ESTUDO SOBRE AS TENDÊNCIAS EM CRIPTOGRAFIA - BRASIL

Transcrição

1 ESTUDO SOBRE AS TENDÊNCIAS EM CRIPTOGRAFIA - BRASIL Julho de PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

2 CONTEÚDOS PARTE 1. RESUMO EXECUTIVO 3 PARTE 2. PRINCIPAIS RESULTADOS 5 Estratégia e adoção de criptografia 5 Ameaças, principais fatores e prioridades 6 Escolhas de implementações 9 Características de criptografias consideradas mais importantes 10 Postura quanto ao gerenciamento de chaves 12 Importância dos módulos de segurança de hardware (HSMs) 15 Criptografia em nuvem 16 APÊNDICE 1. MÉTODOS E LIMITAÇÕES 18 APÊNDICE 2. CONCLUSÕES ENCONTRADAS 20 NOSSO PATROCINADOR GEOBRIDGE Patrocinado por Thales esecurity 2 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL PESQUISA INDEPENDENTE REALIZADA PELO PONEMON INSTITUTE LLC

3 Mi PARTE 1. RESUMO EJECUTIVO O Ponemon Institute tem o prazer de apresentar os resultados do Estudo sobre tendências em criptografia de 2018: Brasil, patrocinado pela Thales esecurity. Entrevistamos 507 pessoas no Brasil com o objetivo de examinar o uso da criptografia e o impacto desta tecnologia na postura de segurança das empresas desta região. O primeiro estudo sobre tendências de criptografia foi realizado nos Estados Unidos em 2005 com uma amostra de entrevistados. Depois disso, expandimos nossa pesquisa para incluir entrevistados de 11 países e do Brasil também. Os 11 países incluem: Austrália, França, Alemanha, Índia, Japão, México, Oriente Médio, Federação Russa, Reino Unido, Estados Unidos e, pela primeira vez, Coreia do Sul. Como mostrado na Figura 1, mais empresas representadas nesta pesquisa continuam a reconhecer a importância de ter uma estratégia de criptografia, seja em toda a empresaria (35 por cento dos entrevistados) ou uma estratégia limitada que é para determinados aplicativos e tipos de dados (43 por cento dos entrevistados). Figura 1. Qual das seguintes afirmativas melhor descreve a estratégia de criptografia de sua empresa? 28% 35% 33% 26% 48% 43% 21% 19% 22% A seguir, está um resumo de nossas conclusões mais importantes. Na próxima seção deste relatório estão mais detalhes sobre cada conclusão relacionada abaixo. As operações de TI continuam a ser o que mais influencia o direcionamento das estratégias de criptografia. Apesar das responsabilidades pela estratégia de criptografia estarem espalhadas pela empresa, as operações de TI (33 por cento dos entrevistados) é o que mais influencia. Vinte oito por cento dos entrevistados acreditam que não existe apenas uma função responsável pela estratégia de criptografia. Quais tipos de dados geralmente são mais criptografados? Mais empresas estão criptografando registros financeiros e dados relacionados a pagamentos. Na pesquisa deste ano, ficou constatado que mais empresas estão criptografando dados de funcionários/rh e informações sobre negócios não financeiros Erros de funcionários são as principais ameaças a dados confidenciais. De acordo com 43 por cento dos entrevistados, erros feitos por funcionários constituem as maiores ameaças à exposição de dados confidenciais ou sensíveis. Trinta e três por cento dos entrevistados acredita que o governo realiza escutas e trinta por cento acredita que ataques internos maliciosos constituem a maior ameça para dados confidenciais ou sensíveis. Não temos um plano ou uma estratégia geral de criptografia que seja usada consistentemente em toda a empresa Temos um plano ou uma estratégia limitada de criptografia que é usada para certos aplicativos ou tipos de dados AF15 AF16 AF17 Não temos um plano ou uma estratégia de criptografia A proteção das informações pessoais do cliente é o principal motivador do uso das tecnologias de criptografia. A importância da proteção das informações pessoais do cliente aumentou significativamente nos últimos três anos (de 50 por cento dos entrevistados para 61 por cento na pesquisa deste ano). A proteção das informações contra ameaças identificadas e específicas também aumentou significativamente de 37 por cento em 2015 para 59 por cento na pesquisa deste ano. Por outro lado, a conformidade com requisitos e regulamentos externos de segurança ou privacidade de dados (42 por cento dos entrevistados) e para diminuir a extensão de auditorias de conformidade (29 por cento dos entrevistados) se tornaram fatores menos importantes para usar tecnologias de criptografia. PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 3

4 A implementação inicial de tecnologias de criptografia continua sendo o maior desafio. Cinquenta e dois por cento dos entrevistados declararam que a instalação inicial de tecnologias de criptografia é o maior desafio de planejamento e execução de uma estratégia de criptografia de dados. Nos últimos três anos, o desafio de classificar quais dados devem ser criptografados aumentou de 42 por cento para 50 por cento na pesquisa deste ano. Não há uma tecnologia de criptografia única dominante, pois as empresas têm necessidades muito distintas. Comunicação pela internet, criptografia de banco de dados e redes internas têm maior probabilidade de serem instaladas extensivamente. Por outro lado, plataformas e dispositivos de Internet das Coisas (IoT), um caso novo de uso, e Containers Dockers são considerados menos prováveis de serem implementados. Algumas características de criptografia são consideradas mais importantes que outras. Nos últimos três anos, a execução de política e as características da escalabilidade do sistema passaram a ter mais importância. Gerenciamento de chaves, suporte para nuvem e implantação em ambiente do cliente para aplicações ou ambientes múltiplos diminuíram, mas ainda são muito usados. O gerenciamento de chaves é difícil? Cinquenta e nove por cento ( ) dos entrevistados declararam que o gerenciamento de chaves é difícil. Os principais motivos são: falta de pessoal qualificado, falta de responsabilidade clara, sistemas isolados e fragmentados e ferramentas de gerenciamento de chave inadequadas. As empresas dos entrevistados continuam a usar diversos sistemas de gerenciamento de chaves. Os sistemas mais comumente implementados são o processo manual (ex.: planilhas e em folha de papel) e política de gerenciamento de chaves (KMP) formal. Quais chaves são mais difíceis de gerenciar? As chaves mais difíceis de gerenciar são aquelas para nuvem externa ou serviços hospedados, incluindo o modelo traga sua própria chave (BYOK), chaves de assinatura e chaves Secure Shell (SSH). Estas chaves tiveram uma pequena diminuição na dificuldade de gerenciamento, mas ainda são muito usadas. A importância de módulos de segurança de hardware (HSMs) para uma estratégia de criptografia ou gerenciamento de chaves aumentará nos próximos 12 meses. Quarenta e quatro por cento dos entrevistados declararam que eles são importantes atualmente e que também serão importantes nos próximos 12 meses. SSL/TLS, processadores de transações de pagamento, incluindo P2PE, nível de criptografia do aplicativo, criptografia de banco de dados, interface de provedor de serviço de pagamento e fornecimento de credenciais de pagamento são casos crescentes de uso para módulos de segurança de hardware. Como empresas estão usando módulos de segurança de hardware. Cinquenta e cinco por cento dos entrevistados declarou que têm uma equipe centralizada que fornece criptografia como serviço e 45 por cento declarou que cada dono/equipe de um aplicativo é responsável por seus próprios serviços de criptografia. A média mundial de uso de uma equipe centralizada é de 61 por cento dos entrevistados. A maioria das empresas transfere dados sigilosos ou confidenciais para a nuvem. Quarenta e seis por cento dos entrevistados afirmam que suas empresas atualmente transferem dados sigilosos ou confidenciais para a nuvem (sejam ou não criptografados ou tornados ilegíveis por algum outro mecanismo) e 39 por cento dos entrevistados planejam fazê-lo dentro dos próximos 12 a 24 meses. Trinta e sete por cento dos entrevistados afirma que os provedores de serviços em nuvem são os mais responsáveis pela proteção de dados sigilosos ou confidenciais transferidos para a nuvem. Como os dados em repouso na nuvem são protegidos? Quarenta e três por cento dos entrevistados afirmam que a criptografia é realizada na nuvem usando chaves que os provedores de serviços em nuvem geram e gerenciam, e 40 por cento afirmam que a criptografia é realizada na empresa antes dos dados serem enviados para a nuvem usando chaves que suas empresas geram e gerenciam % de organizações agora têm uma estratégia de criptografia consistente em toda a empresa 4 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

