Perspectivas das empresas em relação à segurança da informação



Documentos relacionados
A ITIL e o Gerenciamento de Serviços de TI

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente;

Disciplina: Administração de Departamento de TI. Professor: Aldo Rocha. Aula I - 11/08/2011

Governança de TI. ITIL v.2&3. parte 1

Certificação ISO/IEC SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Portnet: SAP Business One prepara empresa para crescimento contínuo

1. Quem somos nós? A AGI Soluções nasceu em Belo Horizonte (BH), com a simples missão de entregar serviços de TI de forma rápida e com alta qualidade.

Distribuidor de Mobilidade GUIA OUTSOURCING

Gerenciamento de Incidentes - ITIL. Prof. Rafael Marciano

Projeto Você pede, eu registro.

Curso ITIL Foundation. Introdução a ITIL. ITIL Introduction. Instrutor: Fernando Palma fernando.palma@gmail.com

Pesquisa realizada com os participantes do 12º Seminário Nacional de Gestão de Projetos. Apresentação

Gerenciamento de Riscos em Segurança da informação.

Service Level Management

A Importância do CRM nas Grandes Organizações Brasileiras

Referências internas são os artefatos usados para ajudar na elaboração do PT tais como:

BANCO CENTRAL DO BRASIL 2009/2010

FATEC Cruzeiro José da Silva. Ferramenta CRM como estratégia de negócios

ABNT NBR ISO/IEC 27002:2005

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI

Mídias sociais como apoio aos negócios B2C

IBM Managed Security Services for Agent Redeployment and Reactivation

Scitum reduz em 50% o tempo de produção de relatórios com CA Business Service Insight

REDUZINDO AS QUEBRAS ATRAVÉS DA MANUTENÇÃO PROFISSIONAL

Soluções em. Cloud Computing. para Calçados Pegada

A consolidação de servidores traz uma séria de vantagens, como por exemplo:

Excelência em Metodologia de Helpdesk

PROJETO RUMOS DA INDÚSTRIA PAULISTA

Como gerenciar o risco de aplicativos desenvolvidos na empresa ou adquiridos no mercado

Gerenciamento de Problemas

Você consegue dirigir seu carro sem um painel de controle? Você consegue gerenciar um Service Desk sem Indicadores?

Pesquisa realizada com os participantes do 16º Seminário Nacional de Gestão de Projetos APRESENTAÇÃO

Aumente sua velocidade e flexibilidade com a implantação da nuvem gerenciada de software da SAP

Por dentro do mercado de médio porte: Uma perspectiva para 2011

Segurança Computacional. Rodrigo Fujioka

Curso Plano de Continuidade de Negócios

Oportunidades de Patrocínio. cloudstackday. 12/02/2015 São Paulo. Auditório István Jancsó Universidade de São Paulo

Análise Estruturada de Sistemas

NeoGrid & Ciclo Desenvolvimento

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan

Sistemas de Informação I

PMI-SP PMI-SC PMI-RS PMI PMI-PR PMI-PE

Engª de Produção Prof.: Jesiel Brito. Sistemas Integrados de Produção ERP. Enterprise Resources Planning

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor

A Descrição do Produto ou Serviço e a Análise do Mercado e dos Competidores Fabiano Marques

Oracle Financing: A Maneira Mais Rápida e Acessível de Adquirir Soluções de TI

Horizons. O impacto financeiro da consumerização de TI As 10 principais percepções do Cisco IBSG Horizons Study. Introdução

Soluções em Documentação

MECANISMOS PARA GOVERNANÇA DE T.I. IMPLEMENTAÇÃO DA. Prof. Angelo Augusto Frozza, M.Sc.

