FALHAS DO SETOR DE SEGURANÇA:
PRESTAÇÃO DE CONTAS E PLANO
DE AÇÃO
Amit Yoran
Presidente, RSA
William Robertson
Professor assistente
College of Computer and Information Science, Northeastern University
O setor de segurança das informações está perdendo a guerra cibernética. Ou melhor, as guerras cibernéticas. No plural.
“Hackers ativistas” mal-intencionados, facções do crime organizado, indivíduos patrocinados pelo estado, terroristas e outras
fontes de ameaças atacam sistemas computacionais e a infraestrutura crítica em diversas frentes em todo o mundo com
aparente impunidade. As motivações e os objetivos variam. Mas o que eles têm em comum é a má intenção. Munidos de
habilidades incrivelmente sofisticadas e de recursos avançados, estes invasores do século 21 são, frequentemente, bemsucedidos em alcançar seus objetivos. No entanto, não são apenas esses que obtêm êxito. Muitas vezes, os criminosos mais
persistentes do que hábeis são capazes de explorar fraquezas. As empresas involuntariamente fornecem amplas superfícies
de ataque com pontos de entrada inadequadamente protegidos ou totalmente vulneráveis. Por serem alvos de competentes
terroristas e criminosos cibernéticos ou mesmo de sua própria falta de preparo e investimentos, as vítimas de ataques
cibernéticos sofrem danos que vão desde aborrecimentos isolados até problemas devastadores, extensos e... caríssimos.
O impacto financeiro negativo, por si só, é estarrecedor. Considere como o bombardeio implacável das violações de
segurança cibernética enfraquece a segurança de nações soberanas, reprime as inovações, diminui a confiança dos
consumidores e ameaça a segurança pública, sendo que a magnitude do problema é realmente assustadora. O crime
cibernético prejudica a economia global.
WHITE PAPER DA RSA
PARADOXO
Apesar do aumento da conscientização, da grande quantidade de novos produtos e serviços, dos investimentos crescentes
e dos esforços relacionados de algumas das mentes mais inteligentes de empresas, do governo e de universidades, o setor
de segurança ainda se esforça para seguir o ritmo.
O número de incidentes de segurança das informações relatados em todo o mundo aumentou 48%, atingindo a cifra de 42,8
milhões, o equivalente a 117.339 ataques por dia, de acordo com a The Global State of Information Security® Survey 2015 (1),
publicada em setembro de 2014 pela PwC em conjunto com as revistas CIO e CSO. Os incidentes de segurança detectados
aumentaram 66% ano após ano desde 2009, indicam os dados da pesquisa. O mesmo estudo afirma que, à medida que os
incidentes de segurança se tornam mais frequentes, os custos associados de gerenciamento e redução do número de violações
também estão aumentando. Globalmente, a perda média financeira estimada que foi relatada como proveniente de incidentes de
segurança cibernética foi de US$ 2,7 milhões – um aumento de 34% em relação a 2013. As grandes perdas foram mais comuns
este ano, quando o número de organizações que informaram prejuízos financeiros superiores a US$ 20 milhões quase dobrou.
Os custos financeiros diretos associados à correção de violações de dados e a outros crimes cibernéticos – incluindo
investigações forenses, processos judiciais, monitoramento de crédito para as vítimas de roubo de identidades e muito mais –
são agravados pelo efeito destrutivo da perda de confiança. O estudo 2014 Cost of Data Breach Study: United States(2),
conduzido pelo Ponemon Institute, determinou que o custo médio de cada registro perdido ou roubado contendo informações
confidenciais aumentou de US$ 188 para US$ 201. O custo médio total pago pelas organizações aumentou de US$ 5,4 milhões
para US$ 5,9 milhões. “A principal razão para o aumento é a perda de clientes após a violação de dados devido às despesas
adicionais necessárias para preservar a marca e a reputação da organização. De fato, a taxa média do volume de rotatividade
de clientes aumentou em 15% desde o ano passado”, conclui o relatório.
Há, claramente, falhas no sistema. Identificar e corrigir as causas-raiz é essencial.
ERROS DE OMISSÃO?
O fracasso do setor de segurança é resultado de algo que não está sendo feito ou de algo sendo feito da maneira errada?
