Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Transcrição

1 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

2

3 SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado 2: Os fatores direcionadores à cibersegurança estão mudando Resultado 3: Detalhes sobre os ciberataques às empresas Resultado 4: O que as empresas estão fazendo em relação à cibersegurança? Principais recomendações Relatório 2011 sobre Segurança da Informação nas Empresas 3

4 Introdução Neste Relatório 2011 sobre Segurança da Informação nas Empresas, a Symantec atualizou a perspectiva global sobre as principais ameaças à segurança, tendências e respostas em um amplo conjunto de empresas de todo o mundo, incluindo companhias de pequeno e médio porte, assim como grandes companhias 3.300, no total. Naturalmente, os resultados desta pesquisa fornecem uma visão estratégia de mercado para a Symantec. Ao mesmo tempo, o compartilhamento destes dados com a indústria, em geral, e com os profissionais de TI, em particular, ajuda a apresentar valores de referência para a avaliação dos seus próprios cenários de cibersegurança. De um modo geral, os participantes do estudo consideram que a proteção de suas redes e dados é muito importante para os negócios. Muitos veem uma crescente ameaça por parte dos ciberataques, com custos substanciais de hardware e software gerados por eles. E, por conta da contínua migração dos desktops para a computação móvel, em conjunto com um número crescente de colaboradores móveis e remotos, os fatores que direcionam a cibersegurança passaram a refletir essas mudanças. As organizações estão se aprimorando na luta contra as ameaças à cibersegurança. Ainda que a maioria dos entrevistados tenha sofrido danos resultantes de ataques cibernéticos, um número global maior relatou declínio na quantidade e na frequência dos ataques em relação a No entanto, a pesquisa revelou que muitas empresas - quase metade das entrevistadas - ainda poderiam fazer mais para proteger suas redes e ativos de informação. Por outro lado, as companhias estão aumentando seus orçamentos e equipes de cibersegurança. Este relatório fornece mais detalhes sobre o Relatório 2011 sobre Segurança da Informação nas Empresas, incluindo os quatro principais resultados. Também são apresentadas recomendações para aprimorar a cibersegurança assim como uma compilação dos dados mais pertinentes da pesquisa por trás dos nossos resultados. Para obter mais informações sobre qualquer conteúdo deste relatório, por favor, entre em contato com nosso representante Symantec ou visite 4 Relatório 2011 sobre Segurança da Informação nas Empresas

5 Relatório 2011 sobre Segurança da Informação nas Empresas 5

6 Metodologia A Symantec contratou a empresa Applied Research para realizar o Relatório 2011 sobre Segurança da Informação nas Empresas no período entre abril e maio de Os pesquisadores entraram em contato com um total de empresas em todo o mundo, com cinco a mais de funcionários. Os resultados deste relatório se baseiam nas 250 respostas da América Latina. As empresas representaram diversos setores. No caso das pequenas, os entrevistados eram responsáveis pelos recursos computacionais; enquanto os entrevistados de grandes companhias foram profissionais de TI em funções táticas ou estratégicas, ou executivos C-level (CEOs, CIOs, CSOsetc). A pesquisa tem 95% de confiabilidade e margem de erro de 6,2% em média. 6 Relatório 2011 sobre Segurança da Informação nas Empresas

7 Quantos funcionários sua empresa tem mundialmente? 5 a 49 9% 50 a 99 8% 100 a % 250 a % 500 a % 1,000 a 2,499 26% a (média empresa) 12% ou mais (grande empresa) 12% 0% 5% 10%1 5% 20%2 5% 30% Relatório 2011 sobre Segurança da Informação nas Empresas 7

8 Resultado 1 Cibersegurança é importante para os negócios As empresas hoje estão preocupadas com uma variedade de ameaças, incluindo atividades criminosas, eventos relacionados à marca, catástrofes naturais e ataques em nível nacional, como o terrorismo. No entanto, de acordo com os resultados da nossa pesquisa, os temores mais sérios se relacionam à cibersegurança. A principal preocupação são os ciberataques seguidos pelos incidentes de TI causados por colaboradores internos bem-intencionados e ameaças geradas internamente. As ciberameças não apenas subiram ao topo das listas de vigilância das organizações, como também a importância dessas ameaças aumentou para muitos dos entrevistados. Especificamente, 42% dos entrevistados consideram a cibersegurança mais importante hoje do que era apenas um ano atrás. Em comparação, apenas 19% deles dizem que a importância da cibersegurança diminui um pouco ou significativamente. Claramente, as empresas acreditam cada vez mais que manter suas redes e informações seguras é de importância vital para suas operações. Ameaças 8 Relatório 2011 sobre Segurança da Informação nas Empresas

