Ideias e informações sobre o risco de TI Novembro de 2012 O desafio da redução dos gaps de Segurança da Informação Pesquisa Global de Segurança da Informação Ernst & Young 2012 Índice A velocidade das mudanças, um gap cada vez maior 3 Inconcebível há alguns anos, a velocidade das mudanças na segurança da informação é vertiginosa. A 15a Pesquisa Global Anual de Segurança da Informação sugere que, embora as organizações adotem medidas para aprimorar as capacidades de segurança da informação, poucas conseguem acompanhar um cenário de riscos em constante mudança. Por que o gap aumentou 11 O gap entre a situação atual e a situação ideal da segurança da informação deve-se a uma ampla combinação de fatores nas áreas de alinhamento, pessoal, processos e tecnologia. Intervenções indesejáveis dos governos e novas pressões regulatórias tornarão o gap cada vez maior entre a vulnerabilidade e a segurança de informações vitais. Uma transformação fundamental 35 Mudanças incrementais de curto prazo e soluções temporárias não são suficientes. A única forma de reduzir o gap é transformar a arquitetura e o modelo de comunicação do departamento de segurança da informação. Conclusão: faça a transição, reduza o gap 43 Implantar a transformação na segurança da informação, com o objetivo de reduzir a crescente lacuna entre vulnerabilidade e segurança, não requer soluções tecnológicas complexas. Na verdade, requer liderança, compromisso, capacidade e coragem para agir – não daqui a um ou dois anos, e sim agora. Metodologia da pesquisa 44 Bem-vindo A Pesquisa Global de Segurança da Informação da Ernst & Young é uma das mais antigas, reconhecidas e respeitadas pesquisas anuais do gênero. Completando 15 anos de existência, o estudo já ajudou clientes a centrar esforços nos riscos mais graves, identificar pontos fortes e fraquezas e aprimorar a segurança da informação. Convidamos CIOs, CISOs, CFOs, CEOs e outros executivos da área de segurança da informação para participar da pesquisa. Recebemos respostas de 1.836 participantes em 64 países, de todos os setores da economia. Paul van Kessel Líder global de serviços de Auditoria e Riscos em TI da Ernst & Young Nesta edição do relatório, começamos com uma retrospectiva para entender os avanços das organizações no aprimoramento dos programas de Segurança da Informação. Descobrimos que, embora muitas empresas tenham avançado nas medidas para proteger dados, elas não conseguem acompanhar o ritmo e a complexidade das mudanças. A cada ano, a velocidade e a complexidade aumentam, criando um gap entre a situação atual do programa de segurança da informação das empresas e a situação ideal. Há oito anos, o gap era pequeno. Hoje, é um abismo. As origens desse gap são tão intrincadas quanto à variedade das questões enfrentadas pelos profissionais de Segurança da Informação. Contudo, com base nos resultados da pesquisa, tais questões podem ser organizadas em quatro categorias distintas: alinhamento, pessoal, processos e tecnologia. O que ainda não pode ser dividido em categorias são as questões que despontam no horizonte, sob a forma de intervenções dos governos e novas pressões regulatórias para enfrentar os riscos à Segurança da Informação. Soluções de curto prazo e recursos temporários não bastam. As empresas que lutam para reduzir o gap criado por computação móvel, redes sociais, computação em nuvem, crimes cibernéticos e ameaças grandes e persistentes precisam mudar radicalmente a estratégia de segurança da informação. Esta edição da pesquisa mostra o que é uma transformação radical e as medidas que as empresas devem adotar para ser bem-sucedidas. Gostaria de enviar um agradecimento pessoal a todos os participantes da pesquisa, que concordaram em compartilhar ideias e experiências. Estamos ansiosos para aprofundar a discussão sobre as implicações das descobertas da pesquisa com os nossos clientes atuais e futuros, órgãos reguladores e governos, bem como com analistas e universidades. Paul van Kessel Líder global de serviços de Auditoria e Riscos em TI da Ernst & Young Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 1 Perguntas para os altos executivos • O que sua empresa fez para ajustar a Segurança da Informação de modo a enfrentar um ambiente em transformação? • A empresa implantou as melhorias necessárias na segurança da informação para acompanhar o ritmo das mudanças? • Quais foram os impactos da mudança nos níveis de segurança? • Sua organização fez o suficiente? • Os objetivos e as medidas relacionados à Segurança da Informação estão alinhados à estratégia de negócios? A velocidade das mudanças, um abismo cada vez maior Virtualização, computação em nuvem, redes sociais, aparelhos móveis, o desaparecimento dos limites que separavam as atividades empresariais e pessoais de TI: a velocidade das mudanças na Segurança da Informação pode ser atordoante se pensarmos na rapidez e em quanto a tecnologia evoluiu num curto espaço de tempo. A ascensão dos mercados emergentes, a crise financeira e o offshoring só aumentam a complexidade e a permanente evolução das questões relacionadas à Segurança da Informação – e a urgência em resolvê-las. As empresas melhoraram consideravelmente os programas de Segurança da Informação, para enfrentar ameaças cada vez maiores. Acrescentaram novas funções aos sistemas, redefiniram estratégias, implementaram novos componentes e contrataram mais pessoal. É claro que esses ajustes graduais aprimoraram os recursos dos programas de Segurança da Informação, mas isso não é o bastante. Na verdade, os resultados da pesquisa sugerem que, embora as organizações estejam adotando muitas medidas para melhorar esse aspecto, poucas conseguem acompanhar tudo o que ocorre à sua volta. E menos empresas ainda têm a capacidade de se adiantar o suficiente para prever não apenas as ameaças de hoje, mas também as de amanhã. Nas próximas páginas, mapeamos a evolução e as tendências de Segurança da Informação de 2006 até o presente – e falamos sobre o que ainda precisa ser feito para reduzir o gap entre vulnerabilidade e segurança. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 3 2006 2007 2008 2009 Moving beyond compliance Outpacing change Ernst & Young’s 12th annual global information security survey Ernst & Young’s 2008 Global Information Security Survey Temas da pesquisa de segurança da informação Atingir sucesso num mundo globalizado Principais tendências Atingir o equilíbrio entre risco e desempenho Antes de 2006, a Segurança da Informação era vista principalmente como um importante componente na mitigação de riscos financeiros e no cumprimento de novas exigências regulatórias, como a SOX 404. Depois de 2006, o escopo da segurança da informação foi expandido em duas direções 1.A Segurança da Informação precisava proteger as organizações de forma mais ampla, principalmente num mundo globalizado Ir além da conformidade Superar o ritmo das mudanças Em 2008, a Segurança da Informação avançou para além da conformidade. Proteger marcas e reputações tornou-se a grande motivação, num ambiente repleto de crescentes ameaças. Identificar e administrar novos riscos e utilizar a tecnologia para garantir a segurança dos negócios também eram pontos centrais. Ao mesmo tempo, o mundo mudou de forma radical: •A crise financeira e a desaceleração econômica atingiram em cheio muitas organizações. 2.A Segurança da Informação precisava de um retorno claro de investimento, e isso exigiu um alinhamento entre risco e desempenho. •O s mercados emergentes ganharam destaque. •O ambiente competitivo mudou. Para enfrentar esses desafios, as empresas se concentraram em reformar, reestruturar e reinventar-se, com o objetivo de acompanhar o ritmo das novas exigências e as pressões de custos cada vez maiores. Impacto sobre as organizações Velocidade da mudança Complexidade da resposta Gravidade do impacto Medidas recomendadas Baixo Alto 2006 •Envolver-se proativamente no cumprimento das exigências regulatórias •Aprimorar a gestão de risco de relacionamentos com terceiros •Aumentar investimentos em privacidade e na proteção de dados pessoais 2007 •Alinhar a segurança da informação aos negócios •Enfrentar o desafio de preencher cargos ligados à segurança da informação Velocidade da mudança Complexidade da resposta Gravidade do impacto Baixo Alto 2008 •Adotar uma visão centrada no negócio •Manter investimentos em segurança da informação, mesmo diante de pressões econômicas •Investir em programas de treinamento e conscientização, para que o fator humano deixe de ser o elo mais fraco da corrente 2009 •Considerar o co-sourcing para enfrentar a falta de recursos e os orçamentos apertados •Avaliar o impacto potencial das novas tecnologias e a capacidade de a empresa proteger seus ativos •Conhecer os riscos impostos pelas crescentes ameaças externas e internas 4 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 2010 2011 2012 2012 Insights on IT risk Insights on IT risk Business briefing Business briefing November 2012 November 2011 Borderless security Fighting to close the gap Into the cloud, out of the fog Ernst & Young’s 2010 Global Information Security Survey Ernst & Young’s 2012 Global Information Security Survey Ernst & Young’s 2011 Global Information Security Survey Temas da pesquisa de segurança da informação Segurança sem fronteiras Dentro da nuvem e longe da névoa O gap na segurança da informação Com a economia global ainda em processo de recuperação, e num ambiente com pressões permanentes de custos e recursos escassos, duas novas ondas de mudança surgiram: 1.As organizações começaram a entender que a globalização leva os dados a todos os lugares. Com frequência cada vez maior, os funcionários enviavam dados pela internet a parceiros de negócios, ou levavam consigo dados em aparelhos móveis. Os limites tradicionais das empresas desapareciam junto com os velhos paradigmas de segurança. 