criado pela Internet das Coisas (IoT), o cenário
digital é amplo e cada ativo existente ou utilizado pela
organização representa um ponto de conexão na rede.
Não é de se estranhar que o Fórum Econômico Mundial
classifique uma falha de grande escala na segurança
cibernética como um dos cinco riscos mais sérios que o
mundo enfrenta hoje.1 A escala da ameaça está em
expansão drástica: até 2021, o custo global por falhas na
segurança cibernética chegará a US$6 trilhões, segundo
estimativas, duas vezes o total de 2015.2
Os que praticam o ataque cibernético podem agir de forma
indiscriminada ou ter alvos muito específicos, atacando
organizações de grande e pequeno porte, tanto no setor
público quanto no privado. Estão bem camuflados: expô-los
requer defesas cibernéticas que identifiquem a ameaça,
mesmo quando estas pareçam integradas ao ambiente. As
organizações nem sempre conseguem fazer isso.
Só neste ano, o ataque de ransomware WannaCry, no
Reino Unido, afetou uma parte significativa do Serviço de
Saúde Nacional (NHS na sigla em inglês);3 na França,
uma falha na campanha presidencial de Emmanuel
Macron ameaçou levar o caos às eleições;4 nos EUA, o
Yahoo divulgou que uma falha comprometeu a conta de
três bilhões de usuários5 e, na Índia, um ataque paralisou o
maior porto de contêineres de Mumbai.6
Ao mesmo tempo, nunca foi tão difícil para as
organizações mapearem o ambiente digital em que atuam,
ou suas interações com tal ambiente. A infraestrutura
tecnológica de todas as organizações é personalizada e
complexa, composta por redes que contém ferramentas e
tecnologias que podem estar fisicamente nos servidores
da companhia ou na nuvem. Além disso, está ficando cada
vez mais difícil definir o que é uma “organização”. Isso se
deve à proliferação de dispositivos pertencentes aos
funcionários, clientes e fornecedores (incluindo notebooks,
tablets, celulares, entre outros) com acesso aos sistemas
da organização e que acabam não permitindo uma
definição clara do perímetro de segurança. As
organizações devem se imaginar com tentáculos longos e
que se movimentam em todas as direções.
1 “Global Risks Report 2017”, Fórum Econômico Mundial, 11 de janeiro de 2017. 2 ”Cybercrime Report 2017 Edition”, Cybersecurity Ventures, 19 de outubro de 2017. 3 ”Investigation: WannaCry cyber attack and the NHS”, National Audit Office, 27 de outubro de 2017. 4 “Hackers hit Macron campaign with ‘massive’ attack,” Financial Times, 6 de maio de 2017. 5 “All 3 billion Yahoo Accounts Were Affected by 2013 Attack,” The New York Times, 3 de outubro de 2017. 6 “Petya cyber attack: India is worst affected in Asia, Ukraine on top globally,” The Indian Express, 29 de junho de 2017.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
59% 87% 12%
Os dispositivos conectados aumentam a complexidade.
A Internet das Coisas não é um conjunto de itens
passivos, mas uma rede de dispositivos conectados e
interconectados que interagem de forma ativa e
constante. A convergência dessas redes com o que já
foram sistemas separados e independentes (e, portanto,
mais fáceis de serem administrados) representa uma
mudança fundamental.
O risco não poderia estar maior. As organizações
vítimas de um ataque cibernético correm o risco de
um enorme prejuízo reputacional, juntamente com
os custos diretos de uma falha cibernética,
estimados em uma média de US$3,62 milhões pelo
Ponemon Institute.7 Há ainda a possibilidade de
disputas danosas com autoridades e agências
reguladoras. A Regulamentação da União Europeia
sobre Proteção Geral de Dados (GDPR na sigla em
inglês), prevista para entrar em vigor em 2018, dá
às agências de regulamentação poderes para
multar as organizações em até 2% do faturamento
anual global por deficiências causadas por falhas
cibernéticas e 4% caso a organização administre
mal uma resposta.8
Não são apenas os dados e a privacidade que estão
vulneráveis. A Internet das Coisas expõe as
tecnologias operacionais das organizações aos que
praticam os ataques, oferecendo-lhes a oportunidade
de fechar ou controlar os sistemas de controle
industrial, por exemplo. A ameaça pode ser até em
relação à vida: imagine alguém com a capacidade de
desligar os sistemas de apoio à vida em hospitais ou
de controlar carros conectados nas estradas.
Os níveis cada vez mais altos de ameaça requerem
uma resposta mais sólida e a GISS deste ano
revela que muitas organizações continuam
aumentando o gasto com a segurança cibernética.
Setenta por cento dizem que requerem até 25%
mais financiamento e o restante necessita até mais.
Entretanto, apenas 12% esperam receber um
aumento maior que 25%.
....................................................................................................................................................................................................................................................................................
dos entrevistados deste ano dizem que o
orçamento aumentou nos últimos 12
meses.
dizem precisar de orçamento maior
em até 50%.
esperam um aumento maior que
25% no orçamento para
segurança cibernética.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Para muitas organizações, o pior deve acontecer para que os
pedidos sejam atendidos. A pergunta sobre que tipo de
evento resultaria em aumento nos orçamentos para a
segurança cibernética, 76% dos entrevistados responderam
que a descoberta de uma falha cibernética que tenha
causado algum dano seria responsável pela alocação de mais
recursos.
Por outro lado, 64% disseram que um ataque que pareça não
ter causado nenhum dano teria uma baixa probabilidade de
resultar em um aumento de orçamento. Esse número é maior
que o do ano passado, o que é preocupante, dada a realidade
de que um ataque cibernético geralmente causa dano, ainda
que não seja imediatamente óbvio. A falha pode ser um
ataque teste que exponha a vulnerabilidade ou um desvio
desenvolvido para tirar a atenção de uma ameaça com maior
poder de dano. O atacante pode ainda simplesmente estar
passando o tempo até conseguir capitalizar com a falha. As
organizações devem assumir que todos os ataques
cibernéticos são prejudiciais e concluir que, nos lugares em
que não se identificaram danos, isso se dá só porque tais
danos ainda não foram descobertos.