A falta de investimentos não parece ser um fator. A Gartner, Inc. relata em seu estudo intitulado “Forecast: Information
Security, Worldwide, 2012-2018, 2Q14 Update” que os gastos mundiais relacionados à segurança das informações atingirão os
US$ 71,1 bilhões em 2014, o que representa um aumento de 7,9% em relação ao ano de 2013, com o segmento de prevenção
de perda de dados registrando o crescimento mais rápido, de 18,9%. Os gastos totais relacionados à segurança das informações
crescerão outros 8,2% em 2015, alcançando os US$ 76,9 bilhões(3).
Gastos robustos em produtos e serviços de segurança das informações são obscurecidos pelos investimentos da área de
pesquisa e desenvolvimento e por um surpreendente crescimento da taxa de natalidade de empresas de segurança das
informações. Ellen Messmer, ex-editora sênior da Network World, escreveu que “A disposição para investir em novas start-ups
de segurança tem crescido tanto que as start-ups que ainda estão no modo de sigilo estão sendo engolidas por empresas já
estabelecidas antes mesmo de conseguirem lançar para o público seus produtos e serviços de segurança.” (4)
Então, por que o setor de segurança como um todo – profissionais, consultores e, sim, fornecedores de tecnologia –
não consegue tolher ou, pelo menos, afastar os ataques cibernéticos? Existem vários fatores que contribuem para isso.
FALTA DE CONSCIÊNCIA SITUACIONAL
Em geral, há uma falta de consciência situacional. Em um artigo de 1995 (5) publicado no Human Factors: The Journal of the
Human Factors and Ergonomics Society, Dr. Mica Endsley, cientista-chefe da Força Aérea dos EUA, forneceu a definição que é
considerada a mais bem-aceita do termo consciência situacional. Ela o descreve como “a percepção dos elementos no ambiente
dentro de um volume de tempo e espaço, a compreensão de seus significados e a projeção do status desses elementos em um
futuro próximo.”
Aplicados ao estado atual da segurança cibernética, os métodos, o significado e o impacto dos ataques cibernéticos não são
avaliados dentro de um quadro contemporâneo pelas pessoas encarregadas de proteger ativos de informações valiosos, dados
pessoais e a infraestrutura de base. Sem uma leitura clara do panorama das ameaças cibernéticas, as empresas e o setor
público não podem lutar contra elas adequada e proativamente. A maioria das respostas é reativa e pontual. Como resultado,
muitas empresas apresentam um desempenho abaixo do ideal e são retrógradas.
Uma falha grave que piora ainda mais a situação é que muitas organizações não avaliam objetivamente sua postura de
segurança. Isso resulta em uma dependência de tecnologias de segurança do “status quo”, em vez de um programa de
segurança centrado nas ameaças. Reconhecer as falhas nunca é fácil e é, às vezes, arriscado e um pouco contrário à
conveniência política. No entanto, aceitar os riscos em troca de uma falsa sensação de segurança é um mau negócio.
A falta de consciência situacional entre vários profissionais de segurança das informações é uma das vulnerabilidades mais
prementes na defesa cibernética dos EUA. Uma situação em que vemos isso acontecer muito claramente está na falsa sensação
de segurança sentida por alguns profissionais de segurança das informações. Há muita fé cega nos firewalls e em outras
soluções implantadas. Talvez motivados por uma moda do setor, uma necessidade de se livrar de uma lista de tarefas ou pelo
medo, a lógica e o ceticismo ponderado acabam sendo substituídos pela urgência da tomada de ações. Uma crença é aplicada
2
sobre produtos sem uma verdadeira compreensão deles, sem a percepção exata das circunstâncias ou com base em
discriminação. Com frequência, o planejamento detalhado básico – que envolve avaliações, verificações de referências
e projetos piloto – é negligenciado. Isso promove a complacência e deixa os sistemas expostos. E, quando as soluções
são examinadas e implementadas, torna-se absolutamente necessário controlar sua manutenção.