9 Classifique os seguintes riscos de negócios em ordem de importância para sua organização. (1 mais significativo, 7 menos significativo, média das classificações) 0 Ciberataques Incidentes de TI causados por colaboradores bem-intencionados Ameaças de TI geradas internamente Atividade criminal tradicional Desastres naturais Eventos relacionados à marca Terrorismo Como a importância da proteção das plataformas e informações de sua organização mudou nos últimos 12 meses? Significativamente mais importante 12% Um pouco mais importante 30% É a mesma 40% Um pouco menos importante 12% Significativamente menos importante 7% 0% 5% 10%1 5% 20%2 5% 30%3 5% 40%4 5% A segurança de TI está ameaçada por tendências, incluindo: Consumerização da TI Crescimento das Aplicações Mídias Sociais Computação Móvel As ameaças mais críticas são: Hackers Ataques direcionados Iniciados bem-intencionados Relatório 2011 sobre Segurança da Informação nas Empresas 9

10 Resultado 2 Os fatores direcionadores à cibersegurança estão mudando Por que a preocupação com a cibersegurança está aumentando? Com o mercado saturado por dispositivos móveis, não é nenhuma surpresa que 49% dos entrevistados considerem a computação móvel como um dos principais desafios para garantir a cibersegurança. A computação móvel pode estar revolucionando o cenário da produtividade, mas as áreas de TI enfrentam uma grande dificuldade para proteger redes e dados corporativos. Além de computação móvel, 49% dos entrevistados apontaram que outra preocupação premente é o avanço das mídias sociais. Ainda que esses canais ofereçam oportunidades únicas de marketing e de colaboração, as possibilidades de se clicar em links maliciosos ou publicar informações confidenciais preocupam os departamentos de TI. A consumerização da TI é uma preocupação ainda maior, citada por 51% dos entrevistados. Com os usuários adotando novas tecnologias, como tablets que atravessaram o espaço do consumidor para chegar às empresas, a área de TI passa a enfrentar mais desafios para proteger esses dispositivos bem como as conexões com as redes corporativas. As principais fontes de ameaças à segurança? 54% dos entrevistados apontam os hackers. Em seguida na lista estão os ataques direcionados, citados por 48%. Em terceiro lugar estão os colaboradores internos bem-intencionados, apontados por 47% dos entrevistados. EMPRESA Ataques 10 Relatório 2011 sobre Segurança da Informação nas Empresas

11 Tendências da indústria que afetam pouco / significativamente a dificuldade na segurança Infraestrutura Pública / Plataforma como Serviço 43% Software como Serviço Público 43% Virtualização 44% Conformidade 44% Mudanças no cenário de Ameaças Computação em Nuvem Privada 46% Computação Móvel 49% Mídias Sociais 49% Crescimento das Aplicações 50% Consumerização da TI 51% 0% 10%2 0% 30%4 0% 50%6 0% Ameaças à segurança pouco/extremamente significativas Ataques patrocinados pelo Estado 39% Hacktivismo 41% Colaboradores Maliciosos Criminosos Espionagem Industrial 46% Colaboradores internos bem-intencionados 47% Ataques Direcionados 48% Hackers 54% 0% 10%2 0% 30%4 0% 50%6 0% 78% dos entrevistados sofreram um ataque no ano passado, incluindo código malicioso, engenharia social e ataques maliciosos externos 23% dos entrevistados veem a frequência dos ataques aumentar e 1/5 vê os ataques como algo significativamente efetivo Relatório 2011 sobre Segurança da Informação nas Empresas 11

12 Resultado 3 Detalhes sobre os ciberataques às empresas A preocupação com os hackers tem fundamento, dado o número de empresas que sofrem ciberataques. 78% das organizações sofreram ataques nos últimos 12 meses; 95% dos entrevistados relataram perdas com tais incidentes. 23% relataram uma frequência crescente de ataques. As três principais perdas foram períodos de inatividade, roubo de informações de identidade de clientes e funcionários, e roubo de propriedade intelectual. Quão destrutivos são esses ataques em termos de custos? Em uma palavra, substanciais. Na América Latina, 20% deles geraram, pelo menos, US$ em despesas resultantes de ataques durante o ano passado. Os entrevistados dizem que as principais fontes desses custos são perda de produtividade, perda de receita e custos para cumprir regulamentações após um ataque. Os métodos usados pelos cibercriminosos em seus ataques refletem a evolução dos direcionadores da segurança, de acordo com os resultados da pesquisa. Os ataques com códigos maliciosos ocupam a posição mais alta entre os entrevistados, com 24% deles tendo experimentado um número elevado desse tipo de ataque no ano passado. Continua na página 14 EMPRESA Efeitos dos ciberataques Valor da Marca Dados de Clientes Receita 12 Relatório 2011 sobre Segurança da Informação nas Empresas