Em última instância, as organizações que não alocarem os
recursos necessários para a segurança cibernética terão
dificuldade em gerir os riscos que enfrentam. Nossa pesquisa
sugere que as organizações reconhecem cada vez mais o
seguinte: 56% dos entrevistados dizem ter alterado as
estratégias e planos para considerar os riscos impostos pelas
ameaças cibernéticas, ou estão a ponto de revisar a
estratégia nesse contexto. Entretanto, apenas 4% das
organizações se dizem confiantes de ter considerado
totalmente as implicações de segurança da informação na
atual estratégia e incorporado todos os riscos e ameaças
pertinentes.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
4%
4%
Entenda o cenário de ameaças
O primeiro passo para as organizações que buscam
melhorar a segurança cibernética é desenvolver um
melhor entendimento da natureza das ameaças. Não
será possível construir uma resiliência cibernética
maior na organização sem primeiramente identificar
as possíveis causas do dano e como elas podem se
manifestar. Ter consciência da situação é
fundamental: quais as ameaças e o que elas
significam para você e para sua organização?
Além do mais, a gama de possíveis ataques (e dos
que praticam esses ataques) é ampla e aumenta dia a
dia. As organizações podem sentir-se mais confiantes
no combate aos tipos de ataque com os quais se
familiarizaram nos últimos anos, mas ainda lhes falta a
capacidade de lidar com ataques mais avançados e
com alvos específicos. Elas podem nem saber da
existência dos métodos de ataque que estão surgindo.
Para se tornar um resiliente cibernético, entretanto, as
organizações devem aumentar o entendimento
rapidamente (é provável que enfrentem todas essas
categorias de ataque uma hora ou outra, podendo ser
até ao mesmo tempo).
O cenário de ameaças
Ataques Comuns Ataques Avançados Ataques Emergentes
O que é? São ataques que
exploram vulnerabilidades
conhecidas por meio do
uso de ferramentas
livremente disponíveis,
sendo necessário pouco
conhecimento para obter
êxito
São ataques que exploram
vulnerabilidades complexas
e desconhecidas
(conhecidas como “zero-
day”) usando ferramentas e
metodologias sofisticadas
Esses ataques concentram-se em
novos vetores de ataque e
vulnerabilidades permitidas pelas
novas tecnologias, com base em
pesquisa específica para a
identificação e exploração das
vulnerabilidades
Quem
costuma
agir nos
ataques?
Pessoal interno
descontente,
concorrentes, hacktivistas
e alguns grupos do crime
organizado
Grupos do crime
organizado, equipes de
espionagem industrial,
terroristas cibernéticos e
governos
Grupos do crime organizado, equipes
de espionagem industrial, terroristas
cibernéticos e governos
Exemplos • Vulnerabilidades conhecidas em aplicações web, sem aplicação do patch de correção, explorada por meio de ferramentas de exploração livremente disponíveis
• Malware genérico enviado por meio de campanhas de phishing, que permite o acesso remoto
• Ataque por Negação de Serviço (DDoS na sigla em inglês)
• Ataques de spear phishing com malware personalizado
• Vulnerabilidades desconhecidas (“zero-day”) exploradas com código de exploração construído para fim específico
• Empregados desonestos “plantam” vulnerabilidades para realizar espionagem / reconhecimento com profundidade
• Fornecedores explorados como forma de obter acesso à organização alvo
• Explorar vulnerabilidades em dispositivos “inteligentes” para obter acesso a sistemas de controle e/ou dados
• Alavancar vulnerabilidades criadas com a convergência de dispositivos pessoais e corporativos em uma rede única
• Usar técnicas avançadas para evitar a identificação e/ou superar as defesas cibernéticas
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Todas as organizações devem assumir que o pior pode acontecer: não há desculpa para considerar outra coisa. Já houve muitos ataques bem conhecidos no mundo todo para se saber que a complacência não é aceitável.
Veja o ataque com o ransomware Petya, por exemplo,
que afetou as organizações ao redor do mundo no fim de
junho de 2017: dezenas de milhares de empresas
públicas e privadas foram afetadas. O fornecedor havia
lançado um patch para a falha explorada – as
organizações que não aplicaram essa atualização, talvez
porque não entendessem a ameaça para elas, ficaram
expostas ao ataque.
O ataque Mirai, por outro lado, é mais sofisticado e
mostra as vulnerabilidades mais amplas que as
organizações devem entender e tratar. Um desses
ataques no provedor DNS Dyn, no ano passado,
paralisou a maior parte da Internet, interrompendo
organizações como Twitter e Spotify,9 entre outras.
Nesse ataque, o Mirai teve como alvo webcams não
protegidas, mas usou também redes de câmeras CCTV
e, teoricamente, poderia atingir qualquer dispositivo
“inteligente”, isto é, se estivesse conectado à internet.
Nesse caso, não entender e prever a ameaça deixou as
organizações complacentes sem atualizar as senhas de
configuração dos fabricantes em todos os dispositivos
inteligentes conectados à rede.
Com tantas ameaças distintas (e atacantes que
poderiam ser qualquer um, de um empregador
desonesto a um grupo terrorista ou um governo), as
organizações devem estar atentas ao mundo todo e
familiarizadas com o próprio cenário de ameaças. Ainda
mais se os que praticam os ataques tiverem acesso fácil
a ferramentas sofisticadas e de malware on-line,
podendo, inclusive contratar criminosos cibernéticos.
...............................................................................................................................................................................
Ameaças e vulnerabilidades que parecem ter aumentado à exposição ao risco dos entrevistados, 2013–2017
Vulnerabilidades Ameaças
100
90
80
70
60
50
40
30
20
10
100
90
80
70
60
50
40
30
20
10
0 2013 2014 2015 2016 2017 0 2013 2014 2015 2016 2017 ano ano
Empregados descuidados ou sem conhecimento
Controles ou arquitetura de segurança da informação
desatualizados
Acesso não autorizado
Malware
Phishing
Ataques cibernéticos para roubar informações financeiras
Ataques cibernéticos para roubar IP ou
dados Ataques internos
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
O quadro anterior mostra como empregados descuidados ou sem
conhecimento ainda são vistos como um risco crescente, ao mesmo
tempo que, interessantemente, o acesso não autorizado reduziu bastante
como risco percebido.
Os empregados e grupos criminosos são vistos como as maiores
ameaças imediatas. Para muitas organizações, o ponto fraco mais óbvio
virá de um empregado descuidado ou que não siga as diretrizes de
segurança cibernética.
