C A D E R N O I D C N º T e n d ê n c i a s d e I n v e s t i m e n t o e m S e g u r a n ç a d a I n f o r m a ç ã o

Transcrição

1 C A D E R N O I D C N º T e n d ê n c i a s d e I n v e s t i m e n t o e m S e g u r a n ç a d a I n f o r m a ç ã o Timóteo Figueiró Janeiro de 2011 IDC Portugal: Centro Empresarial Torres de Lisboa, Rua Tomas da Fonseca, Torre G, Lisboa S U M Á R I O E X E C U T I V O Este caderno tem como objectivo analisar o grau de preparação das organizações empresariais que actuam no território nacional para lidar com a proliferação de ameaças à segurança da informação corporativa. Para tal, a IDC Portugal procedeu à realização de um estudo junto das maiores empresas nacionais para avaliar questões como a governação da segurança de informação, o grau de risco para as empresas nacionais, as tecnologias implementadas para enfrentar estes desafios e a despesa com estes produtos e serviços. Gradualmente, a segurança de informação das organizações nacionais começa a ser encarada como um tópico com impacto no negócio das organizações empresariais nacionais. Adopção de estratégias de segurança de informação, implementação de sistemas de gestão de segurança e adopção das normas ISO são alguns dos tópicos presentes na agenda das organizações nacionais o que evidencia uma maior maturidade nas questões relacionadas com a segurança de informação, assim como um maior alinhamento com o negócio. Em simultâneo, uma percentagem expressiva das organizações inquiridas já atribuíram as responsabilidades de segurança da informação a executivos de primeira linha. Por outro lado, e no que diz respeito ao risco da segurança da informação, a generalidade das organizações inquiridas pela IDC revela que sofreram incidentes de segurança - internos e externos - nos últimos 12 meses. No entanto, e apesar desta realidade, a maioria das empresas nacionais salienta que o risco das suas organizações não aumentou. E a generalidade dos inquiridos assinalam os surtos de vírus/worms como o risco mais elevado para a segurança de informação. Por outro lado, a maioria dos responsáveis pela segurança da informação sublinha a intensidade do risco associado aos incidentes de phishing/pharming e de spam. O estudo da IDC permite-nos ainda constatar que o grau de maturidade tecnológica das empresas e instituições nacionais é elevado. Neste contexto, não será de estranhar que a despesa com produtos e serviços de segurança vá manter-se em níveis idênticos aos registados no ano passado.

2 S I T U A Ç Ã O A C T U A L U m n o v o p a r a d i g m a, n o v a s a m e a ç a s O efeito conjugado da emergência de uma nova geração de malware Malware 2.0 -, caracterizada por uma maior sofisticação dos ataques aos sistemas informáticos, pelo aparecimento de aplicações de Crime-as-a-Service (CaaS) relacionadas com actividades cibercriminosas (por oposição à necessidade de notoriedade associada aos criadores da primeira geração de malware), do aparecimento da Web 2.0 e de ameaças relacionadas com esta nova infraestrutura de comunicação e pela crescente mobilidade dos colaboradores (a IDC estima que, presentemente, existam mais de 946,3 milhões de empregados móveis a nível mundial e que este número alcance 1,2 mil milhões em 2013) vieram aumentar exponencialmente os perigos a que estão expostas as organizações empresariais a nível mundial. Por outro lado, a emergência da Internet veio alterar profundamente o paradigma de segurança das organizações empresariais a nível mundial. Tradicionalmente, os responsáveis pela segurança dos sistemas de informação implementavam soluções de segurança de protecção do perímetro da rede de comunicações. Se as organizações empresariais implementassem software antivírus, firewalls e sistemas de detecção e de prevenção de intrusões era possível defender os sistemas de informação contra os intrusos e contra as perdas de dados. Contudo, presentemente, o perímetro da rede de comunicações corporativa alargou-se substancialmente, através da inclusão da Web existe um conjunto mais diversificado de equipamentos e aplicações na periferia dos sistemas de informação das organizações. Os dados, as aplicações de malware e os intrusos podem passar através destes equipamentos. Na medida em que o núcleo central dos sistemas de informação corporativos foi reforçado, a fronteira das tecnologias de informação passaram a ser o elo mais fraco. Assim, é mais fácil atacar os endpoints como seja o caso dos telefones móveis e dos equipamentos portáteis que atacar directamente os sistemas centrais. Em simultâneo, o processo de webização da generalidade dos processos de negócio das organizações empresariais a nível mundial veio aumentar o número de utilizadores com acesso aos sistemas de informação corporativos. Se, tradicionalmente, o número de utilizadores dos sistemas de informação corporativos poderia não ultrapassar alguns milhares de utilizadores (nem todos os empregados das organizações tinham acesso aos sistemas de informação da organização), presentemente, com o desenvolvimento de aplicações Web e a multiplicação dos equipamentos de acesso que possibilitam que colaboradores, clientes e parceiros tenham acesso aos sistemas de informação este número poderá ultrapassar milhões de utilizadores. Mais recentemente, a explosão da utilização das redes sociais veio potenciar ainda mais o número de contactos com os sistemas de informação das organizações empresariais. Deste modo, não será de estranhar que identificar o perímetro de segurança da organização se tenha tornado uma tarefa impossível. E a emergência de novos modelos de computação Software-as-a-Service, Cloud Computing vai contribuir para complexificar este cenário. A figura 1 ilustra este novo cenário tecnológico. 2