2.O processamento de dados passou para a nuvem. As organizações compreenderam as necessidades de segurança relacionadas à terceirização de TI. Adotar a nuvem exigia que os responsáveis pela Segurança da Informação redefinissem sua estratégia. Velocidade da mudança Complexidade da resposta Gravidade do impacto Baixo Alto 2010 •Enfrentar os riscos associados às tecnologias emergentes •Ampliar os investimentos em ferramentas de prevenção de perda de dados •Adotar uma visão da segurança centrada em informações mais alinhadas ao negócio 2011 •Trazer a Segurança da Informação para a mesa do conselho A velocidade e a complexidade das mudanças crescem em ritmo vertiginoso: Principais tendências •Virtualização, computação em nuvem, redes sociais, dispositivos móveis e outras tecnologias novas e emergentes abrem as portas para uma onda de ameaças internas e externas. •Mercados emergentes, a contínua instabilidade econômica, offshoring e as crescentes exigências regulatórias aumentam a complexidade do já difícil ambiente de Segurança da Informação. As organizações deram grandes passos para aprimorar os recursos de Segurança da Informação. Apesar disso, continuam para trás, criando um gap crescente na Segurança da Informação. Velocidade da mudança Complexidade da resposta Gravidade do impacto Baixo Alto 2012 •Continuar considerando a Segurança da Informação uma prioridade que deve chegar à mesa do conselho O impacto sobre as organizações Medidas recomendadas •Desenvolver uma estratégia integrada em torno dos objetivos corporativos e considerar o panorama de risco como um todo •Usar a análise de dados para testar o ambiente de risco e entender os dados que precisam de mais proteção •Proteger as informações mais importantes •Adotar a criptografia como controle básico •Centrar esforços no que é mais importante •Usar previsões orçamentárias num horizonte de três a cinco anos, para garantir o planejamento de longo prazo •Inovar, inovar, inovar •Começar a trabalhar com transformações fundamentais, conforme descreveremos mais adiante nesta pesquisa Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 5 Até onde as empresas devem ir? Melhorias adotadas pelas empresas Como reação às principais recomendações feitas ao longo dos anos, as organizações aprimoraram significativamente os programas de Segurança da Informação, de modo a enfrentar as mudanças em um ambiente de risco. Talvez a evolução mais importante ocorrida entre 2006 e os dias de hoje tenha sido a mudança no modo de olhar das empresas para a Segurança da Informação. Até há algum tempo chamada de segurança de TI, a responsabilidade pela proteção dos dados de uma organização cabia apenas ao departamento de TI. Mas isso mudou. Hoje, as empresas entendem que a segurança dos dados é um imperativo da estratégia de negócios e exige uma resposta corporativa, alinhada à questão mais ampla da Segurança da Informação em toda a estrutura organizacional. Outros avanços incluíram: Maior cumprimento das exigências regulatórias Durante anos, as ameaças externas de programas maliciosos e vírus estiveram no centro da Segurança da Informação. Tudo mudou em 2005, quando o cumprimento das exigências regulatórias tornou-se assunto na mesa do conselho. Desde então, a conformidade com as regulações tornouse a principal força motriz da Segurança da Informação para cerca de 80% dos participantes na pesquisa. A única exceção foi o ano de 2008, quando a questão de marca e reputação apareceu como mais importante. A adesão mais sólida às exigências regulatórias melhorou consideravelmente a administração do risco relacionado à segurança da informação. Por exemplo: no setor de serviços financeiros – um dos mais regulamentados –, os bancos dos Estados Unidos discutem uma possível colaboração para identificar formas de enfrentar os riscos impostos à segurança da informação, mesmo sendo concorrentes. A Segurança da Informação está na pauta do presidente Barack Obama, dos Estados Unidos, da presidente Dilma Rousseff, do Brasil, e os bancos tentam melhorar a governança da gestão do risco da Segurança da Informação antes que os reguladores o façam. Maior transparência Em 2008, apenas 18% dos participantes indicaram que a Segurança da Informação era parte integrada da estratégia de negócios, e 33% sugeriram que a estratégia de segurança da informação era integrada à estratégia de TI. Em 2012, esses números saltaram para 42% e 56%, respectivamente. 6 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Ameaças imprevisíveis e diversas Ao longo das últimas décadas, a civilização tornou-se mais dependente de infraestruturas grandiosas, centradas em TI. O presidente Barack Obama escreveu recentemente num artigo: “Até o momento, ninguém conseguiu causar danos ou interrupções graves às redes críticas de infraestrutura do país. Mas governos estrangeiros, grupos criminosos e indivíduos isolados estão sondando diariamente nossas finanças, nossa energia e nossos sistemas públicos de segurança... Uma derrubada dos sistemas bancários essenciais poderia desencadear uma crise financeira”. (Barack Obama, “Levando a sério a ameaça de ataque cibernético”, The Wall Street Journal, 19 de julho de 2012.) de redes críticas de estrutura. O termo “resiliência” é uma descrição, e não uma receita pronta, que denota a capacidade de uma empresa resistir a interrupções e garantir prosperidade a longo prazo. As fontes de ameaças catastróficas são consideradas cada vez mais imprevisíveis e diversas – ataques apoiados por governos, crime organizado, ativistas hackers, desastres naturais, terrorismo. A resiliência organizacional é o objetivo almejado, principalmente no caso Fica a questão: será que uma ocorrência cibernética relacionada à segurança poderia causar outro evento catastrófico na mesma escala do 11 de Setembro? Isso daria prioridade imediata aos riscos de alto impacto e baixa ocorrência – os mais difíceis de analisar e mitigar. Desenvolver uma estratégia de Segurança da Informação integrada é fundamental para garantir uma visão abrangente do panorama de risco, e também para enfrentar esses riscos. Organizações líderes já reconheceram essa necessidade e trabalham com afinco para que a Segurança da Informação esteja atrelada às estratégias de negócios e de TI. A crescente importância da gestão da continuidade dos negócios O tema da continuidade dos negócios relacionada à Segurança da Informação começou a aparecer em 2006. Em 2008, o departamento de TI era visto como o principal responsável pela gestão da continuidade dos negócios - enquanto a prioridade era mais a recuperação em caso de desastres. Em 2012, as organizações classificaram a continuidade dos negócios como a segunda função mais importante dentro de uma empresa. Contudo, é preciso fazer mais, e 47% dos entrevistados declararam esperar gastar mais neste ano para garantir a continuidade dos negócios e a recuperação em caso de desastres A reação às novas tecnologias As empresas tiveram de reagir com rapidez às novas tecnologias. Em 2006, os smartphones eram usados principalmente por executivos, e os tablets não existiam como produto vendido comercialmente. Os riscos ligados aos aparelhos móveis, às redes sociais e à nuvem não eram prioritários para quase ninguém, pois ainda não haviam entrado no ambiente corporativo. Desde então, a proliferação dos aparelhos e das redes móveis, bem como a tênue fronteira entre seu uso profissional e pessoal, forçaram as empresas a implantar, com urgência, políticas relativas aos riscos associados à evolução das tecnologias. As organizações vêm ajustando as políticas, adotando programas de conscientização – e, no caso da computação na nuvem, aprimorando a supervisão do processo de gestão de contratos com provedores desses serviços. Além disso, estão melhorando as técnicas de criptografia. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 7 Ameaças velozes Apesar de todos os investimentos que as empresas vêm fazendo para melhorar, o ritmo das mudanças é cada vez mais acelerado. Em 2009, 41% dos entrevistados notaram um aumento nos ataques externos. Em 2011, esse número saltou para 72%. Em 2012, o número de participantes que apontou um aumento nas ameaças externas passou para 77%. Exemplos do aumento nas ameaças externas incluem ativismo dos hackers, espionagem apoiada por governos, crime organizado e terrorismo. “Para o CIO de hoje, é normal pensar que rápido não é rápido o bastante. O mesmo raciocínio vale para a segurança da informação.” Paul van Kessel Líder global de serviços de Auditoria e Riscos em TI da Ernst & Young Ao longo do mesmo período, as organizações também notaram um aumento de vulnerabilidades no ambiente interno. Nesta edição da pesquisa, quase metade dos entrevistados (46%) afirma que houve aumento, e 37% apontam o descuido ou a falta de atenção dos funcionários como a ameaça que mais cresceu ao longo dos últimos 12 meses. Curiosamente, em termos relativos esse número não é muito inferior aos 50% que citaram, na pesquisa de 2008, a conscientização dentro da empresa como o desafio mais importante para concretizar iniciativas bem-sucedidas de Segurança da Informação. O gap remanescente Este estudo mostra claramente que as ameaças crescem em ritmo bem mais acelerado do que as melhorias adotadas pelas organizações. Mais preocupante é o fato de que, em algumas áreas críticas, as melhorias não só foram pequenas, como existe uma estagnação ou até uma redução na implantação de importantes iniciativas de Segurança da Informação. Essas questões incluem: •Alinhamento da estratégia de Segurança da Informação ao negócio •Recursos suficientes para capacitação e treinamento adequados •Processos e arquitetura •Novas tecnologias em desenvolvimento Esses são temas sobre os quais fazemos relatórios frequentes, e para os quais já fornecemos recomendações em estudos anteriores. Na falta de ações adequadas e efetivas, o gap entre os níveis necessários para acompanhar as ameaças e vulnerabilidades e os níveis reais de Segurança da Informação continua a aumentar. Se não derem atenção a isso, as empresas correm riscos que podem causar impacto em suas marcas e até mesmo na participação de mercado. 8 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 m co a i r lho e em ed d ida ss e c Ne se ba as à icad l p sa eai r s ria lho Me 2006 as aç e m sa na Nível necessário de segurança da informação tes en c s cre O gap Nível atual de segurança da informação o açã m r info da a ç n ura seg 2012 Setor de serviços financeiros tenta equilibrar risco e crescimento na região Ásia-Pacífico Na região Ásia-Pacífico, o setor de serviços financeiros está de fato interessado em assumir riscos adicionais de negócios – desde que sejam mensurados. As empresas esperam aumentar as receitas ou expandir sua participação nos países asiáticos. Embora os críticos possam dizer que essa é uma estratégia de negócios admirável, as organizações devem pensar nas consequências relativas ao cumprimento das inúmeras exigências regulatórias em centros regionais, como Cingapura, Hong Kong e Filipinas. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 9 Por que o gap aumentou Ameaças novas, maiores, mais perigosas e de impacto mais rápido alinhamento; pessoal; processo e tecnologia cá Efi Panorama de risco: 2012 e além Questões ligadas à segurança da informação: cia da aç ão Ameaças reconhecidas que afetam a organização egurança da in as for d ia ão aç m Panorama de risco: 2006-2011 Efi cá c O gap entre onde Segurança da Informação está e onde deveria estar não é fruto de uma só questão. É resultado de uma gama de fatores relacionados a alinhamento estratégico organizacional, pessoas, processos e tecnologia. No entanto, ainda não é possível definir categorias para questões que vêm surgindo, na forma de intervenção governamental e novas pressões regulatórias para que o risco da Segurança da Informação seja enfrentado. m for n segu i rança da Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 11 Um alinhamento desequilibrado 56% dos entrevistados afirmam que a estratégia de Segurança da Informação da empresa está alinhada à estratégia de TI Durante anos, a Ernst & Young afirmou que a Segurança da Informação precisa de um posicionamento estratégico que vá além do departamento de TI. Deve tornar-se uma prioridade no conselho, e os executivos da área devem ter lugar garantido na mesa onde as decisões são tomadas. Há algum tempo, os executivos de Segurança da Informação vêm dando importantes passos para atingir essa visibilidade, essa responsabilidade e esse valor. Entretanto, em anos recentes, fatores como o aumento das ameaças, instabilidade econômica, mercados emergentes, offshoring e novas tecnologias aumentam a complexidade dessa área de atuação, e a segurança da informação se vê obrigada a competir com outras prioridades da diretoria. Como resultado, embora a segurança da informação esteja avançando na direção certa, talvez não receba toda a atenção necessária para acompanhar o ritmo das mudanças. A necessidade de um alinhamento mais amplo 42% afirmam que a estratégia de Segurança da Informação da empresa está alinhada à estratégia de negócios 38% afirmam que a estratégia de Segurança da Informação da empresa está alinhada à disposição por riscos da organização A pauta de Segurança da Informação continua sendo comandada por TI, e não fundamentada na estratégia de negócios da organização. Uma estratégia eficaz de Segurança da Informação precisa se estender por todo o negócio e funcionar em uníssono com diversas áreas. Por isso, é fundamental que seus objetivos estejam alinhados não apenas aos objetivos de negócios de toda a organização, mas também aos diversos objetivos departamentais e funcionais. Entre 2008 e 2012, o número de entrevistados que afirmaram que a estratégia de segurança da informação está alinhada à estratégia de TI aumentou de 33% para 56%, o que é surpreendente. No mesmo período, o número de participantes que afirmaram que a estratégia de Segurança da Informação está alinhada à estratégia de negócios aumentou de 18% para 42%. Contudo, em 2012: •Pouco mais de um terço (38%) alinhou a estratégia de Segurança da Informação à disposição e à tolerância a riscos dentro da empresa. •Pouco mais da metade (54%) afirmou realizar discussões trimestrais ou mais frequentes sobre temas relacionados à Segurança da Informação nas reuniões do conselho. Os 46% restantes quase nunca – ou nunca – discutem o assunto com a alta administração do organograma da empresa. 12 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Governança e monitoramento de responsabilidades Apenas 5% têm a Segurança da Informação subordinada ao CRO (chief risk officer) – o maior responsável pela gestão do perfil de risco da empresa. Considerando que a Segurança da Informação continua sendo responsabilidade de TI dentro de tantas empresas, não surpreende que 63% dos entrevistados tenham indicado que suas organizações conferiram a responsabilidade pela área ao departamento de TI. Esse departamento, sem dúvida, entende do assunto e sabe as ameaças que enfrenta. Mas depender de uma estratégia de segurança da informação tão subordinada a TI pode impedir a eficiente avaliação, medição e alinhamento às prioridades de negócios. Alguns CIOs fazem a ponte entre o negócio e a tecnologia necessária para alinhar a Segurança da Informação às estratégias de negócios e TI. Mas, aliando os conhecimentos de TI a um olhar de fora, as organizações podem aprimorar a eficácia geral da Segurança da Informação. •Ajudam a criar e manter medições precisas e alinhadas aos objetivos de negócios •Asseguram uma avaliação objetiva da eficácia da Segurança da Informação •Resolvem questões relacionadas à tomada de decisões, antecipam potenciais 63% das empresas confiaram à área de TI a responsabilidade pela Segurança da Informação 26% das empresas confiaram ao CEO, CFO ou COO a responsabilidade pela Segurança da Informação conflitos de interesse e facilitam discussões ligadas às prioridades que, de outra forma, poderiam representar desafios caso fossem conduzidas apenas por TI É importante notar que 26% das empresas delegaram a responsabilidade pela segurança da informação ao CEO, CFO ou COO, transformando o assunto em prioridade para os altos executivos. Mas apenas 5% têm a segurança da informação subordinada ao CRO (chief risk officer) – o maior responsável pela gestão do perfil de risco da organização. Essa decisão é importante na hora de selecionar ferramentas, processos e métodos adequados para monitorar ameaças, medir o desempenho e identificar gaps de cobertura. Tradicionalmente, o departamento de TI não tem um mecanismo formal para avaliação de cenários de risco – o que é essencial para a área responsável por gestão dos riscos da empresa. Talvez isso explique por que 52% das empresas não tenham um programa de controle de ameaças em vigor no momento. 5% das empresas confiaram ao CRO (chief risk officer) a responsabilidade pela Segurança da Informação Sem uma estratégia disciplinada para pesquisa e monitoramento de ameaças, a área de TI não apenas será incapaz de enfrentar proativamente as ameaças atuais como também não conseguirá prever as ameaças à espreita. Isso aumenta ainda mais o gap. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 13 Os diversos meios usados para monitorar a Segurança da Informação dificultam ainda mais a clareza da avaliação. Conforme demonstra o gráfico abaixo, a maioria das empresas utiliza uma auditoria interna (68%) para avaliar a eficiência da Segurança da Informação. Uma porcentagem um pouco menor (64%) usa a área de TI ou a própria Segurança da Informação para realizar autoavaliações. Como a sua empresa avalia a eficiência da Segurança da Informação? Escolha todas as respostas que se apliquem ao seu caso. 70% dos entrevistados dizem que a área de Segurança da Informação atende apenas parcialmente às necessidades da empresa e que há melhorias sendo feitas Avaliações conduzidas pela área de auditoria interna 68% Autoavaliações feitas por TI ou pela área de segurança da informação 64% Avaliações feitas por terceiros 56% Monitoramento e avaliação de incidentes e eventos de segurança 48% Em conjunto com a auditoria externa responsável pelo balanço financeiro 35% Benchmarking em relação a pares/concorrência 27% Avaliação do desempenho operacional da segurança da informação 19% Certificação formal de acordo com normas externas de segurança (ex.: ISO/IEC 27001:2005) 15% Certificação formal de acordo com as normas de segurança do setor (ex.: Padrão de Segurança de Dados do Setor de Cartões de Pagamento) 15% Avaliação dos custos de segurança da informação 14% Avaliação de desempenho do retorno sobre investimento (ou similar, como o Rosi – Retorno sobre Investimento em Segurança) 5% Nenhuma avaliação foi feita 4% De fato, a proliferação das ameaças e o crescente gap entre vulnerabilidade e segurança exigem mais de uma fonte de avaliação. O ideal seria as empresas utilizarem as quatro principais técnicas identificadas: avaliação por auditoria interna; autoavaliação; avaliação por terceiros e monitoramento e avaliação de incidentes de segurança. Organizações de alto desempenho usam uma combinação de duas ou mais técnicas de avaliação para determinar a eficiência da segurança da informação. Com base na alta porcentagem observada nas quatro principais opções de avaliação, é possível concluir que muitos entrevistados são empresas de alto desempenho. Infelizmente, um bom desempenho nas avaliações não basta para proteger algumas áreas de segurança da informação de críticas a seu desempenho como um todo. Apenas 16% dos participantes declaram que a área de segurança da informação atende completamente às necessidades da empresa; 70% dizem que a área de segurança da informação atende parcialmente a essas necessidades e afirmam que melhorias estão a caminho. 14 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Um cenário de risco em transformação É possível adotar medidas físicas para evitar ações criminosas. Mas é frequentemente mais difícil evitar incompetência, maldade ou vingança. As empresas reconhecem que o cenário de risco está mudando. Cerca de 80% concordam que há um nível crescente de ameaças externas, e quase metade afirma que a vulnerabilidade interna é cada vez maior. Mudanças no cenário de risco nos últimos 12 meses Nível de risco decrescente devido a: Nível de risco crescente devido a: 77% 6% Redução na vulnerabilidade interna 18% Redução nas ameaças externas 46% Aumento na vulnerabilidade interna Aumento nas ameaças externas Além disso, 31% dos entrevistados observaram um aumento no número de incidentes de segurança em relação a 2011, enquanto apenas 10% sentiram uma redução desse fator. O número de incidentes ficou estável de acordo 59%. Com o aumento na frequência e no tipo de ameaças à segurança da informação, e diante do número cada vez mais alto de incidentes, aumenta também o impacto das perdas provocadas pelas falhas na segurança. Ameaças externas não são o único gap de segurança enfrentado pelas organizações. O volume de perdas não intencionais de dados provocadas pelos funcionários também está crescendo. “As empresas têm de deixar para trás a ideia de proteger o perímetro de segurança e passar a proteger informações. Tudo se resume a centrar esforços no alvo correto.” Manuel Giralt Herrero Líder de serviços de auditoria e riscos em TI para a região EMEIA (Europa, Oriente Médio, Índia e África) da Ernst & Young Gestão eficiente, treinamentos e conscientização podem frear a crescente ocorrência de perda de dados, e é possível adotar medidas físicas para evitar atos criminosos. Mas com frequência é mais difícil evitar as ações de pessoas determinadas a causar danos por ações maliciosas, vingança ou ganância. Insights on risk July 2012 The future of internal audit is now Increasing relevance by turning risk into results A segurança da informação é prioridade para profissionais de auditoria internas Em 2012, a Ernst & Young encomendou uma pesquisa global para estudar a evolução no papel da auditoria interna. Quase metade dos entrevistados (48%) declarou que o risco à segurança da informação e à privacidade era prioridade absoluta dentro da empresa. Na verdade, 14% dedicam entre 10% e 20% de seu tempo de auditoria ao risco da segurança da informação e pretendem continuar a fazer isso durante os próximos dois anos. Para ler o relatório The future of internal audit is now, acesse www.ey.com/internalaudit. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 15 44% dos entrevistados esperam manter inalterado o orçamento para Segurança da Informação nos próximos 12 meses O investimento aumentou. Mas será que o dinheiro é bem empregado? Os participantes da pesquisa classificam a gestão da continuidade dos negócios como a maior prioridade de investimentos para os próximos 12 meses. Em todo o mundo, as empresas registram um aumento nos níveis de ameaças e reagem gastando mais e ajustando prioridades: •4 4% dos entrevistados vão manter inalterado o orçamento ao longo dos próximos 12 meses •3 0% preveem um aumento de 5% a 15% no orçamento para segurança da informação 30% esperam um aumento de 5% a 15% no orçamento para Segurança da Informação 9% esperam um aumento de 25% ou mais no orçamento para Segurança da Informação 32% gastam US$ 1 milhão ou mais em Segurança da Informação •9% preveem um aumento de 25% ou mais no orçamento para segurança da informação Do ponto de vista orçamentário, o volume varia muito: •32% investem US$ 1 milhão ou mais em Segurança da Informação Conforme mostra o gráfico à direita, a área prioritária para investimentos ao longo dos próximos 12 meses (apontada por 51% dos entrevistados) é a gestão da continuidade dos negócios e a recuperação em caso de desastres. Em 2011, essa porcentagem era de 36%. Isso reflete nossa afirmação, já destacada neste relatório, de que as organizações trabalharam com afinco para avançar na área da continuidade dos negócios. Esperamos que seja também, ao menos em parte, uma reação aos acontecimentos prejudiciais e por vezes catastróficos dos últimos anos – terremotos, incêndios, furacões e tsunamis – que enfraqueceram a tecnologia, destruíram cadeias de fornecimento e dizimaram receitas. É interessante observar que a segunda prioridade apontada pelos entrevistados foi a remodelagem do programa de segurança da informação. Isso mostra que as empresas líderes reconhecem a existência do gap descrito no primeiro capítulo do relatório. Essas empresas compreendem que adotar soluções pontuais ou melhorias temporárias não basta. Para enfrentar os problemas atuais é preciso realizar uma transformação (ou uma mudança radical) na segurança da informação. Por outro lado, os testes de segurança foram considerados alta prioridade por apenas 6% das empresas. As baixas porcentagens no final do gráfico sugerem que os entrevistados sentem-se confiantes nessas áreas – acreditam estar fazendo o suficiente e, portanto, podem voltar a atenção para áreas de maior prioridade. Em relação às áreas nas quais as empresas pretendem aumentar os investimentos em 2013, não surpreende que garantir novas tecnologias, continuidade nos negócios e recuperação em caso de desastre esteja no alto da lista de prioridades. Conforme mostra o gráfico da página 19, mais de metade (55%) espera aumentar os gastos na compra de novas tecnologias. Uma porcentagem ligeiramente inferior (47%) planeja gastar mais na prioridade número um – a continuidade dos negócios. Pouco mais de um quarto (26%) planeja gastar mais na sua prioridade número dois: a transformação da segurança da informação. 16 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Quais áreas abaixo, ligadas à segurança da informação, são definidas como “prioridades essenciais” para os próximos 12 meses? Continuidade dos negócios/recuperação em caso de desastres Transformação da segurança da informação (reformulação fundamental) Vazamento de dados/prevenção de perda de dados, tecnologias e processos Adoção de normas de segurança (ex.: ISO/IEC 27002:2005) Gestão do risco de segurança da informação Garantir novas tecnologias (ex.: computação na nuvem, virtualização e computação para aparelhos móveis) Monitoramento de conformidade Tecnologias e processos de gestão de identidade e acesso Operações de segurança (antivirus IDS IPS patching encryption) Governança e gestão de segurança (ex.: gestão de programas de arquitetura de dados e de relatórios) Privacidade Atividades de segurança ligadas a offshoring/terceirização Apoio contra fraudes/investigação criminal Recrutamento de pessoal de segurança Gestão de eventos e incidentes de segurança Capacitação para reagir a incidentes Conscientização e treinamento sobre segurança Tecnologias e processos de gestão de ameaças e vulnerabilidade Testes de segurança (ex.: ataques e invasões) Garantir processos de desenvolvimento (ex.: processos de garantia de qualidade para codificação segura) Legenda: 1º 2º 3º 4º 5º Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 17 Um paradigma completamente novo Na guerra pela segurança dos dados de governos, as estatísticas mostram que os vilões estão levando a melhor. Alguns especialistas em segurança afirmam que, para reverter essa tendência, é preciso adotar um “paradigma completamente novo” de segurança de TI. O Government Accountability Office dos Estados Unidos (órgão do congresso americano responsável por questões relativas ao recebimento