As organizações também temem cada vez mais as vulnerabilidades nos
novos canais e ferramentas. Por exemplo, 77% dos entrevistados se
preocupam com a possibilidade do comportamento e a falta de
conhecimento dos usuários exporem eles ao risco por meio de
dispositivos móveis. A perda desse dispositivo e a possível perda de
informações, além da quebra de identidade, são uma preocupação para
50%.
Enquanto isso, a Internet das Coisas (IoT na sigla em inglês) é a fonte de
diversas ameaças que muitas organizações estão se esforçando para
entender melhor. O próximo quadro traz algumas das questões sobre a
integração de IoT.
.......................................................................................................
Obstáculos que desaceleram a adoção de dispositivos de IoT (possibilidade de múltiplas respostas)
Entenda o problema de abordar o desafio certo A história de Santa Helena oferece
uma ótima metáfora sobre o porquê de
algumas organizações ainda estarem
erradas quanto aos esforços
empreendidos na segurança
cibernética. Uma ilha remota no
Oceano Atlântico Sul, Santa Helena é
acessível somente por meio de viagens
marítimas longas e difíceis, de forma
que seus habitantes ficaram muito
felizes quando um projeto de US$370
milhões para a construção de uma
pista de pouso foi concluído em 2016.
Entretanto, as companhias aéreas
recusavam-se a usar a pista, o qual foi
construída à beira de um precipício de
1.000 pés, entre dois afloramentos
rochosos que afunilam o vento feroz.
Os pilotos avisaram que seria muito
perigoso tentar uma aterrissagem
segura.
O problema aqui é que os que estavam
por trás do projeto concentraram-se no
problema errado: a falta de uma pista
de pouso na ilha. O que eles deveriam
ter pensado era sobre a falta de um
local seguro para aterrissar um avião.
O que se aprende para a segurança cibernética é que, embora as organizações discutam o assunto nas reuniões da alta administração e costumem fazer altos investimentos, estão preocupados em só colocar mais tecnologia à segurança cibernética ou em resolver a falta de resiliência cibernética?
É claro que a questão da resiliência
deve ser o objetivo, mas para chegar a
ele, a organização deve entender a
relação entre resiliência cibernética e
os objetivos do negócio, além da
natureza dos riscos enfrentados e a
situação das salvaguardas atuais.
Deve ainda avaliar quanto risco ela
está preparada para assumir e definir
uma perda aceitável. Só depois
desses passos é que a organização
pode realizar investimentos
específicos em segurança cibernética
e com bom custo-benefício.
Felizmente, os voos comerciais começaram em Santa Helena em outubro de 2017 e estamos vendo mais conselhos discutindo e entendendo os riscos cibernéticos e a resiliência cibernética desejada antes da alocação do orçamento para segurança cibernética.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
2017 2016
Falta de recursos qualificados
Limites orçamentários
Falta de apoio dos executivos
Gestão de questões de governança
Falta de controles de qualidade
Preocupações com privacidade
Outros
51
56
41
61
32
32
36
28
30
30
28
19
14
6
75%
12%
35%
38%
Combata as ameaças
É provável que as organizações enfrentem uma onda de ataques praticados em diversos níveis de sofisticação, e
elas podem e devem se defender. A resposta deve ser em vários níveis: concentrada em repelir os
ataques/ameaças mais comuns contra os quais a organização sinta mais confiança em se defender, mas também
deve levar em consideração uma abordagem com nuances para lidar com os tipos de ataque avançados e os novos
que aparecem (emergentes). Como algum desses ataques inevitavelmente passará pelas defesas da organização,
deve-se concentrar na rapidez com que eles são detectados e na eficácia com que se lida com eles.
Como se defender dos métodos de ataque comuns As organizações devem pensar em termos de fechar
a porta para os tipos de ataque mais comuns.
Segundo Greg Young, Vice-Presidente de Pesquisas
do Gartner: “Até 2020, 99% das vulnerabilidades
exploradas continuarão sendo as conhecidas pelos
profissionais de segurança e TI por no mínimo um
ano”.10 Identificar essas vulnerabilidades e fechar-se
para elas na organização antes de serem exploradas
é fundamental. De fato, com uma boa segurança
cibernética em funcionamento (mesmo que seja
mais fácil falar do que fazer), deve ser possível
prevenir uma grande parte dos ataques comuns.
Para os próximos anos, corrigir as vulnerabilidades
conhecidas por meio da aplicação de patches e
remover as vulnerabilidades dos servidores web
poderiam ser as ações de maior impacto para
impulsionar a segurança cibernética.
Nesse nível de ameaça, as soluções pontuais
continuam sendo um elemento chave da resiliência
cibernética, com ferramentas que incluem softwares de
antivírus, sistemas de prevenção e detecção de intrusão
(IPS e IDS, nas respectivas siglas em inglês), gestão de
patches consistente e tecnologias de criptografia que
protejam a integridade dos dados mesmo se o atacante
venha a conseguir o acesso a eles. A conscientização
dos empregados também é uma frente de defesa
fundamental, levando-lhes o conhecimento sobre a
segurança cibernética e a disciplina para determinar
senhas seguras em toda a organização. Conforme
indicado pelos entrevistados da pesquisa, o
comportamento de empregados descuidados
representa um ponto fraco significativo para a maioria
das organizações. Tratar essa falha é fundamental.
A maturidade da abordagem de segurança cibernética
na organização determinará sua eficácia. Na pesquisa
deste ano, de todos os processos de gestão de
segurança cibernética discutidos, três áreas
correlacionaram-se intimamente com a confiança das
organizações na identificação de um ataque cibernético:
privacidade, monitoramento da segurança e gestão de
terceiros.
Entretanto, muitas organizações preocupam-se
seriamente com a atual maturidade de seus sistemas de
segurança cibernética.
A fim de se defender das ameaças comuns, as organizações
precisam assegurar que os elementos básicos estejam
funcionando. Esses elementos consistem em cinco
componentes estratégicos:
1. Centrado em talentos
A segurança cibernética não é de responsabilidade
única do departamento de TI, mas de todos os
empregados, até mesmo de todas as pessoas que
fazem parte do ecossistema da organização.
2. Estratégico e inovador
3. Focado em risco
4. Inteligente e ágil
5. Resiliente e escalável
dos entrevistados avaliam a maturidade
de sua identificação de vulnerabilidades
como muito baixa a moderada.
não contam com um programa em
funcionamento para detectar falhas.
descrevem suas políticas de
proteção de dados como eventuais
ou inexistentes.
não contam com programa de identidade e
acesso, ou não há um acordo formal desse
programa.