5 PARTE 2. PRINCIPAIS RESULTADOS Nesta seção apresentaremos uma análise dos principais resultados Os resultados completos obtidos estão na apêndice deste relatório. Organizamos o relatório de acordo com os seguintes tópicos: Estratégia e adoção de criptografia Ameaças, principais impulsionadores e prioridades Escolhas de implementações Características de criptografia consideradas mais importantes Postura quanto ao gerenciamento de chaves Importância dos módulos de segurança de hardware (HSMs) 1 Criptografia em nuvem Estratégia e adoção de criptografia As operações de TI continuam a ser o que mais influencia o direcionamento das estratégia de criptografia. Como mostrado na Figura 2, apesar das responsabilidades pela estratégia de criptografia estarem espalhadas pela empresa, as operações de TI (33 por cento dos entrevistados) é o que mais influencia. Vinte oito por cento dos entrevistados que não existe apenas uma função responsável pela estratégia de criptografia. Figura 2. Influência das operações de TI, linhas de negócios e segurança Operações de TI A responsabilidade não é de apenas de uma função Linhas de Negócios (LOB) ou direção geral Segurança 13% 12% 14% 26% 26% 28% 29% 30% 31% 32% 33% 0% 5% 10% 15% 20% 30% 35% AF15 AF16 AF17 1 Módulo de segurança de hardware (HSMs) são dispositivos projetados especificamente para criar um ambiente com resistência a falsificações para executar processos criptográficos (ex.: criptografia ou assinatura digital) e gerenciar chaves associadas a esses processos. Estes dispositivos são utilizados para proteger as atividades de processamento de dados críticos e podem ser usados para aplicar políticas de segurança e controles de acesso. Os HSMs geralmente seguem padrões formais de segurança como o FIPS PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 5

6 Quais tipos de dados geralmente são mais criptografados? A Figure 3 contém uma lista de sete tipos de dados que geralmente são criptografados nas empresas dos entrevistados. Como mostrado, mais empresas estão criptografando registros financeiros e dados relacionados a pagamentos. Menos empresas estão criptografando dados de funcionários/rh e informações sobre negócios não financeiros." Figura 3. Tipos de dados usualmente criptografados Mais de uma resposta permitida Registros financeiros 47% 51% 60% Dados de pagamento 45% 47% 55% Propriedade intelectual 45% 43% 44% Dados de funcionários/rh 37% 61% 63% informações sobre clientes 29% 29% Informações sobre negócios não financeiros 23% 40% 45% Informações sobre saúde 16% 18% 16% 0% 10% 20% 30% 40% 50% 60% 70% AF15 AF16 AF17 "MAIS EMPRESAS ESTÃO CRIPTOGRAFANDO REGISTROS FINANCEIROS E DADOS RELACIONADOS A PAGAMENTOS. MENOS EMPRESAS ESTÃO CRIPTOGRAFANDO DADOS DE FUNCIONÁRIOS/RH E INFORMAÇÕES SOBRE NEGÓCIOS NÃO FINANCEIROS." 6 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

7 Ameaças, principais impulsionadores e prioridades Erros de funcionários são as principais ameaças a dados confidenciais. A Figura 4 mostra que de acordo com 43 por cento dos entrevistados, erros feitos por funcionários constituem as maiores ameaças à exposição de dados confidenciais ou sensíveis. Trinta e três por cento dos entrevistados acredita que o governo realiza escutas e trinta por cento acredita que ataques internos maliciosos constituem a maior ameaça para dados confidenciais ou sensíveis. Figura 4. Principais ameaças que podem expor dados confidenciais ou sensíveis Duas respostas permitidas Erros de funcionários 43% 43% 55% Escuta feita pelo governo 32% 33% 33% Programas maliciosos internos 16% 30% 30% Mal-funcionamento de processo ou sistema 28% Hackers 22% 24% 24% Trabalhadores temporários ou contratados 23% 23% Provedores de serviços terceirizados Pedido de autoridades da lei (ex.: polícia) 6% 7% 6% 16% 28% 26% 0% 10% 20% 30% 40% 50% 60% AF15 AF16 AF17 "TRINTA E TRÊS POR CENTO DOS ENTREVISTADOS ACREDITA QUE O GOVERNO REALIZA ESCUTAS E TRINTA POR CENTO ACREDITA QUE ATAQUES INTERNOS MALICIOSOS CONSTITUEM A MAIOR AMEAÇA PARA DADOS CONFIDENCIAIS OU SENSÍVEIS." PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 7

8 A proteção das informações pessoais do cliente é o principal fator para o uso de tecnologias de criptografia. A Figura 5 mostra oito fatores para implementação de criptografia. A importância da proteção das informações pessoais do cliente aumentou significativamente nos últimos três anos (de 50 por cento dos entrevistados para 61 por cento na pesquisa deste ano). A proteção das informações contra ameaças identificadas e específicas também aumentou significativamente de 37 por cento em 2015 para 59 por cento na pesquisa deste ano. Por outro lado, a conformidade com requisitos e regulamentos externos de segurança ou privacidade de dados (42 por cento dos entrevistados) e para diminuir a extensão de auditorias de conformidade (29 por cento dos entrevistados) se tornaram fatores menos importantes para usar tecnologias de criptografia. Figura 5. Principais fatores que levam ao uso de soluções tecnológicas de criptografia Três respostas permitidas Para proteger informações pessoais do cliente 50% 54% 61% Para proteger informações contra ameaças específicas identificadas 37% 52% 59% Para proteger a propriedade intelectual da empresa Para obedecer regulamentos e requisitos externos de segurança de dados e privacidade 46% 42% 61% 60% 57% 63% Para reduzir a extensão de auditorias de conformidade 31% 29% 39% Para limitar nossa responsabilidade por brechas ou divulgação involuntária 26% 26% 33% Para obedecer políticas internas 18% 19% 17% Para evitar divulgação pública depois que ocorre vazamento de dados 6% 5% 8% 0% 10% 20% 30% 40% 50% 60% 70% AF15 AF16 AF17 "A IMPORTÂNCIA DA PROTEÇÃO DAS INFORMAÇÕES PESSOAIS DO CLIENTE AUMENTOU SIGNIFICATIVAMENTE NOS ÚLTIMOS TRÊS ANOS (DE 50 POR CENTO DOS ENTREVISTADOS PARA 61 POR CENTO NA PESQUISA DESTE ANO)." 8 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

9 A implementação inicial de tecnologias de criptografia continua a ser o maior desafio para planejar e executar uma estratégia de criptografia de dados. A Figura 6 contém uma lista de seis desafios (em ordem decrescente) que uma empresa enfrenta para executar eficazmente sua estratégia de criptografia de dados. Nos últimos três anos, o desafio de classificar quais dados devem ser criptografados aumentou de 42 por cento dos entrevistados para 50 por cento na pesquisa deste ano. Figura 6. Principais desafios do planejamento e da execução de uma estratégia de criptografia de dados Duas respostas permitidas Fazer a instalação inicial da tecnologia de criptografia Classificar quais dados devem ser criptografados Descobrir onde estão os dados confidenciais da empresa 42% 45% 47% 46% 47% 57% 56% 52% 50% Gestão contínua de criptografia e chaves 29% 29% 28% Determinar quais tecnologias de criptografia são mais eficazes 17% 16% 15% Treinar usuários para que usem a criptografia apropriadamente 8% 8% 7% 0% 10% 20% 30% 40% 50% 60% "NOS ÚLTIMOS TRÊS ANOS, O DESAFIO DE CLASSIFICAR QUAIS DADOS DEVEM SER CRIPTOGRAFADOS AUMENTOU DE 42 POR CENTO DOS ENTREVISTADOS PARA 50 POR CENTO NA PESQUISA DESTE ANO." PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 9

10 Escolhas de implementações Não existe apenas uma única tecnologia de criptografia dominante nas empresas. Pedimos aos entrevistados que indicassem tecnologias específicas de criptografia implementadas extensivamente ou parcialmente nas empresas. "Implementada extensivamente" significa que a tecnologia de criptografia está implementada em toda a empresa. "Implementada parcialmente" significa que a tecnologia de criptografia está limitada a um uso específico (ou seja, solução específica). Como mostrado na Figura 7, não existe apenas uma única tecnologia dominante porque as empresas têm necessidades muito diversificadas. A criptografia de comunicação pela internet, bancos de dados, redes internas e discos rígidos de laptop são geralmente os métodos mais implementados. Por outro lado, plataformas e dispositivos de Internet das Coisas (IoT), um caso novo de uso, e containers Dockers são considerados menos prováveis de serem implementados extensivamente ou parcialmente. Figura 7. Uso de tecnologias de criptografia Troca de comunicações pela internet (ex.: SSL) Bancos de dados Redes internas (ex.: VPN/LPN) Discos rígidos de laptop Serviços de nuvem pública Armazenamento de data center Sistemas de arquivo Gateway de nuvem Backup e arquivos Infraestrutura de nuvem privada Repositórios de Big Data Plataformas de Internet das Coisas (IoT) Dispositivos de Internet das Coisas (IoT) Containers Docker 51% 35% 14% 45% 33% 22% 42% 42% 16% 41% 36% 23% 37% 38% 37% 32% 31% 32% 39% 29% 31% 35% 34% 31% 52% 17% 30% 38% 32% 26% 45% 29% 32% 43% 18% 24% 58% 18% 23% 59% 13% 40% 47% 0% 20% 40% 60% 80% Completamente instalada Parcialmente instalada Não instalada 10 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

11 Características de criptografia consideradas mais importantes Algumas características de criptografia são consideradas mais importantes que outras. A Figura 8 contém uma lista com 12 características das tecnologias de criptografia. Cada porcentagem define as respostas "muito importante" e "importante" (escala de quatro pontos). Foi perguntado aos entrevistados que avaliassem as características das tecnologias de criptografia consideradas mais importantes para a postura de segurança de suas empresas. Nos últimos três anos, a execução de política e as características da escalabilidade do sistema passaram a ter mais importância. Gerenciamento de chaves, suporte para nuvem e implantação em ambiente do cliente para aplicações ou ambientes múltiplos diminuíram, mas ainda são muito usados. Figura 8. Características mais importantes de soluções tecnológicas para criptografia Resposta muito importante e importante combinada Desempenho de sistema e latência Cumprimento de política Suporte para algorítimos emergentes (ex.: ECC) Gerenciamento de chaves Integração com outras ferramentas de segurança (e.g.: gerenciamento de SIEM e identificação Suporte para nuvem e implantação em ambiente do cliente Suporte para aplicativos ou ambientes variados Escalabilidade do sistema Certificados de segurança oficiais para produto (ex.: FIPS 140) Separação de tarefas e controles de acordo com função Resistência à intrusão por hardware específico (e.g.: módulo de segurança de hardware) Suporte para segregação regional (ex.: local de residência dos dados) 44% 43% 41% 43% 39% 41% 56% 63% 61% 66% 63% 60% 61% 56% 52% 50% 53% 50% 49% 50% 47% 48% 55% 54% 67% 71% 76% 75% 75% 72% 74% 79% 69% 84% 78% 87% 0% 20% 40% 60% 80% AF15 AF16 AF17 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 11

12 Postura quanto ao gerenciamento de chaves O gerenciamento de chaves é difícil? Usando uma escala de 10 pontos em que 1 significa "Pouca dificuldade" e 10 "Muita dificuldade", foi pedido que os entrevistados avaliassem o grau de dificuldade" geral associado ao gerenciamento de chaves em suas empresas. A Figura 9 mostra que 59 por cento ( ) dos entrevistados deram nota 7 ou mais alta, sugerindo que a dificuldade é relativamente grande. Figura 9. Grau de dificuldade do gerenciamento de chaves? 1 = Pouca dificuldade e 10 = Muita dificuldade 35% 27% 24% 8% 7% 1 ou 2 3 ou 4 5 ou 6 7 ou 8 9 ou 10 Por que o gerenciamento de chaves é difícil? A Figura 10 mostra porque o gerenciamento de chaves é difícil. Os principais motivos são: falta de pessoal qualificado, falta de responsabilidade clara e sistemas isolados e fragmentados. Figura 10. O que torna o gerenciamento de chaves tão difícil? Três respostas permitidas Falta de pessoal qualificado 71% Propriedade não clara 59% Sistemas isolados e fragmentados Ferramentas de gerenciamento de chave inadequadas 49% 51% Recursos insuficientes (tempo/dinheiro) 26% Falta de compreensão dos requisitos Processos manuais estão sujeitos a erros e não são confiáveis Tecnologias e padrões ainda novos 14% 12% 17% 0% 10% 20% 30% 40% 50% 60% 70% 80% 12 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

13 Quais chaves são mais difíceis de gerenciar? De acordo com a Figura 11, as empresas ainda acham difícil gerenciar certas chaves. Quais são elas: chaves para nuvem externa ou serviços hospedados, incluindo o modelo traga sua própria chave (BYOK), chaves de assinatura e chaves Secure Shell (SSH). Estas chaves tiveram uma pequena diminuição na dificuldade de gerenciamento, mas ainda são muito usadas. Figura 11. Tipos de chaves mais difíceis de gerenciar Respostas Muita dificuldade e Dificuldade combinadas Chaves para nuvem externa ou serviços hospedados, incluindo chaves modelo traga sua própria chave (BYOK) Chaves de assinatura (ex.: code signing e assinaturas digitais) Chaves Secure Shell (SSH) Chaves associadas com SSL/TLS Chaves associadas com pagamentos (ex.: caixa eletrônico, ponto de venda etc.) Chaves de criptografia para usuário final (ex.: e criptografia completa de disco) Chaves de criptografia para backups e armazenamento Chave de criptografia para dados arquivados Chaves para integrar em dispositivos (ex.: no momento de fabricação em ambiente de produção de dispositivo, ou para dispositivos de IoT que você usa) 13% 12% 19% 27% 29% 37% 38% 36% 37% 34% 36% 35% 29% 32% 34% 37% 36% 34% 43% 50% 57% 57% 60% 65% 63% 0% 10% 20% 30% 40% 50% 60% 70% 70% 70% "AS EMPRESAS CONTINUAM A TER DIFICULDADE EM GERENCIAR CERTAS CHAVES. QUAIS SÃO ELAS: CHAVES PARA NUVEM EXTERNA OU SERVIÇOS HOSPEDADOS, INCLUINDO O MODELO TRAGA SUA PRÓPRIA CHAVE (BYOK), CHAVES DE ASSINATURA E CHAVES SECURE SHELL (SSH). ESTAS CHAVES TIVERAM UMA PEQUENA DIMINUIÇÃO NA DIFICULDADE DE GERENCIAMENTO, MAS AINDA SÃO MUITO USADAS." PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 13

14 Como mostrado na Figura 12, as empresas dos entrevistados continuam a usar diversos sistemas de gerenciamento de chaves. Os sistemas mais comumente implementados são o processo manual (ex.: planilhas e em folha de papel) e política de gerenciamento de chaves (KMP) formal. Figura 12. Quais sistemas de gerenciamento de chaves sua empresa usa atualmente? Mais de uma resposta permitida Processo manual (ex.: planilhas e em folha de papel) Política formal de gerenciamento de chaves (KMP) Mídia removível (ex.: pen drive e CDROM) Infraestrutura forma de gerenciamento de chaves (KMI) Sistema/servidor central de gerenciamento de chaves Cartões inteligentes Módulos de segurança de hardware Armazenamento e chave baseados em software 16% 16% 15% 16% 16% 14% 27% 26% 23% 30% 32% 31% 30% 36% 37% 50% 49% 53% 68% 67% 77% 0% 10% 20% 30% 40% 50% 60% 70% 80% AF15 AF16 AF17 AS EMPRESAS CONTINUAM A USAR DIVERSOS SISTEMAS DE GERENCIAMENTO DE CHAVES. OS SISTEMAS MAIS COMUMENTE IMPLEMENTADOS SÃO O PROCESSO MANUAL (EX.: PLANILHAS E EM FOLHA DE PAPEL) E POLÍTICA DE GERENCIAMENTO DE CHAVES (KMP) FORMAL. 14 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

15 Importância dos módulos de segurança de hardware A importância de módulos de segurança de hardware (HSMs) para uma estratégia de criptografia ou gerenciamento de chaves aumentará nos próximos 12 meses. Perguntamos aos entrevistados de empresas que implementaram módulos de segurança de hardware sobre a importância dos mesmos para a estratégia de criptografia ou gerenciamento de chaves. Quarenta e quatro por cento dos entrevistados declararam que eles são importantes atualmente e que também serão importantes nos próximos 12 meses. A Figura 13 resume os principais propósitos ou usos da implementação de módulos de segurança de hardware (HSMs). SSL/TLS, processadores de transações de pagamento, incluindo P2PE, nível de criptografia do aplicativo, criptografia de banco de dados, interface de provedor de serviço de pagamento e fornecimento de credenciais de pagamento são casos crescentes de uso para módulos de segurança de hardware. Figura 13. Como é feita ou como será nos próximos 12 anos a implantação de módulo de segurança de hardware? Mais de uma resposta permitida SSL/TLS 56% 80% Processamento de transações de pagamento, incluindo P2PE Criptografia para aplicativos Criptografia de banco de dados Interface de provedora de serviço de pagamento (ex.: TSP, pagamentos em tempo real e Interface de Programação de Aplicativos (APIs) aberta Criptografia de nuvem pública, incluindo do tipo traga sua própria chave (BYOK) Emissão de credencial de pagamento (ex.: celular e EMV) 16% 26% 29% 24% 27% 34% 37% 36% 35% 47% 50% Fornecimento de credencial de pagamento (ex.: celular e IoT) Criptografia de nuvem privada 22% 20% 38% Infraestrutura de chave pública (PKI) ou gerenciamento com credenciais Com Intermediário de Segurança de Acesso à Nuvem (CASB) para gerenciamento de criptografia de chaves Aplicações de blockchain (ex.: criptomoeda e transferências eletrônicas) 10% 15% 10% 11% 18% Root of trust de Internet das Coisas (IoT) Assinatura de documentos (ex.: fatura eletrônica) 8% 10% 7% 8% Criptografia de big data 6% 8% Code signing 5% 5% Nenhuma destas opções 14% 16% Outra opção 3% 1% 0% 10% 20% 30% 40% 50% 60% 70% 80% Atualmente implantados Serão implantados nos próximos 12 meses PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 15

16 Como empresas estão usando módulos de segurança de hardware. De acordo com a Figura 14, 55 por cento dos entrevistados declarou que têm uma equipe centralizada que fornece criptografia como serviço e 45 por cento declarou que cada dono/equipe de um aplicativo é responsável por seus próprios serviços de criptografia. A média mundial de uso de uma equipe centralizada é de 61 por cento dos entrevistados. Figura 14. Qual afirmativa melhor descreve o uso de módulos de segurança de hardware em sua empresa? 55% 45% Temos uma equipe central que fornece serviços criptográficos (incluindo módulo de segurança de hardware) para diversas aplicações/equipes da empresa (ou seja, modelo de nuvem privada) Cada dono/equipe de um aplicativo é responsável por seus serviços de criptografia (incluindo módulos de segurança de hardware), ou seja em silos (tradicional) e implementação de data center específico da aplicação. Criptografia em nuvem A maioria das empresas transfere dados sigilosos ou confidenciais para a nuvem. Como mostrado na Figura 15, 46 por cento dos entrevistados afirmam que suas empresas atualmente transferem dados sigilosos ou confidenciais para a nuvem (sejam ou não criptografados ou tornados ilegíveis por algum outro mecanismo) e 39 por cento dos entrevistados planejam fazê-lo dentro dos próximos 12 a 24 meses. Trinta e sete por cento dos entrevistados afirma que os provedores de serviços em nuvem são os mais responsáveis pela proteção de dados sigilosos ou confidenciais transferidos para a nuvem. Figura 15. Você atualmente transfere dados confidenciais ou sensitivos para nuvem? 60% 59% 46% 39% 29% 31% 11% 10% 15% Sim, estamos fazendo isso no momento Não, mas provavelmente faremos isso entre os próximos 12 a 24 meses Não 16 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL AF15 AF16 AF17

17 Como os dados em repouso na nuvem são protegidos? Como mostrado na Figura 16, 43 por cento dos entrevistados afirmam que a criptografia é realizada na nuvem usando chaves que os provedores de serviços em nuvem geram e gerenciam, e 40 por cento afirmam que a criptografia é realizada na empresa antes dos dados serem enviados para a nuvem usando chaves que suas empresas geram e gerenciam. Figura 16. Como sua empresa protege dados em repouso na nuvem? Criptografia realizada na nuvem usando chaves geradas/gerenciadas pelo provedor de nuvem 37% 43% Criptografia realizada na nuvem usando chaves que minha empresa gera e gerencia 40% 42% Criptografia realizada na nuvem usando chaves que minha empresa gera e gerencia no ambiente do provedor 24% 26% Tokenização realizada pelo provedor de nuvem Tokenização realizada em ambiente do cliente antes de enviar dados à nuvem 12% 14% 12% 12% Nenhuma destas opções 5% 5% 0% 10% 20% 30% 40% 50% AF16 AF17 "43 POR CENTO DOS ENTREVISTADOS AFIRMAM QUE A CRIPTOGRAFIA É REALIZADA NA NUVEM USANDO CHAVES QUE OS PROVEDORES DE SERVIÇOS EM NUVEM GERAM E GERENCIAM, E 40 POR CENTO AFIRMAM QUE A CRIPTOGRAFIA É REALIZADA NA EMPRESA ANTES DOS DADOS SEREM ENVIADOS PARA A NUVEM USANDO CHAVES QUE SUAS EMPRESAS GERAM E GERENCIAM." PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 17

18 APÊNDICE 1. MÉTODOS E LIMITAÇÕES A tabela 1 mostra a amostra de respostas dos entrevistados do Brasil. A amostra de respostas foi coletada durante um período de 49 dias que encerrou em janeiro de Nossa amostra de entrevistados é constituída por pessoas com boas credenciais na área de TI ou de segurança. Desta amostra, obtivemos 563 retornos, mas 56 deles foram rejeitados por questão de credibilidade. Nossa amostra final do Brasil teve 507 participantes, o que resultou em um índice geral de resposta de 3,8%. Tabela 1. Respostas à pesquisa Freqüência Por cento% de tamanho da amostra de respostas Pesquisas rejeitadas ou eliminadas Amostra final ,2% 0,4% 3,8% A Figura 17 mostra os cargos médios dos entrevistados deste estudo. Como pode ser visto, mais da metade dos entrevistados (64%) ocupa cargo de nível supervisor ou acima. Figura 17. Distribuição dos entrevistados de acordo com cargo ocupado 3% 3% 12% Executivo sênior Vice-presidente Diretor 36% Gerente/Supervisor Associado/Membro de equipe/técnico 46% A Figura 18 mostra as áreas de trabalho dos entrevistados. Como mostrado, 59 por cento dos entrevistados trabalham em operações de TI, 16 por cento em segurança e 14 por cento em linhas de negócios. Figura 18. Distribuição dos entrevistados de acordo com área de trabalho 14% 5% 3% 2% Operações de TI Segurança Linhas de Negócios (LOB) Conformidade 16% Finanças Outra opção 59% 18 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

19 A Figura 19 mostra os principais segmentos de atuação das empresas dos entrevistados. Como mostrado, 15 por cento dos entrevistados trabalha com serviços financeiros, que inclui bancos, gestão de investimentos, seguros, corretagem, pagamentos e cartões de crédito. Doze por cento dos entrevistados trabalha no setor de produção e industrial, onze por cento trabalha na área de saúde e farmacêutica e dez por cento dos entrevistados são do setor de serviços. Figura 19. Distribuição dos entrevistados de acordo com a principal classificação setorial 2% 2% 2% 2% 3% 3% 3% 4% 6% 8% 9% 9% 15% 10% 12% 11% Serviços financeiros Produção e industrial Saúde e farmacologia Serviços Varejo Setor público Tecnologia e softwares Energia e serviços utilitários Hospedagem Produtos de consumo Agricultura e serviços de alimentação Comunicações Educação e pesquisa Transporte Entretenimento e mídia Outra opção De acordo com a Figura 20, mais da metade (67%) dos entrevistados trabalham em empresar grandes com um efetivo total de mais de funcionários. Figura 20. Distribuição dos entrevistados de acordo com número de funcionários 9% 3% 12% Menos de a % a % a a Mais de % PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 19

20 Limitações Em um estudo de pesquisa, é preciso saber que certas limitações precisam ser cuidadosamente consideradas antes de fazer conclusões a partir dos indícios apresentados. Os seguintes aspectos são limitações específicas que são relevantes para a maioria dos estudos de pesquisa. Amostra proporcional: Os achados desta pesquisa são baseados em uma amostra de pesquisas respondidas. Enviamos pesquisas para uma amostra representativa de profissionais de TI e segurança e TI no Brasil, resultando em um grande número de respostas retornadas. Apesar da amostra ser proporcional, é sempre possível que pessoas que não participaram tenham opiniões substancialmente diferentes daqueles que realizaram a pesquisa. Amostra representativa: A precisão dos resultados da pesquisa depende de quanto nossas amostras representam pessoas que são profissionais de TI ou segurança de TI na amostra do Brasil. Resultados individuais: A qualidade de um estudo de pesquisa baseia-se na integridade das respostas confidenciais recebidas de entrevistados. Apesar de certos controles e verificações incorporados ao processo de avaliação de nossa pesquisa, incluindo checagem de juízo, sempre há possibilidade de que alguns dos entrevistados não forneceram respostas verdadeiras. APÊNDICE 2. TABELAS DE DADOS DA PESQUISA As seguintes pesquisas contêm os resultados da amostra do Brasil. Resposta Survey Tamanho da amostra de respostas Pesquisas rejeitadas ou eliminadas Amostra final Índice de resposta Pesos da amostra ,8% 10% Parte 1. Postura de criptografia Q1. Selecione a afirmativa que melhor descreve a abordagem de sua empresa quanto à implementação de criptografia dentro dela. Temos um plano ou uma estratégia geral de criptografia que é usada consistentemente em toda a empresa Temos um plano ou estratégia limitada de criptografia que é usada para certos aplicativos ou tipos de dados Não temos um plano ou uma estratégia de criptografia 35% 43% 22% 20 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

21 Q2. A seguir estão áreas em que as tecnologias de criptografia podem ser implementadas. Marque as áreas em que a criptografia foi completamente instalada, parcialmente instalada ou em que ainda não foi instalada na empresa. Q2a-1 Backup e arquivos Q2b-1. Repositórios de Big Data Completamente instalada 31% Completamente instalada Parcialmente instalada 52% Parcialmente instalada 32% Não instalada 17% Não instalada 43% Q2c-1 Gateway de nuvem Completamente instalada Parcialmente instalada Não instalada 31% 35% 34% Q2d-1. Armazenamento de data center Completamente instalada Parcialmente instalada Não instalada 37% 32% 31% Q2e-1. Bancos de dados Q2f-1. Containers Docker Completamente instalada 45% Completamente instalada 13% Parcialmente instalada 33% Parcialmente instalada 40% Não instalada 22% Não instalada 47% Q2g-1. Q2h-1. Serviços de nuvem pública Completamente instalada 26% Completamente instalada 37% Parcialmente instalada 45% Parcialmente instalada 38% Não instalada 29% Não instalada PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 21

22 Q2i-1. Sistemas de arquivo Completamente instalada Parcialmente instalada Não instalada 32% 39% 29% Q2j-1. Troca de comunicações pela internet (ex.: SSL) Completamente instalada Parcialmente instalada Não instalada 51% 35% 14% Q2k-1. Redes internas (ex.: VPN/LPN) Q2l-1. Discos rígidos de laptop Completamente instalada Parcialmente instalada Não instalada 42% 42% 16% Completamente instalada Parcialmente instalada Não instalada 41% 36% 23% Q2m-1 Infraestrutura de nuvem privada Q2n-1 Dispositivos de Internet das Coisas (IoT) Completamente instalada 30% Completamente instalada 18% Parcialmente instalada 38% Parcialmente instalada 23% Não instalada 32% Não instalada 59% Q2o-1 Plataformas de Internet das Coisas (IoT) Completamente instalada Parcialmente instalada Não instalada 18% 24% 58% 22 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

23 Q3. Quem mais influencia no direcionamento da estratégia de criptografia de sua empresa? Selecione a melhor opção. Operações de TI Segurança Conformidade Linhas de Negócios (LOB) ou direção geral A responsabilidade não é de apenas de uma função 33% 14% 0% 28% Q4. Quais são as razões para sua empresa criptografar dados confidenciais ou sensíveis? Selecione as três principais razões. Para proteger a propriedade intelectual da empresa Para proteger informações pessoais do cliente Para limitar nossa responsabilidade por brechas ou divulgação involuntária Para evitar divulgação pública depois que ocorre vazamento de dados Para proteger informações contra ameaças específicas identificadas Para obedecer políticas internas Para obedecer regulamentos e requisitos externos de segurança de dados e privacidade Para reduzir a extensão de auditorias de conformidade 57% 61% 26% 8% 59% 17% 42% 29% 300% Q5. Quais são os principais desafios do planejamento e da execução de uma estratégia de criptografia de dados? Selecione as duas principais opções. Descobrir onde estão os dados confidenciais da empresa Classificar quais dados devem ser criptografados Determinar quais tecnologias de criptografia são mais eficazes Fazer a instalação inicial da tecnologia de criptografia Gestão contínua de criptografia e chaves Treinar usuários para que usem a criptografia apropriadamente 47% 50% 15% 52% 28% 7% 200% PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 23

24 Q6. Quão importantes são as características a seguir associadas com soluções para criptografia que podem ser usadas pela sua empresa? Muito importante e importante resposta combinada. Cumprimento de política Gerenciamento de chaves Suporte para aplicativos ou ambientes variados Separação de tarefas e controles de acordo com função Escalabilidade do sistema Resistência à intrusão por hardware específico (e.g.: módulo de segurança de hardware) Integração com outras ferramentas de segurança (e.g.: gerenciamento de SIEM e identificação Suporte para segregação regional (ex.: local de residência dos dados) Desempenho e latência do sistema Suporte para algoritimos emergentes (ex.: ECC) Suporte para nuvem e implantação em ambiente do cliente Certificados de segurança oficiais para produto (ex.: FIPS 140) 76% 69% 52% 48% 50% 41% 61% 41% 87% 72% 60% 49% Q7. Quais tipos de dados sua empresa criptografa? Selecione todas as opções que se aplicam. Informações sobre clientes Informações sobre negócios não financeiros Propriedade intelectual Registros financeiros Dados de funcionários/rh Dados de pagamento Informações sobre saúde 23% 44% 60% 37% 55% 16% Q8. Quais são as principais ameaças que podem expor dados confidenciais ou sensíveis? Selecione as duas principais opções. Hackers Ataque interno malicioso Mal-funcionamento de processo ou sistema Erros de funcionários Trabalhadores temporários ou contratados Provedores de serviços terceirizados Pedido de autoridades da lei (ex.: polícia) Escuta feita pelo governo 24% 30% 43% 23% 16% 6% 33% 200% 24 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

25 Parte 2. Gerenciamento de chave Q9. Avalie o grau de "dificuldade" geral associado com o gerenciamento de chaves ou certificados em sua empresa (1 significa "Pouca dificuldade" e 10 "Muita dificuldade"). 1 ou 2 3 ou 4 5 ou 6 7 ou 8 9 ou 10 8% 7% 27% 24% 35% Q10. O que torna o gerenciamento de chaves tão difícil? Selecione as três principais razões. Propriedade não clara Recursos insuficientes (tempo/dinheiro Falta de pessoal qualificado Falta de compreensão dos requisitos Ferramentas de gerenciamento de chave inadequadas Sistemas isolados e fragmentados Tecnologias e padrões ainda novos Processos manuais estão sujeitos a erros e não são confiáveis 59% 26% 71% 17% 49% 51% 12% 14% 300% Q11. A seguir, estão diversos tipos de chaves que podem ser usadas por sua empresa. Avalie o grau de "dificuldade" associado ao gerenciamento de cada tipo de chave. Respostas Muita dificuldade e Dificuldade combinadas. Chaves de criptografia para backups e armazenamento Chave de criptografia para dados arquivados Chaves associadas com SSL/TLS Chaves Secure Shell (SSH) Chaves de criptografia para usuário final (ex.: e criptografia completa de disco) Chaves de assinatura (ex.: code signing e assinaturas digitais) Chaves associadas com pagamentos (ex.: caixa eletrônico, ponto de venda etc.) Chaves para integrar em dispositivos (ex.: no momento de fabricação em ambiente de produção de dispositivo, ou para dispositivos de IoT que você usa) Chaves para nuvem externa ou serviços hospedados, incluindo chaves modelo traga sua própria chave (BYOK) 34% 34% 36% 43% 35% 57% 36% 19% 63% PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 25

26 Q12a. Quais sistemas de gerenciamento de chaves sua empresa usa atualmente? Política formal de gerenciamento de chaves (KMP) Infraestrutura forma de gerenciamento de chaves (KMI) Processo manual (ex.: planilhas e em folha de papel) Sistema/servidor central de gerenciamento de chaves Módulos de segurança de hardware Mídia removível (ex.: pen drive e CDROM) Armazenamento e chave baseados em software Cartões inteligentes 53% 30% 77% 26% 15% 37% 14% 276% Q12b. Quais sistemas de gerenciamento de chaves sua empresa atualmente não usa ou não conhece? Política formal de gerenciamento de chaves (KMP) Infraestrutura forma de gerenciamento de chaves (KMI) Processo manual (ex.: planilhas e em folha de papel) Sistema/servidor central de gerenciamento de chaves Módulos de segurança de hardware Mídia removível (ex.: pen drive e CDROM) Armazenamento e chave baseados em software Cartões inteligentes 36% 40% 15% 43% 63% 53% 59% 46% 355% 26 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

27 Parte 3. Módulos de Segurança de Hardware Q13. Qual das seguintes opções melhor descreve seu grau de conhecimento sobre módulo de segurança de hardware? Conheço muito Conheço Conheço parcialmente Não conheço (pular para Q17a) 29% 20% 26% Q14a. Sua empresa usa módulo de segurança de hardware? Sm Não (pular para Q17a) 34% 66% Q14b. Para quais propósitos sua empresa atualmente implementa ou planeja usar módulo de segurança de hardware? Selecione todas as opções que se aplicam. Q14b-1. Módulo de segurança de hardware usados atualmente Criptografia para aplicativos Criptografia de banco de dados Criptografia de big data Criptografia de nuvem pública, incluindo do tipo traga sua própria chave (BYOK) Criptografia de nuvem privada SSL/TLS Infraestrutura de chave pública (PKI) ou gerenciamento com credenciais Root of trust de Internet das Coisas (IoT) Assinatura de documentos (ex.: fatura eletrônica) Code signing Processamento de transações de pagamento, incluindo P2PE Emissão de credencial de pagamento (ex.: celular e EMV) Fornecimento de credencial de pagamento (ex.: celular e IoT) Interface de provedora de serviço de pagamento (ex.: TSP, pagamentos em tempo real e Interface de Programação de Aplicativos (APIs) aberta Com Intermediário de Segurança de Acesso à Nuvem (CASB) para gerenciamento de criptografia de chaves Aplicações de blockchain (ex.: criptomoeda e transferências eletrônicas) Nenhuma destas opções Outra opção 34% 29% 6% 20% 56% 18% 8% 7% 5% 37% 24% 22% 26% 10% 10% 14% 3% 354% PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 27

28 Q14b-2. Planeja-se implementar módulo de segurança de hardware nos próximos 12 meses Criptografia para aplicativos Criptografia de banco de dados Criptografia de big data Criptografia de nuvem pública, incluindo do tipo traga sua própria chave (BYOK) Criptografia de nuvem privada SSL/TLS Infraestrutura de chave pública (PKI) ou gerenciamento com credenciais Root of trust de Internet das Coisas (IoT) Assinatura de documentos (ex.: fatura eletrônica) Code signing Processamento de transações de pagamento Emissão de credencial de pagamento (ex.: celular e EMV) Fornecimento de credencial de pagamento (ex.: celular e IoT) Interface de provedora de serviço de pagamento (ex.: TSP, pagamentos em tempo real e Interface de Programação de Aplicativos (APIs) aberta Com Intermediário de Segurança de Acesso à Nuvem (CASB) para gerenciamento de criptografia de chaves Aplicações de blockchain (ex.: criptomoeda e transferências eletrônicas) Nenhuma destas opções Outra opção 50% 36% 8% 16% 80% 10% 8% 5% 47% 27% 38% 35% 15% 11% 16% 1% 453% Q14c-1. Se você usa módulo de segurança de hardware com aplicativos de nuvem pública, quais modelos usa atualmente? Selecione todas as opções que se aplicam. Módulo de segurança de hardware alugado/usado de provedores de nuvem pública e hospedado em nuvem Módulo de segurança de hardwar próprio e operado por nós em nosso ambiente da empresa e acessado por aplicativos hospedados em nuvem em tempo real Módulo de segurança de hardware operado por nós para a criação e gerenciamento de chaves do modelo Traga sua própria chave (BYOK) para enviar à nuvem e ser usado pelo provedor de nuvem Módulo de segurança de hardware operado por nós que interage com um Intermediário de Segurança de Acesso à Nuvem para gerenciar operações de chaves e criptografia (ex.: criptografia de dados a caminho da nuvem, gerenciamento de chaves para aplicativos em nuvem) Nenhuma destas opções 46% 46% 15% 9% 0% 116% 28 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

29 Q14c-2. Se você usa módulo de segurança de hardware com aplicativos de nuvem pública, quais modelos planeja usar nos próximos 12 meses? Seelcione todas as opções que se aplicam. Módulo de segurança de hardware alugado/usado de provedores de nuvem pública e hospedado em nuvem Módulo de segurança de hardware próprio e operado em nosso ambiente da empresa e acessado por aplicativos hospedados em nuvem em tempo real Módulo de segurança de hardware operado por nós para a criação e gerenciamento de chaves do modelo Traga sua própria chave (BYOK) para enviar à nuvem e ser usado pelo provedor de nuvem Módulo de segurança de hardware operado por nós que interage com um Intermediário de Segurança de Acesso à Nuvem para gerenciar operações de chaves e criptografia (ex.: criptografia de dados a caminho da nuvem, gerenciamento de chaves para aplicativos em nuvem) Nenhuma destas opções 41% 52% 21% 0% 139% Q15. Na sua opinião, qual a importância do módulo de segurança de hardware para sua estratégia de gerenciamento de chave ou criptografia? Muito importante e importante resposta combinada. Q15a. Importância atual Q15b. Importância nos próximos 12 meses 44% 51% Q16. Qual afirmativa melhor descreve o uso de módulos de segurança de hardware em sua empresa? Temos uma equipe central que fornece serviços criptográficos (incluindo módulo de segurança de hardware) para diversas aplicações/equipes da empresa (ou seja, modelo de nuvem privada) Cada dono/equipe de um aplicativo é responsável por seus serviços de criptografia (incluindo módulos de segurança de hardware), ou seja em silos (tradicional) e implementação de data center específico da aplicação. 55% 45% PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 29

30 Parte 4. Perguntas sobre dados financeiros Q17a. Você é responsável por gerenciar parcialmente ou totalmente o orçamento e TI da sua empresa para este ano? Sm Não (skip to Q18) 52% 48% Q17b. Aproximadamente, quanto por cento do orçamento de TI para segurança de 2018 irá para atividades de segurança de TI? 9,7% Q17c. Aproximadamente, quanto por cento do orçamento de TI para segurança de 2018 irá para atividades de criptografia? 8,9% Parte 6. Criptografia em nuvem: ao responder as próximas perguntas, tenha em mente que elas se referem apenas aos serviços de nuvem pública. Q35a. Sua empresa usa atualmente serviços de computação em nuvem para qualquer classe de dados ou aplicativo, confidencial ou não? Sim, estamos fazendo isso no momento Não, mas provavelmente faremos isso entre os próximos 12 a 24 meses. Não (vá para a Parte 7, se você não usa serviços em nuvem para nenhuma classe de dados ou aplicativo) 54% 21% Q35b. Você atualmente transfere dados confidenciais ou sensíveis para nuvem (independentemente de serem criptografados ou tornados ilegíveis por algum outro mecanismo)? Sim, estamos fazendo isso no momento Não, mas provavelmente faremos isso entre os próximos 12 a 24 meses. Não (vá para A Parte 7, se você não usa ou não planeja usar nenhum serviço em nuvem para dados confidenciais ou sensíveis) 46% 39% 15% 30 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

31 Q35c. Na sua opinião, quem é o principal responsável por proteger dados confidenciais ou sensíveis transferidos para a nuvem? Provedor de nuvem Usuário de nuvem Responsabilidade compartilhada 37% 26% 37% Q35d. Como sua empresa protege dados em repouso na nuvem? Criptografia realizada na nuvem usando chaves geradas/gerenciadas pelo provedor de nuvem Criptografia realizada na nuvem usando chaves que minha empresa gera e gerencia no ambiente do provedor Criptografia realizada na nuvem usando chaves que minha empresa gera e gerencia Tokenização realizada pelo provedor de nuvem Tokenização realizada em ambiente do cliente antes de enviar dados à nuvem Nenhuma destas opções 43% 26% 40% 14% 12% 5% 140% Q35e. Para criptografia de dados em repouso na nuvem, a estratégia de minha empresa é... Usar apenas chaves controladas por minha empresa Usar apenas chaves controladas pelo provedor de nuvem Usar uma combinação de chaves controladas pela minha empresa e pelo provedor de nuvem, com preferência por chaves controladas pela minha empresa Usar uma combinação de chaves controladas pela minha empresa e pelo provedor de nuvem, com preferência por chaves controladas pelo provedor de nuvem 34% 12% 28% 27% PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 31

32 Q35f. Quão importantes são as características a seguir associadas com criptografia em nuvem que podem ser usadas pela sua empresa? Respostas fornecidas de Muito importante e importante. Gerenciamento de suporte de traga sua própria chave (BYOK)) Controles de acesso de usuário privilegiado Controles granulares de acesso Auditabilidade de protocolos para identificar o uso de chave Auditabilidade de protocolos para identificar tentativas de acesso a dados Integração de gerenciamento de eventos e informações de segurança (SIEM), visualização e análise de protocolos Suporte para gerenciamento de chave de acordo com FIPS Suporte para gerenciamento de chave com padrão KMIP Capacidade de criptografar e reinserir dados em uso sem inatividade Média 44% 46% 53% 71% 41% 57% 30% 70% 36% 50% Q35g-1. Quantos provedores de nuvem pública sua empresa usa atualmente? ou mais 55% 21% 9% 15% Q35g-2. Quantos provedores de nuvem pública sua empresa planeja usar nos próximos meses? ou mais 44% 21% 10% 32 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

33 Parte 7: Cargo e características da empresa D1. Qual nível dentro da empresa melhor descreve seu cargo atual? Executivo sênior Vice-presidente Diretor Gerente/Supervisor Associado/Membro de equipe/técnico Outra opção 3% 3% 12% 46% 36% 0% D2. Selecione a área de trabalho que melhor descreve a atuação de sua empresa. Operações de TI Segurança Conformidade Finanças Linhas de Negócios (LOB) Outra opção 59% 16% 5% 3% 14% 2% PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 33

34 D3. Qual opção melhor descreve o principal setor de atuação de sua empresa? Agricultura e serviços de alimentação Comunicações Produtos de consumo Defense & aerospace Educação e pesquisa Energia e serviços utilitários Entretenimento e mídia Serviços financeiros Saúde e farmacologia Hospedagem Produção e industrial Setor público Varejo Serviços Tecnologia e softwares Transporte Outra opção 3% 3% 3% 1% 2% 6% 2% 15% 11% 4% 12% 9% 9% 10% 8% 2% 1% D4. Quantas pessoas trabalham em sua empresa no mundo inteiro? Menos de a a a a Mais de % 21% 31% 24% 9% 3% 34 PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL

35 Sobre o Ponemon Institute O Ponemon Institute dedica-se ao avanço de práticas responsáveis de gerenciamento de informações e privacidade nas áreas empresarial e governamental. Para alcançar esse objetivo, o Instituto conduz pesquisas independentes, treina líderes dos setores público e privado e verifica as práticas de privacidade e proteção de dados utilizada por empresas em uma variedade de indústrias. Sobre a Thales esecurity A Thales esecurity é um líder em soluções avançadas de segurança de dados e serviços que oferecem confiança quando a informação é criada, compartilhada ou armazenada. Garantimos que os dados de companhias e entidades governamentais estejam seguros e sejam confiáveis em qualquer ambiente: nas instalações locais, na nuvem, data centers ou Ambientes de Big Data, sem sacrificar a agilidade no negócio. A segurança não reduz somente o risco; também é um facilitador de iniciativas digitais que agora permeiam nossas vidas cotidianas: dinheiro digital, identidades eletrônicas, cuidados com a saúde, automóveis conectados e, com a Internet das Coisas (IoT), até os eletrodomésticos. A Thales oferece tudo o que uma empresa precisa para proteger e gerir seus dados, identidades e propriedade intelectual e cumprir com as normas regulatórias e de conformidade, através da criptografia, gerenciamento avançado de chave, Tokenização, controle de usuário privilegiado e soluções de alta garantia. Os profissionais em segurança no mundo inteiro confiam na Thales para acelerar a transformação digital da sua empresa. A Thales esecurity faz parte da Thales Group. Sobre a Thales Pessoas em quem confiamos para fazer o mundo girar elas dependem da Thales. Nossos clientes nos procuram com grandes ambições: melhorar a vida, nos proteger mais. Combinamos uma diversidade única de conhecimentos, talentos e culturas, nosso arquitetos projetam e oferecem soluções extraordinárias de alta tecnologia. Soluções que tornam o amanhã possível hoje. Do fundo do oceano à profundidade do espaço e do ciberespaço, ajudamos nossos clientes a pensar de maneira mais inteligente e agir com mais rapidez dominando cada vez mais a complexidade a cada momento decisivo ao longo do caminho. Com funcionários em 56 países, a Thales registrou um faturamento de 15,8 bilhões em GEOBRIDGE Parceira Platinum Geobridge Criada em 1997, a GEOBRIDGE se tornou uma das primeiras provedoras de soluções de segurança a usar criptografia e aplicações de pagamentos para processos de pagamento, instituições financeiras e empresas de varejo. Atualmente a GEOBRIDGE é uma provedora importante de soluções de segurança e conformidade que oferece criptografia e gerenciamento de chave, soluções e serviços para pagamento com segurança, conformidade e virtualização de módulos de segurança de hardware. Nossa lista de clientes é formada por empresas da Fortune 500, empresas da área de saúde e governos de toda a América do Norte e de outras partes do mundo. A GEOBRIDGE usa a experiência da nossa equipe em proteção de dados, desenvolvimento de programas, aplicação da lei e governança para ajudar a criar soluções que diminuam o risco para os nossos clientes. Parceira Platinum Venafi A Venafi é líder do mercado cibernético de segurança em proteção de autentificação por máquina e segurança de conexões e comunicações entre aparelhos. A Venafi protege tipos autenticação por máquina usando chaves criptográficas e certificados digitais para SSL/TLS, IoT, celular e Secure Shell (SSH). A Venafi oferece visibilidade total de autenticações por máquina e riscos associados para toda a empresa nos locais, móvel, virtual, em nuvem e IoT; com rapidez e escalabilidade. A Venafi coloca esta inteligência em ação com a reabilitação automatizada que reduz riscos de segurança e disponibilidade ligados às autenticações por máquina deficientes, guarda o fluxo de informações em máquinas confiáveis e previne comunicação com máquinas que não são confiáveis. Com 31 patentes em seu portfólio atual, a Venafi fornece soluções inovadoras para as 2000 empresas globais mais exigentes e preocupadas com segurança. A Venafi é apoiada por grandes investidores, incluindo: Foundation Capital, Intel Capital, Origin Partners, Pelion Venture Partners, QuestMark Partners, Mercato Partners e NextEquity. Para obter mais informações, acesse: PONEMON INSTITUTE RELATÓRIO SOBRE PESQUISA BRASIL 35

36 Thales