CPM Braxis Capgemini reduz custos em 18% com CA Business Service Insight

Como agregar valor durante o processo de auditoria

FACULDADE SENAC GOIÂNIA

PMI-SP PMI-SC PMI-RS PMI PMI-PR PMI-PE

Estratégia de TI. Posicionamento Estratégico da TI: como atingir o alinhamento com o negócio. Conhecimento em Tecnologia da Informação

BPM Uma abordagem prática para o sucesso em Gestão de Processos

Proposta ITIL V3 HAND S ON. Apresentação Executiva. ITIL V3 Hand s ON

ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE LIBERAÇÃO

Technology and Security Risk Services. Novembro, 2003

A EVOLUÇÃO DOS PROFISSIONAIS DE TI PARA ATENDER AS NECESSIDADES EMPRESARIAIS

Mercado de trabalho em TI. Debora Marrach 20.Out.2010

Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe 2006

ECS -ASSESSORIA E CONSULTORIA TÉCNICA. ISO 14001:2015 Tendências da nova revisão

APRESENTAÇÃO INSTITUCIONAL

Resumo. Sobre a Produtivit Quem somos Missão, Visão e Valores O que fazemos Como fazemos Especialidades Parcerias Cases Clientes

GERENCIANDO SERVIÇOS DE MENSAGENS OTT PARA UM PROVEDOR DE TELECOM GLOBAL

1 INTRODUÇÃO Internet Engineering Task Force (IETF) Mobile IP

7dicas para obter sucesso em BYOD Guia prático com pontos importantes sobre a implantação de BYOD nas empresas.

46 KPMG Business Magazine. Corrida contra o tempo

TI - GESTÃO DE PROJETOS

Perícia forense computacional aplicada a dispositivos de armazenamento e smartphones android

Especialização em Gestão de Segurança da Informação

Apresentação. I n o v a ç ã o e T e c n o l o g i a a o s e u a l c a n c e.

LINHA DE APRENDIZADO. Departamento de Compras. Modelo de Negócio. Central de Compras. Associação Beneficente de Assistência Social e Hospitalar

Produto de Gerenciamento: Business Case

MANUAL TÉCNICO ISPBACKUP

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Planejamento Estratégico de TI. Prof.: Fernando Ascani

Visão estratégica para compras

TAM: o espírito de servir no SAC 2.0

ARQUITETURA CORPORATIVA PARA IMPLEMENTAÇÃO DE UMA ESTRATÉGIA DE GOVERNANÇA DE TI SUSTENTÁVEL. Março 2013

Governança Corporativa. A importância da Governança de TI e Segurança da Informação na estratégia empresarial.

Otimismo desenvolvedoras de softwares

Gerenciamento de Níveis de Serviço

Transcrição:

Perspectivas das empresas em relação à segurança da informação André Nogueira Rodrigues Faculdade Impacta de Tecnologia São Paulo - Brasil anrodrigues13@yahoo.com.br Resumo: Este artigo descreve as perspectivas das empresas em relação à segurança da informação. São apresentados os resultados de algumas pesquisas de mercado englobando em torno de 600 (seiscentos) profissionais atuantes em empresas brasileiras de vários setores como governo, financeiro, informática, indústria, prestação de serviços, telecomunicações entre outros setores. Palavras-chave: Segurança da informação, gestão de risco, redes sociais, investimentos e gastos, práticas de segurança de privacidade. Abstract: This article describes the perspective of companies in relation to information security. We present the results of some market research covering around 600 (six hundred) professionals working in Brazilian companies from various sectors such as government, financial, IT, manufacturing, services, telecommunications and other sectors. Keywords: Information security, risk management, social networking, investment and spending, security and privacy practices. Introdução No Brasil, as empresas ainda estão engatinhando no que diz respeito a Segurança da Informação, apesar de ter melhorado muito, ainda assim, temos um longo caminho para alcançarmos patamares de países como Inglaterra e Japão. Atualmente no país do sol nascente existem cerca de 3.000 (três mil) empresas certificadas com o selo da International Organization for Standardization (ISO 27001). Atualmente no Brasil existe o conhecimento e grande intenção das empresas em terem um Sistema de Gerenciamento de Segurança da Informação (SGSI) 1 em seu quadro, mas ainda esbarramos em problemas como falta de conhecimento técnico, profissionais qualificados para gerir um departamento de segurança, falta de envolvimento da alta gestão e falta de investimento. Mesmo assim, existem empresas que dão muito valor e levam muito a sério a segurança da informação, revisando suas políticas e controles da ISO 27002. Existe ainda uma gestão de riscos e uma governança preocupada realmente com a segurança da informação da empresa. 1 SGSI - Sistema de Gerenciamento de Segurança da Informação: trata-se de um sistema implantando baseado através dos requisitos da ISO 27001 para estabelecer, implantar, operar, monitorar, analisar criticamente, manter e melhorar o sistema, documentando dentro do contexto dos riscos de negócio globais da organização.