3 F I G U R A 1 Rede de comunicações corporativas PC & Enterprise Apps Web Apps Notebooks PDA Fonte: IDC Mobile Voice IM Por último, a crise financeira e económica internacional, despoletada com a crise do crédito imobiliário no mercado norte-americano, veio afectar seriamente a evolução da economia mundial nos últimos dois anos, assim como contribuiu para agravar as condições de segurança das tecnologias de informação das organizações empresariais a nível mundial. A IDC analisou o impacto desta nova realidade nas organizações empresariais a nível mundial - Western European Top 10 Security Predictions - e identificou um conjunto de tópicos que irão condicionar a evolução da despesa com segurança de informação. O quadro abaixo sintetiza as prioridades das organizações empresariais a nível mundial. T A B E L A 1 W es t er n E u r o p e an T o p 10 Security Pr e d i c t i o n s Prioridades # 1 A crise financeira reduziu a despesa com segurança e confirmou o preço como o principal diferenciador no lado da oferta # 2 Consolidação/Fusões porque não desconsolidação? # 3 Comoditização # 4 A privacidade permanece o tópico principal de conformidade devido à necessidade de implementação da Directiva136 até Maio de # 5 Mais regulamentação e multas mais pesadas não vão prever a má utilização e ataques ágeis 3

4 T A B E L A 1 W es t er n E u r o p e an T o p 10 Security Pr e d i c t i o n s Prioridades # 6 Normalização significa consolidação do investimento num número reduzido de fabricantes # 7 A segurança móvel não é apenas um tópico de segurança # 8 A segurança cloud vai quebrar mais barreiras do que seria expectável # 9 A necessidade de consultoria ágil e inteligente versus a automatização de tarefas básicas de segurança vai aumentar a necessidade de profissionais qualificados em segurança # 10 Os governos vão combater o cibercrime mas vão necessitar de gastar mais dinheiro Neste contexto, a IDC Portugal procedeu ao desenvolvimento de um estudo através do qual procurou caracterizar a atitude das organizações a actuar no território nacional face às crescentes ameaças à segurança de informação. Para tal, o estudo procurou identificar o grau de governação da segurança de informação existente nas organizações nacionais, os riscos inerentes a esta nova realidade, os processos e tecnologias implementadas e a despesa consagrada à segurança de informação. G O V E R N A Ç Ã O D A S E G U R A N Ç A D E I N F O R M A Ç Ã O E m p r e s a s n a c i o n a i s a s s u m e m g o v e r n a ç ã o d a s e g u r a n ç a d e i n f o r m a ç ã o Gradualmente, a segurança de informação das organizações nacionais começa a ser encarada como um tópico de negócio no interior das organizações empresariais nacionais. Esta é uma das conclusões que se podem retirar da análise dos dados do inquérito realizado pela IDC junto das maiores empresas nacionais. Adopção de estratégias de segurança de informação, implementação de sistemas de gestão de segurança e adopção das normas ISO são alguns dos tópicos presentes na agenda das organizações nacionais o que evidencia uma maior maturidade nas questões relacionadas com a segurança de informação, assim como um maior alinhamento com o negócio. Em simultâneo, e apesar de ainda ser reduzido o número de organizações que procederam à atribuição das responsabilidades de segurança e de privacidade dos dados a executivos especializados - Chief Security Officer, Chief Privacy Officer ou ainda Chief Risk Officer -, uma percentagem expressiva das organizações inquiridas já atribuíram estas responsabilidades a executivos de primeira linha. A maioria das organizações a actuar no território nacional já implementou estratégias de segurança de informação ou estão em fase de implementação. 4

5 Somente um número reduzido de empresas ainda não adoptou estratégias de segurança de informação. Esta é outra das conclusões que se pode retirar da análise dos dados do inquérito realizado pela IDC Portugal. Assim, cerca de um terço das organizações inquiridas já implementaram estratégias de segurança de informação, enquanto que mais de 37% das organizações estão em fase de implementação deste tipo de estratégias. Contudo, e apesar desta realidade, um número expressivo de empresas não implementou, nem tem planos de implementação. F I G U R A 2 A sua organização possui uma estratégia de segurança de informação documentada para os próximos anos?

