PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014

Transcrição

1 PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 Uma visão estratégica dos principais elementos da Segurança da Informação no Brasil

2 Sumário executivo CIBERCRIMES, FALHAS EM PROCESSOS, FRAUDES, COMPORTAMENTO. O atual contexto corporativo contempla inúmeras ameaças a Segurança da Informação, que se tratadas de maneira inapropriada constituem impactos severos que podem abalar as finanças ou reputação até mesmo das maiores companhias. Enquanto lidamos com dados que crescem exponencialmente em quantidade e complexidade, organizações ainda começam a compreender que uma postura reativa não é mais suficiente. Recentes incidentes trouxeram a tona um novo nível de conscientização sobre a necessidade de se estabelecer não somente estruturas tecnológicas, mas também processos e habilidades para se desenvolver, manter e otimizar programas de Gestão de Segurança da Informação. Mesmo com essa maior maturidade, a quantidade de incidentes de segurança leva executivos a questionar a capacidade de suas organizações para conter e lidar com ameaças. Estamos preparados ou seremos mais um a aprender a dolorosa lição que é o preço de uma gestão ineficiente? O cenário brasileiro mostra que enquanto incidentes atingem níveis inaceitáveis, os investimentos em Segurança ainda são tímidos, mão de obra especializada é escassa, e leis e regulamentações ainda são ineficientes para resguardar a proteção de dados corporativos. Este relatório, baseado em uma pesquisa realizada entre junho e agosto de 2014, mostra um panorama da Segurança da Informação no Brasil. Com foco em elementos estratégicos, a visão apresentada pelos pesquisados demonstra como este tema cresceu em relevância nas corporações, juntamente com o quão distante ainda estamos da maturidade ideal. Realização: Apoio: DARYUS Strategic Risk Cosnulting DARYUS Education Center IT MÍDIA conteúdo relacionamento negócios EXIN Brasil

3 Siglas e abreviaturas GSI Gestão da Segurança da Informação SGSI Sistema de Gestão da Segurança da Informação PSI Política de Segurança da Informação PDCA Plan-Do-Check-Act (Planejar, Fazer, Verificar e Agir/Melhoria contínua) ISO International Standarization Organization ABNT Associação Brasileira de Normas Técnicas ITIL Information Technology Infrastructure Library

4 Metodologia Formato de pesquisa ON LINE Respondentes Dos 171 respondentes, 122 foram válidos Período da Coleta 30 Junho a 25 de Agosto de 2014 Abrangência Convidadas mais de *500 empresas no BRASIL * Quantidade de respondentes baixa frente a importância e quantidade solicitada. Demonstra que as empresas ainda não possuem maturidade para responder ou preferem pesquisas mais técnicas ou sobre controles.

5 Como foi dividida GESTÃO CONTROLES CAPACITAÇÃO

6 Gás & Óleo Transportes Manufatura Telecomunicações Tecnologia Comércio Saúde Educação Financeiro Governo Indústria Serviços Quem respondeu a pesquisa? + Maduras em relação ao tema: 42% Governo (10,7%); Indústria (14,8%) e Serviços (41,8%). 1% 1% 2% 2% 3% 4% 4% 7% 8% 11% 15%

7 Perfil das empresas e respondentes 27,9% Faturam mais de US$ 100 milhões; 51,6% colaboradores; 32,7% Gerentes e Diretores; 85,2% estão envolvidos na tomada de DECISÃO; 46,72% atuam há mais de 5 anos com SI

8 Sua empresa possui um Sistema de Gestão de Segurança da Informação (SGSI) 11,48% 24,59% 27,87% 36,07% SGSI 52,46% são informais ou não existem! Sim (aprovado pela TI) Não. Informalmente Sim (aprovado pela Alta Direção)

9 Há quanto tempo um SGSI foi estabelecido na empresa? 35,25% 31,97% 18,85% 8,20% 5,74% 40,38% das empresas participantes possuem a GSI com foco em TODA A EMPRESA Motivadores 35,25% alinhamento com as melhores práticas, 5,74% buscam a ISO menos de 1 de 1 a 5 de 5 a 10 mais de 10 Não possui ano anos anos anos

