RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL Pesquisa realizada por Tendências e direções futuras em segurança de dados EDIÇÃO MÉXICO E BRASIL #2015InsiderThreat 1

ÍNDICE SOBRE ESTE RELATÓRIO 3 Compreendendo a natureza e fontes de ameaças internas 3 RESUMO EXECUTIVO 4 México e Brasil em risco, como o resto do mundo 4 Ameaças que evoluem rápido demais para as normas de conformidade e muitas equipes de segurança 4 Violações: custos descontrolados e preocupação maior do conselho de administração 4 O resultado 5 ENTREVISTADOS INFORMAM VULNERABILIDADE DIFUNDIDA 6 Índices de compromisso 7 Resumo 7 MAIORES PREOCUPAÇÕES DOS ENTREVISTADOS 8 Pessoal interno que apresenta o maior risco 8 Onde estão os dados sensíveis e onde estão em risco 9 RISCO E PREOCUPAÇÕES EMERGENTES APRESENTADOS POR QUESTÕES DE NUVEM E BIG DATA 9 Serviços na nuvem 9 Como os provedores de serviços na nuvem devem reagir? 11 Big data: taxas de adoção e preocupações 11 Como as organizações estão respondendo às ameaças 13 FOCO NO MÉXICO 15 FOCO NO BRASIL 17 RECOMENDAÇÕES PRINCIPAIS PARA LIDAR COM AMEAÇAS INTERNAS 18 SOBRE O RELATÓRIO SOBRE AMEAÇAS INTERNAS 2013 DA VORMETRIC 19 SOBRE A VORMETRIC 19 HARRIS POLL FONTE/METODOLOGIA 19 LEITURA COMPLEMENTAR 19 NOSSOS PATROCINADORES 2

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL SOBRE ESTE RELATÓRIO A edição para o México e Brasil do Relatório sobre ameaças internas 2015 apresenta ideias e análises atuais das ameaças enfrentadas pelas organizações nestas regiões e abordagens usadas como resposta. Este relatório contém os resultados de uma pesquisa on-line realizada em nome da Vormetric pela Harris Poll no primeiro trimestre de 2015. O questionário recolheu respostas de 204 decisores de TI; 102 dos entrevistados eram do México e 102 do Brasil. Todos os entrevistados informaram ser de organizações com receitas de US$ 100 milhões e acima. Dos entrevistados do México, 88% representavam organizações com receitas de US$ 500 milhões e acima. No Brasil, 78% eram de organizações com receitas de US$ 480 milhões e acima. 87% dos entrevistados no México e 69% dos entrevistados no Brasil classificaram suas organizações como um pouco ou mais vulneráveis a ameaças internas. O relatório se concentra nos resultados dos entrevistados baseados no México e no Brasil. Estes resultados também são comparados com dados de nossa pesquisa global que recolheu informações de entrevistados nos EUA, RU, Alemanha, Japão e região ASEAN (os países pesquisados na ASEAN foram Singapura, Malásia, Indonésia, Tailândia e Filipinas). Realizada no terceiro trimestre de 2014, esta pesquisa global também esteve ao cargo da Harris Poll e usou o mesmo conjunto de perguntas e metodologia. Compreendendo a natureza e fontes de ameaças internas Quando se trata de avaliar e lidar com as ameaças internas, o ambiente se torna cada vez mais complexo. E à medida que o cenário de ameaças se torna mais complexo, o alcance dos desafios segue em seu encalço. Pode parecer uma contradição em termos, mas as ameaças internas são feitas por uma faixa cada mais vez maior de criminosos. Atualmente, as ameaças vêm de indivíduos ou grupos que, intencionalmente ou por acidente, fazem coisas que colocam em risco a organização e seus dados. As equipes de segurança que pretendem enfrentar as ameaças internas devem considerar os seguintes grupos: Usuários com privilégios que gerenciam a infraestrutura de TI e tem acesso total aos dados nos sistemas que gerenciam. Funcionários, inclusive empregados, diretores e executivos de alto nível. Prestadores de serviços externos e contratados com acesso às redes e ativos da empresa. Inclui entidades como organizações de desenvolvimento externas, provedores de serviços na nuvem e outros. Criminosos que comprometem as credenciais de qualquer desses grupos. 3

RESUMO EXECUTIVO México e Brasil em risco, como o resto do mundo O alcance dos ataques cibernéticos é verdadeiramente global e as organizações na América Latina não estão imunes. As empresas nestas regiões também precisam de soluções de segurança de dados que ajudem a atender os requisitos de conformidade e impedir a perda financeira e de propriedade intelectual essenciais. Por exemplo, de acordo com um estudo sobre cibercriminalidade pelo Registro de Endereços de Internet da América Latina e Caribe, apenas o phishing afeta cerca de 2.500 bancos e contas regionais, com perdas anuais US$ 93 bilhões na região. Os resultados da pesquisa deixam claro que, tanto no México quanto no Brasil e em todo o mundo, os entrevistados estão vendo os efeitos das violações de dados e estão preocupados sobre a vulnerabilidade a ataques. Dos entrevistados, 87% no México e 69% no Brasil classificaram suas organizações como um pouco ou mais vulneráveis a ameaças internas. Além disso, 48% no México e 26% no Brasil mencionaram que, no ano anterior, suas organizações encontraram uma violação e dados ou foram reprovadas em auditoria de conformidade. Esta falta de proteção aos dados reverberaram em todo o mundo, pois as organizações estão tendo dificuldades sobre como proteger suas informações vitais contra comprometimento. 49% dos entrevistados no México e 39% no Brasil indicaram que suas organizações estavam protegendo dados por causa de uma violação de dados anterior ou de um parceiro ou concorrente. Ameaças que evoluem rápido demais para as normas de conformidade e muitas equipes de segurança As ameaças continuam a ficar mais avançadas; diariamente, e mesmo, cada hora, surgem novos ataques e ameaças. O ritmo das ameaças em evolução continuam a colocar as equipes de TI em uma posição bem conhecida de correr atrás do prejuízo. E se estes grupos ficam para trás, os responsáveis por definir as políticas de segurança, responsabilidades e orientações de conformidade para regiões e setores inteiros compreensivelmente têm maior dificuldade para manter o ritmo. O resultado é que o número e a gravidade das violações continuam a crescer. Isto torna a dependência em conformidade, encontrada nos resultados da pesquisa, uma preocupação real: 52% dos entrevistados mexicanos e 59% dos brasileiros identificaram conformidade como muito ou extremamente eficaz na proteção de dados. Estes números levantem receios sobre uma sensação de segurança irreal que está sendo criada por iniciativas de conformidade. Violações: custos disparados e preocupação maior do conselho de administração Está claro que as violações de segurança estão mais presentes e onerosas. Há anos, relatos destas invasões em noticiários são um tema recorrente, porém, nos últimos meses, os custos cada vez maiores e em grande escala e natureza devastadora das violações levaram a segurança como uma preocupação para o conselho de administração. Isso foi apressado pelas saídas altamente públicas de CIOs e CEOs após invasões em larga escala nas organizações. 4

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL 53% dos entrevistados do México e 52% do Brasil estão tornando a prevenção de violações de dados alta prioridade para gastos com TI. Necessário: capacidades de segurança ao redor de dados para criptografia, controle de acesso, tokenização, monitoramento de acesso de dados e análise de acesso de dados. O resultado No México e no Brasil, os decisores de TI estão lutando contra as mesmas ameaças a dados que as outras regiões estão enfrentando. Além disso, estes entrevistados também estão enfrentando mais requisitos de conformidade e regulatórios em seus mercados locais. Não causaria surpresa que a maioria dos entrevistados da pesquisa relataram que suas organizações estão tornando a prevenção contra violações de dados prioridade em gastos de TI; 53% dos entrevistados no México e 52% no Brasil se enquadram nesta categoria. Como os decisores de TI lidam com esta prioridade? Não mantendo as abordagens atuais. Os investimentos em segurança de TI relatados por entrevistados apontam para uma abordagem dispersa, com maiores gastos de dividido em todas as áreas de segurança de TI e um foco em segurança de terminais e defesas de rede as mesmas defesas que os hackers continuam a provar como falíveis. Em vez disso, os decisores precisam dar um foco maior à proteção de dados. Em toda a região, as equipes de segurança precisam examinar a fundo qual será o maior impacto na proteção de dados. Eles precisam determinar como estabelecer defesas vitais que podem parar os invasores após a violação de perímetros e redes. Isto requer capacidades de segurança ao redor de dados para criptografia, controle de acesso, tokenização, monitoramento de acesso de dados e análise de acesso de dados. Essas ferramentas reduzem as vulnerabilidades da organização e possibilitam a identificação de atividades suspeitas, enquanto estão em processo, para que violações possam ser interrompidas antes resultar em grandes danos. Níveis de ameaça percebidos EUA RU Alemanha ASEAN Japão México Brasil Sem nenhuma vulnerabilidade Um pouco vulnerável Muito vulnerável Extremamente vulnerável 0% 20% 40% 60% 80% 100% Figura 1: Índices de vulnerabilidade a ameaças internas percebidos 5

ENTREVISTADOS RELATAM VULNERABILIDADE DIFUNDIDA Entrevistados no México e no Brasil são claros quanto aos riscos e sua exposição a ameaças internas. Uma maioria substancial dos entrevistados, 69% no Brasil e 87% no México, informou que suas organizações são pelo menos um pouco vulneráveis. Aproximadamente 30% dos brasileiros sentiram que não eram vulneráveis, que foi o maior índice de resposta em qualquer região em todo o mundo. Contudo, isto ainda deixa 7 em 10 na região que informam sentir algum grau de vulnerabilidade. Além disso, os entrevistados no México e no Brasil indicaram altos índices de fracasso em proteger os dados. As seguintes perguntas foram feitas aos entrevistados: Se eles tinha encontrado uma violação de dados ou não uma auditoria de conformidade no último ano Se eles estavam protegendo dados por causa de uma violação a um parceiro ou concorrente Os entrevistados do Brasil registraram o maior nível de não vulnerável a ameaças internas de todas as organizações a nível mundial (31%), mas isso ainda mostrou 69% das organizações como sentindo um pouco ou mais vulneráveis. Se eles estavam protegendo os dados, porque eles já haviam encontrado uma violação de dados Índices de insucesso em proteger dados sensíveis México Brasil Japão ASEAN Alemanha Reino Unido EUA Global 20% 30% 40% 50% Figura 2: Taxas para encontrar uma violação de dados ou na ausência de uma auditoria de conformidade nos últimos 12 meses México e Brasil estão em extremos opostos do espectro quando se trata da percentagem de entrevistados que informaram que suas organizações tinham encontrado uma violação. O Brasil foi um dos países com a taxa mais baixa de violações ou insucesso de conformidade; apenas 26% dos entrevistados informaram que tinha experimentado esta forma de violação ou insucesso. Por outro lado, o México foi classificado entre os mais altos, com 48% dos entrevistados relatando que tinham encontrado uma violação ou reprovação em auditoria. Em particular, a falta de conformidade representa um problema maior do que pode parecer. A conformidade obriga prosseguir em um ritmo gradual, com padrões novos ou atualizados que, muitas vezes, são publicados a a cada dois anos. Por outro lado, as ameaças à segurança continuam a evoluir diariamente e, até mesmo, a cada hora, base. Regras de conformidade da indústria podem ter representado um padrão ouro para melhores práticas de segurança no passado, mas não é mais o caso. Continuar em conformidade é um requisito fundamental, porém este esforço hoje é realmente apenas um ponto de partida sobre o qual estruturas de segurança eficazes precisam. 6

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL Razões para proteger dados Violação de dados em parceiro ou concorrente Violação de dados anterior (tempo indeterminado) EUA RU Alemanha ASEAN Japão México Brasil As respostas do México e do Brasil mostraram que eles estavam em extremos opostos do espectro para encontrar uma violação dados no passado o Brasil foi o menor com 26% e no México, o mais alto com 48%. 0% 10% 20% 30% 40% Figura 3: Proteger os dados por causa de uma violação de dados anterior ou uma violação de dados em um parceiro ou concorrente Índices de compromisso Em todo o mundo em geral e no México e no Brasil em particular, as taxas de comprometimento são elevadas. Os entrevistados foram questionados sobre se as violações ocorreram em sua organização em algum momento no passado e se um parceiro ou concorrente tinha encontrado uma violação. No México, apenas cerca de metade dos entrevistados responderam sim a uma dessas perguntas, e quase 40% dos entrevistados do Brasil responderam sim a pelo menos uma. Talvez o mais preocupante é a seguinte estatística: apesar da frequência das violações, em grande parte, os entrevistados mencionaram a conformidade como sendo eficaz. Mais da metade dos entrevistados disseram que viam a conformidade como muito ou extremamente eficaz: 52% dos entrevistados mexicanos e 59% dos entrevistados brasileiros se enquadraram em uma dessas categorias. Estes números suscitam preocupações sobre uma sensação de segurança irreal que está sendo criada pela conformidade. Se a liderança de segurança vê sua organização como em conformidade, eles não devem ser complacentes particularmente à medida que ameaças continuam a evoluir e ser mais sofisticadas. Pontuações para eficácia percebida da conformidade Global México Brasil Extremamente eficaz Muito eficaz Um pouco eficaz Pouco eficaz 0% 20% 40% 60% 80% 100% Figura 4: As pontuações dos entrevistados para a eficácia percebida de conformidade em matéria de proteção de dados Resumo De maneira semelhante ao resto do mundo, esses números para o México e o Brasil pintam um quadro sombrio quando visto de forma agregada. Os entrevistados estão se sentindo cada vez mais vulneráveis após as violações e auditorias fracassadas. Apesar destas realidades, no entanto, muitos estão colocando uma fé um pouco equivocada na conformidade como uma via eficaz para a segurança, mesmo como as provas em contrário que continuam a surgir. As violações de dados em todo o mundo deixam claro que conformidade não equivale a segurança, e os analistas expressam abertamente a opinião de que não é uma questão de se você vai sofrer uma invasão, mas quando. 7

MAIORES PREOCUPAÇÕES DOS ENTREVISTADOS Pessoal interno que apresenta o maior risco É interessante analisar as perspectivas dos entrevistados em termos de quem são os usuários internos mais perigosos e também para ver como essas perspectivas mudaram. Nas últimas décadas, arquiteturas de computação, abordagens de segurança e ameaças à segurança mudaram radicalmente. Nesse período, um único grupo interno tem surgido como o mais potencialmente prejudicial: usuários com privilégios. Para cumprir suas responsabilidades, estes administradores precisam das permissões necessárias para executar tarefas como instalação de software, configuração do sistema, gerenciamento de permissões de usuário, alocação de recursos e muito mais. Através deste acesso, na maioria das organizações, os administradores quase têm acesso aos dados e serviços que são executados nos sistemas que administram. Embora esta lacuna de segurança representada por estes usuários com privilégios não é nada nova, ela está se tornando cada vez mais difícil de solucionar. Nos últimos anos, são os usuários com privilégios que têm estado por trás de alguns dos comprometimentos de maior destaque, incluindo Edward Snowden, responsável pelos amplamente divulgados vazamentos da NSA, e o denunciante no HSBC, Herve Falciani. Com a adoção crescente de virtualização, serviços em nuvem e implementações de big data, ocorre a adição de novas camadas de administração e de privilégios administrativos que, potencialmente expandiram o risco. As pessoas internas mais perigosas usuários privilegiados. Assim como vistas em outras respostas, os entrevistados do México e do Brasil informaram que usuários com privilégios eram os seus empregados de maior risco, com 54% para o Brasil e 68% para o México. Do outro lado do conjunto global dos entrevistados, bases de dados (50%), servidores de arquivos (38%) e a nuvem (36%) são as áreas em posições mais altas onde os dados estão em risco. Muitos entrevistados nesta pesquisa mais recente parece estar bem conscientes dos riscos decorrentes de funcionários com privilégios. No relatório de 2015, usuários com privilégios eram a categoria em posição mais elevada para pessoas internas perigosas; globalmente, a resposta foi de 57% e no México, 68% no México. É importante ver como este grupo tem aumentando em importância nos últimos anos. Por exemplo, em nosso Relatório sobre ameaças internas de 2013 da Vormetric, usuários com privilégios foram selecionados por apenas 34% dos entrevistados, em terceiro lugar na categoria, bem atrás de funcionários comuns, que foram selecionado por 51% dos entrevistados (para mais detalhes, ver a descrição do relatório de 2013, no final do presente documento). Ameaça percebida do grupo de usuários Global Todos os EUA México Brasil Terceirizados e prestadores de serviços Diretoria executiva Empregados comuns Outros funcionários de TI Parceiros com acesso interno Usuários com privilégios 0% 10% 20% 30% 40% 50% 60% 70% Figura 5: O pessoal interno mais perigos são usuários com privilégios 8

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL Onde estão os dados sensíveis e onde estão em risco Do outro lado do conjunto global dos entrevistados, bases de dados (50%), servidores de arquivos (38%) e a nuvem (36%) são os três locais que apresentam o maior risco em relação à quantidade de dados sensíveis hospedados. O México segue um padrão semelhante de respostas: bancos de dados, 54%; servidores de arquivos, 39%; e da nuvem, 41%. No entanto, no México, computadores e estações de trabalho estão um próximo quarto lugar, com uma resposta de 36%. No Brasil, computadores e estações de trabalho estão empatados em segundo lugar com servidores de arquivos (35%); apenas bancos de dados (53%) estão em posição mais alta. Para dispositivos móveis, parece claro que, embora os riscos reais atualmente sejam baixos, existem preocupações significativas sobre a forma como os dados sensíveis estão seguros nesses dispositivos. Em termos de risco real por volume de dados, os dispositivos móveis receberam apenas uma resposta de 21% em nível mundial, 20% entre os entrevistados do México e 23% no Brasil. No entanto, quando se trata da percepção de risco, os dispositivos móveis estão em posição mais alta, recebendo a terceira resposta mais alta de 37% em nível mundial e 31% no México. Riscos para dados sensíveis percebidos e por volume Percepção do risco no Brasil Percepção do risco no México Percepção do risco global Risco real no Brasil, por volume Risco real no México por volume Risco global real por volume SaaS Computadores e estações de trabalho Dispositivos móveis Servidores de arquivos No Brasil, 63% dos entrevistados relataram hospedar dados em ambientes de nuvem IaaS, em comparação com 43% no México. Bancos de dados Nuvem Big data 0% 10% 20% 30% 40% 50% 60% Figura 6: Percepção dos entrevistados de risco para dados sensíveis por categoria, e os volumes de dados sensíveis dentro desses ambientes RISCOS EMERGENTES E PREOCUPAÇÕES APRESENTADOS POR QUESTÕES DE NUVEM E BIG DATA Serviços em nuvem Esta e muitas outras pesquisas mostram que a dependência da empresa em serviços de nuvem continua a ser mais difundida e que esses serviços são hospedando dados mais sensíveis. No Brasil, 63% dos entrevistados estão hospedando dados confidenciais em um serviço de ambientes de infraestrutura como serviço (IaaS); neste quesito, o país está em posição mais alta. Por outro lado, o México, com 43%, foi o país com a taxa de resposta mais baixa nesta categoria. Embora seja claro que a nuvem está hospedando dados sensíveis, está claro também que os dados sensíveis nesses ambientes estão sujeitos a riscos que não existem para os ativos hospedados em um data center tradicional da empresa. Por exemplo, os dados podem ser expostos a outros inquilinos nestes ambientes multi-inquilinos. Além disso, se um administrador que trabalha para o prestador de serviços em nuvem tem suas credenciais comprometida, os dados sensíveis podem ser expostos. E mais ainda, muitos provedores de serviços continuam a ser objeto de intimações do governo nas quais os dados do cliente está sendo exigidos pelas autoridades governamentais. 9

Ambientes de Infraestrutura como Serviço (IaaS) Global EUA ASEAN Alemanha Reino Unido Japão México Brasil 30% 40% 50% 60% 70% Figura 7: Índices relatados de hospedagem de dados sensíveis em ambientes IaaS Todos os ambientes segurança como serviço (SaaS) cobertos na pesquisa tiveram uma alta percepção de risco. Além dos riscos para outros serviços em nuvem, as equipes de segurança têm de lidar com visibilidade e controle em ambientes SaaS ainda mais limitados. Por exemplo, em ambientes IaaS, os administradores podem monitorar recursos em nível de sistema operacional, armazenamento e aplicativo, enquanto nos ambientes SaaS eles não têm esse nível de visibilidade. As categorias SaaS receberam níveis relativamente altos de preocupação, tanto em nível mundial como no México e no Brasil, porém o backup on-line e armazenamento em nuvem foram classificados como número um e dois, respectivamente. Para lidar com os riscos decorrentes da administração de dados sensíveis em ambientes IaaS, os controles centrados em dados serão cada vez mais vitais. Ao otimizar recursos como criptografia e controle de acesso e manter a posse das chaves usadas para criptografar e decriptografar os dados, as equipes de segurança podem estabelecer controles persistentes auditáveis sobre o acesso a ativos sensíveis. Dependendo de suas necessidades e objetivos técnicos, as equipes de segurança frequentemente podem escolher se querem manter as chaves armazenados nas instalações da empresa ou na nuvem, mantendo o controle necessário. As equipes de segurança também podem mitigar os riscos de hospedar dados confidenciais em ambientes de armazenamento em nuvem baseados em SaaS. Neste caso, podem aproveitar gateways de criptografia em nuvem que permitem que os arquivos sejam criptografados antes de serem enviados para a nuvem. Como resultado, ao manter o controle sobre as chaves de criptografia, as equipes de segurança podem também estabelecer e manter controles robustos sobre quem pode acessar os dados, mesmo quando eles estão armazenados nesses ambientes de nuvem externos. Preocupações com SaaS Global México Brasil Back-up on-line Armazenamento na nuvem Ferramentas de colaboração Gestão de Relacionamento com Cliente Enterprise Resource Planning Contabilidade on-line Suítes on-line do Office Gestão de Projetos e Tarefas 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Figura 8: Índices de preocupação relatadas com a proteção de dados por tipo de ambiente SaaS 10

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL Como os provedores de serviços na nuvem devem reagir? Para a pergunta sobre as preocupações com a nuvem, os entrevistados efetivamente disseram, todas as respostas acima. Tanto no México e no Brasil, cada categoria de preocupações rendeu uma resposta de 70% ou mais. O que os provedores de serviços em nuvem, incluindo fornecedores de SaaS, devem fazer para compensar esse problema? Será vital investir em tecnologias que ofereçam aos clientes a visibilidade e os controles que precisam. Cada vez mais, serão os fornecedores de nuvem que oferecem esses recursos que verão a expansão de suas fatias de mercado e listas de clientes. Preocupações com ambientes SaaS e em nuvem Abuso por usuário com privilégios na nuvem ou Fornecedor de SaaS 1 México Brasil Cumprir os requisitos de conformidade 2 Falta de visibilidade em medidas de segurança Falta de controle sobre a localização de dados/infrações envolvendo dados através de fronteiras Falta de política de privacidade de dados ou compromisso com nível de serviço de privacidade Penetrações persistentes de pessoa interna ou avançada (APT) no provedor de serviços Vulnerabilidades aumentadas de infraestrutura compartilhada Custódia de suas chaves de criptografia 60% 65% 70% 75% 80% 85% 90% 1 Inclui administradores de sistemas, administradores de nuvem, administradores de armazenamento, administradores de virtualização 2 Exemplos : PCIDSS, leis nacionais de proteção de dados Figura 9: Níveis de preocupação com as questões de segurança de dados em ambientes SaaS Big data: taxas de adoção e preocupações Com base nas respostas relativas, parece que taxas de adoção grande de dados no México e no Brasil não são tão elevadas como em outros países. As porcentagens, tanto em termos de risco real quanto a percepção de risco, são relativamente baixas em ambas as regiões. Ao examinar as preocupações específicas relacionadas com big data, a maior percentagem de entrevistados no México e no Brasil citaram violações de privacidade de dados provenientes de outros países. Em contraste, enquanto 49% dos entrevistados no Brasil e 50% dos entrevistados no México selecionaram essa preocupação, em média, esta foi uma preocupação para apenas 32% dos entrevistados a nível mundial. 11

DEFESAS DE DATA-AT-REST FORAM CONSIDERADAS EFICAZES NA PREVENÇÃO DE AMEAÇAS INTERNAS POR 69% DOS ENTREVISTADOS NO BRASIL E 74% NO MÉXICO. 12

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL México e Brasil: preocupações com big data Informações confidenciais podem residir qualquer lugar dentro do ambiente Segurança de relatórios que podem conter dados sensíveis Acesso de usuário com privilégios a dados protegidos na implementação Violações de privacidade de dados originária de diversos países México Brasil Global Falta de estruturas de segurança e controles dentro do ambiente 0% 10% 20% 30% 40% 50% 60% Figura 10: Maiores preocupações para segurança de dados com big data Como as organizações estão respondendo às ameaças Em todo o mundo em geral, e no México e no Brasil, muitos entrevistados parecem estar aumentando seus gastos com segurança de TI para conter as ameaças crescentes. Quase um quarto, 24%, dos entrevistados no Brasil informaram que os níveis de gastos serão muito maiores, uma percentagem que ultrapassa todas as outras regiões. Quando você considera que um total de 72% dos entrevistados informaram que gastos serão um pouco ou muito mais altos, está claro que os decisores no Brasil consideram as ameaças de segurança como sérias. No México, uma porcentagem menor, mas ainda uma maioria sólida (55%), informou que gastos serão um pouco ou muito mais altos. Onde estão os entrevistados que fazem investimentos em segurança e o quanto eles acreditam que estes sejam eficazes? Assim como em outras regiões do mundo, os entrevistados no México e Brasil pareciam não ter certeza sobre quais os investimentos trarão os maiores dividendos. Estes resultados também parecem estar em desacordo com as notícias sobre violações nos últimos anos. Por exemplo, defesas de rede e terminal estão provando ser vulneráveis, mas os entrevistados viam estes mecanismos como altamente eficazes, recebendo respostas de 77% e 70% dos participantes globais, respectivamente. Tecnologias de data-at-rest também foram consideradas eficazes por uma porcentagem substancial, recebendo uma taxa de resposta global de três quartos, 69% no Brasil e 74% no México. Também é interessante notar uma discrepância aparente em percepções e investimentos no México. Enquanto 74% viram defesas para data-at-rest como as mais eficazes, menos de metade têm investido nestas soluções. 13