10 “How to Address Threats in Today’s Security Landscape”, https://www.gartner.com/smarterwithgartner/how-to-address-threats-in-todays-security-landscape/,
Gartner, 9 de maio 2017.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Ingredientes necessários para chegar à resiliência da segurança cibernética
O ritmo da mudança no mundo cada vez mais
digital de hoje resultou na convergência de
diferentes disciplinas de risco que se complementam para tratar das necessidades
das organizações, das necessidades dos clientes dessas organizações, agências
regulatórias, e parceiros de negócios.
Colocar a segurança cibernética no cerne da
estratégia da organização ajudará a manter e,
até mesmo, melhorar a confiança dos consumidores, agências regulatórias e da mídia.
Para começar, os diretores executivos não podem mais assumir que a segurança
cibernética é de responsabilidade exclusiva do departamento de segurança da informação (SI)
ou de tecnologia da informação (TI). Em vez
disso, as organizações devem fazer da segurança cibernética um elemento básico da
estratégia e da cultura da empresa. Assim, podem permitir que toda a organização entenda
os riscos enfrentados, abrace a inovação
necessária para conter esses riscos e tenha a resiliência para se reagrupar e restaurar as
operações de forma suave e eficiente quando houver uma falha cibernética.
As organizações precisam de uma visão integrada de segurança cibernética, uma que
reúna as várias funções e dependências com outras partes da organização, stakeholders
externos e fornecedores terceiros.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Relação segura
com clientes
Resiliente e escalável
Ajuda a minimizar o
impacto de interrupções e
mantém o ritmo com o
crescimento da empresa:
Inovação
Estratégico
e inovador
Incluído na tomada de decisões estratégicas, adota inovação contínua e dela se beneficia:
Maior proteção e
confiança da marca
• Resposta a incidentes
• Gestão de crises cibernéticas
• Resiliência e continuidade
• Gestão de capital e liquidez
• Recuperação e solução
Inteligente e ágil
Função de segurança cibernética direcionada pela inteligência e ciente das situações que permitam identificação e resposta às ameaças tempestiva:
1 Centrado em
talentos Construído sobre uma fundação
que torna a segurança cibernética responsabilidade de
todos:
• Gestão de talentos
• Funções e responsabilidades do conselho e das 3 linhas de defesa
• Cultura de risco e segurança
• Treinamento e conscientização
• Ligado à estratégia
• Due diligence de segurança cibernética
• Transformação digital
• Automação de processos robóticos (RPA)
• Dispositivos inteligentes, tecnologia
operacional (OT), blockchain e
distributed ledger
• Desenvolvimento de novos produtos
• Inovação e idealização
Focado em risco
Direcionado pelo alinhamento de riscos, conscientização do risco e priorização do risco:
• Inteligência de ameaças cibernéticas
• Gestão de ameaças e vulnerabilidades
• Gestão de identidade e acesso
• Operações de segurança e serviços gerenciados
• Arquitetura tecnológica
• Governança
• Gestão e apetite do
risco cibernético
• Políticas e normas
• Indicadores e comunicação
• Gestão de riscos de terceiros (TPRM)
• Consciência regulatória
Maior valor ao
acionista
Melhor alinhamento
regulatório
Resultados da
organização
Gestão de
risco eficaz
Melhoria da
marca
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
5 2
4 3
Programa de crescimento
sólido
Objetivos da
organização
Conformidade
regulatória
48%
57%
Como se defender de ataques avançados
Se a organização for ambiciosa o suficiente para tentar fechar as portas para os tipos comuns de ataque cibernético, deve ser também realista o suficiente para aceitar que ataques mais avançados acabarão passando. Nesse caso, é essencial conseguir identificar as invasões o mais rápido possível e contar com processos conhecidos que forneçam à organização meios eficazes de lidar com a situação pós-falha e de se livrar dos ataques praticados.
Um Centro de Operações de Segurança (SOC na sigla em inglês) que esteja no centro das capacidades de identificação de ameaças cibernéticas é um excelente ponto de partida. Oferece uma estrutura centralizada que coordena todas as atividades relacionadas à segurança cibernética. Os SOCs estão se tornando cada vez mais comuns, mas 48% dos entrevistados ainda não têm um.
Isso não significa que o SOC tem de estabelecer e operar as capacidades para todos os aspectos possíveis de estratégia e melhores práticas da segurança cibernética. Muitas organizações optam por terceirizar algumas atividades em vez de deixá-las com o SOC interno; 41% dos entrevistados terceirizam o teste de invasão, por exemplo, enquanto 37% terceirizam o monitoramento em tempo real da rede.
Entretanto, o SOC deve ter meios de garantir que consegue manter-se atualizado com as ameaças mais atuais: recursos gratuitos e pagos podem oferecer inteligência valiosa e 36% dos entrevistados enfatizaram que o SOC deles colabora e compartilha dados com pares do setor.
Além disso, os SOCs estão saindo rapidamente das práticas passivas de segurança cibernética e entrando na defesa ativa: uma campanha deliberadamente planejada e continuamente executada com o objetivo de identificar e remover os atacantes escondidos e vencer cenários de ameaças prováveis que visam os ativos mais críticos da organização. A defesa ativa representa um passo adiante crucial, à medida que as organizações procuram conter os ataques avançados, e pode ser vista como uma estratégia que engloba ao menos 4 etapas:
não têm um programa de inteligência de
ameaças, ou tem um informal.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Ao trabalhar junto com os fornecedores de inteligência
de ameaças e desenvolver condições internas de
análise, as organizações podem criar uma figura
muito mais clara do cenário de ameaças, inclusive as
identidades dos diretores executivos. Atualmente, no
entanto, 57% têm muito pouca inteligência de
ameaças.
3 Inteligência de ameaças avançadas
2 Definir o normal
Como a defesa ativa depende de ferramentas como
a análise de anomalias, é importante que as
organizações entendam como suas redes
normalmente funcionam. As ferramentas de análise
da segurança cibernética usam o aprendizado por
máquina para definir o que é “normal” e a
Inteligência artificial para reconhecer possíveis
atividades maliciosas de forma mais rápida e
precisa.
São exercícios planejados e executados a fim de
derrotar, de forma proativa, cenários de ameaças
específicas e descobrir intrusos escondidos na rede.
Requer treinamento e testes personalizados —
testes de spear phishing, por exemplo, que
identificam a vulnerabilidade dos empregados em
relação a golpes enviados por email, testes de
invasão que identificam as vulnerabilidades da rede
e até um teste completo de red team.
4 Missões de defesa ativa
dos entrevistados não têm um SOC.
12%
Empregar essas estratégias pode impulsionar a
resiliência cibernética da organização e reduzir o
“tempo de permanência” – tempo que o atacante
permanece não detectado no ambiente. Isso é crucial:
apenas 12% dos entrevistados afirmam que muito
provavelmente detectariam ataques cibernéticos
sofisticados que tivessem sua organização como alvo.
Entre as organizações com experiência em incidentes
de segurança cibernética, quase um terço diz que o
problema foi descoberto pelo SOC.
indicam como muito provável que
detectem um ataque cibernético
sofisticado.
Não seja bobo com os edifícios inteligentes
Os edifícios das organizações estão cada vez mais
vulneráveis no que diz respeito à segurança cibernética: a
Internet das Coisas (IoT) e os avanços de tecnologias
operacionais podem servir de base para uma nova geração
de edifícios “inteligentes”, mas também oferecem um novo
ponto de entrada para os que praticam ataques cibernéticos.
A natureza das ameaças estende-se por uma ampla faixa de
possibilidades. O atacante pode ter como alvo os sistemas de
controle do próprio edifício, comprometendo a segurança com
ataques, por exemplo, aos sistemas de proteção contra
incêndios ou os controles do elevador; mesmo uma breve
parada do sistema de ar-condicionado do edifício poderia
danificar o data center. Além disso, os ataques podem ter
como alvo os sistemas conectados do edifício como uma
forma de adentrar os sistemas de uma entidade mais ampla,
brincando e controlando links remotos e a interconectividade.
O alcance dos danos causados por tais ataques é enorme.
Ele varia desde o potencial de interrupção do sistema até
uma violação de dados em escala completa permitida por
uma vulnerabilidade do edifício inteligente. O ransomware
pode inutilizar um edifício por um período. Organizações em
setores regulamentados, incluindo serviços financeiros, saúde
e setor público, podem ser expostas a sanções das
autoridades competentes. O dano da reputação é muito
provável. As responsabilidades legais dos proprietários dos
edifícios perante seus inquilinos em tais eventos ainda não
foram totalmente exploradas. Em um edifício como um
hospital, por exemplo, a vida das pessoas poderia estar em
perigo.
Apesar desses riscos, no entanto, muitas organizações estão
apenas começando a enfrentar as implicações de segurança
cibernética da propriedade física. Fazer isso não é algo direto:
muitas das tecnologias operacionais instaladas no negócio
ficam fora da área de TI, onde a segurança cibernética é mais
provável que seja uma prioridade; as conexões foram
adicionadas de forma fragmentada ao longo de muitos anos,
adicionando funcionalidade de conexão com a internet a
sistemas legados pouco a pouco, sem uma área única ou
indivíduo que mantenha uma visão geral de todo o edifício; e
grande parte da conectividade adicionada nos anos passados
terá tido pouca ou nenhuma segurança incluída.
Os edifícios inteligentes, em outras palavras, não são tão
inteligentes da perspectiva da segurança cibernética. As tecnologias mais recentes, desde sistemas de iluminação inteligentes até controles de estacionamento de garagem,
podem ser projetadas e instaladas com segurança cibernética, mas estão sendo adicionadas a sistemas já vulneráveis.
As organizações devem agora enfrentar esse risco,
identificando seus edifícios mais críticos – onde residem seus
ativos mais valiosos ou, talvez, os sistemas mais críticos para
o negócio – e trabalhando rapidamente para mapear a
conectividade, avaliar a segurança cibernética e mitigar o
risco com a defesa apropriada. Uma vez que esses prédios
prioritários tenham sido protegidos, essa abordagem deve ser
implementada no resto da propriedade.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
63% 89%
50% 24%
Como se defender dos ataques emergentes
Na prática, nenhuma organização pode prever todas as
ameaças que estão surgindo - a natureza de tais
ameaças muitas vezes é desconhecida, caso em que a
porta pode estar bem aberta para ataques. No entanto,
organizações inovadoras que conseguem ser
imaginativas sobre a natureza de possíveis ameaças
futuras podem aumentar a agilidade em sua segurança
cibernética para que elas possam agir rapidamente
quando chegar a hora. Além disso, as organizações com
processos efetivos de governança subjacentes à sua
abordagem operacional conseguem praticar “security-
by-design”, construindo sistemas e processos capazes
de responder a riscos inesperados e perigos
emergentes.
O estudo mostra que os orçamentos de segurança
cibernética são mais elevados em organizações que:
• Colocam responsáveis de segurança dedicados as principais linhas de negócio
• Divulgam pelo menos duas vezes por ano o tema segurança cibernética ao conselho e ao comitê de auditoria
• Identificam especificamente joias da coroa que não sejam de TI e protejam tais ativos de forma diferenciada
.........................................................................................................................................................................................................
.......
das organizações ainda
tem a área de segurança
cibernética subordinada a
TI.
dizem que a função de
segurança cibernética não
satisfaz todas as necessidades
da organização.
apenas
fazem divulgações ao conselho regularmente.
dizem que a pessoa com
responsabilidade pela
segurança cibernética participa
do conselho.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
17%
Para melhorar as chances de combater os que praticam
os ataques cibernéticos, as organizações terão que
superar as barreiras que atualmente tornam mais difícil
a agregação de valor por parte das operações de
segurança cibernética. Por exemplo, 59% dos
entrevistados citam a limitação orçamentária, enquanto
58% lamentam a falta de recursos qualificados; 29%
reclamam sobre a falta de apoio ou conscientização dos
executivos.
dos Conselhos têm
conhecimento suficiente sobre
segurança da informação para
avaliar holisticamente a eficácia
dos riscos que a organização
enfrenta e as medidas que está
tomando.
Segurança cibernética para a segurança nas estradas
O carro conectado já é uma realidade. A evolução
constante do setor automotivo em direção aos
veículos cada vez mais autônomos depende de
tecnologias operacionais que fornecem acesso
remoto aos sistemas de veículos que vão desde a
navegação até controles básicos de segurança. Além
disso, os fabricantes líderes agora veem a tecnologia
de software-over-the-air como a opção padrão para
manutenção, reparo e atualização de veículos já
vendidos aos motoristas. Essas atualizações
abrangerão todos os aspectos do veículo, do
infoentretenimento até a telemática e as unidades de
controle.
