PROJETO RUMOS DA INDÚSTRIA PAULISTA
Tamanho: px
Começar a partir da página:

Download "PROJETO RUMOS DA INDÚSTRIA PAULISTA"

Transcrição

1 PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação à segurança cibernética e de que forma enxergam as ameaças atuais. Os dados foram coletados entre os dias 12 de janeiro e 02 de fevereiro de 2015 com 435 indústrias do Estado de São Paulo O porte das s é composto por: Micro/s (até 99 empregados): 54,7% (238 s); s (de 100 a 499 empregados): 35,9% (156 s); s (500 ou mais empregados): 9,4% (41 s). 1

2 TABELAS Tabela 1: Quantos ataques Cibernéticos sua sofreu no último ano? s Não sei 27,3% 18,6% 19,5% 23,5% Nenhum 52,1% 62,2% 43,9% 55,0% De 1 a 10 12,6% 12,2% 22,0% 13,3% De 11 a 100 3,4% 1,3% 2,4% 2,5% Mais de 100 3,4% 1,9% 7,3% 3,2% Não respondeu 1,2% 3,8% 4,9% 2,5% O mais preocupante nesta avaliação é que 23.5% das companhias não sabem quantos ataques ocorreram. Isso não significa que estes ataques não estão ocorrendo, o mais provável é que eles não estão sendo identificados pelos sistemas de proteção ou pelas equipes responsáveis. Também é bastante preocupante que 19.5% de grandes s (que deveriam ter programas maduros de proteção) não tenham conhecimento dos potenciais ataques. Como a maioria dos ataques, 22%, acontecem nas s de grande porte, é de se esperar que os hackers comecem a migrar suas investidas para as s de médio porte conforme as proteções das s atacadas atualmente vão sendo desenvolvidas. Se aplicarmos a métrica Americana 1, que indica que o custo mínimo provocado por um ataque cibernético é de USD 500k, fica bastante claro o impacto financeiro que este crime provoca na economia Brasileira. 1 Poneman 2014 Global Report on the Cost of Cyber Crime 2

3 Tabela 2: Quais os alvos dos ataques Cibernéticos que sua sofreu no último ano? (Resposta Múltipla) (Somente s que responderam que sofreram ataque cibernético no último ano) s Financeiro 65,2% 62,5% 30,8% 59,0% Informações sigilosas 23,9% 16,7% 46,2% 25,3% Dano ao patrimônio 8,7% 12,5% 15,4% 10,8% Outros 30,4% 25,0% 30,8% 28,9% Não respondeu 0,0% 0,0% 0,0% 0,0% Podemos notar que 59% dos ataques foram com o intuito de ganhos financeiros e que as pequenas e médias s sofreram mais do que as de grande porte. Tais dados mostram que, provavelmente, os fraudadores cibernéticos consideram as pequenas e médias s mais vulneráveis para ataques financeiros, mormente em razão de não estarem acostumadas a lidar com esse tipo de fraude. Ou seja, o ataque financeiro para os criminosos teria mais êxito nas pequenas e médias s do que nas grandes, estas últimas mais preparadas para evitar tais condutas. Claramente as grandes s possuem mais ataques contra informações sigilosas do que as demais. Tal número expressivo, se comparado com os números das pequenas e médias s, mostram que o ativo mais visado das grandes s é a sua propriedade intelectual. Por mais protegidos que possam estar tais informações confidenciais, elas sempre serão alvo de ataques. Pelos números apresentados, s de todos os tipos e tamanhos deveriam considerar o monitoramento 24hs por dia para assegurar que saibam dos possíveis ataques realizados. 3

4 Tabela 3: Destes ataques sofridos, qual porcentagem foi bem sucedida? (Somente s que responderam que sofreram ataque cibernético no último ano) s Não sei 13,1% 0,0% 0,0% 7,2% Nenhum 43,5% 41,7% 53,8% 44,6% De 1% a 25% 28,3% 45,8% 38,5% 35,0% De 26% a 50% 6,5% 0,0% 0,0% 3,6% Mais de 50% 4,3% 12,5% 0,0% 6,0% Não respondeu 4,3% 0,0% 7,7% 3,6% 13,1% das pequenas s saberem que foram atacadas mas não terem ciência se o ataque foi bem sucedido ou não demonstra uma situação grave. Isso mostra a clara imaturidade e despreparo para lidar com o assunto, infelizmente. Os percentuais de que nenhum dos ataques foram bem sucedidos, mostram que os sistemas de proteção têm funcionado razoavelmente. Porém, temos um percentual de 1% a 25% elevado de ataques bem sucedidos (35%). 4

5 Tabela 4: Quais das opções abaixo sua utiliza contra ataques Cibernéticos e vazamento de Antivírus e/ou IDS e/ou Firewall, entre outras tecnologias dados? (Resposta Múltipla) s 95,0% 97,5% 100,0% 96,4% Treinamentos 16,6% 23,6% 39,0% 21,2% Normas Internas 33,2% 44,6% 63,4% 40,1% Nenhuma das anteriores 1,2% 1,3% 0,0% 1,1% Não respondeu 1,2% 0,6% 0,0% 0,9% Esta tabela demonstra uma visão muito valiosa sobre o assunto. Enquanto verificamos a enorme porcentagem de 96.4% de todas as categorias de s usando tecnologias de proteção como antivírus e etc, ainda podemos concluir que é muito fraco o foco em treinamentos, com apenas 21.2%. Mesmo a prioridade de normas internas ainda está abaixo das recomendações com apenas 40.1% das s aderindo. É imprescindível para a manutenção da segurança da informação, além dos recursos tecnológicos, a conscientização e educação dos usuários sobre o bom uso da tecnologia, mediante treinamentos constantes e o estabelecimento de normas internas, sempre atualizadas. A Segurança cibernética completa de uma organização consiste na combinação de pessoas, processos e tecnologias. Quando esta balança não está equilibrada, como podemos ver na tabela acima, as organizações certamente estão expostas. Tecnologia sozinha não é a solução completa e fica claro nesta visão geral das s que as organizações Brasileiras precisam ainda investir muito em políticas internas e treinamentos de pessoal para estarem minimamente protegidas contra ataques cibernéticos. 5