10 Tempo de Casa X Tempo de S.I. 42,62% 38,52% 30,33% 18,85% 22,95% 15,57% 16,39% 10,66% 4,10% menos de 1 ano entre 1 e 5 anos entre 5 e 10 anos A maior parte das equipes tem menos de 5 anos e é formada por profissionais que tem tempo médio de casa de 5 anos. mais de 10 anos menos de 1 anos de 1 a 5 anos de 5 a 10 anos mais de 10 anos Não atua com S.I

11 Das empresas entrevistadas apenas 36,07% tiveram sua GSI aprovadas pela Alta Direção. Em 53,46% a GSI não foi aprovada ou é informal e ainda parte de TI. Razoavelmente 27,87% Não 10,66% Participação da Alta Administração Sim 61,48% A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI Fonte: ISO Requisito 5.1

12 Segurança da Informação Qual a área atualmente responsável nas empresas? TI domina com ampla margem Tecnologia Presidência / Alta Direção Não possuímos uma área responsável 11% 11% 65% Pessoas Processos Tecnologia Segurança da Informação Segurança Patrimonial Operações Finanças Jurídico Recursos Humanos Auditoria 3% 2% 2% 2% 2% 1% 1%

13 Qual a área os pesquisados acreditam que deveria ser responsável? Tecnologia Alta Direção Auditoria Negócios Segurança da Informação GRC Operações Outro Recursos Humanos Jurídico Segurança Patrimonial Finanças 4,10% 4,10% 3,28% 2,46% 1,64% 1,64% 0,82% 0,82% 6,56% 4,92% 30,33% 39,34% Segurança da Informação Segurança ainda é vista como uma disciplina primariamente de tecnologia! A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a segurança da informação sejam atribuídos e comunicados. Fonte: ISO Requisito 5.3

14 Riscos e oportunidades Quando planejamos a gestão de segurança da informação devemos considerar questões relacionadas à prevenção de riscos e oportunidades de melhorias. Estas ações devem ser realizadas dentro dos processos organizacionais e ter seus resultados medidos, aumentando assim a CONFIANÇA da organização em relação à gestão da segurança da informação. CONFIANÇA Confiança é o ato de confiar na análise se um fato é ou não verdadeiro, devido às experiências anteriores, entregando essa análise à fonte de estatísticas e opiniões de onde provém a informação e simplesmente considerando-a e checando-a com outras, o chamado cruzamento de informações. Fonte: Wikipedia

15 Avaliação da confiança 4,92% não confiam nas leis e regulamentos que afetam a segurança da informação. 8,20% não confiam na área de segurança da informação para evitar ou tratar ataque cibernético de origem interna ou externa. 5,74% não confiam na capacidade organizacional atual para contramedidas para prevenção/proteção contra incidentes de segurança.

16 Prejuízos financeiros O Centro de Estudos Estratégicos e Internacionais dos EUA em conjunto com a empresa de segurança digital McAfee revela que falhas em segurança digital geram, em todo o mundo, um prejuízo anual que atinge a marca de aproximadamente R$ trilhões (US$ 500 bilhões). Fonte: McAfee As organizações devem assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação sobre fragilidades e eventos de segurança da informação. Fonte: ISO Anexo A 16.1

17 Investimentos em segurança 37,7% não realizam previsões de investimentos relacionados ao tema. 37,7% 68,03% dos participantes não acredita que o percentual investido em segurança da informação seja o ideal para a sua organização. + 85% considera que o principal fator crítico para a segurança da informação está contido nos temas: Capacitação e mudança de Cultura Organizacional. 27,0% 9,8% 1,6% 3,3% 4,1% 4,9% 4,9% 6,6% mais de 10% de 1 a 5 milhões de Reais mais de 5 milhões de Reais de 5 a 10% do faturamento de 500 a 1 milhão de Reais de 3 a 5% do faturamento até 500 mil Reais até 3% do faturamento N/A

18 Os incidentes mais frequentes Vazamento de Informação Mal Uso Perda de Informação N/A Códigos Maliciosos Falhas em Equipamentos Varredura/Tentativas de Invasão Negação de Serviço (DoS) Engenharia Social Acesso não autorizado (lógico) Investigação (incidentes não confirmados) Hacktivismo Guerra Cibernética Acesso não autorizado (físico) 0,8% 0,8% 2,5% 3,3% 4,1% 4,1% 5,0% 5,0% 6,6% 9,9% 12,4% 12,4% 16,5% 16,5% Mais de 40% das falhas relacionadas à segurança da informação não está associada à tecnologias, mas sim em torno de pessoas e a maneira na qual os dados, informações e sistemas são utilizados nas organizações.