Empresas com esse nível de maturidade conseguem ao mesmo tempo liberar uso de redes sociais para seus funcionários de forma que não onere o dia a dia produtivo da empresa. Isso é alcançado com árduo trabalho da alta gestão, conscientização constante de todos os níveis de usuários, e revisão igualmente constante do ciclo Plan, Do, Check, Act (PDCA) 2 que caracteriza normas como a ISO 27001. Por outro lado, temos empresas onde a segurança da informação simplesmente não existe ou são tão imaturas que não se justificam. Profissionais sem nenhum conhecimento de segurança onde erroneamente são técnicos de infraestrutura alocados para cuidar desse assunto. Não existe qualificação no assunto, dificultando de forma contundente a correta implementação de um possível SGSI na empresa em questão. Atualmente, conforme citado acima, algumas empresas já estão preocupadas com a segurança da informação, mas ainda com a mentalidade de que as coisas só acontecem aos outros, que é uma forma equivocada de se enxergar as coisas. De uma forma geral, as empresas possuem uma preocupação com a segurança da informação, mas não querem pagar por isso, inviabilizando todo um potencial para a maturidade brasileira existente na SGSI. Metodologia Com base na introdução acima, foram coletados dados por meio de análises efetuadas sobre diversas pesquisas para o tema, efetuadas nos últimos anos de 2010 e 2011 em empresas brasileiras. As pesquisas citadas são referente à PricewaterhouseCoopers (PwC) em parceria com a CSO Magazine, Módulo e da Associação das Empresas Brasileiras de Tecnologia da Informação (Assespro/CompTIA). Nessas pesquisas foram ouvidos em torno de 600 (seiscentos) profissionais de Tecnologia da Informação, distribuídos pelos diferentes setores das empresas brasileiras. O Brasil vem mantendo já há alguns anos um crescente investimento de Segurança da Informação nas empresas, apesar da crise na Europa e da estagnação dos Estados Unidos. Resultados das Pesquisas A informação é o bem mais valioso de qualquer negócio, portanto, manter a integridade dos dados é uma prática essencial para evitar consequências catastróficas. (FERREIRA, 2006). No Brasil o espírito otimista continua em alta, porém o crescimento não significa maturidade. Isso acaba justamente despontando no horizonte brasileiro como a atenção que as empresas brasileiras dedicam a novas tecnologias como mídias sociais, mobilidade e computação na nuvem. Estamos bem perto dos 49% em média do mundo, aqui estamos em torno de 39%. Mesmo dependendo muito 2 PDCA (Plan, Do, Check, Act ) é um ciclo de desenvolvimento que tem foco na melhoria contínua.

de pouca automatização, esforços pontuais e poucos processos a serem seguidos. (LUCHETTA, Luís Mário, 2011). Já na questão de grandes preocupações com investimentos em Segurança da Informação atualmente temos 62% e a estimativa para os próximos anos é que chegue a 72%. Entre os principais fatores que levam as empresas a se preocuparem com a segurança de seus dados, destacam-se o aumento dos crimes e invasões, o aumento da utilização de dispositivos móveis, a complexidade e a atualização dos novos vírus e adesão ao trabalho remoto, levando a segurança para fora do ambiente empresarial. (ZAPATER, Marcio, 2010). Não podemos deixar de lado o fato de que o Brasil é o país alvo dos próximos anos com a realização da Copa do Mundo em 2014 e das Olimpíadas em 2016. Os principais obstáculos para a implementação de Segurança da Informação atualmente são a falta de conscientização dos executivos e usuários atingindo os 52%, a falta de orçamento (gastos) com 26%, a falta de profissionais capacitados chegando aos 10%, enquanto que 12% são relacionados a outros obstáculos para a implementação de Segurança da Informação. (D ANDREA, Edgar, 2011). Principais obstáculos para a implemtentação de Segurança da Informação Falta de conscientização dos executivos e usuários 52% Falta de orçamento (gastos) 26% Falta de profissionais capacitados 10% Outros 12% 0% 10% 30% 40% 60% Figura 1 Principais obstáculos para a implementação de Segurança da Informação Desses 26% de falta de orçamento (gastos), mais da metade informam que as condições econômicas são o maior fator para não se gastar com Segurança da Informação. (D ANDREA, Edgar, 2011).

Gastos com Segurança da Informação 14% 15% 15% 10% 5% 0% Marca ou reputação comprometida Roubo de Propriedade Intelectual Perda Financeira Figura 2 Gastos com Segurança da Informação Os fatores a seguir representam como a Segurança da Informação é justificada nas empresas: no ambiente regulatório/legal alcançamos os 43%, já com a demanda do cliente conseguimos chegar a casa dos 41%, sendo que outros fatores somam o total de 16%. (D ANDREA, Edgar, 2011). Justificativas para investimentos em Segurança da Informação Estratégia geral de segurança da informação 55% Descarte seguro de hardware Planos de conformidade 39% 0% 10% 30% 40% 60% Figura 3 Justificativas para Investimentos em Segurança da Informação Nesse cenário algumas estratégias tornam-se primordiais para atingir os objetivos de segurança diante das incertezas da economia. Alguns exemplos são: aumentar o foco em proteção de dados, priorizar os investimentos em segurança com base no risco, fortalecer a governança da empresa, busca de configurações mais complexas, coibir a evasão de dados, aumentar a confiança em serviços gerenciados de segurança e alocar tarefas de segurança a funcionários que não são da área de Tecnologia da Informação.

Os gastos com Segurança da Informação tendem a aumentar em torno de 52% para os próximos anos. (BASTOS, Alberto, 2010). Referente as práticas de segurança e privacidade, 55% das empresas tem definida a estratégia geral de segurança da informação. Em torno de asseguram o descarte seguro de hardware. Apenas 39% integram os planos de segurança privacidade e conformidade. (D ANDREA, Edgar, 2011 Práticas de Segurança e Privacidade Estratégia geral de segurança da informação 55% Descarte seguro de hardware Planos de conformidade 39% 0% 10% 30% 40% 60% Figura 4 Práticas de Segurança e Privacidade As empresas que utilizam ferramentas de varredura de vulnerabilidades chegam a apenas 45% que corresponde também ao numero percentual de empresas que implementaram um software de correlação de eventos de segurança. Os procedimentos de segurança para recursos sem fio vêm crescendo muito atualmente e chega a atingir por volta de 65%. (D ANDREA, Edgar, 2011). Na parte de funções de segurança, não temos grandes expectativas para os próximos anos, porém podemos ver alguns números relevantes para esse item como a condução e verificação do histórico pessoal que hoje já chega a casa dos 60%, pois muitas empresas utilizam as redes sociais para esse trabalho, principalmente funcionários da área de recursos humanos. (D ANDREA, Edgar, 2011).

