segurança cibernética: como se preparar para enfrentar os ...File/GISS... · Yahoo divulgou que...

Retomada da segurança cibernética: como se preparar para enfrentar os ataques cibernéticos

20ª Pesquisa Global sobre Segurança da Informação 2017-2018

Sumário Boas-vindas 01

Seção 1: Enfrente as ameaças cibernéticas 02

Seção 2: Entenda o cenário de ameaças 06

Seção 3: Combata as ameaças 10

Seção 4: Serviço de emergência: responda a um ataque 18

Seção 5: Conclusão 22

Seção 6: Metodologia de pesquisa 26

20ª Pesquisa Global sobre Segurança da Informação 2017-2018 1

Boas-vindas

Paul van Kessel Líder Global de

Consultoria em

Segurança

Cibernética da EY

Seja bem-vindo à 20ª Pesquisa Global sobre Segurança da Informação

(GISS na sigla em inglês), que explora as questões mais importantes

enfrentadas pelas organizações hoje quanto à segurança cibernética.

Duas décadas depois de a EY publicar pela primeira vez sua pesquisa anual

detalhando as preocupações das organizações sobre a segurança cibernética (e

suas ações para enfrentá-las), a necessidade de uma resposta colaborativa e

coerente às ameaças, que já não são as mesmas, não poderia ser mais urgente.

Em nossas conversas com organizações de diversos setores e portes, está

claro que a segurança cibernética é uma prioridade para todos os níveis

hierárquicos. Entretanto, em um cenário complexo e em constante evolução,

pode ser difícil enxergar o todo: a ameaça cibernética geralmente está bem

camuflada, escondida à primeira vista.

Este ano, temos o prazer de informar que aproximadamente 1.200

organizações participaram da pesquisa. Analisamos as respostas de

Diretores de Tecnologia da Informação (CIO), Diretores de Segurança

da Informação (CISO) e outros executivos dessas organizações,

identificando pontos fortes e fracos a fim de gerar insights a partir dos

quais todos possamos nos beneficiar. O relatório GISS também reúne

nossa vasta experiência trabalhando com clientes no mundo todo com o

objetivo de melhorar a resiliência cibernética destas organizações.

Caso sua organização sinta alguma ansiedade com relação à segurança

cibernética, saiba que não está sozinho: a maioria das organizações sente

um maior risco hoje do que há 12 meses. Era de se esperar: os ataques

cibernéticos não só estão se tornando cada vez mais sofisticados, mas

também as próprias organizações estão cada vez mais se conectando, com

ondas e mais ondas de novas tecnologias, o qual cria oportunidades e

riscos em toda a cadeia de valor. Essa explosão de conectividade

alimentada pelo crescimento da Internet das Coisas (IoT na sigla em inglês)

e a pegada digital cada vez maior de muitas empresas criaram novos pontos

de vulnerabilidade para serem explorados pelos que praticam os ataques. É

por isso que as empresas precisam explorar o digital de todos os ângulos, de

forma a ajudá-las a crescer e proteger suas organizações hoje, amanhã e

sempre.

Entretanto, apesar dos riscos, há também boas notícias. As organizações que

enfrentam o desafio da segurança cibernética voltarão a se sentir em ordem:

não é possível repelir todas as ameaças, mas as organizações resilientes

sabem se proteger, identificar um problema quando este ocorre, e reagir de

forma rápida e eficaz quando aparece um problema.

Além disso, temos hoje um bom entendimento da maior parte dos

métodos comuns de ataque e conhecemos os principais elementos de

uma boa segurança cibernética, com os quais se pode vencer a maioria

desses ataques. Estratégias ativas de defesa e a inteligência avançada

de ameaças formam a base para resistir aos métodos de ataque mais

avançados e, embora apareçam novos métodos de ataque a todo

momento, uma boa governança de segurança cibernética e conceitos

como security-by-design dá às organizações uma chance de lutar.

Se trabalharmos juntos, podemos reconquistar a segurança cibernética.

Com isso em mente, gostaríamos de agradecer nossos clientes por

dedicarem um pouco do seu tempo para responder à pesquisa: deixem-nos

continuar compartilhando nosso conhecimento a fim de construir um mundo

mais seguro para todos nós.

2 20ª Pesquisa Global sobre Segurança da Informação 2017-2018

Seção

1

Enfrente as ameaças cibernéticas

Atualmente, todas as organizações são, por padrão,

digitais. Nem todas entregam seus produtos e serviços

utilizando os canais digitais como meio principal, mas todas

operam com a cultura, a tecnologia e os processos da era

da Internet. Além disso, no mundo conectado e

convergente criado pela Internet das Coisas (IoT), o cenário

digital é amplo e cada ativo existente ou utilizado pela

organização representa um ponto de conexão na rede.

Não é de se estranhar que o Fórum Econômico Mundial

classifique uma falha de grande escala na segurança

cibernética como um dos cinco riscos mais sérios que o

mundo enfrenta hoje.1 A escala da ameaça está em

expansão drástica: até 2021, o custo global por falhas na

segurança cibernética chegará a US$6 trilhões, segundo

estimativas, duas vezes o total de 2015.2

Os que praticam o ataque cibernético podem agir de forma

indiscriminada ou ter alvos muito específicos, atacando

organizações de grande e pequeno porte, tanto no setor

público quanto no privado. Estão bem camuflados: expô-los

requer defesas cibernéticas que identifiquem a ameaça,

mesmo quando estas pareçam integradas ao ambiente. As

organizações nem sempre conseguem fazer isso.

Só neste ano, o ataque de ransomware WannaCry, no

Reino Unido, afetou uma parte significativa do Serviço de

Saúde Nacional (NHS na sigla em inglês);3 na França,

uma falha na campanha presidencial de Emmanuel

Macron ameaçou levar o caos às eleições;4 nos EUA, o

Yahoo divulgou que uma falha comprometeu a conta de

três bilhões de usuários5 e, na Índia, um ataque paralisou o

maior porto de contêineres de Mumbai.6

Ao mesmo tempo, nunca foi tão difícil para as

organizações mapearem o ambiente digital em que atuam,

ou suas interações com tal ambiente. A infraestrutura

tecnológica de todas as organizações é personalizada e

complexa, composta por redes que contém ferramentas e

tecnologias que podem estar fisicamente nos servidores

da companhia ou na nuvem. Além disso, está ficando cada

vez mais difícil definir o que é uma “organização”. Isso se

deve à proliferação de dispositivos pertencentes aos

funcionários, clientes e fornecedores (incluindo notebooks,

tablets, celulares, entre outros) com acesso aos sistemas

da organização e que acabam não permitindo uma

definição clara do perímetro de segurança. As

organizações devem se imaginar com tentáculos longos e

que se movimentam em todas as direções.

