Apresentamos os resultados da Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe, realizada com o apoio da SUCESU-BA. O objetivo dessa pesquisa é transmitir aos gestores e ao mercado de Tecnologia da Informação uma fotografia da situação da Segurança da Informação nas empresas desses dois estados. Responderam ao questionário gestores de TI de 81 empresas de variados segmentos de atuação e porte. Esperamos que essa pesquisa auxilie na tomada de decisão dos gestores de TI sobre as melhores práticas de Segurança da Informação, contextualizando suas ações e planejamentos levando em conta as características específicas do mercado local. As observações e comentários foram realizados com base nas melhores práticas de segurança recomendadas pela NBR ISO/IEC 17799:2005, e na experiência da tecnoativa no mercado local de Segurança da Informação. Marcelo Adães Diretor Técnico Qualificação das empresas respondentes A pesquisa é formada por respostas únicas de 81 empresas, de uma base de 273 consultadas. Em cada empresa participante o respondente é o responsável pela área de TI. Questão 1 Ramo de Atividade 1
Questão 2 - A quem o departamento de TI está diretamente subordinado? Nessa questão foi realizada uma normalização das respostas, de forma a facilitar a tabulação. Por exem plo, qu an do a resposta foi D iretoria G eral ou R eitoria, con sideram os a opção Presidên cia. D a m esm a form a, quando a resposta foi D iretoria A dm inistrativa/fin an ceira, con sideram os a op ção O u tro. Consideramos a distribuição acima positiva, pois a proximidade do setor de Tecnologia da Informação com a Presidência (33%), com a Diretora Operacional (6%) e mesmo com a Diretoria Administrativa (37%) permite uma melhor visibilidade da importância dos ativos de informação e consequentemente da Segurança da Informação. Muitas vezes quando o setor de Tecnologia da Informação está vinculado à Diretoria Financeira (13%) o foco de administração do setor é voltado exclusivamente para a redução de custos. 2
Questão 3 Quantos computadores possui a sua empresa? Questão 4 Quantos funcionários possui a sua empresa? Nas questões 3 e 4, verifica uma representatividade bem distribuída com relação ao porte das empresas, tanto pelo critério de quantidade de computadores quanto pelo critério de número de funcionários. 3
Organização e Autonomia Questão 5 Sua empresa possui orçamento específico para Segurança da Informação? Sim: 27% Não: 73% Em um mercado onde grande parte das empresas não possui sequer orçamento específico para TI, o número de 27% é um indicador positivo. Temos que considerar, no entanto, que alguns respondentes podem ter considerado verbas para renovação de antivírus como orçamento de Segurança da Informação. Questão 6 Sua empresa possui um departamento ou setor específico para Segurança da Informação? Sim: 27% Não: 73% Questão 7 Sua empresa possui profissionais dedicados exclusivamente a Segurança da Informação? Sim: 28% Não: 72% Interpretamos o baixo número de empresas que possuem um departamento ou setor específico para Segurança da Informação, bem como o baixo número de empresas que possuem profissionais dedicados à Segurança da Informação, como um reflexo da fraca adoção de controles administrativos (análise de risco, registro de incidentes de segurança, classificação das informações) e uma maior concentração em controles técnicos (backup, antivírus, firewall). Desta forma dedica-se um menor esforço administrativo à Segurança da Informação. A maioria dos 133 controles definidos na ISO 17799 são voltados para pessoas e processos, e não para tecnologia. Entendemos que para implementar efetivamente esses controles as empresas devem considerar pelo menos um profissional exclusivo para Segurança da Informação. 4
Questão 8 Os serviços de telefonia estão subordinados ao departamento de TI? Sim: 40% Não: 60% Questão 9 Os serviços de documentação ou arquivo de documentos estão subordinados ao departamento de TI? Sim: 26% Não: 74% Entendemos que quando os serviços de telefonia e documentação ou arquivo de documentos são subordinados ao departamento de TI, evidencia-se o conceito de informação como um ativo da empresa, independente do meio de armazenamento e transmissão utilizado. Desta forma fica mais fácil a implementação de controles de segurança da informação da norma ISO 17799 referentes a informações armazenadas em meio físico (documentação e arquivo) e faladas (telefonia). Questão 10 A sede de sua empresa está em outro estado ou outro país? Esse indicador contesta a percepção comum de que a maior parte das empresas estabelecidas na Bahia e em Sergipe possui seu centro de decisão fora desses estados, o que enfraqueceria o mercado local, já que as decisões de investimento em TI e em Segurança da Informação seriam definidas na sede. 5
Verifica-se que 83% das empresas possuem sua sede ou na Bahia ou em Sergipe. Conforme pode-se verificar nas duas próximas questões (11 e 12), a pesquisa mostra ainda que das 17% das empresas que possuem a sua sede fora do estado, a maioria possui alguma autonomia para contratação de produtos e serviços de Segurança da Informação, bem como para definição de políticas, normas e procedimentos. As questões 11 e 12 foram respondidas apenas pelas empresas que possuem sede em outro estado ou em outro país. Questão 11 As políticas, normas e procedimentos de segurança são definidas localmente ou são definidas na matriz? 6
Questão 12 A sua empresa tem autonomia para definir quais produtos e tecnologias de segurança vão ser utilizadas localmente? Questão 13 O seu principal prestador de serviços de Segurança da Informação é uma empresa local? Duas informações importantes podem ser extraídas dessa resposta. Primeiro, é alto (45%) o número de empresas que não contratam prestadores de serviço de Segurança da Informação. Segundo, percebe-se uma valorização dos prestadores de serviço de Segurança da Informação locais (44%) frente aos de outros estados (11%). 7
Ameaças, Controles e Normas Questão 14 Quais as principais ameaças à Segurança da Informação para a sua empresa? Destaca-se que os vírus são a maior ameaça percebida pelos gestores de TI, com os spywares aparecendo em segundo lugar. Comparando essa informação com o gráfico dos controles técnicos em uso (questão 15), que indica que quase todas as das empresas possuem antivírus e antispyware, conclui-se que a simples aquisição dessas soluções não é suficiente para mitigar essas ameaças. Nota-se também que erros operacionais dos usuários, acessos físicos indevidos e falta de treinamento são ameaças que precisam ser tratadas com maior prioridade. 8
Questão 15 Marque todos os controles técnicos de Segurança da Informação que sua empresa possui Questão 16 Marque todos os controles técnicos de Segurança da Informação que sua empresa pretende implementar em 1 ano Os três controles básicos de segurança (backup, antivírus e firewall) são amplamente implementados. O antispyware, controle que combate uma ameaça relativamente nova, aparece em 4º lugar com 72%. Destaca-se tanto a baixa utilização do controle DMZ (31%) quanto a falta de intenção de implementá-lo (20%), apesar desse controle ser necessário para qualquer empresa que publica 9
serviços na Internet. Outro destaque importante é a análise periódica de vulnerabilidades, o controle com maior intenção de implementação. Entendemos que a análise de vulnerabilidades é um controle que deve sempre estar associado a uma análise de risco, caso contrário é grande a probabilidade de que sejam realizados investimentos para reduzir vulnerabilidades que não trazem um risco alto para o negócio. A utilização de certificados digitais para autenticação de usuários consolida-se como um importante controle de Segurança da Informação na visão dos gestores de TI. Questão 17 Marque todos os controles administrativos de Segurança da Informação que sua empresa utiliza O gráfico mostra uma baixa utilização dos controles administrativos de Segurança da Informação. A análise de risco, principal ferramenta para seleção de controles (segundo a norma ISO 17799), é justamente o controle menos utilizado. Apesar da política de segurança ser o controle administrativo mais implementado, o índice de adoção desse controle ainda é muito baixo, menos de 50%. 10
Questão 18 Marque todos os controles administrativos de Segurança da Informação que sua empresa pretende implementar em um ano O gestor de TI percebe a necessidade de implementação dos controles administrativos. Isso é claramente mostrado no gráfico, pois os principais controles administrativos apresentam uma forte intenção de implementação. Não por acaso, a conscientização dos funcionários é o controle com maior intenção de implementação, pois vimos anteriormente que dentre as ameaças percebidas pelos gestores, os erros operacionais dos usuários aparecem em 3º lugar. Questão 19 Quais os padrões e normas adotados pela sua empresa? 11
Nota-se que a ISO 17799 é o padrão ou norma mais adotado, mesmo quando comparamos com padrões e norma que não são específicos de Segurança da Informação. Ainda assim, o grau de adoção do mesmo é muito baixo (14,8%), o que indica que os gestores de Tecnologia da Informação ainda não estão adotando padrões e normas para auxiliar no trabalho de gestão. Questão 20 Quais os sistemas operacionais utilizados nos servidores INTERNOS da sua empresa? Questão 21 Quais os sistemas operacionais utilizados nos servidores PÚBLICOS da sua empresa? Os sistemas operacionais da Microsoft ainda são os mais utilizados, tanto nos servidores internos das empresas quanto nos servidores públicos. Será interessante 12
comparar esses números com os números das pesquisas dos anos subseqüentes, quando poderemos analisar se existe ou não um movimento no sentido de maior adoção do software livre (linux) ou não. Questão 22 Quais as origens dos incidentes INTENCIONAIS de Segurança da Informação sofridos pela sua empresa, identificados no último ano? Podemos verificar que é relativamente alto o número de empresas que reportaram que não conseguiram determinar a origem dos incidentes de Segurança da Informação. Percebe-se também a ocorrência de um relativamente alto número de incidentes intencionais por parte dos funcionários. Questão 23 Quais as origens dos incidentes ACIDENTAIS de Segurança da Informação sofridos pela sua empresa, identificados no último ano? 13
Podemos verificar que os funcionários são os maiores responsáveis pelos incidentes acidentais, o que justifica a intenção dos gestores em promover a conscientização dos funcionários como principal controle administrativo de Segurança da Informação para o próximo ano (ver questão 18). Questão 24 Com relação à Segurança da Informação, você acredita que sua empresa está: Apenas 14% consideram a empresa muito segura ou totalmente segura. A grande maioria (86%) considera a empresa com segurança média (com alguma segurança) ou baixa (pouco segura). Isso mostra que os gestores têm consciência que os controles básicos de segurança (backup, firewall e antivírus), que são amplamente adotados, não são suficientes para garantir a segurança da informação das empresas. Nota-se que nenhum gestor considera a sua empresa totalmente insegura. Transformando as organizações através da Tecnologia da Informação (71) 2108-3266 www.tecnoativa.com.br Av. ACM, 3259 sala 101 Salvador BA 14