e pagamento de recursos públicos) informou que as violações de dados federais envolvendo a divulgação não autorizada de informações pessoalmente identificáveis aumentaram 19% entre 2010 e 2011(1), num salto de 13.000 para 15.500 registros. As vítimas dessas violações passam pelo menos alguns meses sem saber o que está acontecendo. Cerca de 123.000 contribuintes do Thrift Savings Plan (plano de pensão para servidores públicos americanos), cujos dados pessoais foram comprometidos numa violação ocorrida em julho de 2011, só foram avisados sobre o episódio em maio de 2012. Não é o único exemplo de casos do tipo. Em um artigo, o Washington Business Journal informou que a Agência de Proteção Ambiental dos Estados Unidos (EPA) levou meses para notificar 5.100 funcionários e 2.700 “outros indivíduos” sobre uma violação na segurança de dados, em março de 2012, que deixou expostos números de CPF e informações bancárias(2). (1) “GAO registra alta de 19% em violações de dados”, www.federaltimes.com; 31 de julho de 2012; http://federaltimes.com/article/20120731/IT01/307310003/Data-breaches-up-19-percent-GAO-reports (2) Aitoro, Jill; “Violação de segurança na EPA expõe informações pessoais de 8.000 pessoas”; Washington Business Journal; www.bizjournals.com; 2 de agosto de 2012; http://www.bizjournals.com/washington/news/2012/08/02/epa-security-breach-exposes-personal.html. Informação interessante As empresas que usam a concorrência como base de referência para avaliar a eficácia da segurança da informação relatam um impacto financeiro acima da média. É importante notar ainda que quase 25% de todos os entrevistados declaram desconhecer o impacto financeiro. Para organizações que não fazem avaliação de eficácia (4% dos participantes na pesquisa), a porcentagem dos que desconhecem o impacto de problemas de segurança da informação sobe para 40%. 18 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Em comparação com o ano anterior, sua empresa planeja investir mais, aproximadamente a mesma quantia ou menos nas atividades abaixo ao longo do próximo ano? Garantir novas tecnologias Continuidade dos negócios/recuperação em caso de desastre Vazamento de dados/tecnologias e processos de prevenção de perda de dados Tecnologias e processos de gestão de identidade e acesso Conscientização e treinamento de segurança Gestão de risco de segurança da informação Testes de segurança Operações de segurança Governança e gestão da segurança Tecnologias e processos de gestão de vulnerabilidade e ameaças Monitoramento de conformidade Gestão de eventos e incidentes de segurança Adoção de normas de segurança Capacidade de reação em caso de incidentes Transformação da segurança da informação Processos seguros de desenvolvimento Privacidade Recrutamento de pessoal de segurança Apoio contra fraudes/investigação criminal Atividades e segurança ligadas a offshoring/terceirização Legenda: Investir mais Investir o mesmo Investir menos Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 19 Principais obstáculos para a eficácia da Segurança da Informação 62% Restrições orçamentárias 43% Falta de pessoal capacitado 26% Falta de ferramentas 20% Falta de apoio dos executivos Recursos insuficientes, capacitação inadequada É um mantra conhecido, principalmente nesta era de instabilidade econômica e retenção de custos: trabalho demais, recursos de menos. Entretanto, a falta de recursos é apenas parte da história. A Segurança da Informação não precisa apenas de mais dinheiro; ela requer pessoas com capacitação e treinamento adequados para enfrentar com rapidez as mudanças contínuas no cenário da segurança da informação. Limitação de recursos Apenas 22% dos entrevistados indicam que planejam investir mais na área nos próximos 12 meses. Perguntados sobre as principais barreiras e obstáculos que desafiam o trabalho da área de Segurança da Informação, 43% dos entrevistados citaram a falta de mão de obra capacitada. Essa porcentagem sem dúvida está ligada ao único fator com pontuação ainda mais alta: as restrições orçamentárias. Porém, apenas 22% dos participantes na pesquisa planejam gastar mais na área ao longo dos próximos 12 meses. Treinamento limitado sobre conscientização de segurança As empresas precisam treinar funcionários que não sejam da área de segurança da informação sobre o papel que têm de exercer para garantir a segurança das informações da organização. Encontrar pessoas bem preparadas na área de Segurança da Informação é apenas parte da equação. Considerando a aceleração das ameaças externas, aliada à proliferação de aparelhos e redes usadas para fins profissionais e de lazer, as empresas têm de dedicar profissionais e dinheiro ao treinamento de funcionários que não sejam da área de Segurança da Informação, para deixar claro seu papel na segurança das informações da organização. Conforme já dissemos, 37% dos entrevistados apontam funcionários descuidados ou desinformados como a ameaça que mais aumenta a exposição da empresa a riscos. Da mesma maneira, o número de incidentes ligados à perda de dados causada por funcionários negligentes aumentou 25% ao longo do último ano. Os entrevistados indicam que pretendem gastar mais; entretanto, a quantia ainda representa aproximadamente 5% de todos os gastos com Segurança da Informação. 20 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Quais ameaças e vulnerabilidades aumentaram mais sua exposição ao risco nos últimos 12 meses? Funcionários descuidados ou desinformados Ataques cibernéticos para roubar informações financeiras Controles ou arquitetura de segurança da informação ultrapassados Ataques cibernéticos para interromper serviços ou prejudicar a empresa Fraude Desastres naturais Programas maliciosos Ataques cibernéticos para roubar dados ou propriedade intelectual Vulnerabilidades relacionadas ao uso de computação móvel Vulnerabilidades relacionadas ao uso da computação na nuvem Espionagem Phishing Acesso não autorizado Spam Ataques internos Vulnerabilidades relacionadas ao uso de redes sociais Legenda: 1º 2º 3º 4º 5º Dados roubados do carro de um funcionário De acordo com relatórios da eweek.com, softpedia.com e nakedsecurity.com, em agosto de 2012 um grupo de médicos do estado americano de Indiana – o Cancer Care Group – admitiu que mídias de backup com dados de 55.000 pacientes e funcionários haviam sido roubadas do carro de um funcionário no mês anterior. Embora a escala desse evento seja pequena em relação às violações registradas por grandes empresas, os dados roubados continham nome, endereço, data de nascimento, número de CPF, número de prontuário médico, informações sobre planos de saúde e dados clínicos dos pacientes envolvidos, bem como as datas de nascimento, números de CPF e nomes dos beneficiários dos funcionários desses médicos. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 21 Falta rigor ao processo “A Segurança da Informação deve partir da proteção do negócio, e não das vulnerabilidades tecnológicas.” Bernie Wedge Líder de Serviços de Auditoria e Riscos em TI para as Américas, Ernst & Young LLP Em 2009, sugerimos que as empresas deveriam adotar uma postura que colocasse a informação no centro das atenções da segurança, de modo a garantir mais alinhamento ao fluxo de informação. Afirmamos ainda que a compreensão do uso da informação em importantes processos de negócios era a única forma de administrar de maneira eficiente as necessidades de segurança – principalmente na área de Segurança da Informação. Tais recomendações foram feitas na crença de que as empresas já haviam adotado, ou iriam adotar, os processos necessários – incluindo uma estrutura efetiva e organizada, ou um sistema de gestão de Segurança da Informação. Em 2012, descobrimos que a maioria das empresas ainda não tem essa estrutura. A falta de uma estrutura de arquitetura de segurança O que existe é uma colcha de retalhos de defesas não integradas, complexas e frequentemente frágeis, que cria sérios gaps de segurança. Surpreendentemente, 63% dos entrevistados nesta edição da pesquisa indicaram que suas empresas não desenvolveram qualquer estrutura formal de arquitetura de segurança, e não necessariamente planejam utilizar alguma. Para algumas organizações, mão de obra capacitada, maturidade na segurança ou questões orçamentárias podem causar impacto nas decisões tomadas. Outras empresas simplesmente esperam que o problema desapareça por conta própria. Ainda assim, é animador observar o gráfico ao lado, segundo o qual 37% utilizam uma ou mais estruturas, sendo que a mais popular é a TOGAF Open Group Architecture Framework. Essas descobertas podem explicar por que 56% das empresas realizam apenas entre um e dez testes anuais de ataque e invasão, e por que 19% não fazem nenhum tipo de teste. 