1 “Global Risks Report 2017”, Fórum Econômico Mundial, 11 de janeiro de 2017. 2 ”Cybercrime Report 2017 Edition”, Cybersecurity Ventures, 19 de outubro de 2017. 3 ”Investigation: WannaCry cyber attack and the NHS”, National Audit Office, 27 de outubro de 2017. 4 “Hackers hit Macron campaign with ‘massive’ attack,” Financial Times, 6 de maio de 2017. 5 “All 3 billion Yahoo Accounts Were Affected by 2013 Attack,” The New York Times, 3 de outubro de 2017. 6 “Petya cyber attack: India is worst affected in Asia, Ukraine on top globally,” The Indian Express, 29 de junho de 2017.


59% 87% 12%

Os dispositivos conectados aumentam a complexidade.

A Internet das Coisas não é um conjunto de itens

passivos, mas uma rede de dispositivos conectados e

interconectados que interagem de forma ativa e

constante. A convergência dessas redes com o que já

foram sistemas separados e independentes (e, portanto,

mais fáceis de serem administrados) representa uma

mudança fundamental.

O risco não poderia estar maior. As organizações

vítimas de um ataque cibernético correm o risco de

um enorme prejuízo reputacional, juntamente com

os custos diretos de uma falha cibernética,

estimados em uma média de US$3,62 milhões pelo

Ponemon Institute.7 Há ainda a possibilidade de

disputas danosas com autoridades e agências

reguladoras. A Regulamentação da União Europeia

sobre Proteção Geral de Dados (GDPR na sigla em

inglês), prevista para entrar em vigor em 2018, dá

às agências de regulamentação poderes para

multar as organizações em até 2% do faturamento

anual global por deficiências causadas por falhas

cibernéticas e 4% caso a organização administre

mal uma resposta.8

Não são apenas os dados e a privacidade que estão

vulneráveis. A Internet das Coisas expõe as

tecnologias operacionais das organizações aos que

praticam os ataques, oferecendo-lhes a oportunidade

de fechar ou controlar os sistemas de controle

industrial, por exemplo. A ameaça pode ser até em

relação à vida: imagine alguém com a capacidade de

desligar os sistemas de apoio à vida em hospitais ou

de controlar carros conectados nas estradas.

Os níveis cada vez mais altos de ameaça requerem

uma resposta mais sólida e a GISS deste ano

revela que muitas organizações continuam

aumentando o gasto com a segurança cibernética.

Setenta por cento dizem que requerem até 25%

mais financiamento e o restante necessita até mais.

Entretanto, apenas 12% esperam receber um

aumento maior que 25%.

....................................................................................................................................................................................................................................................................................

dos entrevistados deste ano dizem que o

orçamento aumentou nos últimos 12

meses.

dizem precisar de orçamento maior

em até 50%.

esperam um aumento maior que

25% no orçamento para

segurança cibernética.


Para muitas organizações, o pior deve acontecer para que os

pedidos sejam atendidos. A pergunta sobre que tipo de

evento resultaria em aumento nos orçamentos para a

segurança cibernética, 76% dos entrevistados responderam

que a descoberta de uma falha cibernética que tenha

causado algum dano seria responsável pela alocação de mais

recursos.

Por outro lado, 64% disseram que um ataque que pareça não

ter causado nenhum dano teria uma baixa probabilidade de

resultar em um aumento de orçamento. Esse número é maior

que o do ano passado, o que é preocupante, dada a realidade

de que um ataque cibernético geralmente causa dano, ainda

que não seja imediatamente óbvio. A falha pode ser um

ataque teste que exponha a vulnerabilidade ou um desvio

desenvolvido para tirar a atenção de uma ameaça com maior

poder de dano. O atacante pode ainda simplesmente estar

passando o tempo até conseguir capitalizar com a falha. As

organizações devem assumir que todos os ataques

cibernéticos são prejudiciais e concluir que, nos lugares em

que não se identificaram danos, isso se dá só porque tais

danos ainda não foram descobertos.

Em última instância, as organizações que não alocarem os

recursos necessários para a segurança cibernética terão

dificuldade em gerir os riscos que enfrentam. Nossa pesquisa

sugere que as organizações reconhecem cada vez mais o

seguinte: 56% dos entrevistados dizem ter alterado as

estratégias e planos para considerar os riscos impostos pelas

ameaças cibernéticas, ou estão a ponto de revisar a

estratégia nesse contexto. Entretanto, apenas 4% das

organizações se dizem confiantes de ter considerado

totalmente as implicações de segurança da informação na

atual estratégia e incorporado todos os riscos e ameaças

pertinentes.


4%

4%


Seção

2

Entenda o cenário de ameaças

O primeiro passo para as organizações que buscam

melhorar a segurança cibernética é desenvolver um

melhor entendimento da natureza das ameaças. Não

será possível construir uma resiliência cibernética

maior na organização sem primeiramente identificar

as possíveis causas do dano e como elas podem se

manifestar. Ter consciência da situação é

fundamental: quais as ameaças e o que elas

significam para você e para sua organização?

Além do mais, a gama de possíveis ataques (e dos

que praticam esses ataques) é ampla e aumenta dia a

dia. As organizações podem sentir-se mais confiantes

no combate aos tipos de ataque com os quais se

familiarizaram nos últimos anos, mas ainda lhes falta a

capacidade de lidar com ataques mais avançados e

com alvos específicos. Elas podem nem saber da

existência dos métodos de ataque que estão surgindo.

Para se tornar um resiliente cibernético, entretanto, as

organizações devem aumentar o entendimento

rapidamente (é provável que enfrentem todas essas

categorias de ataque uma hora ou outra, podendo ser

até ao mesmo tempo).

O cenário de ameaças

Ataques Comuns Ataques Avançados Ataques Emergentes

O que é? São ataques que

exploram vulnerabilidades

conhecidas por meio do

uso de ferramentas

livremente disponíveis,

sendo necessário pouco

conhecimento para obter

êxito

São ataques que exploram

vulnerabilidades complexas

e desconhecidas

(conhecidas como “zero-

day”) usando ferramentas e

metodologias sofisticadas

Esses ataques concentram-se em

novos vetores de ataque e

vulnerabilidades permitidas pelas

novas tecnologias, com base em

pesquisa específica para a

identificação e exploração das

vulnerabilidades

Quem

costuma

agir nos

ataques?

Pessoal interno

descontente,

concorrentes, hacktivistas

e alguns grupos do crime

organizado

Grupos do crime

organizado, equipes de

espionagem industrial,

terroristas cibernéticos e

governos

Grupos do crime organizado, equipes

de espionagem industrial, terroristas

cibernéticos e governos

Exemplos • Vulnerabilidades conhecidas em aplicações web, sem aplicação do patch de correção, explorada por meio de ferramentas de exploração livremente disponíveis

• Malware genérico enviado por meio de campanhas de phishing, que permite o acesso remoto

• Ataque por Negação de Serviço (DDoS na sigla em inglês)

• Ataques de spear phishing com malware personalizado

• Vulnerabilidades desconhecidas (“zero-day”) exploradas com código de exploração construído para fim específico

• Empregados desonestos “plantam” vulnerabilidades para realizar espionagem / reconhecimento com profundidade

• Fornecedores explorados como forma de obter acesso à organização alvo

• Explorar vulnerabilidades em dispositivos “inteligentes” para obter acesso a sistemas de controle e/ou dados

• Alavancar vulnerabilidades criadas com a convergência de dispositivos pessoais e corporativos em uma rede única

• Usar técnicas avançadas para evitar a identificação e/ou superar as defesas cibernéticas


Todas as organizações devem assumir que o pior pode acontecer: não há desculpa para considerar outra coisa. Já houve muitos ataques bem conhecidos no mundo todo para se saber que a complacência não é aceitável.