6 Neste contexto, e apesar do elevado número de organizações que já procederam à implementação plementação ou estão a proceder à adopção de estratégias de segurança da informação, ainda é reduzido o número de organizações nacionais que optaram pela contratação de um Chief Security Officer (CSO) ou Chief Information Security Officer (CISO). Com efeito, a análise dos dados compilados revela que apenas 5% das organizações inquiridas optaram pela criação de uma destas funções, enquanto que em cerca de 1/3 das organizações a segurança da informação é da responsabilidade do Chief Information Officer (CIO). Nas restantes organizações, estas responsabilidades estão dispersas por um conjunto diversificado de funções - Chief Technology Officer, Chief Financial Officer ou ainda do Chief Executive Officer. De salientar que em algumas organizações a segurança é da responsabilidade do Conselho de Administração. FIGURA 3 Na sua organização quem tem a responsabilidade da segurança da informação? 33,14% 61,71% 5,14% CIO CSO Outros 6

7 Realidade algo semelhante pode ser observada no que diz respeito à privacidade dos dados das organizações empresariais nacionais. A análise dos dados compilados pela equipa da IDC permite-nos verificar que somente 1% das organizações tem um Chief Privacy Officer (CPO). À semelhança do que assinalámos com a função de segurança, em cerca de 1/3 das organizações inquiridas, o CIO é a função sobre a qual recai a responsabilidade da privacidade dos dados das organizações. Nas restantes organizações, estas responsabilidades estão pulverizadas por um conjunto diversificado de funções - Chief Technology Officer, Chief Financial Officer ou ainda do Chief Executive Officer. F I G U R A 4 Na sua organização quem tem a responsabilidade da privacidade dos dados? 30,36% 68,45% 1,19% CIO CPO Outros 7

8 A maioria das organizações inquiridas (68%) ainda não adoptou sistemas de gestão de segurança da informação (Information Security Management Systems) que contemplem a totalidade dos processos e tecnologias relacionados com a segurança de informação. No entanto, e apesar desta realidade, enquanto que cerca de 30% das organizações inquiridas pela IDC sublinham que estão a avaliar a implementação destes sistemas nas suas organizações, cerca de 40% das empresas que participaram no inquérito da IDC referem que não tem planos para implementação deste tipo de sistemas. Por outro lado, e ainda de acordo com os dados recolhidos, apenas um terço das organizações inquiridas já procederam à implementação destes sistemas ou estão em fase de implementação. F I G U R A 5 A sua organização implementou um sistema de gestão de segurança de informação (Information Security Management System, ISMS) que abarca a totalidade da gestão da segurança de informação? 5,23% Não, e não temos planos 10,47% 15,12% 38,37% Não, mas estamos a avaliar a sua implementação Sim, estamos em fase de implementação Sim, mas sem objectivos de certificação 30,81% Sim, implementámos e estamos formalmente certificados 8

9 Por outro lado, e segundo os dados compilados, ainda é escasso o número de organizações no território nacional que procederam à implementação da norma ISO Com efeito, a análise dos dados do inquérito realizado pela equipa da IDC permite-nos evidenciar que apenas 8% das organizações inquiridas já procederam à implementação desta norma. De salientar que um elevado número de organizações não possui planos para vir a adoptar esta certificação. F I G U R A 6 A sua organização implementou, ou vai implementar, a norma ISO 27001? 8,14% 10,47% Já implementámos 69,77% 11,63% Em fase de implementação Temos planos para implementar nos próximos 12 meses Sem planos 9

