Auditoria Interna, Riscos, Consultoria de Negócios e de Tecnologia Segurança cibernética no setor de tecnologia Um caminho para acelerar o progresso
Auditoria Interna, Riscos, Consultoria de Negócios e de Tecnologia
Segurança cibernética no setor de tecnologia
Um caminho para acelerar o progresso
protiviti.com.br Um caminho para acelerar o progresso · 1
Introdução
O setor de tecnologia fornece grande parte da infraestrutura que impulsiona a transformação
digital das empresas e da vida pessoal em todo o mundo. Assim, a eficácia dos programas de
segurança cibernética do setor tem consequências que vão muito além do próprio setor de
tecnologia. Para avaliar o estado atual e a direção da segurança cibernética em empresas de
tecnologia em todo o mundo, a Protiviti extraiu as respostas de 250 executivos de software,
hardware e telecomunicações que participaram do The Cybersecurity Imperative, uma pesquisa
on-line global sobre práticas de segurança cibernética.1 As entrevistas aprofundadas com
diretores de segurança da informação (CISOs) e especialistas em segurança cibernética, além
de contribuições de um conselho consultivo executivo, complementam a pesquisa.
Neste white paper, começamos examinando como as empresas de tecnologia avaliam a implementação de seus programas de segurança cibernética em comparação com o Framework de Cybersecurity do National Institute of Standards and Technology (NIST).2 Na sequência, discutimos as descobertas da pesquisa sobre
ameaças e contramedidas e como a segurança cibernética é respaldada internamente pelas políticas e pela estrutura organizacional. O relatório é concluído com as recomendações que as empresas de tecnologia podem usar para ajudar a fortalecer suas práticas de segurança cibernética.
1 The Cybersecurity Imperative: Managing Cyber Risks in a World of Rapid Digital Change, um relatório de pesquisa de uma iniciativa conjunta do ESI ThoughtLab, WSJ Pro Cybersecurity, Protiviti e um grupo de empresas proeminentes para conduzir pesquisas e análises globais rigorosas envolvendo uma pesquisa com 1.300 executivos globais em vários setores, reuniões de consultoria e entrevistas com especialistas e profissionais, bem como ferramentas analíticas para comparar as abordagens e avaliar os impactos de desempenho. A pesquisa está disponível em http://go.dowjones.com/cybersecurity-imperative.
2 O Framework de Cybersecurity do NIST oferece orientações sobre segurança de computadores para organizações do setor privado nos Estados Unidos usarem ao avaliar e melhorar sua capacidade de prevenir, detectar e responder a ataques cibernéticos. Ela está disponível em www.nist.gov/cyberframework.
Tipo de empresa e sede dos participantes da pesquisa Cybersecurity Imperative
Tipo de empresa Localização da sede
20%
Software 28%
32% EUA/CANADÁ
52% Hardware
Telecomunicações
UE/Reino Unido
América Latina
28% 8% Ásia-Pacífico
32%
2 · Protiviti
Constatações detalhadas
Maturidade funcional e alocação de recursos
O Framework de Cybersecurity do NIST fornece uma lista de verificação
padrão com 23 atividades recomendadas que são agrupadas em cinco
funções – Identificar, Proteger, Detectar, Responder e Recuperar – que
as organizações podem usar no desenvolvimento de sua estratégia de
segurança cibernética. Em nossa pesquisa, pedimos aos entrevistados
que avaliassem seu progresso em cada uma dessas atividades de
acordo com a escala mostrada à direita.
Essas autoavaliações revelam que a maioria das empresas de
tecnologia tem um trabalho significativo à frente para
desenvolver suas funções de segurança cibernética. Muito poucas
das empresas representadas pelos executivos que pesquisamos
alcançaram o nível avançado em qualquer uma das 23 atividades
de segurança cibernética. Esta constatação foi confirmada
em uma análise mais aprofundada, na qual agregamos os níveis
de maturidade de cada empresa em todo o conjunto de
atividades e, em seguida, categorizamos as empresas como
“iniciantes”, “intermediárias” ou “líderes” em segurança cibernética
com base no total das pontuações no nível de maturidade. Não apenas
o setor de tecnologia ficou um pouco em defasagem em comparação
com outros setores na porcentagem de empresas classificadas como
líderes em segurança cibernética, mas também teve uma porcentagem
muito maior de iniciantes em segurança cibernética.
Maturidade da função de segurança cibernética
Software
Hardware
Telecomunicações
Todas de tecnologia
Não de tecnologia
Iniciantes Intermediárias Líderes
Nível de maturidade da segurança
cibernéticaDescrição
Sem ação
Iniciante Começando a pensar sobre a atividade
Desenvolvimento Planejamento e criação de suporte
Maturação Vendo progresso e benefícios
AvançadoÀ frente da maioria das empresas de mesmo
porte e vendo benefícios significativos
45% 36% 19%
29% 54% 17%
42% 44% 14%
40% 43% 17%
29% 50% 21%
protiviti.com.br Um caminho para acelerar o progresso · 3
Por um lado, a indicação do setor parece contrária à intuição – seria
de se esperar que as empresas de tecnologia tivessem uma maior
conscientização tanto das ameaças cibernéticas em evolução quanto
do custo de estarem despreparadas para elas. Mas, talvez, a função
de segurança cibernética dentro do setor de tecnologia
simplesmente reflita em maior grau as pressões orçamentárias e de
recursos que a segurança cibernética enfrenta em todos os setores.