56% dos entrevistados realizam apenas de um a dez testes anuais de ataque e invasão 19% não realizam qualquer teste de ataque e invasão 22 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Que estruturas formais de arquitetura de segurança são usadas (ou se planeja utilizar) na sua organização? Não temos uma estrutura formal de arquitetura de segurança 63% TOGAF – Open Group Architecture Framework 11% ANSI/IEEE 1471:ISO/IEC 42010 4% Estrutura e metodologia SABSA 3% Estrutura de arquitetura do Departamento de Defesa dos EUA 3% Estrutura Zachman 2% Estrutura Estendida de Arquitetura Empresarial 1% Estrutura de Arquitetura do Ministério da Defesa do Reino Unido 1% OBASHI 0% Outros 12% “A estratégia de segurança das empresas deve ser constantemente atualizada, de modo a reagir com rapidez à evolução das necessidades.” Jenny Chan Líder de serviços de auditoria e riscos em TI para a região Ásia-Pacífico da Ernst & Young Em reação às necessidades de curto prazo de segurança da informação, as empresas parecem cada vez mais inclinadas a unir ou “empilhar” soluções para contornar o problema. Isso cria uma colcha de retalhos de defesas não integradas, complexas e frequentemente frágeis que cria sérios gaps de segurança. As soluções usadas para contornar o problema não são fáceis de entender, usar ou atualizar. Cerca de um terço das organizações classifica a própria arquitetura como a ameaça ou vulnerabilidade que mais aumentou ao longo dos últimos 12 meses, principalmente porque os controles estão defasados e não podem ser aprimorados ou substituídos facilmente. Informação interessante Os setores com maior exposição são aqueles com mais probabilidade de executar testes de ataque e invasão. Isso vale principalmente no caso de bancos e mercados de capitais. É interessante, porém, notar que os setores de seguros e telecomunicações realizaram um número desproporcionalmente inferior de testes em relação à exposição que enfrentam. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 23 Uma enxurrada de tecnologia 30% dos entrevistados afirmam que estão usando ou planejam usar serviços de computação em nuvem 44% afirmam que estão usando ou planejam usar serviços de computação em nuvem 59% afirmam que estão usando ou planejam usar serviços de computação em nuvem 38% afirmam que não tomaram nenhuma medida para mitigar os riscos da utilização de serviços de computação em nuvem A inovação é a arma secreta que ajudará as empresas a acompanhar o ritmo das mudanças. As organizações precisam explorar, implantar e refinar novas tecnologias para continuar crescendo e se desenvolvendo, adaptando-se às mudanças principalmente porque as ameaças e os riscos aumentam. No entanto, as mesmas tecnologias que ajudam uma empresa a seguir em frente são as que trazem novos riscos. Elas abrem excelentes oportunidades para as organizações, mas a área de Segurança da Informação deve estar especialmente atenta aos riscos associados a elas, para que seja possível administrá-los à luz das necessidades organizacionais. Lá em cima, na nuvem A computação na nuvem continua sendo um dos principais impulsos de inovação nos modelos de negócios e na concretização dos serviços de TI. A computação em nuvem permite tirar maior proveito de TI, uma vez que possibilita centrar mais esforços na parte estratégica, e menos na operacional. Serviços na nuvem são ágeis e flexíveis, e aumentam a capacidade de entender e reagir às constantes mudanças nas condições do mercado, atendendo às necessidades do cliente e respondendo às iniciativas da concorrência. Por tudo isso, a computação em nuvem continua sendo um dos principais determinantes de inovação nos modelos de negócios e na concretização dos serviços de TI. Em 2010, só 30% das empresas indicaram que usavam ou planejavam usar serviços de computação em nuvem. Em 2011, o número subiu para 44%. Hoje, 59% das organizações estão na nuvem, ou a caminho dela. Essa porcentagem não inclui as empresas que talvez desconheçam a extensão do próprio envolvimento. Embora a maioria dos entrevistados indique que está usando ou usará a nuvem nos próximos 12 meses, 38% não adotaram nenhuma medida para mitigar os riscos. Em 2011, esse número era superior a 50%. O que ocorre é que as empresas reconhecem os riscos, mas muitas continuam vulneráveis. As medidas adotadas com mais frequência incluem o aumento na supervisão do processo de gestão de contratos com provedores de serviços na nuvem (28%) e o uso de técnicas de criptografia (28%). Insights on IT risk Business brieng April 2012 Ready for takeoff Preparing for your journey into the cloud Informação interessante Mais de 25% dos entrevistados que disseram não utilizar a nuvem e/ou afirmaram não utilizar serviços na nuvem e não ter planos de fazê-lo no próximo ano afirmam que contam com avaliações externas para determinar a eficácia da área de segurança da informação. Caso queira saber mais sobre isso, leia a publicação Ready for takeoff: preparing for your journey into the cloud, disponível no endereço www.ey.com/ informationsecurity. 24 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Quais dos seguintes controles você já implantou para mitigar riscos novos ou crescentes relacionados ao uso da computação na nuvem? Supervisão aprimorada do processo de gestão de contratos para provedores de serviços na nuvem 28% Técnicas de criptografia 28% Maior due diligence nos provedores de serviços 25% Reforço nos controles de identificação e gestão de acesso 22% Inspeção ou avaliação in loco por parte das equipes de segurança/riscos de TI 16% Processos ajustados de monitoramento de conformidade 15% Aumento na auditoria do fornecimento de serviços na nuvem 15% Ajustes nos processos de gestão de incidentes 15% Maior responsabilidade contratual para provedores de serviços na nuvem 14% Contrato com terceiros para testar controles do provedor de serviços na nuvem 13% Multas em caso de violações de segurança 13% Maior dependência de certificações independentes dadas aos provedores de serviços na nuvem 12% Multas em caso de problemas de conformidade e privacidade 12% Nenhum 38% Turn risks and opportunities into results Exploring the top 10 risks and opportunities for global organizations Global report Tecnologias emergentes apontadas como os 10 principais riscos para organizações globais Numa pesquisa recente realizada pela Ernst & Young com 700 grandes empresas, o risco imposto pelas tecnologias emergentes foi apontado como o número cinco numa lista dos dez principais riscos a ser enfrentados pelas organizações nos próximos anos. Quando se observam as causas de riscos, a resposta mais frequente entre os participantes da pesquisa foi a dificuldade no desenvolvimento de uma cultura de inovação. Um número semelhante de entrevistados identificou também a incerteza inerente a tecnologias ainda não testadas. de realizar um monitoramento contínuo das novas tecnologias e de revisar permanentemente produtos, serviços e processos internos. A maioria das empresas pesquisadas afirmou realizar uma gestão ativa de risco. Para mais detalhes sobre os riscos relacionados a tecnologias emergentes, leia o relatório Turn risks and opportunities into results, disponível no endereço www.ey.com/ top10challenges. De longe, a estratégia de mitigação mais utilizada é o desenvolvimento de uma “cultura de inovação” específica para a organização, com o objetivo Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 25 Redes sociais nas empresas As redes sociais têm o poder de construir rapidamente a marca de uma organização – mas podem destruí-la com a mesma velocidade. Até recentemente consideradas tabu dentro de muitas empresas, as redes sociais passaram a ser vistas como essenciais para desenvolver produtos, colher opiniões e garantir a interação e a participação dos clientes. Elas reinventaram o relacionamento entre organizações, clientes, funcionários, fornecedores e órgãos reguladores, além de encurtar para horas ou até minutos processos que costumavam levar dias ou semanas. No entanto, além das inúmeras oportunidades geradas pelas redes sociais, existem desafios. Num mundo que opera 24 horas por dia, a qualquer momento e em qualquer lugar, as redes sociais – e qualquer pessoa com acesso à internet – podem construir a marca de uma empresa em segundos, mas também destruí-la. Os desafios incluem segurança de dados, privacidade, exigências regulatórias e de cumprimento de normas, o uso do tempo de trabalho dos funcionários e as ferramentas de negócios para participar desse universo. Conforme mostra o gráfico abaixo, nossa pesquisa aponta que 38% das organizações não têm uma estratégia coordenada para lidar com o uso de redes sociais dentro da empresa ou que considere as diretrizes da alta administração e suporte da Segurança da Informação. O resultado é um aumento no risco geral e uma capacidade limitada de explorar todo o potencial das redes sociais no futuro. Como a sua organização lida com as redes sociais? 