Ante esse panorama, uma mudança rápida de redes
fechadas para redes abertas que gerenciam o
comportamento e o desempenho dos veículos, a
segurança cibernética é uma consideração crucial. Os
riscos impostos pelos que praticam ataques
cibernéticos capazes de assumir o controle de um
veículo através de uma conectividade mal protegida
não poderiam ser mais graves. Um invasor consegue
colocar a vida dos passageiros do veículo e de outros
usuários da estrada em risco – até mesmo tornar o
veículo uma arma para deliberadamente atingir outras
pessoas.
No entanto, tecnologias de cuidados conectadas,
como muitos outros aspectos das tecnologias
operacionais e aplicações IoT (Internet das Coisas),
estão sendo desenvolvidas. A maturidade de levar
riscos cibernéticos e sua mitigação em conta está
crescendo. Os inovadores que fizeram um bom
trabalho em tantas áreas da tecnologia automotiva
precisam aumentar sua experiência prática de
enfrentar ameaças cibernéticas.
Cada vez mais, os fabricantes de equipamentos
originais (OEM na sigla em inglês) entendem esse
problema, priorizam a segurança cibernética e tentam
também incorporar a segurança cibernética nos
fornecedores de componentes.
Muito esforço está sendo colocado no fechamento
dessa lacuna dentro do setor automotivo e progresso
está sendo feito. O desejo de inovar e implantar novas
tecnologias deve ser equilibrado pela compreensão
das vulnerabilidades de segurança cibernética que
podem criar, especialmente em empresas automotivas
tradicionais que estejam reestruturando seus
processos de desenho para uma nova geração de
veículos inteligentes. Isso requer maiores níveis de
cooperação e colaboração entre os especialistas em
inovação e segurança cibernética, incorporando desde
o início conceitos como a privacidade por design e a
segurança por design.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Serviço de emergência: responda a um ataque
As organizações são sábias em operar com base no fato de que será só uma questão de tempo até
sofrerem um ataque que, de fato, quebre suas defesas. Ter um plano de resposta à falha cibernética
(CBRP – Cyber Breach Response Plan), que será automaticamente iniciado quando uma falha for
identificada, representa a melhor chance de uma organização minimizar o impacto. Mas um CBRP
deve abranger toda a organização e deve ser liderado por alguém com experiência e
conhecimento para gerenciar a resposta operacional e estratégica da organização. O framework
CBRP deve abranger:
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Segurança cibernética Como a organização assegurará que resistirá ao
ataque, isolará e avaliará o dano causado, e
relacionará as defesas para evitar falhas
semelhantes no futuro?
Planejamento de continuidade dos negócios Como a organização continuará operando
normalmente enquanto remedia o ataque?
Conformidade Quais as responsabilidades da organização no que diz
respeito à divulgação da falha às autoridades
competentes, incluindo as agências regulatórias, se
necessário, e como serão realizadas?
Seguro A organização tem seguro cibernético e esse incidente está coberto? Nesse caso, o que pode ser reivindicado?
Relações públicas e comunicações Como a organização se comunicará, de forma clara e
efetiva, com todas as partes interessadas, inclusive
colaboradores, clientes, fornecedores e investidores,
tanto diretamente quanto através da mídia quando
houver interesse público na falha?
Litígio Como a organização avaliará o possível litígio que o
ataque a deixa vulnerável, ou mesmo se ela conta
com recurso para a ação legal em si? Como serão o
registro forense e a manutenção das evidências para
uso das agências regulatórias?
43%
56%
Na prática, o CBRP é efetivamente um plano de
gerenciamento de crises. É necessário fornecer
orientação para todas as áreas da organização
envolvidas na resposta, estabelecer um nível de
compreensão sobre quais informações são
fundamentais para os líderes seniores tomarem
conhecimento – bem como quando e como
expressá-las – e manter a precisão e a
velocidade da reação contínua da organização
enquanto a falha continuar, possivelmente
durante dias, semanas ou até mesmo meses.
Esta pesquisa sugere diferentes níveis de
prontidão entre as organizações. Muitas
organizações também podem estar confusas
sobre suas responsabilidades legais – 17% dos
entrevistados dizem que não notificariam todos os
clientes, mesmo que uma falha tenha afetado a
informação do cliente; 10% nem sequer
notificariam os clientes impactados. À medida que
o Regulamento Geral de Proteção de Dados da
União Europeia (GDPR na sigla em inglês) se
consolida, tais posições não serão justificáveis.
No geral, embora 69% dos entrevistados tenham alguma forma de capacidade formal de resposta a incidentes, apenas 8% descrevem o plano como sólido e abrangendo terceiros e execução de leis.
dos entrevistados não contam com uma estratégia ou plano de comunicação acordado em funcionamento no caso de um ataque significativo.
dizem que fariam uma declaração
pública à mídia em até um mês da
falha que comprometesse dados.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Como lidar com a nuvem e a convergência
O pensamento tradicional sobre as estruturas de TI parece cada vez mais desatualizado: um grande número de
organizações agora depende da infraestrutura de TI, tanto de software como de hardware, hospedada remotamente na
nuvem em vez de no data center local; e a distinção entre TI e tecnologia operacional (OT na sigla em inglês) está se
desfazendo rapidamente, uma vez que as organizações integram as duas. Convergência e conectividade tornaram-se
as normas.
Há bons motivos para isso. No ambiente virtual da nuvem, não há restrições aos usuários quanto a limites físicos e a
infraestrutura é facilmente adaptada e escalável. Integrar TI com OT pode gerar processos completos que transformam
a produtividade em todas as áreas da organização.
Da mesma forma, no entanto, esses temas representam grandes dores de cabeça para a segurança cibernética. Com as
organizações que mantêm estruturas virtuais compostas por múltiplas entidades, nenhuma configuração pode ser mais
segura do que o link mais fraco - e há cada vez mais links a serem protegidos. O ataque à um link, além disso, rapidamente
se torna um ataque à toda a organização.
As organizações agora devem entender essa realidade e tomar medidas para mitigar os riscos que se apresentam. Em
particular, o conceito de zoneamento é crucial aqui: inevitavelmente, em uma grande rede de sistemas conectados,
algumas áreas serão mais vulneráveis do que outras, e algumas conterão ativos e sistemas mais valiosos. Identificar e
proteger essas zonas com segurança aprimorada deve ser uma prioridade.