10 Avaliar quais as prioridades relacionadas com a segurança da informação das organizações a actuar no território nacional foi outro dos tópicos incluídos pela equipa da IDC no inquérito. Face ao número crescente de ameaças, externas e internas, não é de estranhar que a protecção dos dados corporativos lidera a lista de preocupações das organizações inquiridas, enquanto que a continuidade do negócio surge na segunda posição. Por outro lado, e ainda no topo das preocupações das organizações nacionais aparecem tópicos como a melhoria dos processos e da infra-estrutura de segurança. Por último, questões como a formação e sensibilização interna para as práticas de segurança são outro dos tópicos referenciados pela maioria das organizações inquiridas. T A B E L A 2 P r i o r i d a d es es t r a t é gicas ao nível d a segu r ança d a informaç ão Prioridades # 1 Protecção de dados # 2 Continuidade do negócio # 3 Implementação / melhoria dos processos de segurança # 4 Melhoria da infra-estrutura de segurança # 5 Formação e sensibilização de interna de práticas de segurança de informação 10

11 2,88% 3,60% 4,32% R I S C O D E S E G U R A N Ç A D E I N F O R M A Ç Ã O A m e a ç a s à s e g u r a n ç a d a i n f o r m a ç ã o n ã o a u m e n t a r a m n a s e m p r e s a s n a c i o n a i s Para lá das condições estruturais referidas anteriormente - emergência de uma nova geração de malware e do aparecimento do Crime-as-a-Service, crescimento da adesão a redes sociais, maior mobilidade dos colaboradores, alteração do paradigma tecnológico -, a alteração das condições económicas a nível mundial nos últimos dois anos, em virtude da recessão das actividades económicas provocada pela crise financeira internacional veio contribuir para aumentar consideravelmente o risco das organizações empresariais a nível mundial. No entanto, e apesar desta realidade, a maioria das organizações a actuar no território nacional não registou alterações nas ameaças à segurança de informação. Com efeito, os dados compilados pela equipa da IDC permitem-nos constatar que mais de dois terços das instituições inquiridas não detectaram um crescimento das ameaças. É importante salientar que cerca de um terço das organizações inquiridas referiram que assistiram a um crescimento do número de ameaças externas. F I G U R A 7 Tendo em conta as actuais condições económicas, detectou alterações nas ameaças que enfrenta a sua organização? 61,87% 27,34% Crescimento das fraudes internas Crescimento das fraudes externas Aumento dos ataques internos Aumento dos ataques externos Sem alterações 11

12 Os dados compilados pela IDC permitem-nos ainda constatar que a saída de colaboradores da organização, devido ao agravamento das condições económicas, é um factor que preocupa as organizações inquiridas pela IDC no território nacional e que poderá contribuir para aumentar o risco da segurança de informação. Com efeito, cerca de 40% das organizações inquiridas referem esta situação como algo preocupante para o risco de segurança das suas organizações e referem que estão a tentar compreender os riscos potenciais desta realidade. Por outro lado, mais de 13% dos inquiridos referem que esta situação é muito preocupante e que adoptaram medidas com o objectivo de mitigar os riscos potenciais. De referir ainda que mais de 10% dos inquiridos considera esta situação como muito preocupante mas não implementou qualquer tipo de medida para minimizar este risco. É de salientar ainda que cerca de um terço das organizações inquiridas não considera esta realidade preocupante para o risco global de segurança. F I G U R A 8 Tendo em conta as actuais condições económicas, qual o grau de preocupação da sua organização com a possibilidade de represálias de empregados que abandonaram a organização? 40,88% 12

13 Apesar do crescimento das ameaças à segurança da informação, a maioria das organizações ações inquiridas sente-se muito confiante ou extremamente confiante no grau de segurança de informação da sua organização, em particular no que diz respeito a ataques internos. Relativamente aos ataques externos, a maioria das organizações inquiridas sublinha que se considera algo confiante ou muito confiante com a segurança da informação. F I G U R A 9 Qual o grau de confiança acerca da segurança de informação da sua organização? Nada confiante Não muito confiante Algo confiante Ataques externos Ataques internos Muito confiante Extremamente confiante 0% 10% 20% 30% 40% 50% 13