19 Certificação ISO Sistema de Gestão de Segurança da Informação (SGSI) Possuímos a certificação ISO 27001:2013 5,74% Possuímos a certificação ISO 27001:2005 7,38% Não possuímos mas já temos um projeto de certificação em andamento 9,84% Não possuímos e não temos interesse 23,77% Não possuímos mas temos interesse 53,28% Benefícios: Redução de custos financeiros relacionados a incidentes de segurança da informação; Promove a melhoria continuada nos controles e políticas de segurança da informação;

20 Política de Segurança da Informação (PSI) Prover orientações da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentos relevantes Não 19,67% Em desenvolvimento 17,21% Sim 63,11% A PSI é o principal ativo estratégico da Alta Direção para definição das diretrizes básicas de Segurança da Informação.

21 Características e tipos de políticas de Segurança da Informação 76,23% Dos conselhos administrativos auxliaram no desenvolvimento da política de SI 66,39% Das organizações tiveram como aprovadores finais da política de SI a Presidência/Alta Direção 37,70% Das políticas são revisadas anualmente, enquanto 27,05% não possuem periodicidade definida 70,49% A intranet é o meio mais utilizado para divulgação da política de SI 27,87% Das organizações divulgam a política de SI aos seus fornecedores 38,02% É a porcentagem de empresas que possui política de uso aceitável de ativos 30,58% Das organizações tem uma política de classificação da informação definida 54,55% A classificação da informação somente é utilizada em pouco mais da metade das organizações

22 COMPETÊNCIAS E RESPONSABILIDADES As organizações devem determinar e prover recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua da segurança da informação. Fonte: ISO Requisito 7.1

23 Competências e responsabilidades 32% das organizações não definiram papéis e responsabilidades; Em 59,84% das organizações a contratação é utilizada como o momento para comunicação dos papéis e responsabilidades, embora em 23,77% das organizações os mesmos não sejam comunicados; A ação de conscientização mais utilizada (99,99%) é o meio eletrônico ( ) enquanto as demais ações não ultrapassam a marca de 55% de utilização. Principais papéis definidos nas organizações 41,8% 41,0% 39,3% Em apenas 39,34% das organizações é utilizado um processo disciplinar, e apenas 17,21% dos respondentes acredita que é o mesmo seja seguido corretamente. Analista de SI Proprietário de Informação Usuário de Informação

24 Principais certificações dos pesquisados ITIL Foundation ISFS (EXIN - ISO Foundation) Cobit Foundation (ISACA) Lead Auditor (BSI) PMP (PMI) ISMAS (EXIN - ISO Advanced) ISO CISSP (ISC2) Certificações Microsoft CRISC (ISACA) ITIL Practicioner Security + Green IT CISM (ISACA) CISA (ISACA) ITMP ITIL Expert ISMES (EXIN - ISO Expert) Integrator Cloud Service Agile Scrum ABCP (DRII) 8,04% 7,14% 7,14% 6,25% 6,25% 5,36% 4,46% 3,57% 2,68% 2,68% 2,68% 2,68% 0,89% 0,89% 0,89% 0,89% 0,89% 0,89% 25,89% 57,14% 55,36%

25 Principais certificações dos pesquisados Por domínio: Por nível: Segurança da Informação 84 39% 39% Gestão de Serviços de TI 76 Governança de TI Auditoria % Gerenciamento de Projetos 9 Gestão de Riscos 5 Continuidade de Negócios 1 Básico Intermediário Avançado Apenas 16,96% dos pesquisados ainda não possui nenhum tipo de certificação reconhecida internacionalmente.