Veja o ataque com o ransomware Petya, por exemplo,

que afetou as organizações ao redor do mundo no fim de

junho de 2017: dezenas de milhares de empresas

públicas e privadas foram afetadas. O fornecedor havia

lançado um patch para a falha explorada – as

organizações que não aplicaram essa atualização, talvez

porque não entendessem a ameaça para elas, ficaram

expostas ao ataque.

O ataque Mirai, por outro lado, é mais sofisticado e

mostra as vulnerabilidades mais amplas que as

organizações devem entender e tratar. Um desses

ataques no provedor DNS Dyn, no ano passado,

paralisou a maior parte da Internet, interrompendo

organizações como Twitter e Spotify,9 entre outras.

Nesse ataque, o Mirai teve como alvo webcams não

protegidas, mas usou também redes de câmeras CCTV

e, teoricamente, poderia atingir qualquer dispositivo

“inteligente”, isto é, se estivesse conectado à internet.

Nesse caso, não entender e prever a ameaça deixou as

organizações complacentes sem atualizar as senhas de

configuração dos fabricantes em todos os dispositivos

inteligentes conectados à rede.

Com tantas ameaças distintas (e atacantes que

poderiam ser qualquer um, de um empregador

desonesto a um grupo terrorista ou um governo), as

organizações devem estar atentas ao mundo todo e

familiarizadas com o próprio cenário de ameaças. Ainda

mais se os que praticam os ataques tiverem acesso fácil

a ferramentas sofisticadas e de malware on-line,

podendo, inclusive contratar criminosos cibernéticos.

...............................................................................................................................................................................

Ameaças e vulnerabilidades que parecem ter aumentado à exposição ao risco dos entrevistados, 2013–2017

Vulnerabilidades Ameaças

100

90

80

70

60

50

40

30

20

10

100

90

80

70

60

50

40

30

20

10

0 2013 2014 2015 2016 2017 0 2013 2014 2015 2016 2017 ano ano

Empregados descuidados ou sem conhecimento

Controles ou arquitetura de segurança da informação

desatualizados

Acesso não autorizado

Malware

Phishing

Ataques cibernéticos para roubar informações financeiras

Ataques cibernéticos para roubar IP ou

dados Ataques internos


O quadro anterior mostra como empregados descuidados ou sem

conhecimento ainda são vistos como um risco crescente, ao mesmo

tempo que, interessantemente, o acesso não autorizado reduziu bastante

como risco percebido.

Os empregados e grupos criminosos são vistos como as maiores

ameaças imediatas. Para muitas organizações, o ponto fraco mais óbvio

virá de um empregado descuidado ou que não siga as diretrizes de


As organizações também temem cada vez mais as vulnerabilidades nos

novos canais e ferramentas. Por exemplo, 77% dos entrevistados se

preocupam com a possibilidade do comportamento e a falta de

conhecimento dos usuários exporem eles ao risco por meio de

dispositivos móveis. A perda desse dispositivo e a possível perda de

informações, além da quebra de identidade, são uma preocupação para

50%.

Enquanto isso, a Internet das Coisas (IoT na sigla em inglês) é a fonte de

diversas ameaças que muitas organizações estão se esforçando para

entender melhor. O próximo quadro traz algumas das questões sobre a

integração de IoT.

.......................................................................................................

Obstáculos que desaceleram a adoção de dispositivos de IoT (possibilidade de múltiplas respostas)

Entenda o problema de abordar o desafio certo A história de Santa Helena oferece

uma ótima metáfora sobre o porquê de

algumas organizações ainda estarem

erradas quanto aos esforços

empreendidos na segurança

cibernética. Uma ilha remota no

Oceano Atlântico Sul, Santa Helena é

acessível somente por meio de viagens

marítimas longas e difíceis, de forma

que seus habitantes ficaram muito

felizes quando um projeto de US$370

milhões para a construção de uma

pista de pouso foi concluído em 2016.

Entretanto, as companhias aéreas

recusavam-se a usar a pista, o qual foi

construída à beira de um precipício de

1.000 pés, entre dois afloramentos

rochosos que afunilam o vento feroz.

Os pilotos avisaram que seria muito

perigoso tentar uma aterrissagem

segura.

O problema aqui é que os que estavam

por trás do projeto concentraram-se no

problema errado: a falta de uma pista

de pouso na ilha. O que eles deveriam

ter pensado era sobre a falta de um

local seguro para aterrissar um avião.

O que se aprende para a segurança cibernética é que, embora as organizações discutam o assunto nas reuniões da alta administração e costumem fazer altos investimentos, estão preocupados em só colocar mais tecnologia à segurança cibernética ou em resolver a falta de resiliência cibernética?

É claro que a questão da resiliência

deve ser o objetivo, mas para chegar a

ele, a organização deve entender a

relação entre resiliência cibernética e

os objetivos do negócio, além da

natureza dos riscos enfrentados e a

situação das salvaguardas atuais.

Deve ainda avaliar quanto risco ela

está preparada para assumir e definir

uma perda aceitável. Só depois

desses passos é que a organização

pode realizar investimentos

específicos em segurança cibernética

e com bom custo-benefício.

Felizmente, os voos comerciais começaram em Santa Helena em outubro de 2017 e estamos vendo mais conselhos discutindo e entendendo os riscos cibernéticos e a resiliência cibernética desejada antes da alocação do orçamento para segurança cibernética.


2017 2016

Falta de recursos qualificados

Limites orçamentários

Falta de apoio dos executivos

Gestão de questões de governança

Falta de controles de qualidade

Preocupações com privacidade

Outros

51

56

41

61

32

32

36

28

30

30

28

19

14

6


Seção

3

75%

12%

35%

38%

Combata as ameaças

É provável que as organizações enfrentem uma onda de ataques praticados em diversos níveis de sofisticação, e

elas podem e devem se defender. A resposta deve ser em vários níveis: concentrada em repelir os

ataques/ameaças mais comuns contra os quais a organização sinta mais confiança em se defender, mas também

deve levar em consideração uma abordagem com nuances para lidar com os tipos de ataque avançados e os novos

que aparecem (emergentes). Como algum desses ataques inevitavelmente passará pelas defesas da organização,

deve-se concentrar na rapidez com que eles são detectados e na eficácia com que se lida com eles.

Como se defender dos métodos de ataque comuns As organizações devem pensar em termos de fechar

a porta para os tipos de ataque mais comuns.

Segundo Greg Young, Vice-Presidente de Pesquisas

do Gartner: “Até 2020, 99% das vulnerabilidades

exploradas continuarão sendo as conhecidas pelos

profissionais de segurança e TI por no mínimo um

ano”.10 Identificar essas vulnerabilidades e fechar-se

para elas na organização antes de serem exploradas

é fundamental. De fato, com uma boa segurança

cibernética em funcionamento (mesmo que seja

mais fácil falar do que fazer), deve ser possível

prevenir uma grande parte dos ataques comuns.

Para os próximos anos, corrigir as vulnerabilidades

conhecidas por meio da aplicação de patches e

remover as vulnerabilidades dos servidores web

poderiam ser as ações de maior impacto para

impulsionar a segurança cibernética.

Nesse nível de ameaça, as soluções pontuais

continuam sendo um elemento chave da resiliência

cibernética, com ferramentas que incluem softwares de

antivírus, sistemas de prevenção e detecção de intrusão

(IPS e IDS, nas respectivas siglas em inglês), gestão de

patches consistente e tecnologias de criptografia que

protejam a integridade dos dados mesmo se o atacante

venha a conseguir o acesso a eles. A conscientização

dos empregados também é uma frente de defesa

fundamental, levando-lhes o conhecimento sobre a

segurança cibernética e a disciplina para determinar

senhas seguras em toda a organização. Conforme

indicado pelos entrevistados da pesquisa, o

comportamento de empregados descuidados

representa um ponto fraco significativo para a maioria

das organizações. Tratar essa falha é fundamental.

A maturidade da abordagem de segurança cibernética

na organização determinará sua eficácia. Na pesquisa

deste ano, de todos os processos de gestão de

segurança cibernética discutidos, três áreas

correlacionaram-se intimamente com a confiança das

organizações na identificação de um ataque cibernético:

privacidade, monitoramento da segurança e gestão de

terceiros.

Entretanto, muitas organizações preocupam-se

seriamente com a atual maturidade de seus sistemas de


A fim de se defender das ameaças comuns, as organizações

precisam assegurar que os elementos básicos estejam

funcionando. Esses elementos consistem em cinco

componentes estratégicos:

1. Centrado em talentos

A segurança cibernética não é de responsabilidade

única do departamento de TI, mas de todos os

empregados, até mesmo de todas as pessoas que

fazem parte do ecossistema da organização.

2. Estratégico e inovador

3. Focado em risco

4. Inteligente e ágil

5. Resiliente e escalável

dos entrevistados avaliam a maturidade

de sua identificação de vulnerabilidades

como muito baixa a moderada.

não contam com um programa em

funcionamento para detectar falhas.

descrevem suas políticas de

proteção de dados como eventuais

ou inexistentes.

não contam com programa de identidade e

acesso, ou não há um acordo formal desse

programa.

10 “How to Address Threats in Today’s Security Landscape”, https://www.gartner.com/smarterwithgartner/how-to-address-threats-in-todays-security-landscape/,

Gartner, 9 de maio 2017.


http://www.gartner.com/smarterwithgartner/how-to-address-threats-in-todays-security-landscape/

Ingredientes necessários para chegar à resiliência da segurança cibernética

O ritmo da mudança no mundo cada vez mais

digital de hoje resultou na convergência de

diferentes disciplinas de risco que se complementam para tratar das necessidades

das organizações, das necessidades dos clientes dessas organizações, agências

regulatórias, e parceiros de negócios.

Colocar a segurança cibernética no cerne da

estratégia da organização ajudará a manter e,

até mesmo, melhorar a confiança dos consumidores, agências regulatórias e da mídia.

Para começar, os diretores executivos não podem mais assumir que a segurança

cibernética é de responsabilidade exclusiva do departamento de segurança da informação (SI)

ou de tecnologia da informação (TI). Em vez

disso, as organizações devem fazer da segurança cibernética um elemento básico da

estratégia e da cultura da empresa. Assim, podem permitir que toda a organização entenda

os riscos enfrentados, abrace a inovação

necessária para conter esses riscos e tenha a resiliência para se reagrupar e restaurar as

operações de forma suave e eficiente quando houver uma falha cibernética.

As organizações precisam de uma visão integrada de segurança cibernética, uma que

reúna as várias funções e dependências com outras partes da organização, stakeholders

externos e fornecedores terceiros.


Relação segura

com clientes

Resiliente e escalável

Ajuda a minimizar o

impacto de interrupções e

mantém o ritmo com o

crescimento da empresa:

Inovação

Estratégico

e inovador

Incluído na tomada de decisões estratégicas, adota inovação contínua e dela se beneficia:

Maior proteção e

confiança da marca

• Resposta a incidentes

• Gestão de crises cibernéticas

• Resiliência e continuidade

• Gestão de capital e liquidez

• Recuperação e solução

Inteligente e ágil

Função de segurança cibernética direcionada pela inteligência e ciente das situações que permitam identificação e resposta às ameaças tempestiva:

1 Centrado em

talentos Construído sobre uma fundação

que torna a segurança cibernética responsabilidade de

todos:

• Gestão de talentos

• Funções e responsabilidades do conselho e das 3 linhas de defesa

• Cultura de risco e segurança

• Treinamento e conscientização

• Ligado à estratégia

• Due diligence de segurança cibernética

• Transformação digital

• Automação de processos robóticos (RPA)

• Dispositivos inteligentes, tecnologia

operacional (OT), blockchain e

distributed ledger

• Desenvolvimento de novos produtos

• Inovação e idealização

Focado em risco

Direcionado pelo alinhamento de riscos, conscientização do risco e priorização do risco:

• Inteligência de ameaças cibernéticas

• Gestão de ameaças e vulnerabilidades

• Gestão de identidade e acesso

• Operações de segurança e serviços gerenciados

• Arquitetura tecnológica

• Governança

• Gestão e apetite do

risco cibernético

• Políticas e normas

• Indicadores e comunicação

• Gestão de riscos de terceiros (TPRM)

• Consciência regulatória

Maior valor ao

acionista

Melhor alinhamento

regulatório

Resultados da

organização

Gestão de

risco eficaz

Melhoria da

marca


5 2

4 3

Programa de crescimento

sólido

Objetivos da

organização

Conformidade

regulatória

48%

57%

Como se defender de ataques avançados

Se a organização for ambiciosa o suficiente para tentar fechar as portas para os tipos comuns de ataque cibernético, deve ser também realista o suficiente para aceitar que ataques mais avançados acabarão passando. Nesse caso, é essencial conseguir identificar as invasões o mais rápido possível e contar com processos conhecidos que forneçam à organização meios eficazes de lidar com a situação pós-falha e de se livrar dos ataques praticados.

Um Centro de Operações de Segurança (SOC na sigla em inglês) que esteja no centro das capacidades de identificação de ameaças cibernéticas é um excelente ponto de partida. Oferece uma estrutura centralizada que coordena todas as atividades relacionadas à segurança cibernética. Os SOCs estão se tornando cada vez mais comuns, mas 48% dos entrevistados ainda não têm um.

