daryus - pesquisa nacional de segurança da informação 2014
DESCRIPTION
Pesquisa Nacional de Segurança da Informação, Elaborada por um grupo profissional com ampla experiência prática , aborda pontos que ajudarão a mapear como o órgãos e empresas brasileiras entendem e tratam a Segurança da Informação. Dentre os tópicos abordados: definições básicas, estrutura normativa, aspectos operacionais, leis regulamentações, requisitos de continuidade e melhoria contínua.TRANSCRIPT
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
PESQUISA
NACIONAL DE
SEGURANÇA DA
INFORMAÇÃO
2014
Uma visão estratégica dos principais elementos da
Segurança da Informação no Brasil
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Sumário executivo
CIBERCRIMES, FALHAS EM PROCESSOS, FRAUDES, COMPORTAMENTO. O atual
contexto corporativo contempla inúmeras ameaças a Segurança da Informação, que se
tratadas de maneira inapropriada constituem impactos severos que podem abalar as
finanças ou reputação até mesmo das maiores companhias.
Enquanto lidamos com dados que crescem exponencialmente em quantidade e
complexidade, organizações ainda começam a compreender que uma postura reativa não
é mais suficiente. Recentes incidentes trouxeram a tona um novo nível de conscientização
sobre a necessidade de se estabelecer não somente estruturas tecnológicas, mas
também processos e habilidades para se desenvolver, manter e otimizar programas de
Gestão de Segurança da Informação.
Mesmo com essa maior maturidade, a quantidade de incidentes de segurança leva
executivos a questionar a capacidade de suas organizações para conter e lidar com
ameaças. Estamos preparados ou seremos mais um a aprender a dolorosa lição que é o
preço de uma gestão ineficiente?
O cenário brasileiro mostra que enquanto incidentes atingem níveis inaceitáveis, os
investimentos em Segurança ainda são tímidos, mão de obra especializada é escassa, e
leis e regulamentações ainda são ineficientes para resguardar a proteção de dados
corporativos.
Este relatório, baseado em uma pesquisa realizada entre junho e agosto de 2014, mostra
um panorama da Segurança da Informação no Brasil. Com foco em elementos
estratégicos, a visão apresentada pelos pesquisados demonstra como este tema cresceu
em relevância nas corporações, juntamente com o quão distante ainda estamos da
maturidade ideal.
Realização:
Apoio:
DARYUS Strategic Risk Cosnulting
DARYUS Education Center
IT MÍDIA conteúdo | relacionamento | negócios
EXIN Brasil
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Siglas e abreviaturas
GSI – Gestão da Segurança da Informação
SGSI – Sistema de Gestão da Segurança da Informação
PSI – Política de Segurança da Informação
PDCA – Plan-Do-Check-Act (Planejar, Fazer, Verificar e Agir/Melhoria contínua)
ISO – International Standarization Organization
ABNT – Associação Brasileira de Normas Técnicas
ITIL – Information Technology Infrastructure Library
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Metodologia
Período da Coleta
30 Junho a
25 de Agosto de 2014
Formato de pesquisa
ON LINE Respondentes
Dos 171 respondentes,
122 foram válidos
Abrangência
Convidadas mais de
*500 empresas no
BRASIL
* Quantidade de respondentes baixa frente a importância e quantidade solicitada. Demonstra que as empresas ainda não possuem maturidade para responder ou preferem pesquisas mais técnicas ou sobre controles.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Como foi dividida
GESTÃO CONTROLES CAPACITAÇÃO
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Gás &
Óle
o
Tra
nspo
rtes
Ma
nufa
tura
Te
lecom
un
icaçõe
s
Tecno
logia
Com
érc
io
Saú
de
Edu
ca
ção
Fin
ance
iro
Gove
rno
Ind
ústr
ia
Serv
iços
1% 1% 2% 2% 3% 4% 4% 7% 8%
11% 15%
42% + Maduras em relação ao tema:
•Governo (10,7%);
•Indústria (14,8%) e
•Serviços (41,8%).
Quem respondeu a pesquisa?
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Perfil das empresas e respondentes
27,9% Faturam mais de US$ 100 milhões;
51,6% + 1.000 colaboradores;
32,7% Gerentes e Diretores;
85,2% estão envolvidos na tomada de DECISÃO;
46,72% atuam há mais de 5 anos com SI
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Sua empresa possui um Sistema de Gestão
de Segurança da Informação (SGSI)
11,48%
24,59%
27,87%
36,07%
Sim (aprovado pela TI) Não. Informalmente Sim (aprovado pelaAlta Direção)
52,46% são informais
ou
não existem!
SGSI
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Há quanto tempo um SGSI foi
estabelecido na empresa?
Motivadores
35,25% alinhamento
com as melhores práticas,
5,74% buscam a ISO
27001
40,38% das empresas
participantes possuem a GSI
com foco em TODA A
EMPRESA 18,85%
35,25%
8,20% 5,74%
31,97%
menos de 1ano
de 1 a 5anos
de 5 a 10anos
mais de 10anos
Não possui
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Tempo de Casa X Tempo de S.I.
A maior parte das equipes tem menos de 5 anos e é formada por
profissionais que tem tempo médio de casa de 5 anos.
18,85%
42,62%
22,95%
15,57%
menos de 1ano
entre 1 e 5anos
entre 5 e 10anos
mais de 10anos
4,10%
38,52%
30,33%
16,39%
10,66%
menos de 1anos
de 1 a 5anos
de 5 a 10anos
mais de 10anos
Não atuacom S.I
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“A Alta Direção deve
demonstrar sua liderança
e comprometimento em
relação ao SGSI” Fonte: ISO 27001 – Requisito 5.1
Das empresas entrevistadas apenas 36,07% tiveram sua GSI aprovadas pela Alta Direção.
Em 53,46% a GSI não foi aprovada ou é
informal e ainda parte de TI.
Sim 61,48%
Não 10,66%
Razoavelmente 27,87%
Participação da Alta Administração
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Qual a área atualmente
responsável nas empresas?
Segurança da
Informação
1%
1%
2%
2%
2%
2%
3%
11%
11%
65%
Auditoria
Recursos Humanos
Jurídico
Finanças
Operações
Segurança Patrimonial
Segurança da Informação
Não possuímos uma área responsável
Presidência / Alta Direção
Tecnologia
TI domina com
ampla margem
Pessoas
Processos
Tecnologia
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“A Alta Direção deve assegurar que as responsabilidades e autoridades
dos papéis relevantes para a segurança da informação sejam atribuídos
e comunicados”. Fonte: ISO 27001 – Requisito 5.3
0,82%
0,82%
1,64%
1,64%
2,46%
3,28%
4,10%
4,10%
4,92%
6,56%
30,33%
39,34%
Finanças
Segurança Patrimonial
Jurídico
Recursos Humanos
Outro
Operações
GRC
Segurança da Informação
Negócios
Auditoria
Alta Direção
Tecnologia
Qual a área os pesquisados
acreditam que deveria ser
responsável?
Segurança da
Informação
Segurança ainda é
vista como uma
disciplina
primariamente de
tecnologia!
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Riscos e
oportunidades Quando planejamos a gestão de segurança
da informação devemos considerar questões
relacionadas à prevenção de riscos e
oportunidades de melhorias.
Estas ações devem ser realizadas dentro dos
processos organizacionais e ter seus
resultados medidos, aumentando assim a
CONFIANÇA da organização em relação à
gestão da segurança da informação.
CONFIANÇA
“Confiança é o ato de
confiar na análise se um
fato é ou não verdadeiro,
devido às experiências
anteriores, entregando
essa análise à fonte de
estatísticas e opiniões de
onde provém
a informação e
simplesmente
considerando-a e
checando-a com outras,
o chamado cruzamento
de informações”.
Fonte: Wikipedia
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Avaliação da confiança
4,92% não confiam nas leis e
regulamentos que afetam a segurança
da informação.
5,74% não confiam na capacidade
organizacional atual para contramedidas
para prevenção/proteção contra
incidentes de segurança.
8,20% não confiam na área de
segurança da informação para evitar ou
tratar ataque cibernético de origem
interna ou externa.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Prejuízos financeiros
O Centro de Estudos Estratégicos e Internacionais dos EUA em conjunto com a empresa de
segurança digital McAfee revela que falhas em segurança digital geram, em todo o mundo, um
prejuízo anual que atinge a marca de aproximadamente
R$ 1.120 trilhões (US$ 500 bilhões). Fonte: McAfee
As organizações devem assegurar um enfoque consistente e efetivo para
gerenciar os incidentes de segurança da informação, incluindo
a comunicação sobre fragilidades e eventos de
segurança da informação. Fonte: ISO 27001 – Anexo A – 16.1
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Investimentos em segurança
mais de 10% de 1 a 5milhões de
Reais
mais de 5milhões de
Reais
de 5 a 10%do
faturamento
de 500 a 1milhão de
Reais
de 3 a 5% dofaturamento
até 500 milReais
até 3% dofaturamento
N/A
1,6% 3,3%
4,1% 4,9% 4,9% 6,6%
9,8%
27,0%
37,7% 37,7% não realizam previsões de investimentos relacionados ao tema.
68,03% dos participantes não acredita que o percentual investido em
segurança da informação seja o ideal para a sua organização.
+ 85% considera que o principal fator crítico para a segurança da informação está
contido nos temas: Capacitação e mudança de Cultura
Organizacional.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Os incidentes mais frequentes
Mais de 40% das falhas relacionadas à
segurança da informação não está associada à
tecnologias, mas sim em torno de pessoas e a
maneira na qual os dados, informações e
sistemas são utilizados nas organizações.
Acesso não autorizado (físico)
Guerra Cibernética
Hacktivismo
Investigação (incidentes não confirmados)
Acesso não autorizado (lógico)
Engenharia Social
Negação de Serviço (DoS)
Varredura/Tentativas de Invasão
Falhas em Equipamentos
Códigos Maliciosos
N/A
Perda de Informação
Mal Uso
Vazamento de Informação
0,8%
0,8%
2,5%
3,3%
4,1%
4,1%
5,0%
5,0%
6,6%
9,9%
12,4%
12,4%
16,5%
16,5%
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Certificação ISO 27001 Sistema de Gestão de Segurança da Informação (SGSI)
• Redução de custos financeiros relacionados a incidentes de segurança da informação;
• Promove a melhoria continuada nos controles e políticas de segurança da informação;
Benefícios:
53,28%
23,77%
9,84%
7,38%
5,74%
Não possuímos mas temos interesse
Não possuímos e não temos interesse
Não possuímos mas já temos um projeto de certificação em andamento
Possuímos a certificação ISO 27001:2005
Possuímos a certificação ISO 27001:2013
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Política de Segurança da Informação (PSI)
“Prover orientações da Direção e apoio para a segurança da informação de acordo
com os requisitos do negócio e com as leis e regulamentos relevantes”
63,11%
17,21%
19,67%
Sim
Em desenvolvimento
Não
A PSI é o principal ativo estratégico da Alta Direção para definição das diretrizes básicas
de Segurança da Informação.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Características e tipos de políticas de
Segurança da Informação
76,23% Dos conselhos
administrativos
auxliaram no
desenvolvimento da
política de SI
66,39% Das organizações
tiveram como
aprovadores finais da
política de SI a
Presidência/Alta
Direção
37,70% Das políticas são
revisadas anualmente,
enquanto 27,05% não
possuem periodicidade
definida
27,87% Das organizações
divulgam a política de
SI aos seus
fornecedores
70,49% A intranet é o meio
mais utilizado para
divulgação da política
de SI
38,02% É a porcentagem de
empresas que possui
política de uso
aceitável de ativos
30,58% Das organizações tem
uma política de
classificação da
informação definida
54,55% A classificação da
informação somente é
utilizada em pouco
mais da metade das
organizações
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
COMPETÊNCIAS E RESPONSABILIDADES
“As organizações devem determinar e prover recursos necessários para o
estabelecimento, implementação, manutenção e melhoria contínua da
segurança da informação.” Fonte: ISO 27001 – Requisito 7.1
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Competências e
responsabilidades
32% das organizações não definiram papéis e
responsabilidades;
Em 59,84% das organizações a contratação é
utilizada como o momento para comunicação dos
papéis e responsabilidades, embora em 23,77% das
organizações os mesmos não sejam comunicados;
A ação de conscientização mais utilizada (99,99%) é o meio eletrônico (e-mail) enquanto as demais ações
não ultrapassam a marca de 55% de utilização.
Em apenas 39,34% das organizações é utilizado um
processo disciplinar, e apenas 17,21% dos
respondentes acredita que é o mesmo seja seguido
corretamente.
Principais papéis definidos nas organizações
Analista de SI Proprietário deInformação
Usuário deInformação
39,3%
41,0%
41,8%
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Principais certificações dos pesquisados
0,89%
0,89%
0,89%
0,89%
0,89%
0,89%
2,68%
2,68%
2,68%
2,68%
3,57%
4,46%
5,36%
6,25%
6,25%
7,14%
7,14%
8,04%
25,89%
55,36%
57,14%
ABCP (DRII)
Agile Scrum
Integrator Cloud Service
ISMES (EXIN - ISO 27002 Expert)
ITIL Expert
ITMP
CISA (ISACA)
CISM (ISACA)
Green IT
Security +
ITIL Practicioner
CRISC (ISACA)
Certificações Microsoft
CISSP (ISC2)
ISO 20000
ISMAS (EXIN - ISO 27002 Advanced)
PMP (PMI)
Lead Auditor (BSI)
Cobit Foundation (ISACA)
ISFS (EXIN - ISO 27002 Foundation)
ITIL Foundation
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
1
5
9
12
29
76
84
Continuidade de Negócios
Gestão de Riscos
Gerenciamento de Projetos
Auditoria
Governança de TI
Gestão de Serviços de TI
Segurança da Informação
Principais certificações dos pesquisados
Por domínio:
39% 39%
22%
Básico Intermediário Avançado
Apenas 16,96% dos pesquisados ainda não possui nenhum tipo de certificação reconhecida
internacionalmente.
Por nível:
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Gestão de Ativos
“Associados à informação, recursos e processamento da informação, os ativos
devem ser identificados, e um inventário dos mesmos deve ser estruturado
e mantido.” Fonte: ISO 27001 – Anexo A 8.1.1
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“Brasil já é 4ª economia digital no mundo e representa 60% das transações na América Latina.”
Fonte: FECOMERCIO SP
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Gestão Ativos + BYOD
BYOD e Ativos Corporativos
Em 25,41% existe políticas relacionadas ao tema e 46,72% das
organizações permitem acesso aos dados externos.
Mesmo nas organizações em que não é permitido o acesso aos
dados, 45,90% dos entrevistados acreditam que seja possível o
acesso.
Sua empresa faz uso de dispositivos móveis no
ambiente de trabalho?
3,3%
36,9%
59,8%
Não
Apenas dispositivos Corporativos
Dispositivos Corporativos e Pessoais
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Controles de Segurança da Informação
“Controlar é comparar o resultado das ações,
com padrões previamente estabelecidos, com
a finalidade de corrigi-las se necessário” Fonte: Wikipedia
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Controles de Segurança
da Informação
Vazamento de informações Os controles mais utilizados contra vazamento de informação são a
conscientização (57,02%) e a
criptografia (44,63%);
Acesso lógico
28,10% das organizações não adotam controles de gestão de
acesso, enquanto que
33,88% utilizam trilhas de auditoria e revisão manual;
Acesso físico
10,74% não utilizam controles de acesso físico.
Códigos maliciosos, vírus, vermes...
57,02% disseminados nos principais ambientes;
31,40% Completamente disseminados; 4,96% apenas em ambientes críticos
6,61% não usam
Cópias de Segurança (Backup) e Restauração
23,97% acreditam que irão proteger a organização em
caso de falhas nos ambientes produtivos.
48,76% armazenamento em locais fora do escritório,
16,53% realizam seus backups em nuvem privada.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“Responsabilidades e procedimentos
devem ser estabelecidos para assegurar
respostas rápidas e efetivas aos
incidentes de SI” ISO 27001:2013
Das empresas entrevistadas apenas 36,36% possui um processo formal para gestão de
incidentes de SI.
A frequência na qual os incidentes são relatados é
baixa 56,20%.
Mais de 50% dos entrevistados considera o
impacto operacional dos incidentes, embora
54,55% não saiba informar como é considerado
o impacto financeiro.
Impactos mais severos segundo os respondentes:
Gestão de Incidentes
35,54%
25,62%
13,22%
Operacionais Marca/Reputação Financeiros
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Plano de Continuidade de Negócios
"81% dos gestores cujas organizações ativaram os seus acordos de
continuidade dos negócios nos últimos 12 meses disseram que isto foi
eficaz na redução de paralisações.
Em resumo: a continuidade dos negócios funciona.”
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Continuidade de
negócios
55,46% das organizações afirma
possuir um plano de continuidade, e
42,86% considera em seu plano
pessoas, processos e tecnologia
52,10% das organizações não realizam
testes de seus planos. 19,33% (maior
índice de testes) realiza anualmente.
Mais de 35% não possuem local
alternativo para recuperação.
47,90% das organizações
contemplam aspectos de segurança
da informação em seus planos de
continuidade de negócio;
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Análise de vulnerabilidade
“O objetivo da Análise de vulnerabilidade é reduzir o risco em relação aos incidentes de segurança, seja tanto na rede interna quanto na
externa, é necessário detectar essas possíveis falhas e corrigi-las para garantir que a rede esteja em um nível de segurança adequada.”
37,8% das empresas não realizam
análise de vulnerabilidade técnica!
2,52%
4,20%
15,13%
15,97%
24,37%
37,82%
Não soubeinformar
Bienal
Anual
Semestral
Mensal
Não Realiza
Quando realizadas, as mesmas são concretizadas por
equipe interna em 46,22% das vezes.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“As organizações
devem conduzir
auditorias a
intervalos
planejados para
prover
informações
sobre o quanto a
gestão de
segurança
encontra-se em
conformidade e
está sendo
mantida.” Fonte: ISO 27001 – Requisito 9.2
Bienal Mensal Semestral Anual Não é realizada
4,2% 5,0%
20,2%
23,5%
47,1%
Auditorias internas para S.I.
✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Pesquisa Nacional de Segurança da Informação
“A segurança da informação é obtida da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.
Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados,
onde é necessário para garantir que os objetos do negócio e de segurança da organização sejam atendidos.” NBR ISO/IEC 27002:2005
Avenida Pualista 1009 - 11º andar
CEP 01311-100 – Bela Vista - SP Brasil
[email protected] | www.daryus.com.br
As implicações para o seu negócio:
Por mais que os resultados aqui apresentados possam ser
interessantes, eles não representam o roteiro padrão de
execução para a sua empresa ou para qualquer outra.
Você pode usar estas informações como suporte na
definição de uma visão de futuro para o seu programa de
segurança da informação.
Apoio: Realização