43% Temos uma estratégia coordenada, comandada por um departamento que não é o departamento de Segurança da Informação 38% Não temos uma estratégia coordenada para lidar com as redes sociais 26 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 19% Temos uma estratégia coordenada comandada pelo departamento de Segurança da Informação Quais dos seguintes controles você já implantou para mitigar riscos novos ou crescentes relacionados ao uso de redes sociais? Acesso limitado ou nenhum acesso a redes sociais 45% Ajustes nas políticas 45% Programas de conscientização sobre segurança e redes sociais 40% Monitoramento de redes sociais 32% Novos processos disciplinares 11% Ajustes nos processos de gestão de incidentes 10% Nenhum 20% No caso das organizações que não têm uma estratégia formal para o uso de redes sociais, o gráfico acima mostra que as medidas de mitigação de riscos implantadas com maior frequência incluem: acesso limitado ou nenhum acesso a redes sociais (45%), ajustes nas políticas (45%) e programas de conscientização (40%). Insights on IT risk Business brieng May 2012 Protecting and strengthening your brand Social media governance and strategy Informação interessante De maneira quase universal, a maioria dos participantes na pesquisa afirma que ajustes nas políticas são a forma preferida de mitigar preocupações relacionadas a redes sociais, independentemente do método com que mensuram a efetividade do departamento de segurança da informação. No entanto, a maioria dos participantes que afirmam não realizar avaliação da efetividade do departamento de segurança da informação diz também que, para mitigar preocupações relativas a redes sociais, simplesmente proíbe ou limita o acesso dos funcionários a redes sociais. Para mais informações, confira a publicação Protecting and strengthening your brand, sobre redes sociais, que pode ser consultada no endereço www.ey.com. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 27 Como aproveitar ao máximo os benefícios das tecnologias móveis Conforme a mobilidade da força de trabalho cresce, a frase “no momento estou fora do escritório” perde relevância. De acordo com uma previsão divulgada recentemente pela Cisco, em 2016 haverá 10 bilhões de dispositivos móveis com acesso à internet – quase 1,5 para cada homem, mulher e criança do planeta. Se no passado os telefones celulares serviam apenas para fazer ligações, os aparelhos móveis de hoje são uma ferramenta de comunicação e uma fonte de conhecimento essencial para atividades pessoais e de negócios. Eles permitem conectividade à internet e à nuvem 24 horas por dia, sete dias por semana. Sua empresa permite o uso de tablets para fins de negócios? O uso de tablets está em fase de avaliação ou é bastante limitado 35% Sim, os tablets pertencentes à empresa são amplamente utilizados 19% Sim, os tablets particulares são amplamente utilizados e contam com o apoio da organização, por intermédio de uma política BYOD (traga seu próprio aparelho) 13% Sim, os tablets particulares são amplamente utilizados, mas não contam com o apoio da organização 12% Não, e não existem planos para usar tablets ao longo dos próximos 12 meses 11% Não, mas planejamos usar tablets ao longo dos próximos 12 meses 9% Os avanços tecnológicos e os benefícios de negócios trazidos por eles aumentaram consideravelmente as taxas de adoção das tecnologias móveis. De acordo com a nossa pesquisa, e conforme demonstra o gráfico desta página, o uso de tablets para fins de negócios mais do que dobrou desde 2011. Essa porcentagem passou de 20% em 2011 para 44% de organizações que atualmente permitem o uso de tablets particulares ou pertencentes à empresa dentro das organizações em 2012: 19% dizem que tablets da empresa são amplamente utilizados; 13% dão apoio ao uso de tablets particulares com uma política BYOD (sigla em inglês para a expressão “traga seu próprio aparelho”); e 12% permitem o uso particular de tablets, mas não oferecem apoio. Conforme a mobilidade da força de trabalho cresce, a frase “no momento estou fora do escritório” perde relevância. Além disso, fica cada vez mais difícil controlar o aumento no fluxo das informações que entram e saem da empresa. De acordo com o gráfico da próxima página, 52% dos participantes na pesquisa implantaram ajustes nas políticas, e 40% investiram em programas de conscientização. Mas as organizações reconhecem que é necessário fazer mais. Elas estão começando a se informar sobre as funcionalidades e o design dos produtos de software de segurança para aparelhos móveis disponíveis no mercado. Mesmo assim, ainda é baixa a adoção de técnicas e softwares de segurança no mercado de computação móvel, que se movimenta em alta velocidade. Um exemplo: técnicas de criptografia são utilizadas por menos de metade (40%) das organizações. 28 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Quais dos seguintes controles você já implantou para mitigar os riscos novos ou crescentes relacionados ao uso da computação móvel, incluindo tablets e smartphones? Ajustes nas políticas 52% Atividades para aumentar a conscientização sobre segurança 40% Técnicas de criptografia 40% Novo software de gestão de aparelhos móveis 36% Permissão de uso de aparelhos pertencentes à empresa e proibição do uso de aparelhos pessoais 34% Processo de governança para administrar o uso de aplicativos móveis 31% Mudanças na arquitetura 24% Ajustes nos processos de gestão de incidentes 15% Testes de ataque e invasão de aplicativos móveis 14% Maior capacidade de auditoria 12% Novos processos disciplinares 9% Proibir o uso de qualquer tipo de tablet/smartphone para fins profissionais 6% Nenhum 14% Tecnologias móveis: oportunidades X ameaças Oportunidades: Ameaças: •Aumento na produtividade •Roubo/perda/vazamento de dados •Escolha de tecnologias •Infecção por programas maliciosos •Redução com gastos de capital •Acesso não autorizado •Promoção de um ambiente mais criativo •Questões jurídicas • Incentivo à felicidade e motivação dos funcionários •Questões de privacidade •Aumento dos gastos administrativos gerais •Equilíbrio entre trabalho e diversão •Enterprise-ready [pronto para utilização]/integração de sistemas Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 29 Traga seu próprio aparelho Conforme o ritmo de vendas de aparelhos móveis e smartphones supera o de computadores, e à medida que as empresas se apressam para criar maneiras que ajudem os funcionários a unir os dispositivos de trabalho aos aparelhos pessoais, é preciso considerar em detalhes questões relativas à segurança de dados e informações. Os funcionários já compram telefones e pacotes de dados por conta própria. Oferecer apoio à habilitação de aparelhos no ambiente de trabalho ajuda não apenas a reduzir os custos com funcionários, como também elimina alguns gastos até então associados a grandes compras de celulares apoiadas pela empresa. Essa integração de aparelhos pessoais que tenham acesso pela empresa pode ajudar a reduzir custos coletivos e a aumentar a produtividade, o ânimo e a criatividade dos funcionários. No entanto, oportunidades sempre trazem riscos. Aumentar as atividades BYOD (sigla em inglês para a expressão “traga seu próprio aparelho”) significa que os funcionários podem atualizar por conta própria o tablet ou o smartphone, sem qualquer envolvimento do departamento de TI. Isso pode ter impactos sobre a funcionalidade e a segurança de qualquer aplicativo corporativo, ou de algum aplicativo com outro tipo de autorização que possa estar instalado no aparelho. Daí a importância da gestão de aparelhos móveis. Ao apoiar a estratégia BYOD, as organizações devem considerar as seguintes atividades: 1. D ecidir quem é o verdadeiro “dono” do aparelho. Depois que se determina isso, a empresa pode estabelecer políticas mais precisas em relação a limites. Por exemplo: a organização pode instalar um aplicativo que permita desligar câmeras ou outros aplicativos, ou bloquear redes sociais através das quais possa haver vazamento de dados. 2. Garantir a segurança da rede corporativa. Para evitar a perda de dados causada pelo acesso autorizado a partir de aparelhos sem suporte, vale a pena considerar a possibilidade de ter uma rede paralela para “convidados”, separada da rede principal. Isso permite que os funcionários utilizem aparelhos pessoais para ter acesso direto à internet – às vezes até por uma conta de e-mail usada exclusivamente para fins profissionais. Além disso, vale a pena considerar a utilização de serviços terceirizados ou de suas codificações para criar “nichos” nesses aparelhos, onde fiquem localizados dados e aplicativos da empresa, isolados da interação com dados, aplicativos ou serviços on-line de uso pessoal. 3. Manter a segurança dos dados básicos. As empresas devem garantir que os dados armazenados no aparelho estejam protegidos de hackers, de acesso por pessoas externas e de vírus. 