26 Gestão de Ativos Associados à informação, recursos e processamento da informação, os ativos devem ser identificados, e um inventário dos mesmos deve ser estruturado e mantido. Fonte: ISO Anexo A 8.1.1

27 Brasil já é 4ª economia digital no mundo e representa 60% das transações na América Latina. Fonte: FECOMERCIO SP

28 Gestão Ativos + BYOD Sua empresa faz uso de dispositivos móveis no ambiente de trabalho? BYOD e Ativos Corporativos Dispositivos Corporativos e Pessoais 59,8% Em 25,41% existe políticas relacionadas ao tema e 46,72% das organizações permitem acesso aos dados externos. Apenas dispositivos Corporativos 36,9% Mesmo nas organizações em que não é permitido o acesso aos dados, 45,90% dos entrevistados acreditam que seja possível o acesso. Não 3,3%

29 Controles de Segurança da Informação Controlar é comparar o resultado das ações, com padrões previamente estabelecidos, com a finalidade de corrigi-las se necessário Fonte: Wikipedia

30 Controles de Segurança da Informação Vazamento de informações Os controles mais utilizados contra vazamento de informação são a conscientização (57,02%) e a criptografia (44,63%); Acesso lógico 28,10% das organizações não adotam controles de gestão de acesso, enquanto que 33,88% utilizam trilhas de auditoria e revisão manual; Acesso físico 10,74% não utilizam controles de acesso físico. Códigos maliciosos, vírus, vermes... 57,02% disseminados nos principais ambientes; 31,40% Completamente disseminados; 4,96% apenas em ambientes críticos 6,61% não usam Cópias de Segurança (Backup) e Restauração 23,97% acreditam que irão proteger a organização em caso de falhas nos ambientes produtivos. 48,76% armazenamento em locais fora do escritório, 16,53% realizam seus backups em nuvem privada.

31 Gestão de Incidentes Das empresas entrevistadas apenas 36,36% possui um processo formal para gestão de incidentes de SI. A frequência na qual os incidentes são relatados é baixa 56,20%. Mais de 50% dos entrevistados considera o impacto operacional dos incidentes, embora 54,55% não saiba informar como é considerado o impacto financeiro. Impactos mais severos segundo os respondentes: 35,54% Responsabilidades 25,62% e procedimentos devem ser estabelecidos para assegurar respostas rápidas e efetivas aos incidentes de SI 13,22% ISO 27001:2013 Operacionais Marca/Reputação Financeiros

32 Plano de Continuidade de Negócios "81% dos gestores cujas organizações ativaram os seus acordos de continuidade dos negócios nos últimos 12 meses disseram que isto foi eficaz na redução de paralisações. Em resumo: a continuidade dos negócios funciona.

33 Continuidade de negócios 55,46% das organizações afirma possuir um plano de continuidade, e 42,86% considera em seu plano pessoas, processos e tecnologia 47,90% das organizações contemplam aspectos de segurança da informação em seus planos de continuidade de negócio; 52,10% das organizações não realizam testes de seus planos. 19,33% (maior índice de testes) realiza anualmente. Mais de 35% não possuem local alternativo para recuperação.

34 Análise de vulnerabilidade O objetivo da Análise de vulnerabilidade é reduzir o risco em relação aos incidentes de segurança, seja tanto na rede interna quanto na externa, é necessário detectar essas possíveis falhas e corrigi-las para garantir que a rede esteja em um nível de segurança adequada. Não Realiza 37,82% Mensal 24,37% Semestral Anual 15,97% 15,13% Bienal Não soube informar 2,52% 4,20% 37,8% das empresas não realizam análise de vulnerabilidade técnica! Quando realizadas, as mesmas são concretizadas por equipe interna em 46,22% das vezes.

35 Auditorias internas para S.I. 47,1% 4,2% 5,0% 20,2% 23,5% As organizações devem conduzir auditorias a intervalos planejados para prover informações sobre o quanto a gestão de segurança encontra-se em conformidade e está sendo mantida. Fonte: ISO Requisito 9.2 Bienal Mensal Semestral Anual Não é realizada

36 Pesquisa Nacional de Segurança da Informação A segurança da informação é obtida da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde é necessário para garantir que os objetos do negócio e de segurança da organização sejam atendidos. NBR ISO/IEC 27002:2005 As implicações para o seu negócio: Realização Avenida Pualista º andar CEP Bela Vista - SP Brasil contato@daryus.com.br Apoio: Por mais que os resultados aqui apresentados possam ser interessantes, eles não representam o roteiro padrão de execução para a sua empresa ou para qualquer outra. Você pode usar estas informações como suporte na definição de uma visão de futuro para o seu programa de segurança da informação.