Empresas que conduzem verificação do histórico pessoal 62% 60% 58% 56% 54% 52% 48% 46% 44% 60% 53% Ano 2009 Ano 2010 Ano 2011 Figura 5 Empresas que conduzem verificação do histórico pessoal Também com o crescimento de acessos a redes sociais a dedicação e o monitoramento do uso da internet e ativos da informação tem aumentado a cada ano e já chega em torno de 57%. Em contrapartida, o estabelecimento de baselines de segurança para parceiros externos, clientes, fornecedores e distribuidores vem caindo muitos nos últimos anos e atualmente está com apenas 41%, assim como o processo centralizado de gerenciamento de informações, que logo mais poderá ser substituído por algum outro tipo de processo mais objetivo, pois hoje atinge apenas 34%. (D ANDREA, Edgar, 2011). 60% Baselines de segurança para parceiros externos, clientes, fornecedores e distribuidores 55% 40% 30% 38% 40% 10% 0% Ano 2009 Ano 2010 Ano 2011 Figura 6 Baselines de segurança para parceiros externos, clientes, fornecedores e distribuidores A imagem da empresa é um bem muito valioso e nenhuma empresa gostaria de ver a sua imagem degradada por um incidente de segurança gerando um impacto negativo. (FERREIRA, 2006).

Os números de incidentes de segurança vem baixando a cada ano e hoje já chegamos a um numero de 23% que tiveram incidentes de segurança nos últimos 12 meses. O número de se conhecer a possível causa da origem do evento aumentou, isso se deve a uma maior preocupação das empresas com os incidentes de segurança, principalmente com os dispositivos móveis de hoje. Alguns dos incidentes ocorridos são: exploração de dados, rede, sistema e aplicação, dispositivo móvel e engenharia social. (LUCHETTA, Luís Mário, 2011). O impacto da perda financeira ainda continua sendo o maior vilão com os seus, seguido de perto pelo roubo de propriedade intelectual com 15%. Em terceiro podemos relatar a marca ou reputação comprometida que chega em torno de 14%. Outros impactos somam 51%. (D ANDREA, Edgar, 2011). Incidentes - Maiores Vilões 14% 15% 15% 10% 5% 0% Marca ou reputação comprometida Roubo de Propriedade Intelectual Perda Financeira Figura 7 Incidentes Maiores Vilões Referente as redes sociais, mais de 55% das empresas implementaram tecnologias de segurança para aplicações Web 2.0 e não só para redes sociais, também para wikis, blogs, vídeos e áudio. (CARVALHO, Flávio, 2011).

60% 40% 30% Empresas que implementaram tecnologias de segurança para aplicações Web 2.0 38% 40% 55% 10% 0% Ano 2009 Ano 2010 Ano 2011 Figura 8 Empresas que implementaram tecnologias de segurança para aplicações Web 2.0 Além disso, mais de 28% já possuem politicas de segurança especificas para o uso de redes sociais ou de tecnologias Web 2.0. (CARVALHO, Flávio, 2011). O numero de 48% de empresas que possuem um plano de contingência, pode se dizer que é positivo, mas analisando este número considerando o percentual de eficácia que é de apenas 60% não podemos dizer mais que é positivo e sim alarmante. (D ANDREA, Edgar, 2011). O Brasil ainda não possui a cultura europeia de se prevenir antes que aconteça algum desastre, ainda possuímos a cultura de fazer tudo na ultima hora ou quando acontecer vamos atrás do problema para resolvê-lo. Na perspectiva global, encontramos alguns números expressivos e preocupantes como seguem abaixo: - Empresas que perdem seus servidores de dados por qualquer motivo de crash, quebram em um ano e somam 93%, sendo que destas empresas que não possuem gerenciamento de dados quebram imediatamente quando ocorre o incidente. (D ANDREA, Edgar, 2011). - Empresas que sofrem com perdas catastróficas jamais reabrem suas portas, esse número chega a 94%. (D ANDREA, Edgar, 2011). - 77% das empresas que testam seus sistemas de backup encontram falhas operacionais. (RUSSEL, Dave, 2011). - Sendo que as falhas chegam a até das fitas de backup, durante o processo de restauração. (RUSSEL, Dave, 2011).

- 25% é o numero dos usuários que sofrem com perda de dados todos os anos. (RUSSEL, Dave, 2011). - Quase 96% das estações de trabalho que possibilitam a guarda de dados não sofrem backup periódico. (RUSSEL, Dave, 2011). - Sete entre dez empresas pequenas que sofrem uma grande perda de dados quebram em um ano. (D ANDREA, Edgar, 2011). Todos os dados acima foram extraídos de relatórios anuais sobre Segurança da Informação de entidades como Gartner e PricewaterhouseCoopers (PwC). Conclusões O ambiente regulatório se tornou mais complexo e oneroso e o ambiente de risco cresceu e aumentou o seu papel referente a importância da segurança. Esforços de redução de custo fazem com que a segurança adequada seja mais difícil de atingir e com isso ameaças a segurança dos ativos de informação aumentaram. Atualmente o risco crescente mais emergente não só no Brasil, mas em todo o mundo são as redes sociais que pode ser considerada como a mais nova área de risco crescente. O Brasil e toda a América do Sul atualmente tem andado com muito otimismo e cautela, hora pisa no acelerador em outra hora pisa no freio, falta um pouco de senso de urgência e de direção, com isso seguimos a Europa que acaba de ser ultrapassado pela Ásia, ficando atrás também da América do Norte. Porém um dado animador é que o Brasil há alguns anos já não vem tratando a área de Segurança da Informação como um centro de custo da área de Tecnologia da Informação. A tendência é que a linha de reporte ao Chief Information Security Officer (CISO) desprenda-se cada vez mais do Chief Information Officer (CIO). E no Brasil esse movimento está ocorrendo de forma intensa, correspondendo em torno de 46% CISOs, que já reportam diretamente para os Diretores da empresa. (D ANDREA, Edgar, 2011). Referencias LUCHETTA, Luís Mário. - Pesquisa Anual de Tendências de Segurança da CompTIA/Assespro Nacional, 2011. Disponível em: (http://assespro.org.br/na-midia/clipping/2012-05-21-estudo-daassespro-nacional-diz-que-70-das-empresas-considera-segurancacomo-prioridade). Acessado em 13/10/2012.

CARVALHO, Flávio. A Segurança da Informação no Brasil e Como a sua empresa lida com as redes sociais, 2011. Disponível em (http://itweb.com.br/blogs/como-a-sua-empresa-lida-com-as-redessociais). Acessado em 13/10/2012. FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro: Editora Ciência Moderna Ltda., 2006. RUSSEL, Dave. Gartner Technology Research - Magic Quadrant for Security Information (Disk-Based Backup /Recovery) 2011- Disponível em ( http://www.infoworld.com/d/wp/gartner-magic-quadrant-enterprisebackuprecovery-software-197960). Acessado em 27/10/12. D ANDREA, Edgar. Pesquisa Global de Segurança da Informação, 2011 Disponível em (http://www.pwc.com.br/pt/estudospesquisas/pesquisa-global-seguranca-informacao.jhtml). Acessado em 13/10/2012. BASTOS, Alberto. Pesquisa Nacional de Segurança da Informação 2010 Disponível em (http://www.modulo.com.br/software/casos-desucesso/99-pesquisas/637-10o-pesquisa-nacional-sobre-seguranca-dainformacao). Acessado em 13/10/2012. ZAPATER, Marcio. Segurança da Informação: Um diferencial determinante na competitividade das corporações, 2010. Disponível em (http://www.promon.com.br/portugues/noticias/download/seguranca_4w eb.pdf). Acessado em 13/10/2012. Contato André Nogueira Rodrigues Telefone: (11) 99744-4885 E-mail: anrodrigues13@yahoo.com.br Profissão: Analista de Segurança da Informação Empresa: SondaIT

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback