Desafios da Segurança na 3ª Plataforma Tecnológica

Desafios da Segurança na 3ª Plataforma Tecnológica

1. Situação atual 2. Governação e riscos da segurança da informação 1. Tecnologias em utilização 2

Uma nova plataforma de inovação TI IDC Visit us at IDC.com and follow us on Twitter: @IDC 3

Impacto da 3ª Plataforma de Inovação de TI Devices 3x VMs 2x 2010 2015 2010 2015 6x Data 2010 2015 Users 2x 2010 2015

Insegurança crescente Redes sociais e smartphones são alvos favoritos para ataques Malware ataca 16 governos europeus Ataque de proliferação rápida atinge servidores Linux 50 milhões de utilizadores do LivingSocial devem mudar passwords Passwords roubadas de Facebook, Google ou Twitter Malware controlado por SMS permite levantar dinheiro Zeus disfarça código crucial em fotos IDC Visit us at IDC.com and follow us on Twitter: @IDC 5

Insegurança crescente Operação Windigo infectou servidores em Portugal Anonymous Portugal reclama ataques aos sites do BES, Barclays e Banif Novo grupo AntiSecPT ataca sites dos Bancos e SIS Lulzsec Portugal revela dados de 107 agentes da PSP Trojan bancário afecta portugueses Anonymous Portugal ataca páginas da EDP e SMAS Anonymous divulgam nomes e telemóveis de Procuradores do Ministério Público Anonymous roubam dados a bancos portugueses Anonymous ataca site da PGR contra "cooperação com os levam Portugal à pobreza" IDC Visit us at IDC.com and follow us on Twitter: @IDC 6

Emergência do Crime-as-a-Service Crypter básico (para inserir código não autorizado num ficheiro): $10-$30 Contratar um ataque DDoS : $30-$70 por dia, $1,200 para um mês Email spam: $10 por um milhão de mails; $50-$500 por um milhão de mails Bots para um botnet: $200 para 2.000 bots DDoS botnet: $700 Código fonte ZeuS: $200-$500 Windows rootkit (para instalação de drivers maliiciosos): $292 Hacking de uma conta Facebook ou Twitter account: $130 Hacking de uma conta Gmail: $162 Hacking de uma mailbox corporativa: $500 Exploração de passaportes legitimos: $5 cada Pacote para exploração não inteligente: $25 Pacote para exploração inteligente: $10-$3,000 IDC Visit us at IDC.com and follow us on Twitter: @IDC 7

Insegurança crescente 7000 6000 5000 4000 3000 2000 1000 0 Vulnerabilidades Baixa Média Alta Mais de 1,7 mil milhões de registos comprometidos nos últimos 3.500 3.000 2.500 2.000 1.500 1.000 500 0 5 anos Brechas de Segurança 2009 2010 2011 2012 2013 Incidentes Registos comprometidos 1000 800 600 400 200 0 IDC Visit us at IDC.com and follow us on Twitter: @IDC 8

Elevados prejuízos 400.000 350.000 300.000 250.000 200.000 150.000 100.000 50.000 0 Mais 2,8 mil milhões de dólares de prejuízos nos últimos 5 anos 900 800 700 600 500 400 300 200 100 0 Queixas Prejuízos IDC Visit us at IDC.com and follow us on Twitter: @IDC 9

Insegurança crescente Tipo de Incidentes 19,0% 7,0% 10,0% 58,0% 5,0% Interna - Maliciosa Interna Externa Interna - Acidental Desconhecida IDC Visit us at IDC.com and follow us on Twitter: @IDC 10

Maiores Brechas de Segurança IDC Visit us at IDC.com and follow us on Twitter: @IDC 11

Impacto profundo Custos de atividades criminosas Acção criminosa Custo % do PIB Pirataria 1 $B 16 $B 0,008% - 0,02% Tráfico de drogas 600 $B 5% Cibercrime 300 $B 1 $T 0,4% - 1,4% IDC Visit us at IDC.com and follow us on Twitter: @IDC 12

Qual a probabilidade da sua organização sofrer um ataque? IDC Visit us at IDC.com and follow us on Twitter: @IDC 13

Estudo IDC Security Intelligence nas Organizações Nacionais Estudo IDC desenvolvido para a Mainroad Caracterizar as principais tendências na segurança da informação Avaliar o grau de maturidade das organizações nacionais Avaliar as intenções de investimento a curto prazo;

Metodologia do Estudo IDC Security Intelligence nas Organizações Nacionais A metodologia teve com base um inquérito online lançado junto das maiores organizações a 10 de Abril de 2014 Universo em análise: 5.345 decisores das 2.500 maiores empresas portuguesas por volume de negócios, 93 organizações do sector financeiro e 185 organismos da administração pública em Portugal. Perfil dos decisores: Decisores (Diretores e Administradores) ligados aos departamentos de tecnologias de informação e administração. Unidade amostral: Um decisor. Amostra: 208 decisores, a representar praticamente todos os sectores económicos.

Metodologia do Estudo IDC Security Intelligence nas Organizações Nacionais Vendas Setor Mais de 500 milhões de euros 15% Menos de 10 milhões de euros 22% Telecomunic ações 1% Utilities 6% Outros 12% AP Central 7% AP Local 11% Serviços 10% Banca 12% 50-500 milhões de euros 34% 10-50 milhões de euros 29% Seguros Outros 7% serviços financeiros 3% Saúde 4% Indústria discreta 4% Indústria de processos 9% Distribuição e retalho Educação 6% 4% Construção 4% IDC Visit us at IDC.com and follow us on Twitter: @IDC 16

1. Situação atual 2. Governação e riscos da segurança de informação 1. Tecnologias em utilização 17

Segurança não está no topo das prioridades das organizações IDC Visit us at IDC.com and follow us on Twitter: @IDC 18

Segurança não está no topo das prioridades das organizações Consolidação da infraestrutura de TI Melhorar a capacidade resposta aos novos requisitos de negócio Redução de custos das TI Melhoria dos processos de TI Melhoria dos níveis de serviço de TI Actualização da infraestrutura tecnológica Melhoria da segurança dos dados corporativos IDC Visit us at IDC.com and follow us on Twitter: @IDC 19

Novas tecnologias aumentaram a complexidade da gestão da segurança Crescimento de equipamentos móveis Introdução de novas tecnologias Introdução de novas aplicações Cloud computing Aumento do ritmo de novas Gestão de passwords Sistemas desactualizados (unpatched) Políticas de segurança inadequadas Conformidade regulamentar Sem alterações Outras 0% 10% 20% 30% 40% 50% 60% 70% IDC Visit us at IDC.com and follow us on Twitter: @IDC 20

Governação Responsabilidade pela segurança Estratégia de segurança 44% 39% CIO CSO ou CISO 27% 40% Sim Não Outros Em implementação 17% 33% ISO 27001 7% 12% 15% Já implementámos Em fase de implementação 67% Temos planos para implementar nos próximos 12 meses Sem planos IDC Visit us at IDC.com and follow us on Twitter: @IDC 21

Nível de risco das organizações nacionais Brecha de dados Senhas de acesso fracas Phishing/pharming Spam Brecha ou roubo de propriedade intelectual Incorrecta gestão de patches Brecha em rede wireless Adware Acessos remotos maliciosos Spyware Exposição de dados sensíveis através de Fraude financeira interna envolvendo Extorção online Redes de comunicações zombies Comportamento inadequado de empregados Fraude financeira externa envolvendo Engenharia social Ataques DoS (Denial of Service) Ameaças físicas Ciber-terrorismo Surto de vírus/worms Ataque a website -100-50 0 50 100 Reduzido risco Elevado risco IDC Visit us at IDC.com and follow us on Twitter: @IDC 22

Nível de risco aumentou nos últimos 2 anos Brecha de dados Senhas de acesso fracas Phishing/pharming Spam Brecha ou roubo de propriedade Incorrecta gestão de patches Brecha em rede wireless Adware Acessos remotos maliciosos Spyware Exposição de dados sensíveis através Fraude financeira interna envolvendo Extorção online Redes de comunicações zombies Comportamento inadequado de Fraude financeira externa envolvendo Engenharia social Ataques DoS (Denial of Service) Ameaças físicas Ciber-terrorismo Surto de vírus/worms Ataque a website -100-50 0 50 100 Reduzido risco Elevado risco IDC Visit us at IDC.com and follow us on Twitter: @IDC 23

Spam, virus, spyware são os incidentes mais comuns Spam Surto de vírus/worms Spyware Phishing/Pahrming Conduta incorrecta de empregados Incidentes acidentais Engenharia social Acesso remoto malicioso Denial of Service Website defacement Outra forma de brecha externa Ameaças físicas Exposição de dados sensíveis Brecha em redes wireless Redes zombies Fraude financeira externa envolvendo Roubo ou brecha de PI Extorsão online Uma única ocorrência 0% 20% 40% 60% 80% 100% Múltiplas ocorrências IDC Visit us at IDC.com and follow us on Twitter: @IDC 24

Spam, vírus, spyware e phishing são os incidentes mais comuns Spam Surto de vírus/worms Phishing/Pahrming Spyware Conduta incorrecta de empregados Incidentes acidentais Denial of Service Engenharia social Acesso remoto malicioso Brecha em redes wireless Ameaças físicas Alterações no website Exposição de dados sensíveis Extorsão online Redes zombies Fraude financeira externa Roubo ou brecha de PI Uma única ocorrência 0% 20% 40% 60% 80% 100% Múltiplas ocorrências IDC Visit us at IDC.com and follow us on Twitter: @IDC 25

Confiança na segurança de informação 0,35 0,3 0,25 0,2 0,15 0,1 0,05 0 Ataques internos 2012 2014 Ataques externos IDC Visit us at IDC.com and follow us on Twitter: @IDC 26

Maioria das organizações não quantifica custos dos incidentes 18% 11% 21% Sim, quantificamos os custos de todos os incidentes Sim, quantificamos os custos de alguns incidentes 50% Não Não sabe/não responde IDC Visit us at IDC.com and follow us on Twitter: @IDC 27

Prioridades de segurança Continuidade do negócio Implementação/melhoria dos processos Formação e sensibilização interna Melhoria da infraestrutura Melhoria da gestão de risco IDC Visit us at IDC.com and follow us on Twitter: @IDC 28

1. Situação atual 2. Governação e riscos da segurança de informação 1. Tecnologias em utilização 29

Maturidade tecnológica ainda não é muito elevada Anti-vírus Firewalls Soluções anti-spam Soluções anti-spyware Filtragem e monitorização de conteúdos Tecnologias de prevenção de perda de dados Sistemas de gestão de acessos Web Segurança de serviços Web Soluções anti-phishing Detecção e prevenção de intrusões (IDS/IPS) Soluções de segurança wireless Network Access Control (NAC) Workflow para gestão de incidentes Sistemas de gestão de eventos Encriptação de armazenamento Encriptação de correio electrónico Conformidade de segurança Encriptação de equipamentos móveis Avaliação de vulnerabilidades Sistemas biométricos para autenticação Ferramentas para testes de intrusão Segurança de equipamentos móveis 0% 20% 40% 60% 80% 100% IDC Visit us at IDC.com and follow us on Twitter: @IDC 30

Despesa com segurança vai aumentar Total Serviços Software Hardware 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Aumentar significativamente (mais de 10%) Manter-se idêntica Diminuir significativamente (mais de 10%) Aumentar Diminuir Não se aplica Despesa com Segurança 2% 4% 17% 16% 21% 40% Mais de 25% Entre 11% e 25% Entre 6% e 10% Entre 2% e 5% 1% ou menos Nenhum IDC Visit us at IDC.com and follow us on Twitter: @IDC 31

Prioridades da despesa com segurança Prevenir tempo de inactividade e interrupções dos sistemas Manutenção da integridade dos dados Continuidade do negócio numa situação de desastre Protecção da informação de clientes IDC Visit us at IDC.com and follow us on Twitter: @IDC 32

Principais obstáculos Sofisticação das ameaças Orçamento insuficiente Proliferação de novas tecnologias IDC Visit us at IDC.com and follow us on Twitter: @IDC 33

Algumas conclusões Crescimento dos incidentes de segurança a nível mundial e no território nacional Complexidade tecnológica Alteração do paradigma tecnológico mobilidade, cloud computing, social business e Big Data Segurança informática não é uma das prioridades das organizações nacionais Apenas uma minoria de organizações nacionais possui um CSO ou CISO Maioria das organizações já implementou ou está em fase de implementação de estratégia de segurança Apenas uma minoria obteve certificação ISO 27000 IDC Visit us at IDC.com and follow us on Twitter: @IDC 34

Algumas conclusões Maioria das organizações já enfrentou incidentes de segurança Nível de risco aumentou nos últimos 2 anos Spam, vírus, spyware e phishing são os incidentes mais comuns Maioria das organizações não quantifica os custos dos incidentes Maturidade tecnológica das organizações nacionais ainda é reduzida Elevada penetração de soluções de anti-virus, anti-spyware, phishing Reduzida penetração de tecnologias como a encriptação, análise de vulnerabilidades, testes de intrusão, etc Fraca penetração de soluções de segurança relaciondas com a 3ª plataforma tecnológica IDC Visit us at IDC.com and follow us on Twitter: @IDC 35

Algumas conclusões Despesa com segurança informática vai crescer Crescimento da despesa em todas as componentes (Hw, Sw e serviços) Despesa vai representar 8% do orçamento de TI Prevenção da inactividade dos sistemas e protecção da integridade dos dados Sofisticação das ameaças, orçamento insuficiente e complexidade tecnológica são obstáculos à segurança de informação IDC Visit us at IDC.com and follow us on Twitter: @IDC 36