Em um nível alto, parece que muitos entrevistados estão usando uma abordagem de todas as respostas acima ao investir em segurança. Estes números indicam que as organizações dos entrevistados continuam a buscar muitas estratégias que já empregam há algum tempo. As defesas baseadas em perímetro tradicional e s foram suficientes em anos anteriores, mas esses dias acabaram. Para lidar com a evolução e ciberataques e cada vez mais avançados, e para se alinhar com as novas realidades criadas por serviços em nuvem, big data e outras tendências, as equipes de TI e têm um poder claro para adaptar suas abordagens. Empregar uma estratégia de defesa detalhada que usa várias tecnologias continuará a ser essencial, mas está cada vez mais claro que será necessário um enfoque maior defesa de em data-at-rest. Planos de gastos com segurança Muito mais alto Um pouco maior Aproximadamente o mesmo Um pouco menor Muito mais baixo EUA RU Alemanha ASEAN Japão México Brasil 0% 20% 40% 60% 80% 100% Figura 11: Taxas de alterações de gastos para compensar as ameaças a dados ao longo dos próximos 12 meses informadas pelos entrevistados 14

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL Como estão mudando as prioridades de gastos de segurança? Nos últimos anos, houve uma clara mudança de prioridades. Em nosso relatório de 2013, discutimos como a conformidade direcionou os gastos com segurança de TI (para mais detalhes, consulte a descrição do relatório de 2013 ao final deste documento). Em nível mundial, e no México e no Brasil, houve uma mudança para se concentrar diretamente na prevenção de uma violação de dados, que foi a categoria em posição nestas regiões. A proteção da propriedade intelectual essencial e a proteção de ativos financeiros e outros foram classificadas segundo e terceiro, tanto globalmente quanto no México e no Brasil. Globalmente, cumprir os requisitos de conformidade caiu para o quarto lugar entre cinco categorias. Prioridades de gastos com segurança de TI Muitos entrevistados estão adotando uma abordagem todas as respostas acima ao fazer investimentos em segurança... Nos anos anteriores, as defesas baseadas em perímetro, terminal e rede eram suficiente, mas esses dias acabaram. Cumprir os requisitos de conformidade e aprovação em auditorias Atender os requisitos de cientes, parceiros ou potenciais Prevenir um incidente de violação de dados Proteção de propriedade intelectual essencial Proteção de ativos financeiros e outros Global México Brasil 0% 10% 20% 30% 40% 50% 60% Figura 12: Principais prioridades de TI ou de segurança de segundo nível de gastos para organizações dos entrevistados FOCO NO MÉXICO Representantes das organizações entrevistadas no México mostraram respostas bem próximas das de entrevistados em outras partes do mundo. As empresas estão se sentindo vulneráveis a ameaças de pessoal interno e do comprometimento de suas credenciais por ameaças externas (87% sentiram um tanto ou mais vulneráveis). Eles parecem ter uma boa razão para se sentir vulneráveis: 48% relataram que suas organizações tinham encontrado uma violação de dados ou reprovação em uma auditoria de conformidade no ano anterior (o nível mais alto medido na pesquisa). 16% estavam protegendo os dados por causa de uma violação de dados anterior em sua organização em algum momento no passado. 33% estavam protegendo os dados por causa de uma violação em um parceiro ou concorrente. O nível destas respostas representa um fracasso sistemático em proteger os dados da organização afetada. Além disso, como a conformidade não representa uma melhor prática para a proteção de dados, a taxa de resposta do México citando conformidade como muito a extremamente eficaz (52%) 15

48% relataram que suas organizações tinham encontrado uma violação de dados ou reprovação em uma auditoria de conformidade no ano anterior o nível mais alto medido na pesquisa. representa ainda uma outra preocupação. Os requisitos de conformidade estão rapidamente ficando para trás em relação aos últimos ciberataque, e, hoje, representam muito menos do que até mesmo uma linha de base para a proteção de dados eles representam a melhor prática para proteger contra os ataques de ontem. Como resultado, os regimes de conformidade estão se tornando ineficazes rapidamente, ao mesmo tempo que sugam recursos de segurança de TI de uma organização para atender o que, muitas vezes, são requisitos obsoletos. Há bons sinais que indicam que as organizações dos entrevistados no México estão levando a sério as ameaças aos dados: O reconhecimento de que usuários com privilégios representam a maior ameaça para os dados sensíveis é forte; os entrevistados os selecionando como pessoal internas que representam o maior risco. Em 68%, as respostas foram 28% maiores do que a categoria seguinte parceiros com acesso interno, em 40%. Os entrevistados também relataram o uso de dados sensíveis na nuvem (41%) e ambientes SaaS (18%) comparáveis com as médias globais, mas também relataram menor uso de dados sensíveis em ambientes de big data do que outras regiões (15% no México contra a média global de 27%). Quando se trata de ambientes IaaS, no entanto, o México teve o menor nível de uso de dados sensíveis dentro deste ambiente de nuvem (43%). No geral, as respostas do México indicam que os entrevistados sentem que suas empresas estão sob alto risco de ataques de pessoas internas seja do comprometimento de credenciais de uma pessoal interna ou de uma pessoa interna, terceirizado ou parceiro malintencionado. Muitas organizações também parecem estar adotando medidas com o aumento de gastos, mas estão encontrando a mesma confusão que outras organizações em todo o mundo sobre quais necessidades devem ser priorizadas. Neste ponto, as melhores adições ao conjunto de camadas de defesa de TI da maioria das organizações são melhorias que podem proteger data-at-rest de comprometimento, e manter os dados disponíveis para o uso comercial seguro. Os controles mais eficazes para isso são a criptografia com controles de acesso, monitoramento de acesso a dados e acesso a dados de perfis no nível do sistema e nos aplicativos. Essa combinação reduz superfícies de ataque, limitando o acesso apenas a usuários e aplicativos que precisam dele, e, em seguida, permitindo que o uso seja monitorado para indicar quando um comprometimento está acontecendo. 55% dos entrevistados disseram que seus gastos em segurança de TI seriam um pouco a muito maiores para compensar essas ameaças. No entanto, as respostas identificaram os mesmos padrões que foram encontrados em todo o mundo na forma como estas despesas serão aplicadas. Com pequenas variações, existem planos para aumentar todas as categorias de gastos com segurança em aproximadamente o mesmo nível (50% a 70%). Isso representa não entender onde aumentar o investimento para melhor prevenir a perda de dados. 16

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL FOCO NO BRASIL As respostas dos decisores de TI no Brasil indicaram que as organizações estão se sentindo um pouco menos vulneráveis do que suas contrapartes globais. Relatos de proteção de dados por causa de uma violação de dados anterior (própria ou de um parceiro ou concorrente) ou por encontrar uma violação de dados nos últimos 12 meses estiveram entre os mais baixos níveis relatados globalmente. 69% dos entrevistados se sentiram vulneráveis a ameaças internas, o menor nível medido de todos os pesquisados. 26% dos entrevistados disseram que já tinham encontrado uma violação de dados; isto une o Brasil com a Alemanha no nível mais baixo. 39% disseram que estavam protegendo dados por causa de sua própria violação de dados ou uma violação a um parceiro ou concorrente, a taxa mais baixa, exceto a do Japão. Mesmo assim, estes são números bastante elevados, indicando que o Brasil está sendo exposto aos mesmos tipos de ataques e pressões sentidas no resto do mundo, Os entrevistados do Brasil também tiveram taxas de resposta comparáveis às da média mundial quanto à eficácia percebida de conformidade (taxa de conformidade como muito ou extremamente eficaz na proteção de dados: Brasil, 59%; global, 58%). Como observado anteriormente, e com o aumento de provas em contrário, isto representa uma fé mal orientada na conformidade como uma via eficaz para a segurança. Ao mesmo tempo, os entrevistados brasileiros relataram que suas organizações vão gastando muito mais no próximo ano para compensar essas ameaças; esta foi a taxa mais elevada que medimos globalmente (24%). Eles também estão aumentando os gastos gerais nos índices mais altos de qualquer região que medimos (72%). Estes investimentos, no entanto, estão espalhados por todas as áreas de investimento de forma bastante equilibrada (rede, terminal/móveis, dados em movimento, dados em repouso e ferramentas de análise/correlação), assim como em todas as regiões que medimos. Este conjunto de dados claramente mostra que os entrevistados do Brasil entendem que suas organizações estão sob ameaça, mas assim como com organizações em outros lugares, eles ainda não absorveram que sua OS ENTREVISTADOS NO BRASIL RESPONDERAM QUE ESTÃO AUMENTANDO OS GASTOS PARA COMPENSAR AS AMEAÇAS À TAXA MAIS ALTA MEDIDA 72%. embora a um ritmo um pouco menor do que em muitas outras regiões. Uso de dados sensíveis em novos ambientes de tecnologia, como a nuvem, big data e SaaS não parece ser a razão para essa percepção de menor risco, pois os entrevistados relataram o uso de informações sensíveis nesses ambientes semelhantes às médias globais: Nuvem: 41%, Brasil; 36%, global SaaS: 18%, Brasil; 21%, global Big data: 17%, Brasil; 27%, global primeira prioridade deve ser proteger dados sensíveis. Durante anos, muitas organizações de TI se concentraram na proteção de redes, terminais e operações como a melhor forma de proteger suas organizações, porém, os analistas apontam consistentemente hoje que as defesas de periféricos, rede e terminais não são mais eficazes em impedir a entrada de atacantes ou parar pessoas internas mal-intencionadas. A crença de que os padrões de conformidade são um bom caminho para alcançar a segurança é provavelmente um fator aqui também. Assim como com seus pares globais, as empresas no Brasil precisam de uma ênfase maior na proteção de dados como primeiro passo, para proteger os ativos de dados sensíveis, mesmo quando as contas foram comprometidos e os sistemas e redes penetrados. 17

PRINCIPAIS RECOMENDAÇÕES PARA ABORDAR AS AMEAÇAS INTERNAS A seguir estão alguns dos principais princípios orientadores que a segurança e de liderança de TI devem considerar enquanto procuram reforçar suas defesas para se proteger contra ameaças internas: Estabelecer defesas multicamadas. Soluções de segurança de terminal e rede não impediram nem mesmo detectaram de forma sistemática ataques por pessoas internas ou ataques avançados que exploram credenciais de usuário comprometidas. Como resultado, prosseguindo, as equipes segurança devem criar uma defesa em camadas que combina as abordagens tradicionais, bem como técnicas avançadas de proteção de dados, como banco de dados ou criptografia de arquivos com controles de acesso, tokenização, mascaramento de dados, criptografia de camada de aplicativo e gateways de criptografia em nuvem. Dados seguros na fonte. Cada vez mais, as equipes de segurança de TI precisarão de uma arquitetura de segurança de TI em camadas com foco em proteger os dados na fonte onde quer que estejam. Para a maioria das organizações, isso exigirá a criação de controles em servidores e bancos de dados no local, bem como em aplicações de grande de dados e ambientes de nuvem remotos. A criptografia com controles de acesso baseados em políticas é um ponto de partida fundamental para esta abordagem. Otimizar plataformas. Para responder às exigências de segurança, maximizar a eficiência de custos e pessoal, as organizações de segurança e TI estarão melhores se afastando de ferramentas de ponto e começando a otimizar plataformas de segurança que oferecem capacidades unificadas e completas lidem com todas as empresas demandas de proteção de dados essenciais. Instituir monitoramento eficaz de acesso a dados. Para maximizar a segurança, é vital implementar monitoramento de dados e tecnologias, como sistemas de gestão de eventos e de informações de segurança (SIEM). Isso representa um meio fundamental para acompanhar efetivamente o uso de dados e identificar padrões de acesso incomuns e mal-intencionados. Ir além da conformidade. Para manter toda a organização segura, as empresas devem perceber que os poderes de conformidade representam proteções para os ataques de ontem e, ir além regimes de conformidade para desenvolver uma estratégia integrada e holística de segurança de dados, que inclui monitoramento, controles de acesso relevantes e altos níveis de proteção de dados. Através desta abordagem, a segurança pode ser deixada a cargo da equipe do diretor de segurança da informação não nas reuniões do conselho de administração. 18

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL SOBRE O RELATÓRIO AMEAÇAS INTERNAS 2013 DA VORMETRIC O Relatório sobre ameaças internas de 2013 da Vormetric foi um projeto de pesquisa colaborativa pela Vormetric e o Enterprise Strategy Group (ESG). O relatório se baseou em uma pesquisa com 707 profissionais de TI responsáveis por avaliar, comprar ou administrar tecnologias e serviços de segurança da informação para suas organizações. Os entrevistados vieram de empresas representativas de vários segmentos da indústria e governo. O tamanho das empresas foi amplamente variado, com receitas entre menos de US$ 250 milhões a mais de US$ 20 bilhões. A pesquisa foi concluída em julho de 2013 e o relatório foi publicado em setembro de 2013. SOBRE A VORMETRIC Vormetric (@Vormetric) é a líder em soluções de segurança de dados que protegem data-at-rest em ambientes físicos, big data e em nuvem. Mais de 1.500 clientes, inclusive 17 entre os classificados na Fortune 30, contam com a Vormetric para cumprir os requisitos de conformidade e proteger o que importa, seus dados sensíveis, de ameaças internas e externas. A Data Security Platform expansível da Vormetric protege qualquer arquivo, base de dados e dados de aplicativo, independente de sua localização com um conjunto de soluções de alto desempenho e líder de mercado. HARRIS POLL FONTE/METODOLOGIA O Relatório de ameaça interna 2015 da Vormetric foi realizado on-line pela Harris Poll em nome da Vormetric entre 22 setembro de e 16 de outubro de 2014, entre 808 adultos, com idades de 18 anos ou mais, que trabalham em tempo integral como profissionais de TI e têm, pelo menos, uma influência significativa na tomada de decisão em suas empresas. Nos Estados Unidos, foram pesquisados 408 IDTMs entre as empresas com receitas de pelo menos US$ 200 milhões; 102 no setor de cuidados com a saúde, 102 no setor financeiro, 102 varejistas e 102 em outros setores. No Reino Unido, foram entrevistados aproximadamente 100 IDTMs. (103), Alemanha (102), Japão (102) e ASEAN (103), com 102 do Brasil e 102 do México entre 20 de marco e 2 de abril de 2015. Fora dos EUA, as empresas tinham receita de pelo menos US$ 100 milhões. Os países da ASEAN foram definidos como Singapura, Malásia, Indonésia, Tailândia e Filipinas. A pesquisa on-line não se baseou em uma amostra de probabilidade e, portanto, não pode ser calculada uma estimativa de erro de amostragem teórico. LEITURA COMPLEMENTAR Para ler o Relatório sobre ameaça interna 2015 da Vormetric Edição global, visite www.vormetric.com/insiderthreat/2015. 19

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC EDIÇÃO MÉXICO E BRASIL Vormetric.com/InsiderThreat/2015 20 2015 Vormetric, Inc. Todos os direitos reservados.