14 O inquérito elaborado pela IDC Portugal procurou ainda identificar o grau de risco das organizações nacionais nos próximos meses. Assim, a generalidade das organizações inquiridas assinalam os surtos de vírus/worms como o risco mais elevado evado para a segurança de informação nos próximos meses. Por outro lado, e à semelhança dos incidentes de segurança registados nos inquiridos, a maioria dos responsáveis pela segurança da informação sublinha a intensidade do risco associado aos incidentes de phishing/pharming e de spam nos próximos meses. Os dados compilados permitem-nos ainda constatar que as organizações nacionais estão preocupadas com o risco associado a 'passwords' fracas e a incidentes de spyware. Por último, e entre os riscos com maior intensidade, os responsáveis de segurança assinalam ainda os acessos remotos maliciosos e o comportamento inadequado dos colaboradores da organização. F I G U R A 1 0 Na sua opinião, qual o grau de intensidade do risco associado às seguintes ameaças internas e externas no decorrer nos próximos 12 meses? Brecha de dados Senhas de acesso fracas Phishing/pharming Spam Brecha ou roubo de propriedade intelectual Incorrecta gestão de patches Brecha em rede wireless Adware Acessos remotos maliciosos Spyware Exposição de dados sensíveis através de ataque Web Fraude financeira interna envolvendo sistemas de informação Extorção online Redes de comunicações zombies Comportamento inadequado de empregados Fraude financeira externa envolvendo sistemas de informação Engenharia social Ataques DoS (Denial of Service) Ameaças físicas Ciber-terrorismo Surto de vírus/worms Ataque a website 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 0 -Sem risco Elevado risco 14

15 Os dados compilados pela IDC permitem-nos ainda constatar que os incidentes de segurança da informação - externos e internos - nas organizações a actuar no território nacional não são muito frequentes. Deste modo, e segundo os dados recolhidos pela IDC, os incidentes de segurança de informação externos mais comuns nas organizações inquiridas estão relacionados com os surtos de vírus/worms - mais de 50% das organizações inquiridas registaram incidentes -, mensagens de correio electrónico não solicitadas ('spam') - a esmagadora maioria (75%) das organizações registaram ocorrências deste tipo -, spyware - mais de 50% das instituições reportam incidentes - e ataques de phishing/pharming - comuns a cerca de 40% das empresas inquiridas. De salientar ainda que a conduta incorrecta de colaboradores das organizações é outro dos aspectos responsáveis por ocorrências de incidentes de segurança nas organizações a actuar no território nacional. As restantes categorias de riscos registaram ocorrências mais limitadas. A figura 11 ilustra o nível de incidentes registados nas organizações nacionais. F I G U R A 1 1 A sua organização enfrentou incidentes de segurança de informação externos no decorrer do ano passado? Outra forma de brecha externa Incidentes acidentais Ameaças físicas Exposição de dados sensíveis através de ataque Web Fraude financeira externa envolvendo sistemas de informação Roubo ou brecha de propriedade intelectual Conduta incorrecta de empregados Engenharia social Phishing/Pahrming Brecha em redes wireless Extorsão online Acesso remoto malicioso Website defacement Denial of Service Redes zombies Spyware Spam Surto de vírus/worms 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Uma única ocorrência Múltiplas ocorrências Não registámos nenhum incidente 15

16 À semelhança do que constatámos com os incidentes de segurança externos, os incidentes internos são pouco frequentes nas organizações nacionais. Assim, e com excepção dos incidentes relacionados com vírus/worms, apenas uma minoria das organizações inquiridas registou incidentes de segurança de informação internos. F I G U R A 1 2 A sua organização enfrentou incidentes de segurança de informação internos no decorrer do ano passado? Outra forma de brecha interna Incidentes acidentais Fraude financeira interna envolvendo sistemas de informação Roubo ou brecha de propriedade intelectual Questões relacionadas com a perda de dados de clientes Brecha em redes wireless Surto de vírus/worms 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Uma única ocorrência Múltiplas ocorrências Não registámos nenhum incidente 16

17 A generalização do acesso a redes sociais dos utilizadores corporativos - FaceBook. Twitter, LinkedIn, só para citar alguns dos exemplos mais utilizados -, da utilização de equipamentos móveis com funcionalidades acrescidas (smartphones, tablets) e da adopção do modelo de computação na nuvem (cloud computing) pode contribuir para aumentar o risco da segurança de informação das organizações empresariais a nível mundial. Neste contexto, o estudo da IDC procurou identificar qual o grau de risco inerente à adopção destes novos modelos de utilização das tecnologias de informação e comunicações. Assim, e segundo os dados compilados, as opiniões das organizações inquiridas dividem-se. Assim enquanto a maioria das organizações inquiridas (54%) acredita que estes novos modelos de computação vão aumentar o risco da segurança da informação das organizações nacionais, uma percentagem ainda elevada (43%) evidencia que a utilização destes novos modelos não vai alterar o panorama de risco das suas organizações. F I G U R A 1 3 Tendo em conta as actuais tendências de utilização de redes sociais, computação em nuvem e equipamentos pessoais no interior das organizações, constatou alguma alteração no ambiente de risco externo que enfrenta a sua organização? 43,28% 53,73% Sim, aumentou o nível de risco Não, diminuiu o nível de risco Nível de risco constante 2,99% 17

18 T E C N O L O G I A S E M U T I L I Z A Ç Ã O M a t u r i d a d e t e c n o l ó g i c a n a á r e a d e s e g u r a n ç a A maioria das organizações nacionais tem um grau de maturidade tecnológica em questões de segurança bastante avançado. Esta é uma das conclusões que se podem retirar da análise dos dados do inquérito realizado pela IDC. Com efeito, soluções tecnológicas como firewalls, anti-vírus, anti-spam, anti-spyware, encontram-se difundidas no interior das organizações nacionais, registando taxas de penetração superiores a 80% das organizações inquiridas. Por outro lado, e com um grau de penetração mais reduzido, mas mesmo assim presentes na maioria das empresas inquiridas, encontramos soluções como tecnologias de prevenção de perda de dados (68%), filtragem e monitorização de conteúdos (61%), soluções anti-phishing (54%), segurança wireless (52%) e segurança de serviços Web (50%). Entre as tecnologias com reduzida implementação nas organizações nacionais inquiridas encontram-se as tecnologias biométricas, as tecnologias de encriptação de correio electrónico e de equipamentos móveis e a gestão de identidades federadas. F I G U R A 1 4 Quais as tecnologias de segurança de informação em utilização (ou planeadas) na sua organização? Firewalls Anti-vírus Soluções anti-spam Soluções anti-spyware Filtragem e monitorização de conteúdos Soluções anti-phishing Sistemas de detecção e prevenção de intrusões (IDS/IPS) Segurança de serviços Web Sistemas de gestão de acessos Web Soluções de segurança wireless Ferramentas de workflow para gestão de incidentes Sistemas de gestão de eventos Sistemas biométricos para autenticação de utilizadores Encriptação de correio electrónico Ferramentas de conformidade de segurança Network Acess Control (NAC) Encriptação de equipamentos móveis Entreprise Single Sign On Tecnologias de encriptação de equipamentos de armazenamento Gestão de identidades federadas Tecnologias de prevenção de perda de dados 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Implementado Em avaliação Planeado para os próximos 12 meses Não se aplica 18

19 O inquérito da IDC procurou ainda avaliar os principais obstáculos à implementação de tecnologias de segurança no interior das empresas instaladas no território nacional. Assim, os responsáveis pela segurança de informação referem que a proliferação de novas tecnologias é um dos principais obstáculos à existência de uma segurança de informação eficaz. Por outro lado, os responsáveis referem ainda que o orçamento disponível para a área de segurança de informação é insuficiente para dar uma resposta adequada aos riscos da segurança de informação. Por outro lado, factores como a Inexistência de estratégia de segurança de informação na organização e ausência de visibilidade e de influência no interior da organização são referidos pelos responsáveis das empresas nacionais como obstáculos à segurança de informação das suas organizações. Por último, os responsáveis das empresas nacionais referem ainda a indefinição do mandato, das funções responsabilidades é outro dos obstáculos à existência de uma segurança de informação eficaz nas suas organizações. O quadro abaixo sintetiza os principais obstáculos à implementação de uma segurança de informação eficaz. T A B E L A 3 O b s t ácul o s à i m p l em en t aç ão ef i c a z d e segurança d a informaç ã o Prioridades # 1 Proliferação de novas tecnologias # 2 Orçamento insuficiente # 3 Inexistência de estratégia de segurança de informação # 4 Ausência de visibilidade e de influência no interior da organização # 5 Indefinição do mandato, funções e responsabilidades 19

20 A IDC procurou ainda identificar quais as principais razões subjacentes ao fracasso dos projectos relacionados com segurança de informação. Assim, e para cerca de um terço dos responsáveis das organizações inquiridas, a alteração das prioridades da organização em matéria de segurança é uma das principais razões para a falha dos projectos de segurança. Por outro lado, os responsáveis de segurança das empresas nacionais identificam ainda a escassez sez de competência e de qualificações dos recursos humanos e o fraco compromisso dos executivos de topo com as questões de segurança de informação. F I G U R A 1 5 Quais as principais razões de falha dos projectos de segurança de informação? Outra(s), por favor especifique Escassez de suporte dos executivos Escassez de suporte do negócio Escassez de competências/qualificações Expectativas irrealistas problemas de integração Alteração de prioridades 0% 5% 10% 15% 20% 25% 30% 35% 40% 20

21 A IDC procurou ainda identificar quais as principais razões subjacentes ao fracasso dos projectos relacionados com segurança de informação. Assim, e para cerca de um terço dos responsáveis das organizações inquiridas, a alteração das prioridades da organização em matéria de segurança é uma das principais razões para a falha dos projectos de segurança. Por outro lado, os responsáveis de segurança das empresas nacionais identificam ainda a escassez de competência e de qualificações dos recursos humanos e o fraco compromisso dos executivos de topo com as questões de segurança de informação. F I G U R A 1 6 Quais as principais razões de falha dos projectos de segurança de informação? Outra(s), por favor especifique Escassez de suporte dos executivos Escassez de suporte do negócio Escassez de competências/qualificações Expectativas irrealistas problemas de integração Alteração de prioridades 0% 5% 10% 15% 20% 25% 30% 35% 40% 21

22 DESPESA COM PRODUTOS E SERVIÇOS DE SEGURANÇ A DE INFORMAÇ ÃO Estabilidade dos investimentos A maioria das organizações inquiridas pela IDC (cerca de 39% dos inquiridos) consagra entre 2 a 5% do orçamento de tecnologias de informação e comunicações à segurança egurança de informação. Por outro lado, e de acordo com os dados compilados, cerca de um quarto da empresas inquiridas consagra entre 6% e 10% do orçamento a estas questões. E um número reduzido das empresas (14%) consagra entre 11 e 25% do orçamento a tecnologias e processos de segurança de informação. Por último, é igualmente reduzido o número de organizações que consagra menos de 1% do orçamento de tecnologias de informação e comunicações à resolução dos problemas relacionados com a segurança de informação. FIGURA 17 Qual a percentagem do orçamento de tecnologias de informação atribuído à segurança de informação? 2,78% 5,56% 13,89% 16,67% Mais de 25% Entre 11% e 25% Entre 6% e 10% 22,22% Entre 2% e 5% 1% ou menos Nenhum 38,89% 22

23 A conjuntura económica no território nacional não afectou seriamente a despesa das organizações nacionais com segurança da informação. Com efeito, os dados compilados pela equipa da IDC evidenciam que na maioria das organizações inquiridas o orçamento de segurança de informação vai manter-se idêntico ao do ano anterior. De salientar ainda que a percentagem de organizações em que a despesa com estas tecnologias vai aumentar suplanta o número de empresas que prevê uma diminuição do orçamento anual consagrado à segurança de informação. F I G U R A 1 8 Em comparação com o ano anterior, a despesa da sua organização com produtos e serviços de segurança de informação vai aumentar, manter-se idêntica ou diminuir nas seguintes actividades? Tecnologias e processos de prevenção de fuga e perda de dados Planos e tecnologias de continuidade de negócio e recuperação Tecnologias e processos de gestão de acessos e identidades Segurança de novas tecnologias Sensibilização e formação em segurança Conformidade com requisitos regulamentares Gestão do risco da segurança de informação Testes de segurança Protecção da informação pessoal Tecnologias e processos de gestão de vulnerabilidades Protecção de informação proprietária Métricas e relatórios de segurança Implementação de normas de segurança Segurança dos processos de desenvolvimento Conformidade dom políticas corporativas Planos e tecnologias de resposta a incidentes Recrutamento de recursos de segurança Suporte forense/fraude Outsourcing das funções de segurança Aumentar significativamente (mais de 10%) Aumentar Manter-se idêntica Diminuir significativamente (mais de 10%) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Diminuir Não se aplica 23

24 Neste contexto, não será de estranhar que, de acordo com as estimativas da IDC, a despesa global com segurança de informação deva crescer 5,6% até final do ano e que registe um crescimento acima de 10% no próximo ano. E a despesa com aquisição de hardware, mais afectada pela recessão das actividades económicas, deverá registar um crescimento superior a 14,4% (17,8 em 2012), enquanto a despesa com a aquisição de software deverá crescer a um ritmo ligeiramente inferior a 4% acelerando no decorrer de 2012 (11,5%). Comportamento idêntico pode ser assinalado na despesa com serviços que deverá registar um crescimento de 5,9% até final do ano e de 8,6% no decorrer do próximo ano. O gráfico 19 evidencia o comportamento da despesa com segurança no território nacional nos próximos anos. F I G U R A 1 9 D es p es a com segu r a n ç a d e informaç ão e m Po r t u g al ( ) - C r escimen t o h o m ó l o go (em %) ,8 20,9 22,4 Hardware Software ,4 11,5 10,8 Service Total 5 3,9 8, , ,