O objetivo é criar bloqueios entre diferentes áreas da rede - para garantir que a convergência dentro da organização não
fique conveniente para os que praticam ataques cibernéticos. O fato de um invasor poder penetrar em uma zona não
deve significar que o acesso a todas as outras zonas seja direto - e, sobretudo, não deve haver risco adicional de
comprometimento para áreas de alto valor.
Conclusão
Em edições anteriores desta pesquisa, destacou-se a necessidade de estruturar a resiliência da segurança cibernética
em torno dos princípios de detecção, proteção e reação. Esses imperativos continuam mais importantes do que
nunca: as organizações que entendem o cenário de ameaças e possuem fortes defesas em funcionamento terão
maiores chances de resistir aos ataques e identificar os invasores que acabam passando. Aqueles com capacidade
para lutar vão limitar os danos dos ataques, agindo rapidamente.
Pode ser útil pensar sobre a segurança cibernética no contexto da gestão de crises. Como demonstra o gráfico,
as organizações confrontadas por grandes eventos ou incidentes devem gerenciar picos de pressão à medida
que os problemas aumentam os níveis de estresse e desencadeiam uma crise total.11
11 ”Report on Cyber Crisis Cooperation and Management”, European Union Agency for Network and Information Security , novembro de 2014.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
O padrão de intensidade de uma crise
Tempo
Gra
u d
e p
ress
ão
No
rma
lida
de
E
stre
sse
C
rise
Ações que todas as organizações devem levar em consideração
Tipo de ameaça Estratégia Exemplos de atividades
Ataques Comuns As organizações
devem ser capazes
de prevenir esses
tipos de ataque por
meio de uma boa
segurança
cibernética.
• Estabelecer a governança e a organização - compreender os
principais direcionadores do negócio e obter suporte da alta
administração para um programa robusto de segurança cibernética;
estabelecer papéis e responsabilidades; acordar estratégia,
desenvolver políticas e normas; permitir a divulgação.
• Identificar o que mais importa - identificar objetivos/produtos/serviços
do negócio para servir de apoio a pessoas, processos, e infraestruturas
tecnológicas e de dados, e classificá-los por nível de criticidade para sua
empresa. Isso inclui o ecossistema/cadeia de suprimentos em que você
opera: tanto os terceiros que o fornecem quanto os que você fornece.
• Compreender as ameaças - entender quem pode querer atacá-lo, por
que e como eles podem realizar um ataque; concentrar seus esforços
em como responder às ameaças mais prováveis.
• Definir o apetite ao risco - entender o que os ataques cibernéticos
mais prováveis podem custar ao seu negócio através da quantificação
simplificada do risco cibernético, juntamente com uma estrutura de
gerenciamento de risco cibernético, o qual faça parte de seus
processos corporativos de gerenciamento de riscos operacionais;
definir seu apetite ao risco e mecanismos de divulgação para garantir
que você opere dentro dele.
• Concentrar-se em educação e conscientização - criar um programa
de educação e conscientização, garantindo que todos os funcionários,
contratados e terceiros consigam identificar um ataque cibernético e
estejam conscientes do papel que desempenham na defesa do seu
negócio.
• Implementar proteções básicas - proteger seu negócio no nível de
tecnologia implantando proteções básicas, incluindo configuração segura
(hardening), gerenciamento de patches, firewalls, anti-malware, controles
de mídias removíveis, controles de acesso remoto e criptografia;
estabelecer um programa de Gerenciamento de Vulnerabilidades (VM na
sigla em inglês) que gerencie vulnerabilidades da identificação até a
remediação; estabelecer um programa eficaz de Gerenciamento de
Identidade e Acesso (IAM na sigla em inglês) para controlar o acesso às
informações; concentrar-se na proteção de dados e privacidade (técnica e
conformidade), bem como na gestão de terceiros que tenham
acesso/controle de seus dados.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Ações que todas as organizações devem levar em consideração
Tipo de ameaça Estratégia Exemplos de atividades
Ataques Avançados
As organizações
devem prevenir
alguns desses
ataques, focando sua
capacidade de
detectar e responder
a ataques mais
sofisticados e
perigosos.
• Ser capaz de detectar um ataque - estabelecer uma função de monitoramento de segurança que consiga detectar um ataque através de atividades de monitoramento em vários níveis dentro de sua empresa. Poderia ser um sistema básico pelo qual um alerta é gerado e enviado por e-mail quando uma atividade suspeita é detectada em um firewall, através de um Centro de Operações de Segurança (SOC) 24X7X365 que monitora redes, sistemas operacionais, aplicativos e usuários finais.
• Preparar-se para reagir - estabelecer uma equipe formal de gerenciamento de incidentes cibernéticos que tenha sido treinada e que esteja seguindo um plano documentado, que seja testado pelo menos anualmente.
• Adotar uma abordagem baseada em risco para a resiliência - estabelecer planos de recuperação (incluindo backups abrangentes) para todos os processos e tecnologias suporte, de acordo com a sua criticidade para a sobrevivência do negócio.
• Implantar proteções automatizadas adicionais – amadurecer recursos existentes (por exemplo, automatizar processos VM e IAM usando tecnologia específica), além de implantar recursos/tecnologias complementares, como sistemas de prevenção de intrusão (IPS na sigla em inglês), sistemas de detecção de intrusão (IDS na sigla em inglês), firewalls de aplicativos Web (WAF na sigla em inglês) e sistemas de prevenção de perda de dados (DLP na sigla em inglês).
• Desafiar e testar regularmente - realizar um exercício de simulação de incidentes cibernéticos para testar a capacidade dos executivos em gerenciar a resposta a um ataque cibernético significativo; realizar um exercício inicial red-team (um ataque planejado, realizado por hackers éticos profissionais) para testar a habilidade técnica de detectar e responder a ataques sofisticados.
• Criar um ciclo de vida de gerenciamento de risco cibernético - refletir sobre todas as áreas do seu programa de gerenciamento de riscos cibernéticos e identificar áreas para melhoria contínua; repetir as avaliações de risco regularmente; considerar a conformidade com os regulamentos pertinentes.
Ataques Emergentes
As organizações
devem entender as
ameaças que estão
surgindo e como elas
devem impactar a
tomada de decisão
estratégica, ao
mesmo tempo em
que investem em
controles de
segurança
cibernética.
• Criar segurança no ciclo de vida do desenvolvimento - garantir que o
risco cibernético seja considerado em todos os novos produtos, serviços,
negócios, etc., executando avaliações de risco conforme necessário e
gerenciando-a dentro do apetite ao risco acordado.
• Melhorar o monitoramento de ameaças – usar a inteligência de
ameaças voltadas para o futuro para identificar e rastrear ameaças
emergentes.
Entenda o cenário de ameaças — detectando os riscos potenciais no horizonte - é o fundamento da boa segurança cibernética. Permite que as organizações limitem o tempo que passam fora da normalidade, para entender quando e por que chegaram à situação de estresse, e, portanto, antecipar o desenvolvimento de uma crise total.
Defenda-se - protegendo a organização do risco cibernético - baseia-se nesses fundamentos. Dá à organização as habilidades e a confiança para lidar com o estresse e a crise de forma mais eficaz, com ferramentas e processos que fornecem uma estrutura para responder aos ataques.
A capacidade de responder a um ataque - reagindo rápida e eficazmente quando ocorre uma falha - é a peça final no quebra-cabeça. Essa falha, seja um
comprometimento de dados ou um ataque aos sistemas de controle de uma organização, certamente representará uma crise total. Mas as organizações capazes de agir com calma, empregando um plano de resposta de falhas de ameaças cibernéticas bem pensado e testado em que todos entendem suas responsabilidades, poderão mitigar a crise muito mais rapidamente.
Ao juntar essas vertentes da segurança cibernética, as organizações avançarão para uma maior resiliência, mesmo diante do risco significativo e crescente que representam ataques cibernéticos diversos e muitas vezes sofisticados. As ferramentas e tecnologias necessárias para enfrentar a ameaça já estão disponíveis e muitas organizações desenvolveram políticas e processos inovadores para melhor aproveitá-las. Agora, essa melhor prática deve tornar-se padrão para todas as organizações.
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Metodologia de pesquisa A 20ª Pesquisa Global de Segurança da Informação da EY capta as respostas de cerca de 1.200 diretores
executivos e executivos/gestores da área de segurança da informação e de TI, representando muitas das
organizações globais mais importantes e reconhecidas do mundo. A pesquisa foi realizada entre junho e
setembro de 2017.
EMEIA 41
Japão 7
Américas 37
Ásia-Pacífico 17
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Entrevistados por área
Menos de 500 30% Menos de 1 milhão 4% Aeroespacial e Defesa 1%
501–1.000 11% 1 milhão–5 milhões 5% Automotivo e
Transporte 6%
1.001–2.000 12% 5 milhões–10 milhões 3% Bancos e
Mercados de Capital 14%
2.001–3.000 6% 10 milhões–50 milhões 7% Químicas 1%
3.001–4.000 5% 50 milhões–100 milhões 6% Produtos de
Consumo e Varejo 12%
4.001–5.000 5% 100 milhões–500 milhões 18% Produtos Industriais
Diversificados 6%
5.001–8.000 7% 500 milhões–1 bilhão 12% Governo e
Setor Público 7%
8.001–10.000 4% 1 bilhão–1,5 bilhão 4% Saúde 3%
10.001–15.000 5% 1,5 bilhão –2 bilhões 5% Seguros 7%
15.001–20.000 2% 2 bilhões–5 bilhões 14% Life Sciences 2%
20.001–30.000 4% 5 bilhões–10 bilhões 8% Mídia e Entretenimento 3%
30.001–40.000 2% Mais de 10 bilhões 14% Mineração e Metais 3%
40.001–50.000 1% Óleo e Gás 4%
50.001–75.000 2% Energia e Serviços de Utilidade Pública
5%
75.001–100.000 1% Firmas Profissionais
e de Serviços 3%
100.001–150.000 1% Imobiliário 3%
Mais de 150.00 1% Tecnologia 6%
Telecomunicações 4%
Gestão de Ativos
e Riquezas 3%
Outros 8%
20ª Pesquisa Global sobre Segurança da Informação 2017-2018
Participantes por número de empregados
Participantes por receita total anual (em USD)
Participantes por setor
20ª Pesquisa Global sobre Segurança da Informação 2017-2018 29
Seus negócios estão preparados para um mundo digital?
O digital cria oportunidades e riscos em toda a cadeia de valor. Descubra como enxergar o digital de todos os ângulos pode ajudar no crescimento e proteção de seus negócios.
ey.com/digital #
Quanto melhor a pergunta, melhor a resposta, melhor o mundo funciona.
© 2
01
7 E
YG
M L
imit
ed
. A
ll R
igh
ts R
ese
rve
d.
ED
No
ne
.
| | | |
Contatos Em caso de dúvidas sobre os serviços de segurança
cibernética da EY, entre em contato com nossos líderes
no Brasil:
Sobre a EY
A EY é líder global em serviços de Auditoria, Impostos, Transações
Corporativas e Consultoria. Nossos insights e os serviços de qualidade
que prestamos ajudam a criar confiança nos mercados de capitais e
nas economias ao redor do mundo. Desenvolvemos líderes
excepcionais que trabalham em equipe para cumprir nossos
compromissos perante todas as partes interessadas. Com isso,
desempenhamos papel fundamental na construção de um mundo de
negócios melhor para nossas pessoas, nossos clientes e nossas
comunidades.
EY refere-se à organização global e pode referir-se também a uma ou
mais firmas-membro da Ernst & Young Global Limited (EYG), cada
uma das quais é uma entidade legal independente. A Ernst & Young
Global Limited, companhia privada constituída no Reino Unido e
limitada por garantia, não presta serviços a clientes.
Sobre os serviços de consultoria da EY
A consultoria da EY acredita que um mundo de negócios melhor
significa ajudar os clientes a resolver problemas grandes e complexos
do setor e capitalizar em oportunidades para crescer, otimizar e
proteger seus negócios. Um modo de pensar global, a diversidade e a
cultura colaborativa inspiram os consultores da EY a fazer as melhores
perguntas, criar respostas inovadoras e realizar resultados duradouros.
Quanto melhor a pergunta, melhor a resposta, melhor o mundo
funciona.
Sergio Kogan
Sócio-líder – Cybersecurity Brasil
+55 11 2573-3395
Demetrio Carrión
Sócio – Cybersecurity Brasil
+55 21 3263-7327
Rene Martinez
Sócio-líder – Risk Brasil
+55 11 2573-3277