Fora do setor de tecnologia, a segurança cibernética deve competir
com outras funções e iniciativas de tecnologia, como pesquisa e
desenvolvimento, transformação digital e melhorias na experiência
do usuário – todos os itens da linha orçamentária nos quais é mais
fácil criar entusiasmo e adesão entre os vários responsáveis pela tomada
de decisões. Essas pressões são ainda mais agudas no setor de tecnologia,
no qual os fatores como pesquisa e desenvolvimento e experiência do
usuário impulsionam a presença no mercado de uma empresa.
Mesmo assim, poderíamos argumentar que isso simplesmente
torna mais imperativo que os líderes de segurança cibernética
defendam efetivamente suas funções dentro de suas empresas. Os
resultados da pesquisa mostram como a maturidade da função de
segurança cibernética está correlacionada com a adequação do
investimento em segurança cibernética (ver o gráfico abaixo).
Executivos que informaram orçamentos adequados para a segurança cibernética
Líder
Intermediária
Iniciante
Em alguns casos, o déficit orçamentário é significativo: entre os
executivos das empresas iniciantes em segurança cibernética que
consideraram que seu investimento cibernético era inadequado,
28% disseram que era necessário um aumento de 21% a 30% no
orçamento. Em outros casos, no entanto, as requisições eram mais
modestas: 37% indicaram um aumento do orçamento de
segurança cibernética de 6% a 10%.
Particularmente em empresas de tecnologia nas quais a função
de segurança cibernética está nos estágios iniciais de
desenvolvimento, os membros do conselho, CEOs, CFOs e outros
responsáveis pela tomada de decisões devem ser proativos sobre
a avaliação do orçamento da segurança cibernética para que a
função reflita adequadamente o papel central que a tecnologia
digital desempenha nos negócios atualmente. Os resultados da
pesquisa mostram uma diferença significativa em como a
segurança cibernética é considerada no setor de tecnologia,
dependendo do nível de maturidade da segurança cibernética da
empresa. Enquanto os executivos de empresas com funções de
segurança cibernética em estágio inicial pensem principalmente
em segurança cibernética em termos de prevenção de incidentes
e redução de riscos, os executivos de empresas com segurança
cibernética mais avançada veem a função de forma mais
estratégica, como impulsionadores de velocidade de chegada ao
mercado, envolvimento do cliente e participação de mercado.
86%
76%
28%
4 · Protiviti
83%
57%
52%
64%
44%
20%
20%
Benefícios percebidos da segurança cibernética
Redução de riscos
Prevenção de incidentes
Aumento da participação de mercado
Enfatizado por intermediárias e líderes
Melhoria do envolvimento
do cliente
Velocidade mais rápida em relação
ao mercado
Iniciantes Intermediárias Líderes
12%
24%
32%
6%
8%
27%
8%
23%
Enfatizado por iniciantes
protiviti.com.br Um caminho para acelerar o progresso · 5
Implementação do Framework de Cybersecurity do NIST
Talvez a descoberta de alto nível mais notável da pesquisa seja a
semelhança do setor de tecnologia com outros setores em seu
progresso em relação ao Framework de Cybersecurity do NIST.
Isso pode refletir o fato de que, como a segurança cibernética se
tornou estrategicamente importante em toda a economia,
nenhum setor tem uma posição privilegiada em reter o
conhecimento especializado em segurança cibernética. Também
pode ser o caso em que, conforme sugerido anteriormente, a
segurança cibernética dentro do setor de tecnologia enfrente um
nível mais alto de concorrência entre os recursos internos. Em
qualquer caso, no entanto, esses resultados devem ser
considerados como uma razão para avaliar de perto o papel da
segurança cibernética nas empresas de tecnologia.
Identificar
Desenvolvimento de uma compreensão organizacional
para gerenciar os riscos de segurança cibernética em
sistemas, pessoas, ativos, dados e capacidades.
Entre as empresas de tecnologia, a maior parte do progresso na
função de identificação foi feita em atividades com base no risco –
um padrão que também ocorre em outros setores. (As empresas de
hardware fazem uma indicação particularmente forte nesse
quesito). Porém, embora o gerenciamento e a avaliação
de riscos forneçam uma base sólida para muitos aspectos da
função de segurança cibernética, eles precisam estar
alinhados com uma forte governança e integração das
preocupações cibernéticas com os negócios em geral.
Posicionado para melhoria
• Estratégia de gerenciamento de riscos: atualmente, 54% das
empresas de telecomunicações estão em fase de
desenvolvimento, em comparação com 38% das empresas
de software e 39% das empresas de hardware.
• Governança: 53% das empresas de hardware e 56% das empresas
de telecomunicações estão em fase de desenvolvimento.
Áreas de preocupação
• Gestão de ativos: 40% das empresas de tecnologia ainda estão
no estágio inicial, em comparação com 31% das empresas não
relacionadas à tecnologia.
• Estratégia de gerenciamento de riscos: 31% das empresas de software
ainda estão no estágio inicial, em comparação com 16% das empresas
de hardware e 18% das empresas de telecomunicações.
• Ambiente de negócios: 30% das empresas de software ainda
estão no estágio inicial, em comparação com 20% das empresas
de hardware e 12% das empresas de telecomunicações.
Atividade
Maturação
Empresas não relacionadas à
tecnologia
Todas de tecnologia
Software Hardware Telecomunicações
Estratégia de gerenciamento de riscos Estabelecer prioridades, restrições, tolerâncias a riscos e premissas para gerenciar os riscos operacionais.
33% 33% 29% 44% 28%
Gerenciamento de riscos da supply chain Estabelecer prioridades, restrições, tolerâncias a riscos e premissas para o gerenciamento do risco da supply chain, bem como estabelecer e implementar os processos para identificar, avaliar e gerenciar os riscos da supply chain.
30% 29% 25% 37% 26%
Avaliação de riscos Identificar os riscos de segurança cibernética em operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais e pessoas.
32% 27% 21% 41% 22%
Ambiente de negócios Compreender e priorizar os objetivos, as partes interessadas e as atividades da organização.
18% 16% 15% 13% 22%
Funções organizacionais Definir funções e responsabilidades para toda a força de trabalho e partes interessadas de terceiros.
19% 15% 16% 13% 14% Gestão de ativosIdentificar os dados, fluxos de dados, dispositivos, pessoal e sistemas que possam afetar a segurança cibernética.
17% 10% 10% 7% 16%
GovernançaEntender as políticas, procedimentos e processos para gerenciar e monitorar os requisitos regulatórios, legais, de risco e operacionais da empresa.
12% 10% 12% 17% 6%
Média 23% 20% 18% 23% 19%
6 · Protiviti
Proteger
Desenvolver e implementar medidas de segurança
apropriadas para garantir a prestação de serviços
críticos.
Assim como acontece com outros setores, as empresas de
tecnologia tendem a ser mais fortes no geral no âmbito da
proteção, que é onde a maioria das organizações tradicionalmente
começa a criar sua função de segurança cibernética. Mas há uma
queda notável nas atividades necessárias para apoiar os esforços
de proteção da linha de frente. O estado de conscientização e de
treinamento são particularmente preocupantes, dado o risco de
segurança cibernética representado pela equipe geral não treinada
(veja a barra lateral na página 9), assim como a manutenção – a
porcentagem de empresas de hardware e telecomunicações nos
níveis de maturação que está com um único dígito, destaca a
necessidade de mais recursos aqui.
Posicionado para melhoria
• Gerenciamento de identidades e controle de acesso:
atualmente, 47% das empresas de software e 42% das
empresas de telecomunicações estão em fase de
desenvolvimento.
• Tecnologia de proteção: dois terços das empresas de
telecomunicações e de hardware estão em fase de desenvolvimento,
em comparação com 51% das empresas de software.
Áreas de preocupação
• Manutenção: apenas 10% das empresas de tecnologia
atingiram o estágio de maturação, em comparação com 15%
das empresas não relacionadas à tecnologia.
• Tecnologia de proteção: 31% das empresas de software ainda
estão no estágio inicial, em comparação com 17% das empresas
de hardware e 20% das empresas de telecomunicações.
Há uma escassez global de talentos em tecnologia – não apenas para startups, mas também para empresas legadas
que estão passando por transformações digitais. Essa escassez forçou as empresas de tecnologia a implantarem seus
preciosos recursos humanos em atividades essenciais, como desenvolvimento de produtos e aquisição de clientes,
enquanto adotam um modelo de trabalho flexível, que inclui terceiros confiáveis, sempre que possível.
— Gordon Tucker, Diretor Geral, Global Technology Industry Practice Leader
protiviti.com.br Um caminho para acelerar o progresso · 7
Atividade
Maturação
Empresas não relacionadas à
tecnologia
Todas de tecnologia
Software Hardware Telecomunicações
Gerenciamento de identidades e controle de acesso Limitar o acesso a ativos físicos e lógicos e instalações associadas a usuários,
processos e dispositivos autorizados.
38% 36% 28% 51% 34%
Processos e procedimentos de proteção das informaçõesManter políticas, processos e procedimentos de segurança
para proteger os sistemas e ativos da informação.
34% 35% 30% 43% 36%
Segurança de dados Gerenciar dados de acordo com a estratégia de riscos para proteger a
confidencialidade, a integridade e a disponibilidade das informações e os
direitos de privacidade dos titulares dos dados.
33% 33% 32% 41% 26%
Tecnologia de proteção Gerenciar soluções técnicas de
segurança de acordo com políticas,
procedimentos e contratos para garantir a segurança e a resiliência
dos sistemas e dos ativos.
20% 16% 18% 16% 14%
Conscientização e treinamento Treinar o pessoal e os parceiros na conscientização sobre segurança cibernética e executar as tarefas de segurança cibernética, de acordo com políticas, procedimentos e contratos.
17% 16% 15% 16% 18%
ManutençãoRealizar manutenção e reparos dos
componentes de sistemas da informação e dos controles industriais de acordo com as políticas e os procedimentos.
15% 10% 13% 6% 8%
Média 26% 24% 23% 29% 23%
8 · Protiviti
protiviti.com.br Um caminho para acelerar o progresso · 9
Os funcionários são o elo mais fraco
Os profissionais de segurança cibernética argumentam há muito tempo que ela precisa ser vista como “o trabalho de todos” e uma
parte integrante da cultura da empresa. Essa mensagem parece começar a surtir efeito: quando solicitados a nomear seu maior risco
interno de segurança cibernética, os executivos de tecnologia, como os de outros setores, têm maior probabilidade de nomear
funcionários em geral não treinados do que qualquer outra fonte. No entanto, embora a conscientização sobre esse problema seja alta,
o combate ao problema ainda está em andamento. Assim, a aceleração do investimento em conscientização e treinamento nessa área
provavelmente produzirá um retorno perceptível.
• As empresas de telecomunicações também estão preocupadas com insiders maliciosos, com quase metade (48%) dos executivos dessas empresas apontando esse risco.
• As empresas de software também estão preocupadas com insiders privilegiados, citadas por 43% desses executivos.
• A preocupação com os terceiros variam muito. Mais de um quarto (26%) das empresas de hardware citou-os como riscospotenciais, enquanto apenas 4% das empresas de telecomunicações o fizeram.
Ameaças internas que apresentam riscos significativos
Equipe geral não treinada
Insiders privilegiados
Insiders maliciosos
Terceiros
Observação: essas porcentagens se aplicam a todas as organizações de tecnologia.
90%
37%
27%
15%
10 · Protiviti
Detectar
Desenvolver e implementar atividades apropriadas
para identificar a ocorrência de um evento de
segurança cibernética.
Como as atividades de detecção são principalmente orientadas pela
tecnologia, as atividades do setor de tecnologia aqui devem se
expandir nos próximos dois anos, à medida que novas abordagens
forem incorporadas (consulte a seção Ferramentas e tecnologias).
No entanto, há uma ressalva importante: a adoção de tecnologias
precisa ser combinada com a capacidade de usar essas tecnologias
estrategicamente. Como mostram os dados atuais, os benefícios dos
processos contínuos de monitoramento e detecção de segurança são
atenuados sem a capacidade paralela de compreender o impacto dos
eventos detectados (a atividade de “anomalias e eventos”).
Posicionado para melhoria
• Monitoramento contínuo da segurança: 50% das empresas
de telecomunicações estão em fase de desenvolvimento,
em comparação com 44% das empresas de software e 33%
das empresas de hardware.
• Anomalias e eventos: enquanto apenas 3% das empresas de
hardware estão na fase de maturação, 57% estão em fase de
desenvolvimento.
Áreas de preocupação
• Processos de detecção: 35% das empresas de software ainda
estão no estágio inicial, em comparação com 24% das empresas
de hardware e 26% das empresas de telecomunicações.
• Análise preditiva: enquanto 26% das empresas de
telecomunicações atingiram o estágio de maturação, 38%
ainda estão no estágio inicial.
Atividade
Maturação
Empresas não relacionadas à
tecnologia
Todas de tecnologia
Software Hardware Telecomunicações
Monitoramento contínuo da segurançaMonitorar sistemas e ativos da informação para identificar eventos de segurança cibernética e verificar a eficácia das medidas de proteção.
36% 30% 27% 41% 24%
Processos de detecção Manter e testar os processos e os procedimentos de detecção para
garantir a conscientização sobre eventos anômalos.
25% 23% 19% 27% 26%
Análise preditiva Prever ataques cibernéticos futuros analisando altos volumes de dados usando IA e outras tecnologias avançadas.
21% 20% 19% 16% 26% Anomalias e eventos Detectar a atividade anômala e
entender o potencial impacto dos eventos.
13% 12% 17% 3% 14%
Média 24% 21% 21% 22% 23%
protiviti.com.br Um caminho para acelerar o progresso · 11
O paradoxo da segurança cibernética
Nossa pesquisa revelou uma constatação contrária à intuição: quanto mais avançadas as iniciativas de segurança cibernética de empresas de
tecnologia, mais violações cibernéticas elas sofrem. É provável que isso ocorra porque as empresas com funções de segurança cibernética mais
maduras têm melhor detecção, enquanto aquelas nos estágios iniciais simplesmente não estão conscientes de intrusões. Embora 30% das
empresas de tecnologia tenham um monitoramento de segurança contínuo no nível de maturidade, apenas 1% daquelas que são categorizadas
como iniciantes em segurança cibernética o tenha, em comparação com 75% dos líderes de segurança cibernética da tecnologia.
Incidentes de segurança cibernética no último ano fiscal
Três ou mais violações que exigiram desenvolvimento de plano de resposta
emergencial
Mais de 1.000 registros roubados envolvendo informações pessoais identificáveis
Iniciantes Intermediárias Líderes
17%
37%
45%
2%
19%
25%
12 · Protiviti
Responder
Desenvolver e implementar atividades apropriadas
para agir em relação a um incidente de segurança
cibernética detectado.
Embora a porcentagem de empresas de tecnologia que atingiram o
estágio de maturidade em análise forneça uma base, há um trabalho
significativo a ser feito em resposta a violações cibernéticas. Em
particular, as empresas devem aumentar seu foco no planejamento de
resposta, o que pode impulsionar melhorias em outras áreas colaterais.
As empresas de software e hardware devem seguir o exemplo das
empresas de telecomunicações e redobrar suas iniciativas de mitigação.
Posicionado para melhoria
• Comunicações: 63% das empresas de hardware estão em fase de
desenvolvimento, em comparação com 51% das empresas de
software e 44% das empresas de telecomunicações.
Áreas de preocupação
• Comunicações: 42% das empresas de telecomunicações
ainda estão no estágio inicial, em comparação com 29% das
empresas de software e 21% das empresas de hardware.
Atividade
Maturação
Empresas não relacionadas à
tecnologia
Todas de tecnologia
Software Hardware Telecomunicações
Análise Analise os incidentes para garantir uma resposta eficaz e auxiliar a recuperação.
39% 35% 32% 41% 36%
Melhorias contínuasMelhorar a resposta organizacional, incorporando as lições aprendidas
das atividades atuais e anteriores da segurança cibernética.
24% 20% 15% 30% 18%
Planejamento da respostaManter e executar processos e procedimentos para garantir a resposta para detectar incidentes de segurança cibernética.
18% 20% 21% 21% 14%
Comunicações Coordenar a resposta com as partes interessadas internas e externas, como agências de
aplicação da lei.
23% 16% 17% 16% 12%
MitigaçãoAgir para impedir a expansão
de um evento, mitigar seus efeitos e resolver o incidente.
11% 7% 11% 1% 6%
Média 23% 20% 19% 22% 17%
protiviti.com.br Um caminho para acelerar o progresso · 13
Recuperar
Desenvolver e implementar atividades apropriadas
para manter planos de resiliência e restaurar
quaisquer recursos ou serviços que foram
prejudicados devido a um incidente de segurança
cibernética.
Os líderes de segurança cibernética e outros executivos de nível de
diretoria reconheceram há muito tempo que, no ambiente atual,
sofrer uma violação de segurança cibernética é uma questão de
“quando” e não de “se”. Os recursos de recuperação de uma
empresa serão testados – e poderão determinar o impacto de
longo prazo da violação nos negócios. Portanto, as empresas de
tecnologia em geral precisam priorizar este conjunto de atividades
de segurança
cibernética – começando com iniciativas crescentes para se
tornarem organizações de “aprendizagem contínua” em relação aos
seus processos de recuperação.
Posicionado para melhoria
• Planejamento da recuperação: 61% das empresas de
hardware e 58% das empresas de telecomunicações estão
em fase de desenvolvimento, em comparação com
48% das empresas de software.
• Melhorias contínuas: 70% das empresas de hardware estão
em fase de desenvolvimento, em comparação com 61% das
empresas de software e 52% das empresas de
telecomunicações.
Atividade
Maturação
Empresas não relacionadas à
tecnologia
Todas de tecnologia
Software Hardware Telecomunicações
Comunicações Coordenar as iniciativas de restauração – incluindo relações públicas e gestão de reputação – interna e externamente com provedores de serviços de internet (ISPs).
26% 22% 19% 27% 22%
Planejamento da recuperaçãoManter e executar planos de recuperação – durante ou após um incidente de segurança cibernética – para garantir a restauração de sistemas ou ativos afetados.
20% 20% 25% 20% 10%
Melhorias contínuasIncorporar as lições aprendidas no planejamento e no processo de recuperação futuros.
23% 14% 12% 17% 18%
Média 23% 19% 19% 21%17%
14 · Protiviti
Ameaças emergentes e contramedidas
A natureza evolutiva dos ataques cibernéticos
À medida que a transformação digital do setor de tecnologia
continua, espera-se que os ataques cibernéticos evoluam da
mesma maneira. Hoje, a ameaça de ataques diretos de malware,
ransomware, cavalos de Troia, entre outros,
domina o cenário de segurança cibernética. Nos próximos dois
anos, os participantes da pesquisa esperam que surjam novas
vulnerabilidades em função da conectividade e da complexidade
maiores do sistema.
Ataques com o maior impacto
Agora Em dois anos
01 Malware/spyware 01 Ataques por meio de aplicativos móveis
02 Ataques por meio de aplicativos móveis 02 Ataques a aplicações Web
03 Ransomware 03 Ataques por meio de software e hardware da supply chain
04 Phishing/spoofing/engenharia social 04 Ataques por meio de sistemas incorporados (embedded systems)
05 Cavalos de Troia/vírus/worms 05 Ataque de negação de serviço (DoS)/ataque distribuído de negação de serviço (DDoS)
No entanto, essa mudança reflete a inclusão esperada de novas
ameaças, em vez de qualquer redução das atuais. Duas possíveis
interpretações emergem destes dados. A primeira é que há uma
dificuldade inerente na priorização de ameaças futuras. A
segunda é que o perfil de ameaças daqui a dois anos será, de
fato, significativamente mais multidimensional. Ambas
interpretações apresentam um desafio ao planejamento estratégico
da segurança cibernética.
protiviti.com.br Um caminho para acelerar o progresso · 15
Ataques com impacto significativo
Malware/spyware
Ataques por meio de aplicativos móveis
Ransomware
Phishing/spoofing/engenharia social
Cavalos de Troia/vírus/worms
Ataques a aplicações Web
Ataques por meio de sistemas incorporados (embedded systems)
Dispositivos perdidos/roubados
DoS/DDoS
Ataques por meio de software e hardware da supply chain
Agora Em dois anos
81%
71%
69%
86%
67%
70%
65%
66%
64%
66%
43%
84%
39%
79%
28%
61%
27%
75%
27%
80%
23%
67%
16%
66%
Abuso do acesso legítimo
Ataques por meio de terceiros
16 · Protiviti
Efeito das tendências internas e externas
Do ponto de vista da segurança cibernética, os avanços
tecnológicos são uma faca de dois gumes, proporcionando maior
capacidade e controle, mas também criando novos canais de
intrusão. Refletindo isso, quando questionados sobre quais
tendências internas e externas estavam afetando a segurança
cibernética, os executivos de tecnologia deram muito mais ênfase
às novas tecnologias, como inteligência artificial (IA) e blockchain,
bem como fatores tecnologicamente impulsionados como
plataformas abertas e interconectividade, do que
a fatores comerciais como fusões e aquisições (F&A) e
supplies chain expandidas.
A ênfase nos fatores tecnológicos ao avaliar o cenário da segurança
cibernética não é surpreendente. Porém, as empresas de tecnologia
devem lembrar que as combinações de negócios, o alongamento
das supplies chain e as operações globais expandem
significativamente a superfície de ataque de uma organização e, ao
mesmo tempo, introduzem uma série de desafios de controle.
Impacto das tendências sobre a segurança cibernética
Fatores tecnológicos
Uso de plataformas abertas, interfaces de programação de
aplicativos (APIs) e nuvem
Novas tecnologias (IA, Internet das coisas (IoT) e blockchain)
Interconectividade e tecnologias móveis
Produtos, serviços e interfaces ativados digitalmente
Supply chain expandida
Transformação digital da empresa
Crescimento por meio de F&A, joint ventures e parcerias
Fatores corporativos
58%
54%
40%
29%
20%
18%
16%
protiviti.com.br Um caminho para acelerar o progresso · 17
Ferramentas e tecnologias
As empresas de tecnologia tendem a contar com um conjunto
básico de cinco tecnologias para suas iniciativas de segurança
cibernética. No entanto, há outro conjunto de ferramentas que as
líderes e as intermediárias de segurança cibernética usam, mas
que as iniciantes ainda precisam adotar amplamente. Empresas
que estão no início do desenvolvimento de segurança cibernética
devem considerar a expansão de seu arsenal de segurança
cibernética.
• As empresas de telecomunicações são muito mais propensas a
usar soluções e sensores de IoT (80%) do que empresas de
software (65%) ou empresas de hardware (53%).
• Há várias tecnologias com maior probabilidade de serem usadas
por empresas de hardware do que por empresas de software ou
de telecomunicações, incluindo navegadores seguros, análise de
tráfego de rede, práticas de segurança de informações de
terceiros, CASB (Cloud Access Security Brokers) e software de
detecção e resposta de endpoint (EDR).
Algumas tecnologias são usadas por muitos...
Autenticação multifator/biometria
Blockchain
Soluções/sensores de IoT
IA/machine learning
Navegadores seguros
Machine learning, análise avançada, inteligência artificial e outras tecnologias, antes consideradas como
experimentais, são competências essenciais atualmente. Elas precisam de recursos para gerar novos insights
de clientes e para oferecer novas experiências aos clientes.
— Ron Lefferts, Diretor geral, Diretor global da Protiviti Technology Consulting
87%
67%
64%
52%
51%
18 · Protiviti
... Enquanto outras são favorecidas por aqueles com mais experiência
Software de proteção de endpoint
CASB (Cloud Access Security Brokers)
Práticas de segurança de informações de terceiros
Análise de tráfego de rede
Software de detecção e resposta de endpoints
Provedores de serviços gerenciados de segurança
Iniciantes Intermediárias e líderes
As constatações da nossa pesquisa sugerem que as empresas do
setor de tecnologia estão preparadas para uma expansão
significativa do conjunto de ferramentas de segurança cibernética:
as três abordagens que são menos utilizadas hoje – análise do
comportamento do usuário, tecnologias de redes inteligentes e a
tecnologia deception – são aquelas que as empresas de tecnologia
dizem que provavelmente adotarão nos próximos dois anos. É
interessante notar que os iniciantes na segurança
cibernética estão liderando a cobrança pela adoção dessas
novas tecnologias. Este poderia ser um caso de
“ultrapassagem”, em que um grupo atrasado acelera sua sofisticação
tecnológica por meio de uma adoção precoce agressiva – desde que
essas empresas garantam que terão a infraestrutura e o pessoal
adequados para absorver essa rápida mudança.
7%
50%
6%
49%
4%
48%
7%
46%
8%
43%
5%
41%
protiviti.com.br Um caminho para acelerar o progresso · 19
Novas tecnologias no horizonte
Análise de comportamento do usuário
Tecnologias de redes inteligentes
Tecnologia deception
Agora Daqui a dois anos — Iniciantes
Daqui a dois anos — Intermediárias e líderes
Imagine um cenário em que 50 analistas de segurança estão constantemente pesquisando ameaças em
milhares de eventos dentro do ambiente de TI de uma empresa. Não é apenas uma proposta cara, mas é quase
certeza que deixariam de detectar todos os perigos. Por outro lado, as tecnologias de IA, como a machine
learning, podem rapidamente vasculhar dados e direcionar os analistas a padrões de comportamento anormais
ou suspeitos de máquinas e/ou humanos.
— Tom Lemon, Diretor geral, Technology Consulting
4%
82%
68%
5%
56%
27%
8%
71%
52%
20 · Protiviti
Métodos quantitativos trazem benefícios de longo alcance
Enquanto outras tecnologias e métodos verão um salto maior na adoção nos próximos dois anos, a porcentagem de empresas de
tecnologia que agora usa métodos quantitativos para análise de riscos de segurança cibernética, combinadas com aquelas que planejam
adotá-las nos próximos dois anos fará disso um pilar da segurança cibernética até 2020. Esse desenvolvimento melhorará a capacidade
do setor de responder rapidamente a ameaças cibernéticas em um nível prático, ao mesmo tempo em que solidificará uma abordagem
mais holística e analítica da segurança cibernética.
Menos de um dia para...
Descoberta de um incidente
Mitigação de vulnerabilidades
Implementação de patches
Recuperação de dados
Empresas que utilizam métodos quantitativos para a avaliação de riscos
Agora Em dois anos Nenhum
49%
30%
29%
33%
23%
20%
32%
21%
23%
26%
18%
15%
protiviti.com.br Um caminho para acelerar o progresso · 21
80%
48%
91%
80%
50%
88%
79%
51%
87%
82%
48%
Uso de métricas na estratégia de segurança cibernética
Nossas métricas de segurança nos ajudam a avaliar o progresso real em alcançar nossas
metas de segurança cibernética
Nossas métricas priorizam nossos controles e processos de segurança
As métricas são bem compreendidas pela alta administração e pelo conselho
Nossas métricas de segurança nos ajudam a determinar os recursos que precisamos
aplicar ao nosso programa de segurança
Empresas que utilizam métodos quantitativos para a avaliação de riscos
Agora Em dois anos Nenhum
91%
Aquelas empresas que ainda não incorporaram métodos quantitativos para análise de riscos mostram que os benefícios abaixo sugerem que elas já começaram o processo de serem mais orientadas a dados em sua estratégia de segurança cibernética.
22 · Protiviti
Suporte à segurança cibernética em toda a organização
É evidente que a função de segurança cibernética de uma
organização não existe no vácuo. Assim como em outros setores, as
empresas de tecnologia precisam garantir que outras partes da
organização estejam alinhadas com a missão de segurança
cibernética. Por exemplo, dada a quantidade de dados de clientes
que as empresas de software e de telecomunicações mantêm,
é notável que menos de um quarto das empresas de software e de
telecomunicações tenham nomeado um responsável pela proteção
de dados. As organizações que não fizeram isso (e que não são
legalmente obrigadas a fazê-lo com base em que operam) precisam
examinar de perto como escolheram estruturar sua função de
privacidade de dados para garantir que ela seja adequada.
Esses dados também mostram que as empresas de tecnologia têm
a oportunidade de aumentar o envolvimento do conselho e da
equipe de administração mais ampla em relação à segurança
cibernética. Quarenta e quatro por cento das empresas de
tecnologia têm sua função de auditoria revisando a declaração de
apetite ao risco da empresa e incorporando lacunas na estratégia
de auditoria, indicando que quase metade das empresas
representadas na pesquisa têm uma abordagem bastante
sofisticada ao risco. No entanto, menos da metade desse número
incorporou sua declaração de risco cibernético em sua declaração
de risco em toda a empresa, ou teve a declaração de risco
cibernético aprovada pelo conselho. As empresas de tecnologia
devem se esforçar para integrar risco cibernético em considerações
de maior risco. Fazer isso fará com que as discussões de riscos da
empresa reflitam melhor a realidade, aumentando a
conscientização sobre questões de segurança cibernética entre os
responsáveis pela tomada de decisões da empresa.
Empresas não relacionadas à
tecnologia
Todas de tecnologia
Software Hardware Telecomunicações
Liderança Um executivo com responsabilidade exclusiva por garantir a segurança das informações foi nomeado.
Um diretor de proteção de dados foi nomeado para supervisionar a conformidade com a privacidade dos dados.
40% 37% 33% 46% 34%
19% 21% 23% 16% 22% Suporte O departamento de RH tem um orçamento para recrutar, treinar e desenvolver funcionários para melhorar a segurança cibernética.
39% 46% 43% 41% 58% Um provedor forense terceirizado é utilizado. 9% 7% 10% 4% 2% GovernançaUma auditoria independente revisa regularmente a declaração de apetite ao risco e incorpora as lacunas na estratégia de auditoria.
40% 44% 45% 33% 54%
Uma declaração de apetite ao risco cibernético foi aprovada pelo conselho.
20% 20% 21% 21% 14% A declaração de apetite ao risco cibernético é parte da declaração de risco em toda a empresa.
15% 22% 26% 17% 18%
protiviti.com.br Um caminho para acelerar o progresso · 23
Recomendações
As constatações da pesquisa destacam uma série de medidas que os responsáveis pela tomada de decisões do setor de tecnologia podem
considerar para que suas funções de segurança cibernética permaneçam à frente das ameaças em evolução:
01Examinar como a segurança cibernética é considerada dentro da organização. As empresas que a veem como um potencial diferenciador de negócios, em vez de uma obrigação de manutenção, têm maior probabilidade de fornecer o nível apropriado de recursos e de atenção. A segurança cibernética deve ser levada em conta na auditoria e nas discussões em nível de diretoria e, juntamente com a privacidade de dados, deve receber atenção dedicada da gerência sênior.
02Analisar criticamente o progresso que está sendo feito na implementação das várias atividades do Framework de Cybersecurity do NIST e considerar adotar metas mais agressivas. A porcentagem de empresas de tecnologia que ainda são “iniciantes em segurança cibernética” é problemática, dado o papel do setor em possibilitar a maior digitalização dos negócios.
03A importância do investimento adequado não pode ser subestimada, especialmente para as empresas que buscam obter a massa crítica necessária para passar da fase iniciante. É provável que isso exija que o CEO e, possivelmente, o conselho defendam a responsabilidade da organização sobre seu risco cibernético.
04Examinar o planejamento estratégico de segurança cibernética para refinar como ele prioriza as ameaças potenciais que podem surgir nos próximos anos. Inventariar o conjunto de ferramentas utilizadas atualmente e considerar o benefício de adotar uma gama mais ampla de soluções. Analisar os recursos atuais de infraestrutura e de pessoal para garantir que eles sejam capazes de se adaptar à próxima geração de ameaças e contramedidas de segurança cibernética.
05As empresas que ainda não estão usando, ou não fizeram planos para usar, métodos quantitativos para avaliação de riscos de segurança cibernética devem considerar fazê-lo. Abordar a segurança cibernética com uma mentalidade quantitativa traz uma série de benefícios, incluindo melhor desempenho na segurança cibernética e no processo de tomada de decisões.
24 · Protiviti
Como a Protiviti pode ajudar
A Protiviti trabalha com organizações com foco em
questões fundamentais de segurança das informações:
• Sabemos o que precisamos proteger (por exemplo, os ativos
de sistemas de dados e informações mais importantes – as
“joias da coroa”) e onde esses ativos estão localizados? Com
relação a esses ativos:
– Estamos cuidando deles de forma adequada?Como sabemos?
– De quem os estamos protegendo, a quem devemos permitir
o acesso a eles e como podemos dizer a diferença?
– Nossas defesas são eficazes? Elas estão funcionandoconforme o esperado?
– Como saberemos se não estão funcionando comoplanejamos?
• Somos capazes de reconhecer uma nova ameaça ao nosso
ambiente e detectar prováveis técnicas de ataque em tempo
hábil, bem como alinhar nossas medidas de proteção para
enfrentar a ameaça?
• Estamos prontos para responder se algo indesejado acontecer?
Somos capazes de gerenciar esses incidentes? E quando ocorrem
incidentes, somos capazes de impedir que aconteçam novamente?
A Protiviti oferece uma ampla variedade de serviços de avaliação,
arquitetura, transformação e gerenciamento de segurança e de
privacidade para ajudar as organizações a identificar e abordar as
exposições de segurança e privacidade (por exemplo,
perda de dados de clientes, perda de receita ou prejuízo da reputação)
antes que se tornem problemas. Ao trabalharmos com empresas de
todos os setores, avaliamos a maturidade de seus programas de
segurança das informações e a eficácia de seus controles – e as
ajudamos a projetar e desenvolver melhorias quando necessário.
Temos um histórico comprovado de ajudar as empresas a reagir a
incidentes de segurança, estabelecer programas de segurança
proativos, lidar com o gerenciamento de identidades e de acesso, bem
como administrar os problemas de privacidade e de segurança de
dados específicos do setor. Nossa experiência e dedicação para
desenvolver respostas a incidentes de classe mundial resultaram em
uma profunda especialização em estratégias de segurança, execução de
respostas, análise forense e desenvolvimento de planos de resposta.
protiviti.com.br Um caminho para acelerar o progresso · 25
SOBRE A PROTIVITI
A Protiviti é uma empresa de consultoria global que oferece amplos conhecimentos, insights objetivos, uma abordagem personalizada e colaboração inigualável para ajudar os líderes a encarar o futuro com confiança. A Protiviti e as empresas-membro de propriedade independente fornecem soluções de consultoria em finanças, tecnologia, operações, dados, análises, governança, riscos e auditoria interna para nossos clientes por meio de nossa rede de mais de 75 escritórios em mais de 20 países.
Atendemos mais de 60% das empresas da Fortune 1000® e 35% das empresas da Fortune Global 500®. Também trabalhamos com empresas menores e em crescimento, incluindo aquelas que querem abrir seu capital, bem como com agências governamentais. A Protiviti é uma subsidiária integral da Robert Half (NYSE: RHI). Fundada em 1948, Robert Half é membro do índice S&P 500.
CONTATOS
Brasil
Protiviti BR
SÃO PAULORua James Joule, 65,5º andar • Cidade MonçõesSão Paulo • SP • BrasilCEP: 04576-080Tel: +55 11 2198 4200
RIO DE JANEIROAv. Rio Branco, 1097º andar • Centro Conj. 702 - CentroRio de Janeiro • RJ • BrasilCEP: 20040-004Tel: +55 21 2511 2651
ALPHAVILLEAlameda Araguaia, 21047º andar • Alphaville IndustrialBarueri • SP • BrasilCEP: 06455-000Tel: +55 11 2198 4200
BELO HORIZONTERua Antonio de Albuquerque, 3308º andar • SavassiBelo Horizonte • MG • BrasilCEP: 30112-010Tel: +55 31 3181 0144
AMÉRICAS ESTADOS UNIDOS
Alexandria
Atlanta
Baltimore
Boston
Charlotte
Chicago
Cincinnati
Cleveland
Dallas
Denver
Fort Lauderdale
Houston
Kansas City
Los Angeles
Milwaukee
Minneapolis
Nova York
Orlando
Filadélfia
Phoenix
Pittsburgh
Portland
Richmond
Sacramento
Salt Lake City
San Francisco
San Jose
Seattle
Stamford
St. Louis
Tampa
Washington, D.C.
Winchester
Woodbridge
ARGENTINA*
Buenos Aires
BRASIL*
AlphavilleBelo Horizonte Rio de JaneiroSão Paulo
CANADÁ
Kitchener-Waterloo Toronto
CHILE*
Santiago
COLÔMBIA*
Bogotá
MÉXICO*
Cidade do México
PERU*
Lima
VENEZUELA*
Caracas
FRANÇA
Paris
HOLANDA
Amsterdam
BAHRAIN*
Manama
ARÁBIA SAUDITA*
Riyadh
ÁFRICA DO SUL*
DurbanEUROPA, ORIENTE MÉDIO E ÁFRICA
ALEMANHA REINO UNIDO KUWAIT* EMIRADOS ÁRABESJohannesburg
Frankfurt Birmingham Kuwait City UNIDOS*
Monique Bristol Abu Dhabi
Leeds OMAN* Dubai
ITÁLIA Londres
Milão Manchester
Roma Milton Keynes
Turin Swindon
Muscat EGITO*
QATAR* CairoDoha
ÁSIA-PACÍFICO AUSTRÁLIA
Brisbane
Canberra
Melbourne
Sydney
CHINA
Beijing
Hong Kong
Shanghai
Shenzhen
ÍNDIA*
Bengaluru
Hyderabad
Kolkata
Mumbai
Nova Delhi
JAPÃO
Osaka
Tóquio
SINGAPURA
Singapura
* EMPRESA-MEMBRO
© 2019 Protiviti Inc. Empregador de Oportunidades Iguais M/F/Deficiências/Veteranos. PRO-0319-103131 A Protiviti não é licenciada ou registrada como uma firma de contabilidade pública e não emite pareceres sobre demonstrações financeiras ou oferece serviços de certificação.