25 Continuidade do negócio das organizações e integridade e conformidade dos dados são as principais prioridades das organizações a actuar no território nacional da despesa com segurança de informação. T A B E L A 4 M o t i vação da d es p es a com segu r a n ç a d e informaç ão Prioridades # 1 Prevenir tempo de inactividade e interrupções dos sistemas # 2 Continuidade do negócio numa situação de desastre # 3 Manutenção da integridade dos dados # 4 Protecção da informação de clientes # 5 Conformidade com leis e regulamentações 25

26 Uma grande percentagem dos incidentes de segurança de informação ocorridos nas organizações ações empresariais a nível mundial está directamente relacionada com a conduta dos colaboradores internos. Deste modo, as iniciativas de sensibilização de segurança de informação destinadas aos colaboradores são um dos aspectos cruciais para o sucesso da implementação de políticas de segurança da informação. Neste sentido, o inquérito da IDC procurou identificar quais as iniciativas em curso nas organizações empresariais nacionais com o objectivo de melhorar a segurança da informação. Assim, acções de sensibilização geral e alertas sobre as ameaças à segurança da informação são as iniciativas mais comuns no interior das empresas inquiridas. O gráfico abaixo ilustra esta realidade. F I G U R A 2 0 Quais os elementos incluídos no programa de sensibilização de segurança de informação da sua organização? Não implementámos nenhum programa de sensibilização de segurança de informação Sensibilização geral sobre tópicos de segurança Revisão e concordância com as actuais políticas e normas de segurança Actualizações informacionais sobre riscos associados à utilziação de computação móvel Actualizações/alertas frequentes sobre as actuais ameaças à organização Actividades específicas de sensibilização ou sessões de formação para grupos de utilizadores de Actualização da informação sobre riscos associados à utilização de redes sociais Medida da eficácia das actividades de sensibilização 0% 5% 10% 15% 20% 25% 30% 35% 26

27 A crescente complexidade das tecnologias e processos relacionados com segurança da informação, assim como o crescimento das ameaças aos sistemas de informação, tem levado a que as organizações empresariais equacionem a externalização de algumas das tarefas relacionadas com a segurança da informação. Os dados compilados pela IDC permitem-nos identificar que a utilização de serviços de outsourcing para algumas das funções de segurança já é uma realidade nas organizações nacionais. Assim, cerca de metade das organizações inquiridas já procederam à contratação de serviços de outsourcing de anti-vírus, VPN e firewall, assim como recorreram à contratação de serviços de filtragem de conteúdos. No entanto, e apesar desta realidade, ainda é significativo o número de organizações que não tenciona recorrer a entidades externas. F I G U R A 2 1 Quais os serviços de outsourcing de funções de segurança de informação da sua organização ação em utilização (ou planeados)? Governação Gestão de aplicações Resposta a incidentes Gestão e monitorização de ameaças VPN Forenses e de repressão Formação Armazenamento Anti-vírus Filtragem de conteúdos Firewall Gestão de vulnerabilidades Monitorização e de gestão de IDS 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Em utilização Planeados nos próximos 12 meses Sem planos 27

28 M E T O D O L O G I A Baseando-nos nos numa visão global e integrada dos mercados das TIC em Portugal e do seu enquadramento no espaço europeu, o estudo que agora publicamos apresenta uma análise de um inquérito lançado aos principais responsáveis pelos departamentos de tecnologias de informação e comunicações em Portugal. O inquérito foi enviado por para Chief Information Officer (CIO) e directores de informática das maiores empresas nacionais. O período de recolha decorreu do dia 20 de Janeiro de 2011 ao dia 7 de Fevereiro de 2011 e foram recebidas 215 respostas. A figura abaixo resume o perfil das respostas analisadas neste inquérito. F I G U R A 2 2 A m o s t r a A. Pública Financeiro Indústria & Construção civil Distribuição e retalho Utilities Mais de 500 M M M Transportes & Telecom Menos de 10 M Serviços Outros 28

29 I N F O R M A Ç Ã O S O B R E D I R E I T O S D E A U T O R Divulgação Pública de Informação e Dados da IDC Qualquer informação da IDC a ser utilizada em publicidade, notas de imprensa ou materiais promocionais requer a aprovação prévia por escrito do respectivo Vice-presidente ou Director-Geral Nacional da IDC. Um rascunho do documento proposto deve acompanhar tal pedido. A IDC reserva-se, por qualquer razão, o direito de negar a aprovação de utilização externa. Direitos de autor 2011 IDC. A reprodução sem autorização prévia é totalmente proibida. 29