13 Caracterize a quantidade de ciberataques contra sua organização nos últimos 12 meses: Sofreu um número extremamente maior de ciberataques 2% Sofreu um grande número de ciberataques 6% Sofreu quantidade regular de ciberataques 23% Sofreu apenas alguns ciberataques 47% Não sofreu ciberataques 22% 0% 5% 10%1 5% 20%2 5% 30%3 5% 40%4 5% 50% Número um pouco / extremamente alto nos últimos 12 meses? Ataques Direcionados 15% Ataques de Negação de Serviço 16% Ataques internos Maliciosos 17% Ataques de Engenharia Social 19% Ações internas Não Intencionais 20% Ataques externos Maliciosos 22% Ataques de Código Malicioso 24% 0% 5% 10%1 5% 20%2 5% 95% dos entrevistados geradas pelos ciberataques, incluindo períodos de inatividade, perda de informações de clientes e funcionários e de propriedade intelectual 86% dos entrevistados veem a frequência dos ataques aumentar e 1/5 vê os ataques como algo significativamente efetivo 20% das empresas US$181k perderam US$ mil como consequência dos ciberataques Relatório 2011 sobre Segurança da Informação nas Empresas 13

14 22% dos entrevistados dizem ter sofrido um número elevado de ataques externos maliciosos no ano passado. Ações internas não intencionais também é um problema que afetou 20% dos entrevistados no ano passado. Curiosamente, os entrevistados também veem dois desses métodos de ciberataques como os que crescem mais rápido, com os ataques maliciosos externos substituindo ações internas não intencionais entre os três primeiros. Ataques crescendo de forma pouco / extremamente rápida Ataques de Negação de Serviço 18% Ações internas Não Intencionais 18% Ataques internos Maliciosos 19% Ataques Direcionados 20% Ataques externos Maliciosos 24% Ataques de Engenharia Social 25% Ataques de Código Malicioso 30% 0% 5% 10%1 5% 20%2 5% 30%3 5% 14 Relatório 2011 sobre Segurança da Informação nas Empresas

15 Perdas sofridas Roubo de Informações de Saúde dos funcionários Roubo de Identidades Roubo de outros Dados Corporativos Roubo de Informações de Saúde dos clientes Roubo de Informações Financeiras dos clientes Roubo de Propriedade Intelectual Roubo de Informações Pessoais dos funcionários Roubo de Informações Pessoais dos clientes Inatividade do ambiente 0% 5% 10%1 5% 20%2 5% 30%3 5% Custos dos ciberataques Não sei o que foi tomado ou afetado Custos com Litígios Queda no valor das Ações Custos Financeiros diretos (dinheiro ou bens) Perda de Dados da empresa, de clientes ou de funcionários Danos à Reputação da Marca Multas Regulatórias Perda de confiança dos clientes / relacionamentos prejudicados Custos com Conformidade às Regulamentações após o ataque Perda de Receita Perda de Produtividade 0% 5% 10%1 5% 20%2 5% 30%3 5% 40% Relatório 2011 sobre Segurança da Informação nas Empresas 15

16 Resultado 4 O que as empresas estão fazendo em relação à cibersegurança? Quando se trata de medidas de segurança, as empresas precisam ser capazes de prevenir ataques e reagir assim que eles ocorrem. Também é importante ter iniciativas estratégicas que estabeleçam a base para futura proteção. Com base nos resultados da pesquisa, ainda há o que fazer para que as organizações aprimorem o modo como se preparam e respondem às ameaças. A pesquisa revelou que as empresas estão mais preparadas quando se trata de medidas de segurança rotineiras. 54% reportaram que estão indo bem nessa área e 53% disseram que são bem-sucedidas no tratamento dos ciberataques. Por outro lado, apenas 51% disseram que estão se saindo bem em termos de iniciativas estratégicas de segurança e 50% em questões de conformidade. Apenas 44% buscam inovar em segurança. Para lidar com essas deficiências, as empresas estão elevando o nível das equipes de TI. Em particular, estão aumentando o time que trata da segurança em ambientes virtualizados, na Web e em ambientes móveis. Além disso, estão destinando um orçamento maior para segurança de endpoints e rede; assim como para a segurança na Web. É evidente que as organizações estão intensificando seus esforços para melhorar a proteção, mas muitas empresas - quase a metade dos entrevistados - ainda têm muito trabalho a fazer na proteção de seus ativos de informação e redes. Proteção Como a TI está atuando 16 Relatório 2011 sobre Segurança da Informação nas Empresas

17 Indo bem / extremamente bem Buscar ações de Segurança avançadas ou inovadoras 44% Demonstrar Conformidade 50% Buscar iniciativas estratégicas de Segurança 51% Tratar Ataques ou Brechas de Segurança 53% Lidar com Medidas Rotineiras de Segurança 54% 0% 10%2 0% 30%4 0% 50%6 0% 49% dos entrevistados estão aumentando as equipes de segurança para ambientes virtuais 42% dos entrevistados estão aumentando o orçamento para prevenção contra perda de dados dos entrevistados estão aumentando o orçamento para segurança na Web, Redes e Endpoints Relatório 2011 sobre Segurança da Informação nas Empresas 17

18 Recursos humanos crescendo lenta / rapidamente Avaliação / Detecção de Vulnerabilidade Gestão de Riscos Respostas para Incidentes de Segurança Políticas e Procedimentos Relatório Auditoria / Conformidade Gestão de Segurança dos Sistemas Segurança das Mensagens Segurança para iniciativas de Nuvem Pública Treinamento e Conscientização de usuários Segurança de Rede Prevenção contra Perda de Dados Segurança de Endpoints Segurança para iniciativas de Nuvem Privada Segurança Móvel Segurança na Web Segurança para Ambientes Virtuais 39% 40% 42% 42% 43% 43% 43% 44% 44% 47% 48% 49% 0% 10%2 0% 30%4 0% %6 50 0% Orçamento de segurança crescendo lenta/rapidamente Treinamento e Conscientização de usuários Segurança das Mensagens Políticas e Procedimentos Respostas para Incidentes Segurança para iniciativas de Nuvem Pública Relatório Gestão de Segurança dos Sistemas Gestão de Riscos Segurança para Ambientes Virtuais Segurança Móvel Segurança para iniciativas de Nuvem Privada Avaliação / Detecção de Vulnerabilidade Auditoria / Conformidade Prevenção contra Perda de Dados Segurança na Web Segurança de Rede Segurança de Endpoints 35% 35% 35% 37% 38% 38% 40% 41% 41% 41% 41% 41% 41% 42% 0% 5% 10%1 5% 20%2 5% 30%3 5% 40%4 5% 50% 18 Relatório 2011 sobre Segurança da Informação nas Empresas

19 Principais Recomendações As organizações precisam desenvolver e aplicar políticas de TI. Depois de priorizar riscos e definir políticas que envolvam todos os ambientes, as empresas podem aplicá-las por meio de processos automatizados e fluxos de trabalho que protejam as informações, identifiquem ameaças e corrijam incidentes ou se antecipem a eles. As empresas precisam garantir a proteção proativamente, tendo uma abordagem centrada nas informações para proteger tanto essas informações quanto as interações. Adotar uma abordagem sensível ao conteúdo para proteger as informações é fundamental para identificar e classificar dados confidenciais e críticos, conhecendo onde eles estão armazenados, quem tem acesso a eles, e como estão chegando ou saindo da empresa. Criptografar proativamente os endpoints também ajudará as organizações a minimizar as consequências associadas a perdas de dispositivos. Para ajudar a controlar os acessos, os administradores de TI precisam validar e proteger a identidade de usuários, sites e dispositivos em toda a organização. Além disso, precisam fornecer conexões confiáveis e autenticar transações, quando necessário. As organizações precisam gerenciar os sistemas por meio da implementação de ambientes operacionais seguros, distribuição e regulamentação de níveis de patches, automação de processos para elevar a eficiência, monitoramento e relatórios sobre o status dos sistemas. Os administradores de TI precisam proteger a infraestrutura, garantindo a segurança de todos os endpoints - incluindo o número crescente de dispositivos móveis -, além das mensagens e ambientes Web. Proteger os servidores internos críticos e assegurar a capacidade de fazer backup e recuperar dados também devem ser prioridades. Além disso, as organizações precisam de visibilidade, inteligência de segurança e avaliações de malware em seus ambientes para responder às ameaças rapidamente. Relatório 2011 sobre Segurança da Informação nas Empresas 19

20

21 Sobre a Symantec A Symantec é líder mundial no fornecimento de soluções de segurança, armazenamento e gerenciamento de sistemas para ajudar consumidores e organizações a proteger e gerenciar suas informações em um mundo conectado. Nossos softwares e serviços protegem contra mais riscos, em mais pontos, de forma completa e eficiente, oferecendo segurança onde quer que a informação esteja sendo utilizada ou armazenada. Mais informações em Symantec Corporation. Symantec e o logo da Symantec são marcas registradas da Symantec Corporation ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes podem ser marcas registradas de seus respectivos proprietários.