Isso não significa que o SOC tem de estabelecer e operar as capacidades para todos os aspectos possíveis de estratégia e melhores práticas da segurança cibernética. Muitas organizações optam por terceirizar algumas atividades em vez de deixá-las com o SOC interno; 41% dos entrevistados terceirizam o teste de invasão, por exemplo, enquanto 37% terceirizam o monitoramento em tempo real da rede.

Entretanto, o SOC deve ter meios de garantir que consegue manter-se atualizado com as ameaças mais atuais: recursos gratuitos e pagos podem oferecer inteligência valiosa e 36% dos entrevistados enfatizaram que o SOC deles colabora e compartilha dados com pares do setor.

Além disso, os SOCs estão saindo rapidamente das práticas passivas de segurança cibernética e entrando na defesa ativa: uma campanha deliberadamente planejada e continuamente executada com o objetivo de identificar e remover os atacantes escondidos e vencer cenários de ameaças prováveis que visam os ativos mais críticos da organização. A defesa ativa representa um passo adiante crucial, à medida que as organizações procuram conter os ataques avançados, e pode ser vista como uma estratégia que engloba ao menos 4 etapas:

não têm um programa de inteligência de

ameaças, ou tem um informal.


Ao trabalhar junto com os fornecedores de inteligência

de ameaças e desenvolver condições internas de

análise, as organizações podem criar uma figura

muito mais clara do cenário de ameaças, inclusive as

identidades dos diretores executivos. Atualmente, no

entanto, 57% têm muito pouca inteligência de

ameaças.

3 Inteligência de ameaças avançadas

2 Definir o normal

Como a defesa ativa depende de ferramentas como

a análise de anomalias, é importante que as

organizações entendam como suas redes

normalmente funcionam. As ferramentas de análise

da segurança cibernética usam o aprendizado por

máquina para definir o que é “normal” e a

Inteligência artificial para reconhecer possíveis

atividades maliciosas de forma mais rápida e

precisa.

São exercícios planejados e executados a fim de

derrotar, de forma proativa, cenários de ameaças

específicas e descobrir intrusos escondidos na rede.

Requer treinamento e testes personalizados —

testes de spear phishing, por exemplo, que

identificam a vulnerabilidade dos empregados em

relação a golpes enviados por email, testes de

invasão que identificam as vulnerabilidades da rede

e até um teste completo de red team.

4 Missões de defesa ativa

dos entrevistados não têm um SOC.

12%

Empregar essas estratégias pode impulsionar a

resiliência cibernética da organização e reduzir o

“tempo de permanência” – tempo que o atacante

permanece não detectado no ambiente. Isso é crucial:

apenas 12% dos entrevistados afirmam que muito

provavelmente detectariam ataques cibernéticos

sofisticados que tivessem sua organização como alvo.

Entre as organizações com experiência em incidentes

de segurança cibernética, quase um terço diz que o

problema foi descoberto pelo SOC.

indicam como muito provável que

detectem um ataque cibernético

sofisticado.

Não seja bobo com os edifícios inteligentes

Os edifícios das organizações estão cada vez mais

vulneráveis no que diz respeito à segurança cibernética: a

Internet das Coisas (IoT) e os avanços de tecnologias

operacionais podem servir de base para uma nova geração

de edifícios “inteligentes”, mas também oferecem um novo

ponto de entrada para os que praticam ataques cibernéticos.

A natureza das ameaças estende-se por uma ampla faixa de

possibilidades. O atacante pode ter como alvo os sistemas de

controle do próprio edifício, comprometendo a segurança com

ataques, por exemplo, aos sistemas de proteção contra

incêndios ou os controles do elevador; mesmo uma breve

parada do sistema de ar-condicionado do edifício poderia

danificar o data center. Além disso, os ataques podem ter

como alvo os sistemas conectados do edifício como uma

forma de adentrar os sistemas de uma entidade mais ampla,

brincando e controlando links remotos e a interconectividade.

O alcance dos danos causados por tais ataques é enorme.

Ele varia desde o potencial de interrupção do sistema até

uma violação de dados em escala completa permitida por

uma vulnerabilidade do edifício inteligente. O ransomware

pode inutilizar um edifício por um período. Organizações em

setores regulamentados, incluindo serviços financeiros, saúde

e setor público, podem ser expostas a sanções das

autoridades competentes. O dano da reputação é muito

provável. As responsabilidades legais dos proprietários dos

edifícios perante seus inquilinos em tais eventos ainda não

foram totalmente exploradas. Em um edifício como um

hospital, por exemplo, a vida das pessoas poderia estar em

perigo.

Apesar desses riscos, no entanto, muitas organizações estão

apenas começando a enfrentar as implicações de segurança

cibernética da propriedade física. Fazer isso não é algo direto:

muitas das tecnologias operacionais instaladas no negócio

ficam fora da área de TI, onde a segurança cibernética é mais

provável que seja uma prioridade; as conexões foram

adicionadas de forma fragmentada ao longo de muitos anos,

adicionando funcionalidade de conexão com a internet a

sistemas legados pouco a pouco, sem uma área única ou

indivíduo que mantenha uma visão geral de todo o edifício; e

grande parte da conectividade adicionada nos anos passados

terá tido pouca ou nenhuma segurança incluída.

Os edifícios inteligentes, em outras palavras, não são tão

inteligentes da perspectiva da segurança cibernética. As tecnologias mais recentes, desde sistemas de iluminação inteligentes até controles de estacionamento de garagem,

podem ser projetadas e instaladas com segurança cibernética, mas estão sendo adicionadas a sistemas já vulneráveis.

As organizações devem agora enfrentar esse risco,

identificando seus edifícios mais críticos – onde residem seus

ativos mais valiosos ou, talvez, os sistemas mais críticos para

o negócio – e trabalhando rapidamente para mapear a

conectividade, avaliar a segurança cibernética e mitigar o

risco com a defesa apropriada. Uma vez que esses prédios

prioritários tenham sido protegidos, essa abordagem deve ser

implementada no resto da propriedade.


63% 89%

50% 24%

Como se defender dos ataques emergentes

Na prática, nenhuma organização pode prever todas as

ameaças que estão surgindo - a natureza de tais

ameaças muitas vezes é desconhecida, caso em que a

porta pode estar bem aberta para ataques. No entanto,

organizações inovadoras que conseguem ser

imaginativas sobre a natureza de possíveis ameaças

futuras podem aumentar a agilidade em sua segurança

cibernética para que elas possam agir rapidamente

quando chegar a hora. Além disso, as organizações com

processos efetivos de governança subjacentes à sua

abordagem operacional conseguem praticar “security-

by-design”, construindo sistemas e processos capazes

de responder a riscos inesperados e perigos

emergentes.

O estudo mostra que os orçamentos de segurança

cibernética são mais elevados em organizações que:

• Colocam responsáveis de segurança dedicados as principais linhas de negócio

• Divulgam pelo menos duas vezes por ano o tema segurança cibernética ao conselho e ao comitê de auditoria

• Identificam especificamente joias da coroa que não sejam de TI e protejam tais ativos de forma diferenciada

.........................................................................................................................................................................................................

.......

das organizações ainda

tem a área de segurança

cibernética subordinada a

TI.

dizem que a função de

segurança cibernética não

satisfaz todas as necessidades

da organização.

apenas

fazem divulgações ao conselho regularmente.

dizem que a pessoa com

responsabilidade pela

segurança cibernética participa

do conselho.


17%

Para melhorar as chances de combater os que praticam

os ataques cibernéticos, as organizações terão que

superar as barreiras que atualmente tornam mais difícil

a agregação de valor por parte das operações de

segurança cibernética. Por exemplo, 59% dos

entrevistados citam a limitação orçamentária, enquanto

58% lamentam a falta de recursos qualificados; 29%

reclamam sobre a falta de apoio ou conscientização dos

executivos.

dos Conselhos têm

conhecimento suficiente sobre

segurança da informação para

avaliar holisticamente a eficácia

dos riscos que a organização

enfrenta e as medidas que está

tomando.

Segurança cibernética para a segurança nas estradas

O carro conectado já é uma realidade. A evolução

constante do setor automotivo em direção aos

veículos cada vez mais autônomos depende de

tecnologias operacionais que fornecem acesso

remoto aos sistemas de veículos que vão desde a

navegação até controles básicos de segurança. Além

disso, os fabricantes líderes agora veem a tecnologia

de software-over-the-air como a opção padrão para

manutenção, reparo e atualização de veículos já

vendidos aos motoristas. Essas atualizações

abrangerão todos os aspectos do veículo, do

infoentretenimento até a telemática e as unidades de

controle.

Ante esse panorama, uma mudança rápida de redes

fechadas para redes abertas que gerenciam o

comportamento e o desempenho dos veículos, a

segurança cibernética é uma consideração crucial. Os

riscos impostos pelos que praticam ataques

cibernéticos capazes de assumir o controle de um

veículo através de uma conectividade mal protegida

não poderiam ser mais graves. Um invasor consegue

colocar a vida dos passageiros do veículo e de outros

usuários da estrada em risco – até mesmo tornar o

veículo uma arma para deliberadamente atingir outras

pessoas.

No entanto, tecnologias de cuidados conectadas,

como muitos outros aspectos das tecnologias

operacionais e aplicações IoT (Internet das Coisas),

estão sendo desenvolvidas. A maturidade de levar

riscos cibernéticos e sua mitigação em conta está

crescendo. Os inovadores que fizeram um bom

trabalho em tantas áreas da tecnologia automotiva

precisam aumentar sua experiência prática de

enfrentar ameaças cibernéticas.

Cada vez mais, os fabricantes de equipamentos

originais (OEM na sigla em inglês) entendem esse

problema, priorizam a segurança cibernética e tentam

também incorporar a segurança cibernética nos

fornecedores de componentes.

Muito esforço está sendo colocado no fechamento

dessa lacuna dentro do setor automotivo e progresso

está sendo feito. O desejo de inovar e implantar novas

tecnologias deve ser equilibrado pela compreensão

das vulnerabilidades de segurança cibernética que

podem criar, especialmente em empresas automotivas

tradicionais que estejam reestruturando seus

processos de desenho para uma nova geração de

veículos inteligentes. Isso requer maiores níveis de

cooperação e colaboração entre os especialistas em

inovação e segurança cibernética, incorporando desde

o início conceitos como a privacidade por design e a

segurança por design.



Seção

4

Serviço de emergência: responda a um ataque

As organizações são sábias em operar com base no fato de que será só uma questão de tempo até

sofrerem um ataque que, de fato, quebre suas defesas. Ter um plano de resposta à falha cibernética

(CBRP – Cyber Breach Response Plan), que será automaticamente iniciado quando uma falha for

identificada, representa a melhor chance de uma organização minimizar o impacto. Mas um CBRP

deve abranger toda a organização e deve ser liderado por alguém com experiência e

conhecimento para gerenciar a resposta operacional e estratégica da organização. O framework

CBRP deve abranger:


Segurança cibernética Como a organização assegurará que resistirá ao

ataque, isolará e avaliará o dano causado, e

relacionará as defesas para evitar falhas

semelhantes no futuro?

Planejamento de continuidade dos negócios Como a organização continuará operando

normalmente enquanto remedia o ataque?

Conformidade Quais as responsabilidades da organização no que diz

respeito à divulgação da falha às autoridades

competentes, incluindo as agências regulatórias, se

necessário, e como serão realizadas?

Seguro A organização tem seguro cibernético e esse incidente está coberto? Nesse caso, o que pode ser reivindicado?

Relações públicas e comunicações Como a organização se comunicará, de forma clara e

efetiva, com todas as partes interessadas, inclusive

colaboradores, clientes, fornecedores e investidores,

tanto diretamente quanto através da mídia quando

houver interesse público na falha?

Litígio Como a organização avaliará o possível litígio que o

ataque a deixa vulnerável, ou mesmo se ela conta

com recurso para a ação legal em si? Como serão o

registro forense e a manutenção das evidências para

uso das agências regulatórias?

43%

56%

Na prática, o CBRP é efetivamente um plano de

gerenciamento de crises. É necessário fornecer

orientação para todas as áreas da organização

envolvidas na resposta, estabelecer um nível de

compreensão sobre quais informações são

fundamentais para os líderes seniores tomarem

conhecimento – bem como quando e como

expressá-las – e manter a precisão e a

velocidade da reação contínua da organização

enquanto a falha continuar, possivelmente

durante dias, semanas ou até mesmo meses.

Esta pesquisa sugere diferentes níveis de

prontidão entre as organizações. Muitas

organizações também podem estar confusas

sobre suas responsabilidades legais – 17% dos

entrevistados dizem que não notificariam todos os

clientes, mesmo que uma falha tenha afetado a

informação do cliente; 10% nem sequer

notificariam os clientes impactados. À medida que

o Regulamento Geral de Proteção de Dados da

União Europeia (GDPR na sigla em inglês) se

consolida, tais posições não serão justificáveis.

No geral, embora 69% dos entrevistados tenham alguma forma de capacidade formal de resposta a incidentes, apenas 8% descrevem o plano como sólido e abrangendo terceiros e execução de leis.

dos entrevistados não contam com uma estratégia ou plano de comunicação acordado em funcionamento no caso de um ataque significativo.

dizem que fariam uma declaração

pública à mídia em até um mês da

falha que comprometesse dados.



Como lidar com a nuvem e a convergência

O pensamento tradicional sobre as estruturas de TI parece cada vez mais desatualizado: um grande número de

organizações agora depende da infraestrutura de TI, tanto de software como de hardware, hospedada remotamente na

nuvem em vez de no data center local; e a distinção entre TI e tecnologia operacional (OT na sigla em inglês) está se

desfazendo rapidamente, uma vez que as organizações integram as duas. Convergência e conectividade tornaram-se

as normas.

Há bons motivos para isso. No ambiente virtual da nuvem, não há restrições aos usuários quanto a limites físicos e a

infraestrutura é facilmente adaptada e escalável. Integrar TI com OT pode gerar processos completos que transformam

a produtividade em todas as áreas da organização.

Da mesma forma, no entanto, esses temas representam grandes dores de cabeça para a segurança cibernética. Com as

organizações que mantêm estruturas virtuais compostas por múltiplas entidades, nenhuma configuração pode ser mais

segura do que o link mais fraco - e há cada vez mais links a serem protegidos. O ataque à um link, além disso, rapidamente

se torna um ataque à toda a organização.

As organizações agora devem entender essa realidade e tomar medidas para mitigar os riscos que se apresentam. Em

particular, o conceito de zoneamento é crucial aqui: inevitavelmente, em uma grande rede de sistemas conectados,

algumas áreas serão mais vulneráveis do que outras, e algumas conterão ativos e sistemas mais valiosos. Identificar e

proteger essas zonas com segurança aprimorada deve ser uma prioridade.

O objetivo é criar bloqueios entre diferentes áreas da rede - para garantir que a convergência dentro da organização não

fique conveniente para os que praticam ataques cibernéticos. O fato de um invasor poder penetrar em uma zona não

deve significar que o acesso a todas as outras zonas seja direto - e, sobretudo, não deve haver risco adicional de

comprometimento para áreas de alto valor.


Seção

5

Conclusão

Em edições anteriores desta pesquisa, destacou-se a necessidade de estruturar a resiliência da segurança cibernética

em torno dos princípios de detecção, proteção e reação. Esses imperativos continuam mais importantes do que

nunca: as organizações que entendem o cenário de ameaças e possuem fortes defesas em funcionamento terão

maiores chances de resistir aos ataques e identificar os invasores que acabam passando. Aqueles com capacidade

para lutar vão limitar os danos dos ataques, agindo rapidamente.

Pode ser útil pensar sobre a segurança cibernética no contexto da gestão de crises. Como demonstra o gráfico,

as organizações confrontadas por grandes eventos ou incidentes devem gerenciar picos de pressão à medida

que os problemas aumentam os níveis de estresse e desencadeiam uma crise total.11

11 ”Report on Cyber Crisis Cooperation and Management”, European Union Agency for Network and Information Security , novembro de 2014.


O padrão de intensidade de uma crise

Tempo

Gra

u d

e p

ress

ão

No

rma

lida

de

E

stre

sse

C

rise

Ações que todas as organizações devem levar em consideração

Tipo de ameaça Estratégia Exemplos de atividades

Ataques Comuns As organizações

devem ser capazes

de prevenir esses

tipos de ataque por

meio de uma boa

segurança

cibernética.

• Estabelecer a governança e a organização - compreender os

principais direcionadores do negócio e obter suporte da alta

administração para um programa robusto de segurança cibernética;

estabelecer papéis e responsabilidades; acordar estratégia,

desenvolver políticas e normas; permitir a divulgação.

• Identificar o que mais importa - identificar objetivos/produtos/serviços

do negócio para servir de apoio a pessoas, processos, e infraestruturas

tecnológicas e de dados, e classificá-los por nível de criticidade para sua

empresa. Isso inclui o ecossistema/cadeia de suprimentos em que você

opera: tanto os terceiros que o fornecem quanto os que você fornece.

• Compreender as ameaças - entender quem pode querer atacá-lo, por

que e como eles podem realizar um ataque; concentrar seus esforços

em como responder às ameaças mais prováveis.

• Definir o apetite ao risco - entender o que os ataques cibernéticos

mais prováveis podem custar ao seu negócio através da quantificação

simplificada do risco cibernético, juntamente com uma estrutura de

gerenciamento de risco cibernético, o qual faça parte de seus

processos corporativos de gerenciamento de riscos operacionais;

definir seu apetite ao risco e mecanismos de divulgação para garantir

que você opere dentro dele.

• Concentrar-se em educação e conscientização - criar um programa

de educação e conscientização, garantindo que todos os funcionários,

contratados e terceiros consigam identificar um ataque cibernético e

estejam conscientes do papel que desempenham na defesa do seu

negócio.

• Implementar proteções básicas - proteger seu negócio no nível de

tecnologia implantando proteções básicas, incluindo configuração segura

(hardening), gerenciamento de patches, firewalls, anti-malware, controles

de mídias removíveis, controles de acesso remoto e criptografia;

estabelecer um programa de Gerenciamento de Vulnerabilidades (VM na

sigla em inglês) que gerencie vulnerabilidades da identificação até a

remediação; estabelecer um programa eficaz de Gerenciamento de

Identidade e Acesso (IAM na sigla em inglês) para controlar o acesso às

informações; concentrar-se na proteção de dados e privacidade (técnica e

conformidade), bem como na gestão de terceiros que tenham

acesso/controle de seus dados.


Ações que todas as organizações devem levar em consideração

Tipo de ameaça Estratégia Exemplos de atividades

Ataques Avançados

As organizações

devem prevenir

alguns desses

ataques, focando sua

capacidade de

detectar e responder

a ataques mais

sofisticados e

perigosos.

• Ser capaz de detectar um ataque - estabelecer uma função de monitoramento de segurança que consiga detectar um ataque através de atividades de monitoramento em vários níveis dentro de sua empresa. Poderia ser um sistema básico pelo qual um alerta é gerado e enviado por e-mail quando uma atividade suspeita é detectada em um firewall, através de um Centro de Operações de Segurança (SOC) 24X7X365 que monitora redes, sistemas operacionais, aplicativos e usuários finais.

• Preparar-se para reagir - estabelecer uma equipe formal de gerenciamento de incidentes cibernéticos que tenha sido treinada e que esteja seguindo um plano documentado, que seja testado pelo menos anualmente.

• Adotar uma abordagem baseada em risco para a resiliência - estabelecer planos de recuperação (incluindo backups abrangentes) para todos os processos e tecnologias suporte, de acordo com a sua criticidade para a sobrevivência do negócio.

• Implantar proteções automatizadas adicionais – amadurecer recursos existentes (por exemplo, automatizar processos VM e IAM usando tecnologia específica), além de implantar recursos/tecnologias complementares, como sistemas de prevenção de intrusão (IPS na sigla em inglês), sistemas de detecção de intrusão (IDS na sigla em inglês), firewalls de aplicativos Web (WAF na sigla em inglês) e sistemas de prevenção de perda de dados (DLP na sigla em inglês).

• Desafiar e testar regularmente - realizar um exercício de simulação de incidentes cibernéticos para testar a capacidade dos executivos em gerenciar a resposta a um ataque cibernético significativo; realizar um exercício inicial red-team (um ataque planejado, realizado por hackers éticos profissionais) para testar a habilidade técnica de detectar e responder a ataques sofisticados.

• Criar um ciclo de vida de gerenciamento de risco cibernético - refletir sobre todas as áreas do seu programa de gerenciamento de riscos cibernéticos e identificar áreas para melhoria contínua; repetir as avaliações de risco regularmente; considerar a conformidade com os regulamentos pertinentes.

Ataques Emergentes

As organizações

devem entender as

ameaças que estão

surgindo e como elas

devem impactar a

tomada de decisão

estratégica, ao

mesmo tempo em

que investem em

controles de

segurança

cibernética.

• Criar segurança no ciclo de vida do desenvolvimento - garantir que o

risco cibernético seja considerado em todos os novos produtos, serviços,

negócios, etc., executando avaliações de risco conforme necessário e

gerenciando-a dentro do apetite ao risco acordado.

• Melhorar o monitoramento de ameaças – usar a inteligência de

ameaças voltadas para o futuro para identificar e rastrear ameaças

emergentes.

Entenda o cenário de ameaças — detectando os riscos potenciais no horizonte - é o fundamento da boa segurança cibernética. Permite que as organizações limitem o tempo que passam fora da normalidade, para entender quando e por que chegaram à situação de estresse, e, portanto, antecipar o desenvolvimento de uma crise total.

Defenda-se - protegendo a organização do risco cibernético - baseia-se nesses fundamentos. Dá à organização as habilidades e a confiança para lidar com o estresse e a crise de forma mais eficaz, com ferramentas e processos que fornecem uma estrutura para responder aos ataques.

A capacidade de responder a um ataque - reagindo rápida e eficazmente quando ocorre uma falha - é a peça final no quebra-cabeça. Essa falha, seja um

comprometimento de dados ou um ataque aos sistemas de controle de uma organização, certamente representará uma crise total. Mas as organizações capazes de agir com calma, empregando um plano de resposta de falhas de ameaças cibernéticas bem pensado e testado em que todos entendem suas responsabilidades, poderão mitigar a crise muito mais rapidamente.

Ao juntar essas vertentes da segurança cibernética, as organizações avançarão para uma maior resiliência, mesmo diante do risco significativo e crescente que representam ataques cibernéticos diversos e muitas vezes sofisticados. As ferramentas e tecnologias necessárias para enfrentar a ameaça já estão disponíveis e muitas organizações desenvolveram políticas e processos inovadores para melhor aproveitá-las. Agora, essa melhor prática deve tornar-se padrão para todas as organizações.



Seção

6

Metodologia de pesquisa A 20ª Pesquisa Global de Segurança da Informação da EY capta as respostas de cerca de 1.200 diretores

executivos e executivos/gestores da área de segurança da informação e de TI, representando muitas das

organizações globais mais importantes e reconhecidas do mundo. A pesquisa foi realizada entre junho e

setembro de 2017.

EMEIA 41

Japão 7

Américas 37

Ásia-Pacífico 17


Entrevistados por área

Menos de 500 30% Menos de 1 milhão 4% Aeroespacial e Defesa 1%

501–1.000 11% 1 milhão–5 milhões 5% Automotivo e

Transporte 6%

1.001–2.000 12% 5 milhões–10 milhões 3% Bancos e

Mercados de Capital 14%

2.001–3.000 6% 10 milhões–50 milhões 7% Químicas 1%

3.001–4.000 5% 50 milhões–100 milhões 6% Produtos de

Consumo e Varejo 12%

4.001–5.000 5% 100 milhões–500 milhões 18% Produtos Industriais

Diversificados 6%

5.001–8.000 7% 500 milhões–1 bilhão 12% Governo e

Setor Público 7%

8.001–10.000 4% 1 bilhão–1,5 bilhão 4% Saúde 3%

10.001–15.000 5% 1,5 bilhão –2 bilhões 5% Seguros 7%

15.001–20.000 2% 2 bilhões–5 bilhões 14% Life Sciences 2%

20.001–30.000 4% 5 bilhões–10 bilhões 8% Mídia e Entretenimento 3%

30.001–40.000 2% Mais de 10 bilhões 14% Mineração e Metais 3%

40.001–50.000 1% Óleo e Gás 4%

50.001–75.000 2% Energia e Serviços de Utilidade Pública

5%

75.001–100.000 1% Firmas Profissionais

e de Serviços 3%

100.001–150.000 1% Imobiliário 3%

Mais de 150.00 1% Tecnologia 6%

Telecomunicações 4%

Gestão de Ativos

e Riquezas 3%

Outros 8%


Participantes por número de empregados

Participantes por receita total anual (em USD)

Participantes por setor

20ª Pesquisa Global sobre Segurança da Informação 2017-2018 29

Seus negócios estão preparados para um mundo digital?

O digital cria oportunidades e riscos em toda a cadeia de valor. Descubra como enxergar o digital de todos os ângulos pode ajudar no crescimento e proteção de seus negócios.

ey.com/digital #

Quanto melhor a pergunta, melhor a resposta, melhor o mundo funciona.

© 2

01

7 E

YG

M L

imit

ed

. A

ll R

igh

ts R

ese

rve

d.

ED

No

ne

.

| | | |

Contatos Em caso de dúvidas sobre os serviços de segurança

cibernética da EY, entre em contato com nossos líderes

no Brasil:

Sobre a EY

A EY é líder global em serviços de Auditoria, Impostos, Transações

Corporativas e Consultoria. Nossos insights e os serviços de qualidade

que prestamos ajudam a criar confiança nos mercados de capitais e

nas economias ao redor do mundo. Desenvolvemos líderes

excepcionais que trabalham em equipe para cumprir nossos

compromissos perante todas as partes interessadas. Com isso,

desempenhamos papel fundamental na construção de um mundo de

negócios melhor para nossas pessoas, nossos clientes e nossas

comunidades.

EY refere-se à organização global e pode referir-se também a uma ou

mais firmas-membro da Ernst & Young Global Limited (EYG), cada

uma das quais é uma entidade legal independente. A Ernst & Young

Global Limited, companhia privada constituída no Reino Unido e

limitada por garantia, não presta serviços a clientes.

Sobre os serviços de consultoria da EY

A consultoria da EY acredita que um mundo de negócios melhor

significa ajudar os clientes a resolver problemas grandes e complexos

do setor e capitalizar em oportunidades para crescer, otimizar e

proteger seus negócios. Um modo de pensar global, a diversidade e a

cultura colaborativa inspiram os consultores da EY a fazer as melhores

perguntas, criar respostas inovadoras e realizar resultados duradouros.

Quanto melhor a pergunta, melhor a resposta, melhor o mundo

funciona.

Sergio Kogan

Sócio-líder – Cybersecurity Brasil

[email protected]

+55 11 2573-3395

Demetrio Carrión

Sócio – Cybersecurity Brasil

[email protected]

+55 21 3263-7327

Rene Martinez

Sócio-líder – Risk Brasil

[email protected]

+55 11 2573-3277

segurança cibernética: como se preparar para enfrentar os ...File/GISS... · Yahoo divulgou que...

Documents

Transcript of segurança cibernética: como se preparar para enfrentar os ...File/GISS... · Yahoo divulgou que...