UMA FORTALEZA FRÁGIL
Os investimentos da área de segurança das informações em tecnologias de prevenção com base em assinaturas e regras, como
firewalls e software antivírus, têm sido desproporcionalmente elevados em comparação com os gastos com soluções que podem
detectar e responder a invasões. Em sua apresentação no 2014 Gartner Security and Risk Management Summit, Neil MacDonald,
vice-presidente e célebre analista, recomendou que “as empresas busquem renegociar os custos das tecnologias implantadas,
como as de antimalware, IPS e criptografia, para transportar esses gastos para as atividades de detecção e resposta.” (6)
Cercas mais altas e paredes mais grossas parecem ser ótimas, mas seus oponentes poderão passar por baixo, pular ou até
mesmo dar a volta nelas. Alguns podem, até mesmo, se misturar com o público em pontos de acesso e conseguir entrar.
A Muralha da China é uma analogia apropriada. A estrutura icônica – construída ao logo dos séculos por sucessivas dinastias –
foi com toda certeza um feito da engenharia. Mas, apesar de imponente, a muralha era frequentemente escalada, penetrada,
invadida e driblada. Os esquemas de proteção da atualidade, que são “crocantes por fora e macios por dentro” e nos quais
um perímetro reforçado protege o interior de sistemas relativamente desprotegidos e desatualizados, são a nossa versão
moderna da muralha. Afinal, proteger um perímetro de 21.000 quilômetros contra inimigos determinados e incontáveis que
empregavam a tática da abordagem em grupo era impossível. E assim é nas guerras cibernéticas de hoje, nas quais não
existem fronteiras reais.
“Nas quase duas décadas desde que se iniciaram as primeiras discussões sérias sobre políticas cibernéticas, a tecnologia
mudou imensamente: e-mail, a Internet e os dispositivos móveis são, agora, a norma, e não como eram no meio dos anos 90.
Infelizmente, os debates sobre políticas não mudaram”, escreveu Jessica R. Herrera-Flanigan em um artigo intitulado “Cyber
Policy Still Stuck in the ‘90s” – publicado no Nextgov, em outubro de 2014 (7). Flanigan é parceira da Monument Policy Group,
uma empresa de assuntos governamentais, e é Fellow for Cybersecurity no The National Policy Center, um think-tank
independente que fornece análises, suporte e informações relacionadas às questões de segurança cibernética e inovação.
A LACUNA DE HABILIDADES
Muitas empresas carecem de expertise interna de segurança cibernética e de recursos adequados para atender às crescentes,
bem documentadas e numerosas ameaças de segurança cibernética inerentes a todos os aspectos da vida do século 21. Esse é
um risco inaceitável, que as equipes executivas e a diretoria foram lentas para minimizar, mas que geralmente se torna uma alta
prioridade após a ocorrência de uma violação.
A lista do EY Center for Board Matters contendo as seis principais prioridades da diretoria de 2015 (8) incluiu a segurança
cibernética. “Os membros da diretoria foram cada vez mais responsabilizados e, em alguns casos, foram depostos por gerir
impropriamente os riscos de segurança cibernética em 2014 – riscos estes que continuaram a proliferar em 2015”, observa
o relatório. Os conselhos de diretores devem definir os rumos do aprimoramento da segurança cibernética e determinar
a responsabilidade pela supervisão, dando às organizações, ao mesmo tempo, a flexibilidade adequada para que elas
tirem proveito do poder da tecnologia.”
A escassez de profissionais de segurança cibernética é tão aguda no Reino Unido que mais da metade dos 300 profissionais de TI
e RH seniores em empresas com 500 ou mais funcionários declarou para a KPMG, em uma pesquisa realizada em novembro de
2014 (9), que consideraria contratar ex-hackers mal-intencionados para ficar um passo à frente dos criminosos cibernéticos.
A invasão por hackers da Sony Pictures em novembro de 2014 é um caso de advertência. A invasão à rede por partes
desconhecidas (que foi mais tarde atribuída a agentes norte-coreanos) resultou na distribuição pública generalizada de
informações confidenciais, abrangendo de e-mails vergonhosos do ex-presidente da empresa zombando do Presidente Obama
aos registros de saúde e “diários” de filmes ainda inéditos. Em um setor que é notório pela fofoca, isso foi como mergulhar
em um mar cheio de tubarões. Usando as informações dos registros divulgados por hackers, o Fusion relatou que, dos quase
7.000 funcionários da Sony Pictures, apenas 11 faziam parte da equipe de segurança das informações da empresa.
Os governos também sentiram o beliscão do talento da segurança cibernética. A revista Government Technology relatou (10) que
em um evento recente da Brookings Institution, Michael Daniel, o czar da segurança cibernética da Casa Branca dos EUA, disse
a um executivo do Florida Center for Cybersecurity no campus da University of South Florida que o governo federal contrataria
6.000 especialistas em segurança de computadores nos próximos 18 meses.
Por que esse déficit? Uma razão principal é que, embora existam muitos profissionais de segurança de TI, a segurança
cibernética requer habilidades diferentes, uma distinção que é frequentemente negligenciada. A segurança cibernética é um
subconjunto da segurança das informações. No entanto, elas são disciplinas relacionadas, porém distintas. Apesar de ambas
terem como foco a proteção dos sistemas de informação, o alcance da segurança cibernética se estende pelas redes e sistemas
chegando até as classes de ativos, como é o caso da infraestrutura estratégica. A rede elétrica e os sistemas de navegação são
bons exemplos de infraestrutura estratégica. A segurança cibernética também é mais proativa. Existem outras qualificações que
os profissionais de segurança cibernética devem ter que não são necessárias para trabalhar na TI tradicional. Entre elas estão
a compreensão dos processos de negócios, a capacidade de reunir, analisar e agir sobre a inteligência e uma compreensão
profunda de toda a organização em que operam.”
3
E nada substitui a experiência. Uma formação técnica e de negócios adequada é também um diferencial. É animador ver as
faculdades e universidades lançarem programas de segurança cibernética, com as agências federais tendo um papel importante
no financiamento desses programas por meio de esforços como o programa chamado National Science Foundation Scholarship
for Service (SFS). O governo dos EUA reconhece que existe uma lacuna na segurança cibernética e que formar a próxima
geração de pesquisadores e profissionais de segurança é uma prioridade. Garantir a segurança de governos, indústrias e de uma
sociedade que depende cada vez mais da infraestrutura cibernética exigirá esforços concentrados em diversas frentes – não
apenas na esfera técnica. Mas a formação da próxima geração de guerreiros cibernéticos leva tempo e, como ocorre com
qualquer soldado, é no combate que nossa determinação é testada e nossas habilidades são afiadas.
Nesse ínterim, as organizações que carecem de força de trabalho e de expertise podem imediatamente se beneficiar de um
número crescente de serviços de segurança gerenciados e com base na nuvem para aumentar seus recursos internos, mas,
muitas vezes, elas deixam de fazer isso. Neil MacDonald, da Gartner, oferece uma possível solução, aconselhando que as
organizações que não têm uma equipe interna para dar suporte à tecnologia avançada de resposta de segurança devem
considerar fortemente a adoção de um dos vários serviços gerenciados existentes de detecção de ameaças. (11) As organizações
que estão considerando usar um MSSP (Managed Security Services Provider, provedor de serviços de segurança gerenciada)
devem verificar minuciosamente os candidatos potenciais, bem como os fornecedores de produtos, pois nem todos oferecem
as mesmas vantagens. Na verdade, avaliar corretamente um MSSP requer um esforço maior, levando-se em consideração os
grandes fatores de risco associados à terceirização, incluindo fatores-chave como a contratação da equipe, as funcionalidades
e a infraestrutura tecnológica. Os riscos associados à terceirização da segurança das informações podem ser ainda maiores,
uma vez que os clientes estão comprando uma “caixa preta”.
AMEAÇAS NOVAS E DINÂMICAS; ABORDAGENS RÍGIDAS
E ULTRAPASSADAS
Os provedores de soluções e profissionais de segurança estão combatendo continuamente os criminosos cibernéticos em uma
superfície de ameaça muito grande. As APTs (Advanced Persistent Threats, ameaças persistentes avançadas), como o termo
sugere, consistem em tentativas complexas e constantes de violar e derrubar sistemas. Uma abordagem centrada na inteligência
à segurança é a única estratégia eficaz para manter a igualdade com as legiões de criminosos cibernéticos.
Compreender as técnicas, os hábitos e as motivações dos fatores de ameaça é necessário para evitar um ataque quando possível
ou para minimizar os efeitos dos ataques que não podem ser impedidos. Uma verdade conhecida pelo setor de segurança é que
os criminosos cibernéticos valorizam o elemento-surpresa. Repelir as guerrilhas cibernéticas obstinadas e furtivas requer uma
nova estratégia. As barreiras monolíticas e estáticas que protegem os ativos digitais valiosos e as redes essenciais devem ser
fortalecidas com campos de minas e armadilhas de detonação difíceis de os adversários identificarem até que seja tarde demais.
Os ataques de dia zero, cujo nome especifica o tempo entre a detecção de uma nova ameaça e a exploração de vulnerabilidades,
são um agente de mudança. Pense no seguinte provérbio: “Não se pode ter conhecimento do que não se sabe”. Estar preparado
para ataques de dia zero é, por definição, impossível. A reação deve ser rápida. Mas este curso de ação requer a capacidade de
detectar e a rapidez para agir que muitas organizações não têm.
“Com tudo o que está acontecendo no panorama de negócios, da tecnologia e de ameaças, a função de segurança das
informações está, no momento, no centro das atenções – ela precisa evoluir para que as organizações tenham êxito. Como
praticantes, temos uma única janela de oportunidade para realmente inovar a forma como lidamos com a segurança”, afirmou
Roland Cloutier, vice-presidente e CEO (Chief Executive Officer) da Automatic Data Processing, Inc., uma empresa membro do
Security Business Innovation Council que consiste em um grupo de executivos de segurança de empresas que fazem parte da
lista Global 1000 e reunido pela RSA, a divisão de segurança da EMC.
São apresentadas a seguir recomendações que podem ajudar os profissionais de segurança a melhorar o planejamento
estratégico e as respostas táticas.
RECOMENDAÇÕES
ESTEJA PREPARADO
O lema escoteiro reconhecido instantaneamente é uma verdade breve, mas extremamente importante, que o setor de segurança
precisa compreender e adotar. As guerras cibernéticas de hoje, como mostrou este artigo, são dinâmicas. Vigilância e preparo
devem ser inerentes a qualquer plano de segurança das informações. O controle de acesso por si só é insuficiente contra os
inimigos que atacam rapidamente e com frequência cada vez maior, usando novas ferramentas para explorar os pontos fracos.
Adote e aprimore uma abordagem iterativa para a resposta a incidentes. O NIST 800-61 ou os controles de chave definidos pelo
Australian Signals Directorate fornecem uma ótima base de implementação. O teste e o monitoramento de vulnerabilidades
devem ser contínuos e operacionalizados. Um plano de resposta abrangente incorporando pessoas, processos e tecnologias
deve ser estabelecido, compreendido e adotado por todos os clientes. E o plano deve ser avaliado regularmente.
PRIORIZE
Nem todos os ativos e infraestrutura de informações são iguais. Decida quais são fundamentais para a missão e quais são
fundamentais para os negócios. Identifique os sistemas que não podem, sob nenhuma circunstância, ser violados nem
interrompidos. Os sistemas de processamento de transações e a rede elétrica de backup de um grande centro médico são
4
alguns exemplos. Os aplicativos de e-mail e de Business Intelligence provavelmente também são fundamentais para os negócios.
Passar por tempo de inatividade e invasões seria inconveniente, mas tolerável e fácil de se recuperar. Compreenda que os
ataques cibernéticos sã inevitáveis. Aceite que alguns deles terão êxito. Mas saiba também que os riscos podem ser gerenciados;
e as perdas e os danos podem ser reduzidos com planejamento antecipado.
ADAPTE-SE ÀS MUDANÇAS NA INFRAESTRUTURA DE TI
A composição da infraestrutura de TI moderna é cada vez mais aberta e amorfa. A computação em nuvem oferece imensos
benefícios de negócios – agilidade, garantia de não obsolescência, infraestrutura de TI e requisitos de suporte reduzidos e custos
menores. Os serviços hospedados e gerenciados são os modelos de software dominantes e vieram para ficar. Da mesma forma,
o comércio eletrônico, as cadeias de fornecimento digitais e as redes móveis são elementos indispensáveis para o comércio e a
comunicação da atualidade. Os profissionais de segurança devem compreender, adotar e estar preparados para defender esses
elementos usando planos e táticas que levam em consideração os desafios de segurança novos e únicos apresentados.
Elimine os pontos cegos
No paradigma de segurança emergente, a prevenção dá lugar à detecção. A visibilidade granular é primordial para identificar
e bloquear as ameaças modernas. A segurança baseada em perímetro e o host AV não são suficientes. Implemente tecnologia,
processos e talentos que permitam visibilidade total da rede e do host. Otimize totalmente os conjuntos de ferramentas e os
oriente em direção às ameaças emergentes, incorporando inteligência humana e inteligência de código aberto.
LEVE EM CONSIDERAÇÃO AS FALHAS HUMANAS; ADAPTE-SE À FORÇA DE
TRABALHO MODERNA
Os seres humanos são imperfeitos. Eles são o alvo preferido e mais fácil dos usuários mal-intencionados. Phishing, spyware
e outros ataques têm como alvo indivíduos dentro de uma organização. A mídia social mudou o local de trabalho e abriu novos
pontos de entrada para software mal-intencionado. Muitos funcionários usam o Facebook, o LinkedIn e o Twitter para realizar
suas tarefas. E mesmo que esses e outros canais sociais não sejam uma exigência profissional, muitos empregadores permitem
que seus funcionários se divirtam um pouco nas redes sociais. Um local de trabalho cada vez mais colaborativo significa que as
pessoas estão compartilhando informações regularmente entre escritórios, fusos horários e geografias, introduzindo novas fontes
de risco que devem ser controladas.
Da mesma forma que a infraestrutura de TI sofreu mudanças drásticas e irrevogáveis, mudaram também a forma e o local de
trabalho das pessoas. A iniciativa de BYOD (Bring Your Own Device, traga seu próprio dispositivo) atingiu um grau tão elevado
de difusão nos últimos cinco anos que todo mundo sabe o que significa BYOD. O uso por funcionários de tablets, smartphones
e laptops pessoais não se restringe apenas às start-ups de ponta. Organizações de todos os portes e setores permitem tal
prática. Muitas empresas incentivam o BYOD porque ele reduz os investimentos (CAPEX) e aumenta o moral e a produtividade
dos funcionários. Junte a isso a proliferação da força de trabalho distribuída – funcionários trabalhando de casa ou de uma
cafeteria favorita – e fica fácil constatar que as redes estáticas e bem-definidas são uma relíquia do passado. A gerência da
empresa como um todo deve desenvolver políticas, procedimentos e programas de treinamento consistentes para garantir
que todos na organização estejam cientes dos protocolos e das considerações de segurança para a nova infraestrutura.
Confie… mas verifique
Abdicar da responsabilidade por dados e sistemas essenciais é um erro fatal. Os provedores de segurança das informações
trazem ao mercado software e serviços mais avançados do que nunca. A confiança na tecnologia de segurança tem uma base
sólida. No entanto, análises não automatizadas, insuficientes, incorretas ou inexistentes de eventos de segurança podem tornála ineficaz. As empresas devem manter um alto estado de alerta e continuar a testar e fortalecer os processos de segurança
e a tecnologia.
CONCLUSÃO
A história fornece vários exemplos de vencedores que sofrearam para lidar com as falhas e os contratempos iniciais para, depois,
mudar de tática e, finalmente, derrotar o mais formidável dos adversários. Se você tiver o conhecimento da causa-raiz das
falhas do passado, o caminho à sua frente torna-se mais claro. Essas recomendações apresentam uma nova abordagem para
as organizações para que elas mudem o rumo das coisas e transformem fracassos em sucessos no próximo capítulo do setor.
5
SOBRE A RSA
Todos os dias, e há mais de 30 anos, a missão exclusiva da RSA tem sido a de ajudar nossos mais de 30.000 clientes em
todo o mundo a proteger seus ativos digitais mais valiosos. A RSA é impulsionada por sua firme crença de que as organizações
não devem ter que aceitar uma violação ou invasão como uma consequência inevitável de se operar em um mundo digital.
De fato, a RSA acredita que as organizações devem se tornar defensoras agressivas de seu direito de operar de forma segura,
e nenhuma outra empresa está em uma posição melhor para ajudá-las.
As soluções de segurança orientada por inteligência da RSA ajudam as organizações a minimizar os riscos de operação em um
mundo digital. Por meio de visibilidade, análises e ações, as soluções da RSA aos clientes a capacidade de detectar, investigar
e responder a ameaças avançadas; confirmar e gerenciar identidades; e, finalmente, evitar o roubo de IP, fraudes e crimes
cibernéticos.
APÊNDICE
1
Os incidentes de segurança cibernética estão mais frequentes e caros, mas os orçamentos estão caindo, afirma PwC, CIO e CSO, na Global State
of Information Security® Survey 2015
2
2014 Cost of Data Breach Study, Ponemon Institute, maio de 2014 http://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-ofdata-breach-global-analysis
3
Gartner: http://www.gartner.com/newsroom/id/2828722
4
Network World: 12 incríveis start-ups de segurança que você precisa conhecer, 18 de março de 2014
http://www.networkworld.com/article/2175279/security/12-hot-security-start-ups-you-need-to-know.html
5
Toward a Theory of Situation Awareness in Dynamic Systems, Human Factors, 1995
http://uwf.edu/skass/documents/HF.37.1995-Endsley-Theory.pdf
6, 12
TechTarget SearchSecurity: Sobre prevenção versus detecção, a Gartner diz que é necessário rebalancear as compras
http://searchsecurity.techtarget.com/news/2240223269/On-prevention-vs-detection-Gartner-says-to-rebalance-purchasing
7
“Cyber Policy Still Stuck in the ‘90s”, Nextgov, 22 de outubro de 2014
http://www.nextgov.com/cybersecurity/cybersecurity-report/2014/10/cyber-policy-still-stuck-90s/97184/?oref=voicesmodule
8
“EY Center for Board Matters Highlights Top Priorities for Corporate Boards in 2015”, news release da empresa EY, 12 de setembro de 2015
http://www.prnewswire.com/news-releases/ey-center-for-board-matters-highlights-top-priorities-for-corporate-boards-in-2015-300018768.html
9
“Hire a hacker to solve cyber skills crisis’ say UK companies”, news release da empresa KPMG, 16 de novembro de 2014
http://www.kpmg.com/uk/en/issuesandinsights/articlespublications/newsreleases/pages/hire-a-hacker-to-solve-cyber-skills-crisis-say-ukcompanies.aspx
10
“Sony Pictures hack was a long time coming, say former employees”, Fusion, 4 de dezembro de 2014 http://fusion.net/story/31469/sonypictures-hack-was-a-long-time-coming-say-former-employees/
11
“Florida Colleges Rush to Create Cybersecurity Soldiers”, Government Technology, 12 de janeiro de 2015
http://www.govtech.com/education/Colleges-Rush-to-Create-Cybersecurity-Soldiers.html
6
Copyright © 2015 EMC Corporation. Todos os direitos reservados.
A RSA assegura que as informações apresentadas neste documento estão corretas na data da publicação. As informações
estão sujeitas a alterações sem prévio aviso.
As informações contidas nesta publicação são fornecidas “no estado em que se encontram”. A EMC Corporation não garante
nenhum tipo de informação contida nesta publicação, assim como se isenta de garantias de comercialização ou adequação
de um produto a um propósito específico.
O uso, a cópia e a distribuição de qualquer software da EMC descrito nesta publicação exigem uma licença de software.
Para uma lista mais atualizada de produtos da EMC, consulte “Produtos” no site brazil.emc.com.
EMC2, EMC, o logotipo da EMC, RSA e o logotipo da RSA são marcas registradas ou comerciais da EMC Corporation
nos Estados Unidos e em outros países. VMware é marca registrada ou comercial da VMware, Inc., nos Estados Unidos
e em outras jurisdições. © Copyright 2015 EMC Corporation. Todos os direitos reservados. Publicado no Brasil. 03/15
White Paper H14039
7
brazil.emc.com/rsa
Download

Failures of the Security Industry