6 Tabela 5: Sua obriga os funcionários a alterarem as senhas periodicamente? s Não 68,1% 39,7% 19,5% 53,3% Sim 28,6% 59,0% 78,1% 44,2% Não respondeu 3,3% 1,3% 2,4% 2,5% A tabela apresenta um quadro preocupante, demonstrando que 53.3% das s não forçam seus usuários a mudarem suas senhas pessoais com regularidade. Novamente, até as grandes s e supostamente mais maduras no tema, não obrigam seus usuários à troca regular de senhas aparecendo com 19.5% na tabela. Não obrigando tais alterações de senhas, o risco que a organização enfrenta com possíveis ataques para ambientes de acesso restrito aumentam significativamente. Este problema pode ser facilmente contornado por boas políticas internas que obriguem seus colaboradores a alterarem as senhas de forma regular. 6

7 Tabela 6: Sua monitora os e- mails dos seus funcionários? s Não 55,9% 37,8% 31,7% 47,1% Sim, somente as contas de e- mails corporativas Sim, as contas de e- mails corporativas e pessoais 39,1% 53,9% 58,5% 46,2% 0,8% 3,2% 7,3% 2,3% Não respondeu 4,2% 5,1% 2,5% 4,4% Já foi comprovado que a maior parte dos ataques cibernéticos são realizados por programas transmitidos por e- mails. Quando consideramos a quantidade de dados sensíveis, informações restritas e propriedade intelectual que são enviados por , é preocupante termos 47.2% das s sem monitoramento deste meio para evitar possíveis ataques. Para monitorar o e- mail ou qualquer outra tecnologia pertencente a infraestrutura da é imprescindível uma política transparente visando retirar qualquer expectativa de privacidade dos usuários, em razão de estarem utilizando ferramentas corporativas para a execução do trabalho e, como visto em pergunta anterior, somente 40,1% utilizam normas internas, o que pode acarretar em ausência da transparência necessária. A solução para este problema não é complexa e nem custosa, principalmente quando consideramos a importância do para a forma como fazemos negócios atualmente. A sugestão é que as s comecem a aderir a soluções de monitoramento de s 24hs, sempre com a ciência prévia dos usuários envolvidos. 7

8 Tabela 7: Sua permite que os funcionários utilizem dispositivos pessoais (smartphone, tablet, notebook etc.) para fins profissionais? s Não 50,8% 53,8% 51,2% 52,0% Sim e não há software ou aplicativo específico para tal finalidade, tão pouco norma interna Sim e há software ou aplicativo específico para tal finalidade, assim como norma interna Sim e há apenas software ou aplicativo específico para tal finalidade Sim e há apenas norma interna específica para tal finalidade 30,7% 18,0% 7,3% 23,9% 5,9% 6,4% 34,2% 8,7% 3,8% 1,3% 0,0% 2,5% 5,9% 16,7% 4,9% 9,7% Não respondeu 2,9% 3,8% 2,4% 3,2% Bring Your Own Device (BYOD), ou seja, a utilização de equipamentos pessoais para uso na é uma tendência global que claramente traz benefícios, como flexibilidade e redução de custos para os negócios. Mesmo assim podemos notar que 52% das s pesquisadas não permitem tal prática. Sabemos por experiência que apesar das proibições, a maioria dos colaboradores ainda usam seus dispositivos pessoais e encontram meios para burlar os controles de suas s. O dado que chama atenção nesta tabela é que 23.9% das s permitem a utilização de dispositivos pessoais pelos seus colaboradores para exercerem funções corporativas, mas não possuem nenhuma solução rial para protegerem os dados trocados neste meio. Ao mesmo tempo que este é um problema de difícil abordagem, existem soluções no mercado que oferecem proteções significativas para as s. 8

9 Tabela 8: Sua utiliza computação em nuvem para armazenamento de dados e informações sensíveis? s Não 76,0% 65,4% 61,0% 70,8% Sim 20,2% 31,4% 39,0% 26,0% Não respondeu 3,8% 3,2% 0,0% 3,2% Computação em nuvem é também uma tendência global e apesar de 70.8% das s entrevistadas declararem que não utilizam estes recursos, sabemos por experiência que a maioria dos colaboradores utilizam recursos similares de uso pessoal para burlar os bloqueios digitais das s empregadoras e agilizarem seu trabalho. Ex: Dropbox Computação em nuvem pode oferecer grandes vantagens e redução de custos, mas ao mesmo tempo é acompanhada de grandes riscos e requer uma importante avaliação antes de ser implantada. Outra ação importante a ser tomada pela é a analise atenta de todas as cláusulas dos contratos de computação em nuvem, principalmente visando que seja cumprida a legislação brasileira e seus dados estejam sempre disponíveis e protegidos contra ataques. 9

Documentos relacionados
2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback