GISS Portugues

Ideias e informaes sobre o risco de TI

Novembro de 2012

O desafio da reduo dos gaps de Segurana da InformaoPesquisa Global de Segurana da Informao Ernst & Young 2012

ndice

A velocidade das mudanas, um gap cada vez maior 3Inconcebvel h alguns anos, a velocidade das mudanas na segurana da informao vertiginosa. A 15a Pesquisa Global Anual de Segurana da Informao sugere que, embora as organizaes adotem medidas para aprimorar as capacidades de segurana da informao, poucas conseguem acompanhar um cenrio de riscos em constante mudana.

Por que o gap aumentou 11O gap entre a situao atual e a situao ideal da segurana da informao deve-se a uma ampla combinao de fatores nas reas de alinhamento, pessoal, processos e tecnologia. Intervenes indesejveis dos governos e novas presses regulatrias tornaro o gap cada vez maior entre a vulnerabilidade e a segurana de informaes vitais.

Uma transformao fundamental 35Mudanas incrementais de curto prazo e solues temporrias no so suficientes. A nica forma de reduzir o gap transformar a arquitetura e o modelo de comunicao do departamento de segurana da informao.

Concluso: faa a transio, reduza o gap 43Implantar a transformao na segurana da informao, com o objetivo de reduzir a crescente lacuna entre vulnerabilidade e segurana, no requer solues tecnolgicas complexas. Na verdade, requer liderana, compromisso, capacidade e coragem para agir no daqui a um ou dois anos, e sim agora.

Metodologia da pesquisa 44

Ideias e informaes sobre o risco de TI | Pesquisa Global de Segurana da Informao Ernst & Young 2012 | 1

Bem-vindo

A Pesquisa Global de Segurana da Informao da Ernst & Young uma das mais antigas, reconhecidas e respeitadas pesquisas anuais do gnero. Completando 15 anos de existncia, o estudo j ajudou clientes a centrar esforos nos riscos mais graves, identificar pontos fortes e fraquezas e aprimorar a segurana da informao.

Convidamos CIOs, CISOs, CFOs, CEOs e outros executivos da rea de segurana da informao para participar da pesquisa. Recebemos respostas de 1.836 participantes em 64 pases, de todos os setores da economia.

Nesta edio do relatrio, comeamos com uma retrospectiva para entender os avanos das organizaes no aprimoramento dos programas de Segurana da Informao. Descobrimos que, embora muitas empresas tenham avanado nas medidas para proteger dados, elas no conseguem acompanhar o ritmo e a complexidade das mudanas.

A cada ano, a velocidade e a complexidade aumentam, criando um gap entre a situao atual do programa de segurana da informao das empresas e a situao ideal. H oito anos, o gap era pequeno. Hoje, um abismo.

As origens desse gap so to intrincadas quanto variedade das questes enfrentadas pelos profissionais de Segurana da Informao. Contudo, com base nos resultados da pesquisa, tais questes podem ser organizadas em quatro categorias distintas: alinhamento, pessoal, processos e tecnologia. O que ainda no pode ser dividido em categorias so as questes que despontam no horizonte, sob a forma de intervenes dos governos e novas presses regulatrias para enfrentar os riscos Segurana da Informao.

Solues de curto prazo e recursos temporrios no bastam. As empresas que lutam para reduzir o gap criado por computao mvel, redes sociais, computao em nuvem, crimes cibernticos e ameaas grandes e persistentes precisam mudar radicalmente a estratgia de segurana da informao. Esta edio da pesquisa mostra o que uma transformao radical e as medidas que as empresas devem adotar para ser bem-sucedidas.

Gostaria de enviar um agradecimento pessoal a todos os participantes da pesquisa, que concordaram em compartilhar ideias e experincias. Estamos ansiosos para aprofundar a discusso sobre as implicaes das descobertas da pesquisa com os nossos clientes atuais e futuros, rgos reguladores e governos, bem como com analistas e universidades.

Paul van Kessel

Lder global de servios de Auditoria e Riscos em TI da Ernst & Young

Paul van KesselLder global de servios de Auditoria e Riscos em TI da Ernst & Young

Perguntas para os altos executivos

O que sua empresa fez para ajustar a Segurana da Informao de modo a enfrentar um ambiente em transformao?

A empresa implantou as melhorias necessrias na segurana da informao para acompanhar o ritmo das mudanas?

Quais foram os impactos da mudana nos nveis de segurana?

Sua organizao fez o suficiente?

Os objetivos e as medidas relacionados Segurana da Informao esto alinhados estratgia de negcios?


A velocidade das mudanas, um abismo cada vez maiorVirtualizao, computao em nuvem, redes sociais, aparelhos mveis, o desaparecimento dos limites que separavam as atividades empresariais e pessoais de TI: a velocidade das mudanas na Segurana da Informao pode ser atordoante se pensarmos na rapidez e em quanto a tecnologia evoluiu num curto espao de tempo. A ascenso dos mercados emergentes, a crise financeira e o offshoring s aumentam a complexidade e a permanente evoluo das questes relacionadas Segurana da Informao e a urgncia em resolv-las. As empresas melhoraram consideravelmente os programas de Segurana da Informao, para enfrentar ameaas cada vez maiores. Acrescentaram novas funes aos sistemas, redefiniram estratgias, implementaram novos componentes e contrataram mais pessoal. claro que esses ajustes graduais aprimoraram os recursos dos programas de Segurana da Informao, mas isso no o bastante. Na verdade, os resultados da pesquisa sugerem que, embora as organizaes estejam adotando muitas medidas para melhorar esse aspecto, poucas conseguem acompanhar tudo o que ocorre sua volta. E menos empresas ainda tm a capacidade de se adiantar o suficiente para prever no apenas as ameaas de hoje, mas tambm as de amanh.Nas prximas pginas, mapeamos a evoluo e as tendncias de Segurana da Informao de 2006 at o presente e falamos sobre o que ainda precisa ser feito para reduzir o gap entre vulnerabilidade e segurana.

4 | Ideias e informaes sobre o risco de TI | Pesquisa Global de Segurana da Informao Ernst & Young 2012

Temas da pesquisa de segurana da informao

Medidas recomendadas

Principais tendncias

Impacto sobre as organizaes

Atingir sucesso num mundo globalizado

Atingir o equilbrio entre risco e desempenho

2006 Envolver-se proativamente no cumprimento

das exigncias regulatrias

Aprimorar a gesto de risco de relacionamentos com terceiros

Aumentar investimentos em privacidade e na proteo de dados pessoais

2007 Alinhar a segurana da informao

aos negcios

Enfrentar o desafio de preencher cargos ligados segurana da informao

2008 Adotar uma viso centrada no negcio Manter investimentos em segurana

da informao, mesmo diante de presses econmicas

Investir em programas de treinamento e conscientizao, para que o fator humano deixe de ser o elo mais fraco da corrente

2009 Considerar o co-sourcing para enfrentar a

falta de recursos e os oramentos apertados

Avaliar o impacto potencial das novas tecnologias e a capacidade de a empresa proteger seus ativos

Conhecer os riscos impostos pelas crescentes ameaas externas e internas

Ir alm da conformidade

Superar o ritmo das mudanas

Antes de 2006, a Segurana da Informao era vista principalmente como um importante componente na mitigao de riscos financeiros e no cumprimento de novas exigncias regulatrias, como a SOX 404.

Depois de 2006, o escopo da segurana da informao foi expandido em duas direes

1. A Segurana da Informao precisava proteger as organizaes de forma mais ampla, principalmente num mundo globalizado

2. A Segurana da Informao precisava de um retorno claro de investimento, e isso exigiu um alinhamento entre risco e desempenho.

Em 2008, a Segurana da Informao avanou para alm da conformidade. Proteger marcas e reputaes tornou-se a grande motivao, num ambiente repleto de crescentes ameaas. Identificar e administrar novos riscos e utilizar a tecnologia para garantir a segurana dos negcios tambm eram pontos centrais.

Ao mesmo tempo, o mundo mudou de forma radical:

A crise financeira e a desacelerao econmica atingiram em cheio muitas organizaes.

Os mercados emergentes ganharam destaque.

O ambiente competitivo mudou.Para enfrentar esses desafios, as empresas se concentraram em reformar, reestruturar e reinventar-se, com o objetivo de acompanhar o ritmo das novas exigncias e as presses de custos cada vez maiores.

Baixo AltoVelocidade da mudana Complexidade da resposta Gravidade do impacto


2006 2007 2008 2009

Moving beyond compliance Ernst & Youngs 2008 Global Information Security Survey

Outpacing changeErnst & Youngs 12th annual global information security survey


Temas da pesquisa de segurana da informao

Medidas recomendadas

Principais tendncias

O impacto sobre as organizaes

2010 Enfrentar os riscos associados

s tecnologias emergentes

Ampliar os investimentos em ferramentas de preveno de perda de dados

Adotar uma viso da segurana centrada em informaes mais alinhadas ao negcio

2011 Trazer a Segurana da Informao

para a mesa do conselho

Proteger as informaes mais importantes Adotar a criptografia como controle bsico Centrar esforos no que mais importante

2012 Continuar considerando a Segurana da

Informao uma prioridade que deve chegar mesa do conselho

Desenvolver uma estratgia integrada em torno dos objetivos corporativos e considerar o panorama de risco como um todo

Usar a anlise de dados para testar o ambiente de risco e entender os dados que precisam de mais proteo

Usar previses oramentrias num horizonte de trs a cinco anos, para garantir o planejamento de longo prazo

Inovar, inovar, inovar Comear a trabalhar com transformaes

fundamentais, conforme descreveremos mais adiante nesta pesquisa

Segurana sem fronteiras

Dentro da nuvem e longe da nvoa

O gap na segurana da informao

Com a economia global ainda em processo de recuperao, e num ambiente com presses permanentes de custos e recursos escassos, duas novas ondas de mudana surgiram:

1. As organizaes comearam a entender que a globalizao leva os dados a todos os lugares. Com frequncia cada vez maior, os funcionrios enviavam dados pela internet a parceiros de negcios, ou levavam consigo dados em aparelhos mveis. Os limites tradicionais das empresas desapareciam junto com os velhos paradigmas de segurana.

2. O processamento de dados passou para a nuvem. As organizaes compreenderam as necessidades de segurana relacionadas terceirizao de TI. Adotar a nuvem exigia que os responsveis pela Segurana da Informao redefinissem sua estratgia.

A velocidade e a complexidade das mudanas crescem em ritmo vertiginoso:

Virtualizao, computao em nuvem, redes sociais, dispositivos mveis e outras tecnologias novas e emergentes abrem as portas para uma onda de ameaas internas e externas.

Mercados emergentes, a contnua instabilidade econmica, offshoring e as crescentes exigncias regulatrias aumentam a complexidade do j difcil ambiente de Segurana da Informao.

As organizaes deram grandes passos para aprimorar os recursos de Segurana da Informao. Apesar disso, continuam para trs, criando um gap crescente na Segurana da Informao.



2010 2011 2012

2012Into the cloud, out of the fog Ernst & Youngs 2011 Global Information Security SurveyInsights on IT risk

Business briefingNovember 2011

Borderless securityErnst & Youngs 2010 Global Information Security Survey

Insights on IT risk Business briefing

November 2012

Fighting to close the gapErnst & Youngs 2012 Global Information Security Survey


Melhorias adotadas pelas empresasComo reao s principais recomendaes feitas ao longo dos anos, as organizaes aprimoraram significativamente os programas de Segurana da Informao, de modo a enfrentar as mudanas em um ambiente de risco.

Talvez a evoluo mais importante ocorrida entre 2006 e os dias de hoje tenha sido a mudana no modo de olhar das empresas para a Segurana da Informao. At h algum tempo chamada de segurana de TI, a responsabilidade pela proteo dos dados de uma organizao cabia apenas ao departamento de TI. Mas isso mudou. Hoje, as empresas entendem que a segurana dos dados um imperativo da estratgia de negcios e exige uma resposta corporativa, alinhada questo mais ampla da Segurana da Informao em toda a estrutura organizacional.

Outros avanos incluram:

Maior cumprimento das exigncias regulatrias Durante anos, as ameaas externas de programas maliciosos e vrus estiveram no centro da Segurana da Informao. Tudo mudou em 2005, quando o cumprimento das exigncias regulatrias tornou-se assunto na mesa do conselho. Desde ento, a conformidade com as regulaes tornou-se a principal fora motriz da Segurana da Informao para cerca de 80% dos participantes na pesquisa. A nica exceo foi o ano de 2008, quando a questo de marca e reputao apareceu como mais importante.

A adeso mais slida s exigncias regulatrias melhorou consideravelmente a administrao do risco relacionado segurana da informao. Por exemplo: no setor de servios financeiros um dos mais regulamentados , os bancos dos Estados Unidos discutem uma possvel colaborao para identificar formas de enfrentar os riscos impostos segurana da informao, mesmo sendo concorrentes. A Segurana da Informao est na pauta do presidente Barack Obama, dos Estados Unidos, da presidente Dilma Rousseff, do Brasil, e os bancos tentam melhorar a governana da gesto do risco da Segurana da Informao antes que os reguladores o faam.

Maior transparncia Em 2008, apenas 18% dos participantes indicaram que a Segurana da Informao era parte integrada da estratgia de negcios, e 33% sugeriram que a estratgia de segurana da informao era integrada estratgia de TI. Em 2012, esses nmeros saltaram para 42% e 56%, respectivamente.

At onde as empresas devem ir?


Ameaas imprevisveis e diversasAo longo das ltimas dcadas, a civilizao tornou-se mais dependente de infraestruturas grandiosas, centradas em TI. O presidente Barack Obama escreveu recentemente num artigo: At o momento, ningum conseguiu causar danos ou interrupes graves s redes crticas de infraestrutura do pas. Mas governos estrangeiros, grupos criminosos e indivduos isolados esto sondando diariamente nossas finanas, nossa energia e nossos sistemas pblicos de segurana... Uma derrubada

dos sistemas bancrios essenciais poderia desencadear uma crise financeira. (Barack Obama, Levando a srio a ameaa de ataque ciberntico, The Wall Street Journal, 19 de julho de 2012.)

As fontes de ameaas catastrficas so consideradas cada vez mais imprevisveis e diversas ataques apoiados por governos, crime organizado, ativistas hackers, desastres naturais, terrorismo. A resilincia organizacional o objetivo almejado, principalmente no caso

de redes crticas de estrutura. O termo resilincia uma descrio, e no uma receita pronta, que denota a capacidade de uma empresa resistir a interrupes e garantir prosperidade a longo prazo.

Fica a questo: ser que uma ocorrncia ciberntica relacionada segurana poderia causar outro evento catastrfico na mesma escala do 11 de Setembro? Isso daria prioridade imediata aos riscos de alto impacto e baixa ocorrncia os mais difceis de analisar e mitigar.

Desenvolver uma estratgia de Segurana da Informao integrada fundamental para garantir uma viso abrangente do panorama de risco, e tambm para enfrentar esses riscos. Organizaes lderes j reconheceram essa necessidade e trabalham com afinco para que a Segurana da Informao esteja atrelada s estratgias de negcios e de TI.

A crescente importncia da gesto da continuidade dos negciosO tema da continuidade dos negcios relacionada Segurana da Informao comeou a aparecer em 2006. Em 2008, o departamento de TI era visto como o principal responsvel pela gesto da continuidade dos negcios - enquanto a prioridade era mais a recuperao em caso de desastres.

Em 2012, as organizaes classificaram a continuidade dos negcios como a segunda funo mais importante dentro de uma empresa. Contudo, preciso fazer mais, e 47% dos entrevistados declararam esperar gastar mais neste ano para garantir a continuidade dos negcios e a recuperao em caso de desastres

A reao s novas tecnologias As empresas tiveram de reagir com rapidez s novas tecnologias. Em 2006, os smartphones eram usados principalmente por executivos, e os tablets no existiam como produto vendido comercialmente. Os riscos ligados aos aparelhos mveis, s redes sociais e nuvem no eram prioritrios para quase ningum, pois ainda no haviam entrado no ambiente corporativo.

Desde ento, a proliferao dos aparelhos e das redes mveis, bem como a tnue fronteira entre seu uso profissional e pessoal, foraram as empresas a implantar, com urgncia, polticas relativas aos riscos associados evoluo das tecnologias. As organizaes vm ajustando as polticas, adotando programas de conscientizao e, no caso da computao na nuvem, aprimorando a superviso do processo de gesto de contratos com provedores desses servios. Alm disso, esto melhorando as tcnicas de criptografia.


Ameaas velozesApesar de todos os investimentos que as empresas vm fazendo para melhorar, o ritmo das mudanas cada vez mais acelerado.

Em 2009, 41% dos entrevistados notaram um aumento nos ataques externos. Em 2011, esse nmero saltou para 72%. Em 2012, o nmero de participantes que apontou um aumento nas ameaas externas passou para 77%. Exemplos do aumento nas ameaas externas incluem ativismo dos hackers, espionagem apoiada por governos, crime organizado e terrorismo.

Ao longo do mesmo perodo, as organizaes tambm notaram um aumento de vulnerabilidades no ambiente interno. Nesta edio da pesquisa, quase metade dos entrevistados (46%) afirma que houve aumento, e 37% apontam o descuido ou a falta de ateno dos funcionrios como a ameaa que mais cresceu ao longo dos ltimos 12 meses. Curiosamente, em termos relativos esse nmero no muito inferior aos 50% que citaram, na pesquisa de 2008, a conscientizao dentro da empresa como o desafio mais importante para concretizar iniciativas bem-sucedidas de Segurana da Informao.

O gap remanescenteEste estudo mostra claramente que as ameaas crescem em ritmo bem mais acelerado do que as melhorias adotadas pelas organizaes. Mais preocupante o fato de que, em algumas reas crticas, as melhorias no s foram pequenas, como existe uma estagnao ou at uma reduo na implantao de importantes iniciativas de Segurana da Informao.

Essas questes incluem:

Alinhamento da estratgia de Segurana da Informao ao negcio Recursos suficientes para capacitao e treinamento adequados Processos e arquitetura Novas tecnologias em desenvolvimentoEsses so temas sobre os quais fazemos relatrios frequentes, e para os quais j fornecemos recomendaes em estudos anteriores.

Na falta de aes adequadas e efetivas, o gap entre os nveis necessrios para acompanhar as ameaas e vulnerabilidades e os nveis reais de Segurana da Informao continua a aumentar. Se no derem ateno a isso, as empresas correm riscos que podem causar impacto em suas marcas e at mesmo na participao de mercado.

Para o CIO de hoje, normal pensar que rpido no rpido o bastante. O mesmo raciocnio vale para a segurana da informao.Paul van KesselLder global de servios de Auditoria e Riscos em TI da Ernst & Young


2006 2012

Melhoria

s reais ap

licadas

seguran

a da inf

ormaoNe

cessid

ade de

melho

ria co

m base

nas a

meaa

s cres

centes

Setor de servios financeiros tenta equilibrar risco e crescimento na regio sia-Pacfico

Na regio sia-Pacfico, o setor de servios financeiros est de fato interessado em assumir riscos adicionais de negcios desde que sejam mensurados. As empresas esperam

aumentar as receitas ou expandir sua participao nos pases asiticos. Embora os crticos possam dizer que essa uma estratgia de negcios admirvel, as organizaes devem pensar nas

consequncias relativas ao cumprimento das inmeras exigncias regulatrias em centros regionais, como Cingapura, Hong Kong e Filipinas.

Nvel atual de segurana da informao

Nvel necessrio de segurana da informao

O gap


Por que o gap aumentouO gap entre onde Segurana da Informao est e onde deveria estar no fruto de uma s questo. resultado de uma gama de fatores relacionados a alinhamento estratgico organizacional, pessoas, processos e tecnologia. No entanto, ainda no possvel definir categorias para questes que vm surgindo, na forma de interveno governamental e novas presses regulatrias para que o risco da Segurana da Informao seja enfrentado.

Ameaas reconhecidas que afetam a organizao

Panorama de risco: 2006-2011

Panorama de risco: 2012 e almAmeaas novas, maiores, mais perigosas e de impacto mais rpido

Questes ligadas segurana

da informao:

alinhamento; pessoal; processo

e tecnologia

Efi c

cia da

segurana da informao

Efi ccia da segurana da info

rm

ao


Um alinhamento desequilibradoDurante anos, a Ernst & Young afirmou que a Segurana da Informao precisa de um posicionamento estratgico que v alm do departamento de TI. Deve tornar-se uma prioridade no conselho, e os executivos da rea devem ter lugar garantido na mesa onde as decises so tomadas. H algum tempo, os executivos de Segurana da Informao vm dando importantes passos para atingir essa visibilidade, essa responsabilidade e esse valor. Entretanto, em anos recentes, fatores como o aumento das ameaas, instabilidade econmica, mercados emergentes, offshoring e novas tecnologias aumentam a complexidade dessa rea de atuao, e a segurana da informao se v obrigada a competir com outras prioridades da diretoria. Como resultado, embora a segurana da informao esteja avanando na direo certa, talvez no receba toda a ateno necessria para acompanhar o ritmo das mudanas.

A necessidade de um alinhamento mais amploA pauta de Segurana da Informao continua sendo comandada por TI, e no fundamentada na estratgia de negcios da organizao.

Uma estratgia eficaz de Segurana da Informao precisa se estender por todo o negcio e funcionar em unssono com diversas reas. Por isso, fundamental que seus objetivos estejam alinhados no apenas aos objetivos de negcios de toda a organizao, mas tambm aos diversos objetivos departamentais e funcionais.

Entre 2008 e 2012, o nmero de entrevistados que afirmaram que a estratgia de segurana da informao est alinhada estratgia de TI aumentou de 33% para 56%, o que surpreendente. No mesmo perodo, o nmero de participantes que afirmaram que a estratgia de Segurana da Informao est alinhada estratgia de negcios aumentou de 18% para 42%.

Contudo, em 2012:

Pouco mais de um tero (38%) alinhou a estratgia de Segurana da Informao disposio e tolerncia a riscos dentro da empresa.

Pouco mais da metade (54%) afirmou realizar discusses trimestrais ou mais frequentes sobre temas relacionados Segurana da Informao nas reunies do conselho. Os 46% restantes quase nunca ou nunca discutem o assunto com a alta administrao do organograma da empresa.

42%afirmam que a estratgia de Segurana da Informao da empresa est alinhada estratgia de negcios

38%afirmam que a estratgia de Segurana da Informao da empresa est alinhada disposio por riscos da organizao

56%dos entrevistados afirmam que a estratgia de Segurana da Informao da empresa est alinhada estratgia de TI


Governana e monitoramento de responsabilidadesApenas 5% tm a Segurana da Informao subordinada ao CRO (chief risk officer) o maior responsvel pela gesto do perfil de risco da empresa.

Considerando que a Segurana da Informao continua sendo responsabilidade de TI dentro de tantas empresas, no surpreende que 63% dos entrevistados tenham indicado que suas organizaes conferiram a responsabilidade pela rea ao departamento de TI.

Esse departamento, sem dvida, entende do assunto e sabe as ameaas que enfrenta. Mas depender de uma estratgia de segurana da informao to subordinada a TI pode impedir a eficiente avaliao, medio e alinhamento s prioridades de negcios.

Alguns CIOs fazem a ponte entre o negcio e a tecnologia necessria para alinhar a Segurana da Informao s estratgias de negcios e TI. Mas, aliando os conhecimentos de TI a um olhar de fora, as organizaes podem aprimorar a eficcia geral da Segurana da Informao.

Ajudam a criar e manter medies precisas e alinhadas aos objetivos de negcios

Asseguram uma avaliao objetiva da eficcia da Segurana da Informao Resolvem questes relacionadas tomada de decises, antecipam potenciais

conflitos de interesse e facilitam discusses ligadas s prioridades que, de outra forma, poderiam representar desafios caso fossem conduzidas apenas por TI

importante notar que 26% das empresas delegaram a responsabilidade pela segurana da informao ao CEO, CFO ou COO, transformando o assunto em prioridade para os altos executivos. Mas apenas 5% tm a segurana da informao subordinada ao CRO (chief risk officer) o maior responsvel pela gesto do perfil de risco da organizao.

Essa deciso importante na hora de selecionar ferramentas, processos e mtodos adequados para monitorar ameaas, medir o desempenho e identificar gaps de cobertura. Tradicionalmente, o departamento de TI no tem um mecanismo formal para avaliao de cenrios de risco o que essencial para a rea responsvel por gesto dos riscos da empresa. Talvez isso explique por que 52% das empresas no tenham um programa de controle de ameaas em vigor no momento.

Sem uma estratgia disciplinada para pesquisa e monitoramento de ameaas, a rea de TI no apenas ser incapaz de enfrentar proativamente as ameaas atuais como tambm no conseguir prever as ameaas espreita. Isso aumenta ainda mais o gap.

63%das empresas confiaram rea de TI a responsabilidade pela Segurana da Informao

26%das empresas confiaram ao CEO, CFO ou COO a responsabilidade pela Segurana da Informao

5%das empresas confiaram ao CRO (chief risk officer) a responsabilidade pela Segurana da Informao


Avaliaes conduzidas pela rea de auditoria interna 68%

Autoavaliaes feitas por TI ou pela rea de segurana da informao 64%

Avaliaes feitas por terceiros 56%

Monitoramento e avaliao de incidentes e eventos de segurana 48%

Em conjunto com a auditoria externa responsvel pelo balano financeiro 35%

Benchmarking em relao a pares/concorrncia 27%

Avaliao do desempenho operacional da segurana da informao 19%

Certificao formal de acordo com normas externas de segurana (ex.: ISO/IEC 27001:2005) 15%

Certificao formal de acordo com as normas de segurana do setor (ex.: Padro de Segurana de

Dados do Setor de Cartes de Pagamento)15%

Avaliao dos custos de segurana da informao 14%

Avaliao de desempenho do retorno sobre investimento (ou similar, como o Rosi Retorno sobre Investimento em Segurana)

5%

Nenhuma avaliao foi feita 4%

Os diversos meios usados para monitorar a Segurana da Informao dificultam ainda mais a clareza da avaliao. Conforme demonstra o grfico abaixo, a maioria das empresas utiliza uma auditoria interna (68%) para avaliar a eficincia da Segurana da Informao. Uma porcentagem um pouco menor (64%) usa a rea de TI ou a prpria Segurana da Informao para realizar autoavaliaes.

De fato, a proliferao das ameaas e o crescente gap entre vulnerabilidade e segurana exigem mais de uma fonte de avaliao. O ideal seria as empresas utilizarem as quatro principais tcnicas identificadas: avaliao por auditoria interna; autoavaliao; avaliao por terceiros e monitoramento e avaliao de incidentes de segurana. Organizaes de alto desempenho usam uma combinao de duas ou mais tcnicas de avaliao para determinar a eficincia da segurana da informao. Com base na alta porcentagem observada nas quatro principais opes de avaliao, possvel concluir que muitos entrevistados so empresas de alto desempenho.

Infelizmente, um bom desempenho nas avaliaes no basta para proteger algumas reas de segurana da informao de crticas a seu desempenho como um todo. Apenas 16% dos participantes declaram que a rea de segurana da informao atende completamente s necessidades da empresa; 70% dizem que a rea de segurana da informao atende parcialmente a essas necessidades e afirmam que melhorias esto a caminho.

Como a sua empresa avalia a eficincia da Segurana da Informao? Escolha todas as respostas que se apliquem ao seu caso.

70%dos entrevistados dizem que a rea de Segurana da Informao atende apenas parcialmente s necessidades da empresa e que h melhorias sendo feitas


Um cenrio de risco em transformao possvel adotar medidas fsicas para evitar aes criminosas. Mas frequentemente mais difcil evitar incompetncia, maldade ou vingana.

As empresas reconhecem que o cenrio de risco est mudando. Cerca de 80% concordam que h um nvel crescente de ameaas externas, e quase metade afirma que a vulnerabilidade interna cada vez maior.

Alm disso, 31% dos entrevistados observaram um aumento no nmero de incidentes de segurana em relao a 2011, enquanto apenas 10% sentiram uma reduo desse fator. O nmero de incidentes ficou estvel de acordo 59%. Com o aumento na frequncia e no tipo de ameaas segurana da informao, e diante do nmero cada vez mais alto de incidentes, aumenta tambm o impacto das perdas provocadas pelas falhas na segurana.

Ameaas externas no so o nico gap de segurana enfrentado pelas organizaes. O volume de perdas no intencionais de dados provocadas pelos funcionrios tambm est crescendo.

Gesto eficiente, treinamentos e conscientizao podem frear a crescente ocorrncia de perda de dados, e possvel adotar medidas fsicas para evitar atos criminosos. Mas com frequncia mais difcil evitar as aes de pessoas determinadas a causar danos por aes maliciosas, vingana ou ganncia.

A segurana da informao prioridade para profissionais de auditoria internasEm 2012, a Ernst & Young encomendou uma pesquisa global para estudar a evoluo no papel da auditoria interna. Quase metade dos entrevistados (48%) declarou que o risco segurana da

informao e privacidade era prioridade absoluta dentro da empresa. Na verdade, 14% dedicam entre 10% e 20% de seu tempo de auditoria ao risco da segurana da informao e pretendem continuar

a fazer isso durante os prximos dois anos. Para ler o relatrio The future of internal audit is now, acesse www.ey.com/internalaudit.

The future of internal audit is nowIncreasing relevance by turning risk into results

Insights on riskJuly 2012

Mudanas no cenrio de risco nos ltimos 12 meses

As empresas tm de deixar para trs a ideia de proteger o permetro de segurana e passar a proteger informaes. Tudo se resume a centrar esforos no alvo correto.Manuel Giralt HerreroLder de servios de auditoria e riscos em TI para a regio EMEIA (Europa, Oriente Mdio, ndia e frica) da Ernst & Young

Nvel de risco decrescente devido a:

18%6%Reduo nas ameaas externas

Reduo na vulnerabilidade interna

Nvel de risco crescente devido a:

77%46%

Aumento nas ameaas externas

Aumento na vulnerabilidade interna


O investimento aumentou. Mas ser que o dinheiro bem empregado? Os participantes da pesquisa classificam a gesto da continuidade dos negcios como a maior prioridade de investimentos para os prximos 12 meses.

Em todo o mundo, as empresas registram um aumento nos nveis de ameaas e reagem gastando mais e ajustando prioridades:

44% dos entrevistados vo manter inalterado o oramento ao longo dos prximos 12 meses

30% preveem um aumento de 5% a 15% no oramento para segurana da informao

9% preveem um aumento de 25% ou mais no oramento para segurana da informao

Do ponto de vista oramentrio, o volume varia muito:

32% investem US$ 1 milho ou mais em Segurana da InformaoConforme mostra o grfico direita, a rea prioritria para investimentos ao longo dos prximos 12 meses (apontada por 51% dos entrevistados) a gesto da continuidade dos negcios e a recuperao em caso de desastres. Em 2011, essa porcentagem era de 36%. Isso reflete nossa afirmao, j destacada neste relatrio, de que as organizaes trabalharam com afinco para avanar na rea da continuidade dos negcios. Esperamos que seja tambm, ao menos em parte, uma reao aos acontecimentos prejudiciais e por vezes catastrficos dos ltimos anos terremotos, incndios, furaces e tsunamis que enfraqueceram a tecnologia, destruram cadeias de fornecimento e dizimaram receitas.

interessante observar que a segunda prioridade apontada pelos entrevistados foi a remodelagem do programa de segurana da informao. Isso mostra que as empresas lderes reconhecem a existncia do gap descrito no primeiro captulo do relatrio. Essas empresas compreendem que adotar solues pontuais ou melhorias temporrias no basta. Para enfrentar os problemas atuais preciso realizar uma transformao (ou uma mudana radical) na segurana da informao.

Por outro lado, os testes de segurana foram considerados alta prioridade por apenas 6% das empresas. As baixas porcentagens no final do grfico sugerem que os entrevistados sentem-se confiantes nessas reas acreditam estar fazendo o suficiente e, portanto, podem voltar a ateno para reas de maior prioridade.

Em relao s reas nas quais as empresas pretendem aumentar os investimentos em 2013, no surpreende que garantir novas tecnologias, continuidade nos negcios e recuperao em caso de desastre esteja no alto da lista de prioridades. Conforme mostra o grfico da pgina 19, mais de metade (55%) espera aumentar os gastos na compra de novas tecnologias. Uma porcentagem ligeiramente inferior (47%) planeja gastar mais na prioridade nmero um a continuidade dos negcios. Pouco mais de um quarto (26%) planeja gastar mais na sua prioridade nmero dois: a transformao da segurana da informao.

30%esperam um aumento de 5% a 15% no oramento para Segurana da Informao

44%dos entrevistados esperam manter inalterado o oramento para Segurana da Informao nos prximos 12 meses

32%gastam US$ 1 milho ou mais em Segurana da Informao

9%esperam um aumento de 25% ou mais no oramento para Segurana da Informao


Quais reas abaixo, ligadas segurana da informao, so definidas como prioridades essenciais para os prximos 12 meses?

Continuidade dos negcios/recuperao em caso de desastres

Transformao da segurana da informao (reformulao fundamental)

Vazamento de dados/preveno de perda de dados, tecnologias e processos

Adoo de normas de segurana (ex.: ISO/IEC 27002:2005)

Gesto do risco de segurana da informao

Garantir novas tecnologias (ex.: computao na nuvem, virtualizao e computao para aparelhos mveis)

Monitoramento de conformidade

Tecnologias e processos de gesto de identidade e acesso

Operaes de segurana (antivirus IDS IPS patching encryption)

Governana e gesto de segurana (ex.: gesto de programas de arquitetura de dados e de relatrios)

Privacidade

Atividades de segurana ligadas a offshoring/terceirizao

Apoio contra fraudes/investigao criminal

Recrutamento de pessoal de segurana

Gesto de eventos e incidentes de segurana

Capacitao para reagir a incidentes

Conscientizao e treinamento sobre segurana

Tecnologias e processos de gesto de ameaas e vulnerabilidade

Testes de segurana (ex.: ataques e invases)

Garantir processos de desenvolvimento (ex.: processos de garantia de qualidade para codificao segura)

Legenda: 1 2 3 4 5


Informao interessanteAs empresas que usam a concorrncia como base de referncia para avaliar a eficcia da segurana da informao relatam um impacto financeiro acima da mdia. importante notar ainda que

quase 25% de todos os entrevistados declaram desconhecer o impacto financeiro. Para organizaes que no fazem avaliao de eficcia (4% dos participantes na pesquisa), a porcentagem

dos que desconhecem o impacto de problemas de segurana da informao sobe para 40%.

Um paradigma completamente novo

Na guerra pela segurana dos dados de governos, as estatsticas mostram que os viles esto levando a melhor. Alguns especialistas em segurana afirmam que, para reverter essa tendncia, preciso adotar um paradigma completamente novo de segurana de TI.

O Government Accountability Office dos Estados Unidos (rgo do congresso americano responsvel por questes relativas ao recebimento e pagamento de recursos pblicos) informou que as violaes de dados federais envolvendo a divulgao no autorizada de informaes pessoalmente identificveis aumentaram 19% entre 2010 e 2011(1), num salto de 13.000 para 15.500 registros. As vtimas dessas violaes passam pelo menos alguns meses sem saber o que est acontecendo. Cerca de 123.000 contribuintes do Thrift Savings Plan (plano de penso para servidores pblicos americanos), cujos dados pessoais foram comprometidos numa violao ocorrida em julho de 2011, s foram avisados sobre o episdio em maio de 2012.

No o nico exemplo de casos do tipo. Em um artigo, o Washington Business Journal informou que a Agncia de Proteo Ambiental dos Estados Unidos (EPA) levou meses para notificar 5.100 funcionrios e 2.700 outros indivduos sobre uma violao na segurana de dados, em maro de 2012, que deixou expostos nmeros de CPF e informaes bancrias(2).

(1) GAO registra alta de 19% em violaes de dados, www.federaltimes.com; 31 de julho de 2012; http://federaltimes.com/article/20120731/IT01/307310003/Data-breaches-up-19-percent-GAO-reports

(2) Aitoro, Jill; Violao de segurana na EPA expe informaes pessoais de 8.000 pessoas; Washington Business Journal; www.bizjournals.com; 2 de agosto de 2012; http://www.bizjournals.com/washington/news/2012/08/02/epa-security-breach-exposes-personal.html.


Em comparao com o ano anterior, sua empresa planeja investir mais, aproximadamente a mesma quantia ou menos nas atividades abaixo ao longo do prximo ano?

Garantir novas tecnologias

Continuidade dos negcios/recuperao em caso de desastre

Vazamento de dados/tecnologias e processos de preveno de perda de dados

Tecnologias e processos de gesto de identidade e acesso

Conscientizao e treinamento de segurana

Gesto de risco de segurana da informao

Testes de segurana

Operaes de segurana

Governana e gesto da segurana

Tecnologias e processos de gesto de vulnerabilidade e ameaas

Monitoramento de conformidade

Gesto de eventos e incidentes de segurana

Adoo de normas de segurana

Capacidade de reao em caso de incidentes

Transformao da segurana da informao

Processos seguros de desenvolvimento

Privacidade

Recrutamento de pessoal de segurana

Apoio contra fraudes/investigao criminal

Atividades e segurana ligadas a offshoring/terceirizao

Legenda: Investir mais Investir o mesmo Investir menos


Recursos insuficientes, capacitao inadequada um mantra conhecido, principalmente nesta era de instabilidade econmica e reteno de custos: trabalho demais, recursos de menos. Entretanto, a falta de recursos apenas parte da histria. A Segurana da Informao no precisa apenas de mais dinheiro; ela requer pessoas com capacitao e treinamento adequados para enfrentar com rapidez as mudanas contnuas no cenrio da segurana da informao.

Limitao de recursosApenas 22% dos entrevistados indicam que planejam investir mais na rea nos prximos 12 meses.

Perguntados sobre as principais barreiras e obstculos que desafiam o trabalho da rea de Segurana da Informao, 43% dos entrevistados citaram a falta de mo de obra capacitada. Essa porcentagem sem dvida est ligada ao nico fator com pontuao ainda mais alta: as restries oramentrias. Porm, apenas 22% dos participantes na pesquisa planejam gastar mais na rea ao longo dos prximos 12 meses.

Treinamento limitado sobre conscientizao de seguranaAs empresas precisam treinar funcionrios que no sejam da rea de segurana da informao sobre o papel que tm de exercer para garantir a segurana das informaes da organizao.

Encontrar pessoas bem preparadas na rea de Segurana da Informao apenas parte da equao. Considerando a acelerao das ameaas externas, aliada proliferao de aparelhos e redes usadas para fins profissionais e de lazer, as empresas tm de dedicar profissionais e dinheiro ao treinamento de funcionrios que no sejam da rea de Segurana da Informao, para deixar claro seu papel na segurana das informaes da organizao. Conforme j dissemos, 37% dos entrevistados apontam funcionrios descuidados ou desinformados como a ameaa que mais aumenta a exposio da empresa a riscos. Da mesma maneira, o nmero de incidentes ligados perda de dados causada por funcionrios negligentes aumentou 25% ao longo do ltimo ano.

Os entrevistados indicam que pretendem gastar mais; entretanto, a quantia ainda representa aproximadamente 5% de todos os gastos com Segurana da Informao.

Principais obstculos para a eficcia da Segurana da Informao

43%Falta de pessoal capacitado

26%Falta de ferramentas

20%Falta de apoio dos executivos

62%Restries oramentrias


Quais ameaas e vulnerabilidades aumentaram mais sua exposio ao risco nos ltimos 12 meses?

Funcionrios descuidados ou desinformados

Ataques cibernticos para roubar informaes financeiras

Controles ou arquitetura de segurana da informao ultrapassados

Ataques cibernticos para interromper servios ou prejudicar a empresa

Fraude

Desastres naturais

Programas maliciosos

Ataques cibernticos para roubar dados ou propriedade intelectual

Vulnerabilidades relacionadas ao uso de computao mvel

Vulnerabilidades relacionadas ao uso da computao na nuvem

Espionagem

Phishing

Acesso no autorizado

Spam

Ataques internos

Vulnerabilidades relacionadas ao uso de redes sociais

Legenda: 1 2 3 4 5

Dados roubados do carro de um funcionrioDe acordo com relatrios da eweek.com, softpedia.com e nakedsecurity.com, em agosto de 2012 um grupo de mdicos do estado americano de Indiana o Cancer Care Group admitiu que mdias de backup com dados de 55.000 pacientes e funcionrios haviam sido roubadas

do carro de um funcionrio no ms anterior.

Embora a escala desse evento seja pequena em relao s violaes registradas por grandes empresas, os dados roubados continham nome, endereo, data de nascimento, nmero de CPF, nmero de pronturio

mdico, informaes sobre planos de sade e dados clnicos dos pacientes envolvidos, bem como as datas de nascimento, nmeros de CPF e nomes dos beneficirios dos funcionrios desses mdicos.


Falta rigor ao processoEm 2009, sugerimos que as empresas deveriam adotar uma postura que colocasse a informao no centro das atenes da segurana, de modo a garantir mais alinhamento ao fluxo de informao. Afirmamos ainda que a compreenso do uso da informao em importantes processos de negcios era a nica forma de administrar de maneira eficiente as necessidades de segurana principalmente na rea de Segurana da Informao. Tais recomendaes foram feitas na crena de que as empresas j haviam adotado, ou iriam adotar, os processos necessrios incluindo uma estrutura efetiva e organizada, ou um sistema de gesto de Segurana da Informao. Em 2012, descobrimos que a maioria das empresas ainda no tem essa estrutura.

A falta de uma estrutura de arquitetura de segurana O que existe uma colcha de retalhos de defesas no integradas, complexas e frequentemente frgeis, que cria srios gaps de segurana.

Surpreendentemente, 63% dos entrevistados nesta edio da pesquisa indicaram que suas empresas no desenvolveram qualquer estrutura formal de arquitetura de segurana, e no necessariamente planejam utilizar alguma. Para algumas organizaes, mo de obra capacitada, maturidade na segurana ou questes oramentrias podem causar impacto nas decises tomadas. Outras empresas simplesmente esperam que o problema desaparea por conta prpria. Ainda assim, animador observar o grfico ao lado, segundo o qual 37% utilizam uma ou mais estruturas, sendo que a mais popular a TOGAF - Open Group Architecture Framework.

Essas descobertas podem explicar por que 56% das empresas realizam apenas entre um e dez testes anuais de ataque e invaso, e por que 19% no fazem nenhum tipo de teste.

A Segurana da Informao deve partir da proteo do negcio, e no das vulnerabilidades tecnolgicas.Bernie WedgeLder de Servios de Auditoria e Riscos em TI para as Amricas, Ernst & Young LLP

56%dos entrevistados realizam apenas de um a dez testes anuais de ataque e invaso

19%no realizam qualquer teste de ataque e invaso


Que estruturas formais de arquitetura de segurana so usadas (ou se planeja utilizar) na sua organizao?

Em reao s necessidades de curto prazo de segurana da informao, as empresas parecem cada vez mais inclinadas a unir ou empilhar solues para contornar o problema. Isso cria uma colcha de retalhos de defesas no integradas, complexas e frequentemente frgeis que cria srios gaps de segurana. As solues usadas para contornar o problema no so fceis de entender, usar ou atualizar. Cerca de um tero das organizaes classifica a prpria arquitetura como a ameaa ou vulnerabilidade que mais aumentou ao longo dos ltimos 12 meses, principalmente porque os controles esto defasados e no podem ser aprimorados ou substitudos facilmente.

Informao interessanteOs setores com maior exposio so aqueles com mais probabilidade de executar testes de ataque e invaso. Isso vale principalmente no caso de bancos e mercados de capitais. interessante,

porm, notar que os setores de seguros e telecomunicaes realizaram um nmero desproporcionalmente inferior de testes em relao exposio que enfrentam.

No temos uma estrutura formal de arquitetura de segurana 63%

TOGAF Open Group Architecture Framework 11%

ANSI/IEEE 1471:ISO/IEC 42010 4%

Estrutura e metodologia SABSA 3%

Estrutura de arquitetura do Departamento de Defesa dos EUA 3%

Estrutura Zachman 2%

Estrutura Estendida de Arquitetura Empresarial 1%

Estrutura de Arquitetura do Ministrio da Defesa do Reino Unido 1%

OBASHI 0%

Outros 12%

A estratgia de segurana das empresas deve ser constantemente atualizada, de modo a reagir com rapidez evoluo das necessidades. Jenny ChanLder de servios de auditoria e riscos em TI para a regio sia-Pacfico da Ernst & Young


Uma enxurrada de tecnologiaA inovao a arma secreta que ajudar as empresas a acompanhar o ritmo das mudanas. As organizaes precisam explorar, implantar e refinar novas tecnologias para continuar crescendo e se desenvolvendo, adaptando-se s mudanas principalmente porque as ameaas e os riscos aumentam. No entanto, as mesmas tecnologias que ajudam uma empresa a seguir em frente so as que trazem novos riscos. Elas abrem excelentes oportunidades para as organizaes, mas a rea de Segurana da Informao deve estar especialmente atenta aos riscos associados a elas, para que seja possvel administr-los luz das necessidades organizacionais.

L em cima, na nuvemA computao na nuvem continua sendo um dos principais impulsos de inovao nos modelos de negcios e na concretizao dos servios de TI.

A computao em nuvem permite tirar maior proveito de TI, uma vez que possibilita centrar mais esforos na parte estratgica, e menos na operacional. Servios na nuvem so geis e flexveis, e aumentam a capacidade de entender e reagir s constantes mudanas nas condies do mercado, atendendo s necessidades do cliente e respondendo s iniciativas da concorrncia.

Por tudo isso, a computao em nuvem continua sendo um dos principais determinantes de inovao nos modelos de negcios e na concretizao dos servios de TI. Em 2010, s 30% das empresas indicaram que usavam ou planejavam usar servios de computao em nuvem. Em 2011, o nmero subiu para 44%. Hoje, 59% das organizaes esto na nuvem, ou a caminho dela. Essa porcentagem no inclui as empresas que talvez desconheam a extenso do prprio envolvimento.

Embora a maioria dos entrevistados indique que est usando ou usar a nuvem nos prximos 12 meses, 38% no adotaram nenhuma medida para mitigar os riscos. Em 2011, esse nmero era superior a 50%. O que ocorre que as empresas reconhecem os riscos, mas muitas continuam vulnerveis. As medidas adotadas com mais frequncia incluem o aumento na superviso do processo de gesto de contratos com provedores de servios na nuvem (28%) e o uso de tcnicas de criptografia (28%).

Informao interessanteMais de 25% dos entrevistados que disseram no utilizar a nuvem e/ou afirmaram no utilizar servios na nuvem e no ter planos de faz-lo no prximo ano afirmam que contam com avaliaes externas para determinar a eficcia da rea de segurana da informao.

Caso queira saber mais sobre isso, leia a publicao Ready for takeoff: preparing for your journey into the cloud, disponvel no endereo www.ey.com/informationsecurity.

59%afirmam que esto usando ou planejam usar servios de computao em nuvem

44%afirmam que esto usando ou planejam usar servios de computao em nuvem

30%dos entrevistados afirmam que esto usando ou planejam usar servios de computao em nuvem

38%afirmam que no tomaram nenhuma medida para mitigar os riscos da utilizao de servios de computao em nuvem

Ready for takeoffPreparing for your journey into the cloud

Insights on IT riskBusiness brie ng

April 2012


Quais dos seguintes controles voc j implantou para mitigar riscos novos ou crescentes relacionados ao uso da computao na nuvem?

Superviso aprimorada do processo de gesto de contratos para provedores de servios na nuvem 28%

Tcnicas de criptografia 28%

Maior due diligence nos provedores de servios 25%

Reforo nos controles de identificao e gesto de acesso 22%

Inspeo ou avaliao in loco por parte das equipes de segurana/riscos de TI 16%

Processos ajustados de monitoramento de conformidade 15%

Aumento na auditoria do fornecimento de servios na nuvem 15%

Ajustes nos processos de gesto de incidentes 15%

Maior responsabilidade contratual para provedores de servios na nuvem 14%

Contrato com terceiros para testar controles do provedor de servios na nuvem 13%

Multas em caso de violaes de segurana 13%

Maior dependncia de certificaes independentes dadas aos provedores de servios na nuvem 12%

Multas em caso de problemas de conformidade e privacidade 12%

Nenhum 38%

Tecnologias emergentes apontadas como os 10 principais riscos para organizaes globais Numa pesquisa recente realizada pela Ernst & Young com 700 grandes empresas, o risco imposto pelas tecnologias emergentes foi apontado como o nmero cinco numa lista dos dez principais riscos a ser enfrentados pelas organizaes nos prximos anos.

Quando se observam as causas de riscos, a resposta mais frequente entre os participantes da pesquisa foi a dificuldade no desenvolvimento de uma cultura

de inovao. Um nmero semelhante de entrevistados identificou tambm a incerteza inerente a tecnologias ainda no testadas.

A maioria das empresas pesquisadas afirmou realizar uma gesto ativa de risco.

De longe, a estratgia de mitigao mais utilizada o desenvolvimento de uma cultura de inovao especfica para a organizao, com o objetivo

de realizar um monitoramento contnuo das novas tecnologias e de revisar permanentemente produtos, servios e processos internos.

Para mais detalhes sobre os riscos relacionados a tecnologias emergentes, leia o relatrio Turn risks and opportunities into results, disponvel no endereo www.ey.com/top10challenges.

Turn risks and opportunities into resultsExploring the top 10 risks and opportunities for global organizationsGlobal report


Como a sua organizao lida com as redes sociais?

Redes sociais nas empresasAs redes sociais tm o poder de construir rapidamente a marca de uma organizao mas podem destru-la com a mesma velocidade.

At recentemente consideradas tabu dentro de muitas empresas, as redes sociais passaram a ser vistas como essenciais para desenvolver produtos, colher opinies e garantir a interao e a participao dos clientes. Elas reinventaram o relacionamento entre organizaes, clientes, funcionrios, fornecedores e rgos reguladores, alm de encurtar para horas ou at minutos processos que costumavam levar dias ou semanas.

No entanto, alm das inmeras oportunidades geradas pelas redes sociais, existem desafios. Num mundo que opera 24 horas por dia, a qualquer momento e em qualquer lugar, as redes sociais e qualquer pessoa com acesso internet podem construir a marca de uma empresa em segundos, mas tambm destru-la. Os desafios incluem segurana de dados, privacidade, exigncias regulatrias e de cumprimento de normas, o uso do tempo de trabalho dos funcionrios e as ferramentas de negcios para participar desse universo.

Conforme mostra o grfico abaixo, nossa pesquisa aponta que 38% das organizaes no tm uma estratgia coordenada para lidar com o uso de redes sociais dentro da empresa ou que considere as diretrizes da alta administrao e suporte da Segurana da Informao. O resultado um aumento no risco geral e uma capacidade limitada de explorar todo o potencial das redes sociais no futuro.

19%Temos uma estratgia coordenada comandada pelo departamento de Segurana da Informao

43%Temos uma estratgia coordenada, comandada por um departamento que no o departamento de Segurana da Informao

38%No temos uma estratgia coordenada para lidar com as redes sociais


No caso das organizaes que no tm uma estratgia formal para o uso de redes sociais, o grfico acima mostra que as medidas de mitigao de riscos implantadas com maior frequncia incluem: acesso limitado ou nenhum acesso a redes sociais (45%), ajustes nas polticas (45%) e programas de conscientizao (40%).

Quais dos seguintes controles voc j implantou para mitigar riscos novos ou crescentes relacionados ao uso de redes sociais?

Acesso limitado ou nenhum acesso a redes sociais 45%

Ajustes nas polticas 45%

Programas de conscientizao sobre segurana e redes sociais 40%

Monitoramento de redes sociais 32%

Novos processos disciplinares 11%


Nenhum 20%

Informao interessanteDe maneira quase universal, a maioria dos participantes na pesquisa afirma que ajustes nas polticas so a forma preferida de mitigar preocupaes relacionadas a redes sociais, independentemente do mtodo com que mensuram a efetividade do departamento de segurana da informao.

No entanto, a maioria dos participantes que afirmam no realizar avaliao da efetividade do departamento de segurana da informao diz tambm que, para mitigar preocupaes relativas a redes sociais, simplesmente probe ou limita o acesso dos funcionrios a redes sociais.

Para mais informaes, confira a publicao Protecting and strengthening your brand, sobre redes sociais, que pode ser consultada no endereo www.ey.com.

Protecting and strengtheningyour brandSocial media governanceand strategy

Insights on IT riskBusiness brie ng

May 2012


Como aproveitar ao mximo os benefcios das tecnologias mveisConforme a mobilidade da fora de trabalho cresce, a frase no momento estou fora do escritrio perde relevncia.

De acordo com uma previso divulgada recentemente pela Cisco, em 2016 haver 10 bilhes de dispositivos mveis com acesso internet quase 1,5 para cada homem, mulher e criana do planeta. Se no passado os telefones celulares serviam apenas para fazer ligaes, os aparelhos mveis de hoje so uma ferramenta de comunicao e uma fonte de conhecimento essencial para atividades pessoais e de negcios. Eles permitem conectividade internet e nuvem 24 horas por dia, sete dias por semana.

Os avanos tecnolgicos e os benefcios de negcios trazidos por eles aumentaram consideravelmente as taxas de adoo das tecnologias mveis. De acordo com a nossa pesquisa, e conforme demonstra o grfico desta pgina, o uso de tablets para fins de negcios mais do que dobrou desde 2011. Essa porcentagem passou de 20% em 2011 para 44% de organizaes que atualmente permitem o uso de tablets particulares ou pertencentes empresa dentro das organizaes em 2012: 19% dizem que tablets da empresa so amplamente utilizados; 13% do apoio ao uso de tablets particulares com uma poltica BYOD (sigla em ingls para a expresso traga seu prprio aparelho); e 12% permitem o uso particular de tablets, mas no oferecem apoio.

Conforme a mobilidade da fora de trabalho cresce, a frase no momento estou fora do escritrio perde relevncia. Alm disso, fica cada vez mais difcil controlar o aumento no fluxo das informaes que entram e saem da empresa.

De acordo com o grfico da prxima pgina, 52% dos participantes na pesquisa implantaram ajustes nas polticas, e 40% investiram em programas de conscientizao. Mas as organizaes reconhecem que necessrio fazer mais. Elas esto comeando a se informar sobre as funcionalidades e o design dos produtos de software de segurana para aparelhos mveis disponveis no mercado. Mesmo assim, ainda baixa a adoo de tcnicas e softwares de segurana no mercado de computao mvel, que se movimenta em alta velocidade. Um exemplo: tcnicas de criptografia so utilizadas por menos de metade (40%) das organizaes.

Sua empresa permite o uso de tablets para fins de negcios?

O uso de tablets est em fase de avaliao ou bastante limitado 35%

Sim, os tablets pertencentes empresa so amplamente utilizados 19%

Sim, os tablets particulares so amplamente utilizados e contam com o apoio da organizao,

por intermdio de uma poltica BYOD (traga seu prprio aparelho)

13%

Sim, os tablets particulares so amplamente utilizados, mas no contam

com o apoio da organizao12%

No, e no existem planos para usar tablets ao longo dos prximos 12 meses 11%

No, mas planejamos usar tablets ao longo dos prximos 12 meses 9%


Ajustes nas polticas 52%

Atividades para aumentar a conscientizao sobre segurana 40%

Tcnicas de criptografia 40%

Novo software de gesto de aparelhos mveis 36%

Permisso de uso de aparelhos pertencentes empresa e proibio do uso de aparelhos pessoais 34%

Processo de governana para administrar o uso de aplicativos mveis 31%

Mudanas na arquitetura 24%


Testes de ataque e invaso de aplicativos mveis 14%

Maior capacidade de auditoria 12%

Novos processos disciplinares 9%

Proibir o uso de qualquer tipo de tablet/smartphone para fins profissionais 6%

Nenhum 14%

Quais dos seguintes controles voc j implantou para mitigar os riscos novos ou crescentes relacionados ao uso da computao mvel, incluindo tablets e smartphones?

Tecnologias mveis: oportunidades X ameaas

Oportunidades: Ameaas:

Aumento na produtividade Roubo/perda/vazamento de dados

Escolha de tecnologias Infeco por programas maliciosos

Reduo com gastos de capital Acesso no autorizado

Promoo de um ambiente mais criativo Questes jurdicas

Incentivo felicidade e motivao dos funcionrios

Questes de privacidade

Aumento dos gastos administrativos gerais

Equilbrio entre trabalho e diverso

Enterprise-ready [pronto para utilizao]/integrao de sistemas


Traga seu prprio aparelho

Conforme o ritmo de vendas de aparelhos mveis e smartphones supera o de computadores, e medida que as empresas se apressam para criar maneiras que ajudem os funcionrios a unir os dispositivos de trabalho aos aparelhos pessoais, preciso considerar em detalhes questes relativas segurana de dados e informaes.

Os funcionrios j compram telefones e pacotes de dados por conta prpria. Oferecer apoio habilitao de aparelhos no ambiente de trabalho ajuda no apenas a reduzir os custos com funcionrios, como tambm elimina alguns gastos at ento associados a grandes compras de celulares apoiadas pela empresa. Essa integrao de aparelhos pessoais que tenham acesso pela empresa pode ajudar a reduzir custos coletivos e a aumentar a produtividade, o nimo e a criatividade dos funcionrios.

No entanto, oportunidades sempre trazem riscos. Aumentar as atividades BYOD (sigla em ingls para a expresso traga seu prprio aparelho) significa que os funcionrios podem atualizar por conta prpria o tablet ou o smartphone, sem qualquer envolvimento do departamento de TI. Isso pode ter impactos sobre a funcionalidade e a segurana de qualquer aplicativo corporativo, ou de algum aplicativo com outro tipo de autorizao que possa estar instalado no aparelho. Da a importncia da gesto de aparelhos mveis. Ao apoiar a estratgia BYOD, as organizaes devem considerar as seguintes atividades:

1. Decidir quem o verdadeiro dono do aparelho. Depois que se determina isso, a empresa pode estabelecer polticas mais precisas em relao a limites. Por exemplo: a organizao pode instalar um aplicativo que permita desligar cmeras ou outros aplicativos, ou bloquear redes sociais atravs das quais possa haver vazamento de dados.

2. Garantir a segurana da rede corporativa. Para evitar a perda de dados causada pelo acesso autorizado a partir de aparelhos sem suporte, vale a pena considerar a possibilidade de ter uma rede paralela para convidados, separada da rede principal. Isso permite que os funcionrios utilizem aparelhos pessoais para ter acesso direto internet s vezes at por uma conta de e-mail usada exclusivamente para fins profissionais. Alm disso, vale a pena considerar a utilizao de servios terceirizados ou de suas codificaes para criar nichos nesses aparelhos, onde fiquem localizados dados e aplicativos da empresa, isolados da interao com dados, aplicativos ou servios on-line de uso pessoal.

3. Manter a segurana dos dados bsicos. As empresas devem garantir que os dados armazenados no aparelho estejam protegidos de hackers, de acesso por pessoas externas e de vrus.


Vazamento de dadosProgramas maliciosos cada vez mais sofisticados so um caminho para que informaes confidenciais saiam da empresa sem que se perceba nada.

A digitalizao global de produtos, servios e processos tem um profundo impacto sobre as organizaes. A disponibilidade de grandes quantidades de dados cria excelentes oportunidades para obter valor e ideias interessantes. As empresas que dominam a disciplina da gesto de grandes dados podem colher importantes benefcios e se destacar da concorrncia.

A despeito de todos os benefcios, entretanto, as organizaes devem estar cientes dos riscos. Ao longo dos ltimos cinco anos, as empresas testemunharam um aumento no volume de vazamentos de dados, intencionais ou no. Programas maliciosos cada vez mais sofisticados so um caminho para que informaes confidenciais saiam da empresa sem que se perceba nada.

Conforme mostra o grfico abaixo, esta edio da pesquisa sugere que a maioria das organizaes j definiu uma poltica relativa ao sigilo de informaes (72%). Alm disso, muitas empresas (68%) realizaram programas de conscientizao. A adoo de tecnologias de DLP (preveno de perda de dados), no entanto, permanece relativamente baixa (38%).

Quais das seguintes iniciativas sua empresa j adotou para controlar o vazamento de dados relativos a informaes sigilosas?

Definio de uma poltica especfica sobre sigilo e trato de informaes 72%

Programas de conscientizao de funcionrios 68%

Implantao de mecanismos adicionais de segurana para proteo de informaes (exemplo: criptografia) 57%

Uso impedido/restrito de determinados componentes de hardware (exemplo: pen-drives, portas FireWire) 43%

Auditoria interna para testar controles 41%

Definio de exigncias especficas para trabalho a distncia, relativas proteo de informaes

levadas para fora do escritrio 39%

Implantao de ferramentas de reviso de log 38%

Uso restrito ou proibido de ferramentas de bate-papo on-line ou e-mail para transmisso de dados sigilosos 31%

Uso proibido de cmeras em reas sensveis ou restritas 23%

Acesso restrito a informaes sigilosas em determinados perodos 16%

As empresas devem implantar defesas flexveis e adaptveis, que continuem resistentes mesmo diante de violaes dos dados e essas violaes vo ocorrer.

Haruyoshi YokokawaLder de servios de Auditoria e Riscos em TI para o Japo da Ernst & Young


Gaps iminentesEmbora tenhamos identificado alguns gaps atuais, h outros no horizonte, na forma de intervenes governamentais e novas presses regulatrias.

Talvez as empresas at estejam estudando com maior ou menor eficcia o cenrio de riscos e avaliando questes de inteligncia relativas a ameaas. Mas elas no so as nicas com essa preocupao. Os governos e rgos reguladores tambm vm observando os riscos crescentes em Segurana da Informao e esto comeando a tomar atitudes. Caso as organizaes no ajam por conta prpria, a consequncia combinada das questes atuais (descritas nas pginas anteriores) e futuras (descritas a seguir) ir aumentar ainda mais esse gap.

Provedores de infraestrutura essencial provvel que os governos comecem a publicar diretrizes com o apoio dos legisladores aplicveis a todas as organizaes que considerarem essenciais do ponto de vista econmico, com o objetivo de garantir que no sejam vtimas de ameaas segurana da informao.

Ainda que as empresas se preocupem com o prprio desempenho individual, os governos buscam assegurar que as organizaes responsveis pelo fornecimento de servios essenciais que apoiam o bem-estar contnuo da sociedade sejam capazes de manter suas operaes com o menor grau possvel de problemas, em qualquer circunstncia.

Espera-se que as empresas de fornecimento de energia, telecomunicaes, abastecimento de gua, produo e distribuio de alimentos, ou dos setores de sade e servios financeiros implantem medidas slidas para se proteger de incidentes de segurana da informao que possam interromper ou prejudicar suas operaes.

Informao interessanteComo reao ao impasse no Congresso americano envolvendo a Lei de Cibersegurana [Cybersecurity Act] de 2012, o senador John D. Rockefeller IV desafiou 500 das maiores empresas do pas a exercer um papel de liderana na reforma da legislao relativa segurana da informao.

O lobby da Cmara Americana de Comrcio e de outras partes contrrias a medidas de segurana adiou a aprovao de leis tidas como vitais tanto pelo Comandante geral de cibersegurana dos Estados Unidos quanto pelo chefe do Estado-Maior, considerando a gravidade da ameaa ciberntica enfrentada pelo pas.

Com uma srie de perguntas includas numa carta enviada a empresas

como Exxon Mobil, Wal-Mart, General Electric, AT&T, Apple, Citigroup e UnitedHealth Group, entre outras, o senador Rockefeller pediu que esses lderes corporativos se diferenciassem, trabalhando em conjunto no desenvolvimento de solues proativas de combate s crescentes ameaas segurana da informao nos Estados Unidos.

Com a Lei de Cibersegurana de 2012, o senador Rockefeller e outros defensores da causa buscam proteger infraestruturas crticas, como usinas de energia, oleodutos, prestadoras de servios essenciais, hospitais, redes de transporte e empresas de telecomunicaes, descritas pelos americanos como imprescindveis no dia a dia.


Informao interessanteMuitas empresas ainda tm dificuldades para encontrar violaes de segurana e registr-las de modo a cumprir as exigncias regulatrias sobre a divulgao desses fatos.

Grandes violaes ou vazamentos de dados que chegam ao conhecimento do pblico recebem ampla cobertura de imprensa, numa demonstrao da importncia social de tais acontecimentos. No entanto, a ENISA Agncia de Segurana de Redes e Informao da Unio Europeia divulgou recentemente um relatrio(3) alertando para o fato de que muitos incidentes no so detectados ou registrados, a despeito da importncia fundamental da internet e das comunicaes eletrnicas confiveis para a economia atual.

Incidentes cibernticos costumam ser mantidos em sigilo quando descobertos,

o que deixa clientes e legisladores no escuro em relao frequncia, ao impacto e s causas centrais desses fatos, dizem os autores do texto.

O relatrio identifica gaps no marco regulatrio sobre registros de incidentes e pede melhorias no compartilhamento desses fatos por toda a Unio Europeia. Ainda h pouco intercmbio de informaes entre as autoridades nacionais sobre lies aprendidas e boas prticas, apesar da natureza transnacional dessa ameaa.

(3) Dr. Marnix Dekker, Christoffer Karsberg, Barbara Daskala, Cyber Incident Reporting in the EU: An overview of security articles in EU legislation [Registo de Incidentes Cibernticos na Unio Europeia: panorama geral dos artigos relativos segurana na legislao da UE], Agncia de Segurana de Redes e Informao da Unio Europeia, agosto de 2012.

Os governos no tm de levar em conta apenas a proteo dos cidados. preciso considerar tambm a imagem de eficincia das autoridades e a proteo do crescimento econmico.

Alm das organizaes da infraestrutura essencial, outras 100 ou 500 grandes empresas de todos os setores da economia esto sob um olhar atento. O crescimento econmico prioritrio na pauta dos governos. Organizaes que fazem o mximo para apoiar esse crescimento e impulsionar o PIB, graas produtividade e gerao de emprego, tero de comprovar a eficcia de seus programas de segurana da informao.

provvel que os governos comecem a publicar diretrizes com o apoio dos legisladores aplicveis a todas as organizaes que considerarem essenciais do ponto de vista econmico, com o objetivo de garantir que no sejam vtimas de ameaas segurana da informao. Essas diretrizes vo exigir que as empresas compartilhem conhecimentos sobre ameaas, bem como as medidas tomadas para mitigar ou administrar os riscos corporativos.

Num cenrio ideal, a comunidade de negcios deveria se unir por iniciativa prpria para compartilhar experincias e estabelecer estruturas e solues comuns. Essa estratgia j funcionou no caso de outros desafios, e possivelmente a melhor alternativa de que o setor privado dispe para interromper o fluxo iminente de regulaes.


As empresas esto trabalhando com afinco para acompanhar o ritmo das mudanas tecnolgicas e o nmero crescente de ameaas Segurana da Informao. Os resultados tm tido nveis variados de xito. As organizaes capazes de minimizar a distncia entre o trabalho atual dos departamentos de Segurana da Informao e aquilo que essas reas de fato tm de fazer vo garantir uma vantagem competitiva. As empresas tm de tomar quatro medidas essenciais para promover uma mudana fundamental nos departamentos de segurana da informao:

1 Conectar a estratgia de Segurana da Informao estratgia de negcio e aos resultados gerais desejados para a empresa.2 Comear do princpio ao considerar as novas tecnologias e ao redesenhar arquiteturas, para chegar a uma definio

mais precisa do que precisa ser feito. Isso representa uma oportunidade de derrubar barreiras e remover qualquer vis tendencioso que possa prejudicar mudanas imprescindveis.

3 Executar a transformao com a criao de um ambiente que possibilite uma mudana bem-sucedida e sustentvel da rea de Segurana da Informao.

4 Ao considerar as novas tecnologias, mergulhar profundamente nas oportunidades e nos riscos apresentados por elas. Redes sociais, volumes imensos de dados, nuvem e tecnologias mveis vieram para ficar, e as empresas tm de estar preparadas para usar isso.

Uma transformao fundamental


Conexo com a estratgia de negciosConforme j observamos nos resultados da desta edio da pesquisa, fundamental alinhar a estratgia de Segurana da Informao das empresas estratgia e aos objetivos de negcios. Mas ser que isso muda de acordo com os objetivos de negcios da organizao? O que preciso ter na estratgia de Segurana da Informao? Quais iniciativas e tticas devem estar presentes na pauta de Segurana da Informao da empresa?

No ambiente econmico atual, as organizaes costumam centrar esforos para atingir um ou mais dos seguintes resultados: crescimento, inovao, otimizao e proteo. medida que as empresas trabalham para concretizar esses resultados, o papel da Segurana da Informao torna-se cada vez mais indispensvel.

CrescimentoAs empresas buscam expandir seus negcios para novos mercados e atrair novos clientes com novos produtos sempre com o objetivo de gerar receita. Uma estrutura de Segurana da Informao eficaz pode proteger toda a organizao, salvaguardar a receita e deixar parte dos recursos disponvel para ser usada no aumento das oportunidades de gerao de lucro.

InovaoAs empresas esto usando as novas tecnologias para interagir diretamente com os clientes, de maneiras at ento inexistentes. Os dados gerados por esse processo tm de ser seguros, sendo que a privacidade crtica. Diante das ameaas existentes hoje, uma Segurana da Informao eficaz permite que a organizao demonstre liderana na hora de garantir a proteo dos clientes e de suas respectivas empresas.

OtimizaoEstruturas e mtodos de Segurana da Informao custam dinheiro, mas as empresas nem sempre gastam recursos com sabedoria. As organizaes podem reduzir custos por todo o negcio se tiverem uma Segurana da Informao bem estruturada e gerida com eficincia.

ProteoPara transmitir confiana a todas as partes interessadas, a Segurana da Informao deve demonstrar boa governana e transparncia. Um monitoramento forte e efetivo, alm de testes, devem ser componentes indispensveis de toda a estrutura de Segurana da Informao.

importante ainda desenvolver a estratgia e a estrutura, e identificar atividades cuja realizao necessria.

1


Redesenhar a arquitetura e demonstrar como a Segurana da Informao pode trazer resultados de negcios A melhor forma de comear partir do princpio, para que, desde os estgios iniciais, o projeto como um todo no apresente qualquer vis tendencioso, problemas de sistemas ultrapassados ou outros fatores que possam causar distores.

Em vez de observar a paisagem existente e buscar uma forma de redesenh-la, o departamento de Segurana da Informao deve fazer um redesenho a partir da essncia. preciso deixar espao para a inovao e considerar a constante necessidade de utilizar tecnologias novas e emergentes, de modo a ajudar a empresa a atingir resultados que realmente promovam proteo e progresso. Uma vez definidos os resultados que a Segurana da Informao deve produzir (o que a Segurana da Informao pode fazer), o prximo passo descobrir como chegar l.

Identificar os riscos reaisComo ponto de partida, as empresas devem desenvolver uma estratgia absolutamente nova de Segurana da Informao. Essa estratgia deve comear com a incluso de tecnologias e questes como computao em nuvem, redes sociais, volumes escalveis de dados, computao mvel, globalizao e o fim das fronteiras e no acrescentar esses tpicos como novos itens a uma estratgia j existente. preciso concentrar-se tambm na identificao dos riscos atuais (riscos reais), que sero diferentes daqueles que a organizao enfrentou no passado. Esse processo de identificao no a simples transferncia para o futuro de riscos j conhecidos em anos anteriores; a identificao dos riscos de hoje exige um olhar renovado, que parte do reconhecimento daquilo que mais importante no cenrio atual.

Deve-se comear avaliando a prpria disposio para riscos e como isso se traduz em riscos para a informao. preciso ter uma ideia clara de quais so os dados, aplicaes e outros ativos de TI mais importantes, e onde eles esto. No caso da computao em nuvem, responder a essas questes pode ser complexo. O passo seguinte avaliar o cenrio de ameaas e determinar os pontos de exposio, o que tende a diferir de organizao para organizao.

2


Proteger o mais importanteTendo em mente os riscos reais, a prxima etapa desenvolver uma estrutura empresarial de Segurana da Informao. Historicamente, essas estruturas costumam ser estticas mas no ambiente de hoje exigem flexibilidade: as empresas precisam ser capazes de se adaptar, mudar e reagir com rapidez e eficcia. Uma estrutura de Segurana da Informao deve se concentrar naquilo que fundamental, bem como nas ameaas emergentes. Deve supor que violaes vo ocorrer e, por isso, planejar e proteger to importante quanto detectar e reagir (dois aspectos que costumam ser ignorados).

A estrutura deve cobrir a governana da Segurana da Informao (incluindo papeis e responsabilidade), a ligao entre a cadeia de valor (prioridades de negcio) e as medidas de Segurana da Informao, o monitoramento da Segurana da Informao (ndices), processos de conformidade, principais indicadores de controle) e tambm como reagir em caso de incidentes.

Incorporar no negcioA Segurana da Informao uma responsabilidade de todos, e no apenas uma tarefa para a gerncia ou o departamento especfico da rea. Sendo assim, qualquer estrutura de Segurana da Informao deve estar profundamente incorporada ao negcio. Todos os funcionrios, departamentos, projetos e elementos relacionados tm um papel a exercer. Mas incutir essa mentalidade no tarefa fcil. preciso tomar uma srie de decises fundamentais, tais como: O que precisa ser feito no cotidiano do negcio e qual deve ser

a responsabilidade do departamento de Segurana da Informao ? O que precisa ser feito manualmente e o que pode ou deve ser incorporado

por vias tecnolgicas ? O que precisa ser feito internamente e o que deve ou pode ser terceirizado ?

Manter o programa de seguranaUma das questes fundamentais da gesto de riscos : como garantir que a estrutura de gesto de riscos vai funcionar de forma ininterrupta e eficaz, conforme o plano? O mesmo se aplica a uma estrutura de segurana da informao disseminada por toda a empresa. Organizae

GISS Portugues

Documents