30 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Vazamento de dados Programas maliciosos cada vez mais sofisticados são um caminho para que informações confidenciais saiam da empresa sem que se perceba nada. A digitalização global de produtos, serviços e processos tem um profundo impacto sobre as organizações. A disponibilidade de grandes quantidades de dados cria excelentes oportunidades para obter valor e ideias interessantes. As empresas que dominam a disciplina da gestão de grandes dados podem colher importantes benefícios e se destacar da concorrência. A despeito de todos os benefícios, entretanto, as organizações devem estar cientes dos riscos. Ao longo dos últimos cinco anos, as empresas testemunharam um aumento no volume de vazamentos de dados, intencionais ou não. Programas maliciosos cada vez mais sofisticados são um caminho para que informações confidenciais saiam da empresa sem que se perceba nada. Conforme mostra o gráfico abaixo, esta edição da pesquisa sugere que a maioria das organizações já definiu uma política relativa ao sigilo de informações (72%). Além disso, muitas empresas (68%) realizaram programas de conscientização. A adoção de tecnologias de DLP (prevenção de perda de dados), no entanto, permanece relativamente baixa (38%). Quais das seguintes iniciativas sua empresa já adotou para controlar o vazamento de dados relativos a informações sigilosas? Definição de uma política específica sobre sigilo e trato de informações 72% Programas de conscientização de funcionários 68% Implantação de mecanismos adicionais de segurança para proteção de informações (exemplo: criptografia) 57% Uso impedido/restrito de determinados componentes de hardware (exemplo: pen-drives, portas FireWire) 43% Auditoria interna para testar controles 41% Definição de exigências específicas para trabalho a distância, relativas à proteção de informações levadas para fora do escritório 39% Implantação de ferramentas de revisão de log 38% “As empresas devem implantar defesas flexíveis e adaptáveis, que continuem resistentes mesmo diante de violações dos dados – e essas violações vão ocorrer.” Haruyoshi Yokokawa Uso restrito ou proibido de ferramentas de “bate-papo” on-line ou e-mail para transmissão de dados sigilosos 31% Uso proibido de câmeras em áreas sensíveis ou restritas 23% Acesso restrito a informações sigilosas em determinados períodos 16% Líder de serviços de Auditoria e Riscos em TI para o Japão da Ernst & Young Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 31 Gaps iminentes Embora tenhamos identificado alguns gaps atuais, há outros no horizonte, na forma de intervenções governamentais e novas pressões regulatórias. Talvez as empresas até estejam estudando – com maior ou menor eficácia – o cenário de riscos e avaliando questões de inteligência relativas a ameaças. Mas elas não são as únicas com essa preocupação. Os governos e órgãos reguladores também vêm observando os riscos crescentes em Segurança da Informação e estão começando a tomar atitudes. Caso as organizações não ajam por conta própria, a consequência combinada das questões atuais (descritas nas páginas anteriores) e futuras (descritas a seguir) irá aumentar ainda mais esse gap. Provedores de infraestrutura essencial É provável que os governos comecem a publicar diretrizes – com o apoio dos legisladores – aplicáveis a todas as organizações que considerarem essenciais do ponto de vista econômico, com o objetivo de garantir que não sejam vítimas de ameaças à segurança da informação. Ainda que as empresas se preocupem com o próprio desempenho individual, os governos buscam assegurar que as organizações responsáveis pelo fornecimento de serviços essenciais que apoiam o bem-estar contínuo da sociedade sejam capazes de manter suas operações com o menor grau possível de problemas, em qualquer circunstância. Espera-se que as empresas de fornecimento de energia, telecomunicações, abastecimento de água, produção e distribuição de alimentos, ou dos setores de saúde e serviços financeiros implantem medidas sólidas para se proteger de incidentes de segurança da informação que possam interromper ou prejudicar suas operações. Informação interessante Como reação ao impasse no Congresso americano envolvendo a Lei de Cibersegurança [Cybersecurity Act] de 2012, o senador John D. Rockefeller IV desafiou 500 das maiores empresas do país a exercer um papel de liderança na reforma da legislação relativa à segurança da informação. O lobby da Câmara Americana de Comércio e de outras partes contrárias a medidas de segurança adiou a aprovação de leis tidas como vitais tanto pelo Comandante geral de cibersegurança dos Estados Unidos quanto pelo chefe do Estado-Maior, considerando a gravidade da ameaça cibernética enfrentada pelo país. Com uma série de perguntas incluídas numa carta enviada a empresas como Exxon Mobil, Wal-Mart, General Electric, AT&T, Apple, Citigroup e UnitedHealth Group, entre outras, o senador Rockefeller pediu que esses líderes corporativos se diferenciassem, trabalhando em conjunto no desenvolvimento de soluções proativas de combate às crescentes ameaças à segurança da informação nos Estados Unidos. Com a Lei de Cibersegurança de 2012, o senador Rockefeller e outros defensores da causa buscam proteger infraestruturas críticas, como usinas de energia, oleodutos, prestadoras de serviços essenciais, hospitais, redes de transporte e empresas de telecomunicações, descritas pelos americanos como imprescindíveis no dia a dia. 32 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Informação interessante Muitas empresas ainda têm dificuldades para encontrar violações de segurança e registrá-las de modo a cumprir as exigências regulatórias sobre a divulgação desses fatos. Grandes violações ou vazamentos de dados que chegam ao conhecimento do público recebem ampla cobertura de imprensa, numa demonstração da importância social de tais acontecimentos. No entanto, a ENISA – Agência de Segurança de Redes e Informação da União Europeia – divulgou recentemente um relatório(3) alertando para o fato de que muitos incidentes não são detectados ou registrados, a despeito da importância fundamental da internet e das comunicações eletrônicas confiáveis para a economia atual. “Incidentes cibernéticos costumam ser mantidos em sigilo quando descobertos, o que deixa clientes e legisladores no escuro em relação à frequência, ao impacto e às causas centrais desses fatos”, dizem os autores do texto. O relatório identifica gaps no marco regulatório sobre registros de incidentes e pede melhorias no compartilhamento desses fatos por toda a União Europeia. Ainda há “pouco intercâmbio de informações entre as autoridades nacionais” sobre lições aprendidas e boas práticas, apesar da natureza transnacional dessa ameaça. Dr. Marnix Dekker, Christoffer Karsberg, Barbara Daskala, “Cyber Incident Reporting in the EU: An overview of security articles in EU legislation” [Registo de Incidentes Cibernéticos na União Europeia: panorama geral dos artigos relativos à segurança na legislação da UE], Agência de Segurança de Redes e Informação da União Europeia, agosto de 2012. (3) Os governos não têm de levar em conta apenas a proteção dos cidadãos. É preciso considerar também a imagem de eficiência das autoridades e a proteção do crescimento econômico. Além das organizações da infraestrutura essencial, outras 100 ou 500 grandes empresas de todos os setores da economia estão sob um olhar atento. O crescimento econômico é prioritário na pauta dos governos. Organizações que fazem o máximo para apoiar esse crescimento e impulsionar o PIB, graças à produtividade e geração de emprego, terão de comprovar a eficácia de seus programas de segurança da informação. É provável que os governos comecem a publicar diretrizes – com o apoio dos legisladores – aplicáveis a todas as organizações que considerarem essenciais do ponto de vista econômico, com o objetivo de garantir que não sejam vítimas de ameaças à segurança da informação. Essas diretrizes vão exigir que as empresas compartilhem conhecimentos sobre ameaças, bem como as medidas tomadas para mitigar ou administrar os riscos corporativos. Num cenário ideal, a comunidade de negócios deveria se unir por iniciativa própria para compartilhar experiências e estabelecer estruturas e soluções comuns. Essa estratégia já funcionou no caso de outros desafios, e possivelmente é a melhor alternativa de que o setor privado dispõe para interromper o fluxo iminente de regulações. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 33 Uma transformação fundamental As empresas estão trabalhando com afinco para acompanhar o ritmo das mudanças tecnológicas e o número crescente de ameaças à Segurança da Informação. Os resultados têm tido níveis variados de êxito. As organizações capazes de minimizar a distância entre o trabalho atual dos departamentos de Segurança da Informação e aquilo que essas áreas de fato têm de fazer vão garantir uma vantagem competitiva. As empresas têm de tomar quatro medidas essenciais para promover uma mudança fundamental nos departamentos de segurança da informação: a estratégia de Segurança da Informação à estratégia 1 Cdeonectar negócio e aos resultados gerais desejados para a empresa. omeçar do princípio ao considerar as novas tecnologias 2 Cemais ao redesenhar arquiteturas, para chegar a uma definição precisa do que precisa ser feito. Isso representa uma oportunidade de derrubar barreiras e remover qualquer viés tendencioso que possa prejudicar mudanças imprescindíveis. xecutar a transformação com a criação de um ambiente 3 Eque possibilite uma mudança bem-sucedida e sustentável da área de Segurança da Informação. o considerar as novas tecnologias, mergulhar profundamente 4 Anas oportunidades e nos riscos apresentados por elas. Redes sociais, volumes imensos de dados, nuvem e tecnologias móveis vieram para ficar, e as empresas têm de estar preparadas para usar isso. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 35 1 Conexão com a estratégia de negócios Conforme já observamos nos resultados da desta edição da pesquisa, é fundamental alinhar a estratégia de Segurança da Informação das empresas à estratégia e aos objetivos de negócios. Mas será que isso muda de acordo com os objetivos de negócios da organização? O que é preciso ter na estratégia de Segurança da Informação? Quais iniciativas e táticas devem estar presentes na pauta de Segurança da Informação da empresa? No ambiente econômico atual, as organizações costumam centrar esforços para atingir um ou mais dos seguintes resultados: crescimento, inovação, otimização e proteção. À medida que as empresas trabalham para concretizar esses resultados, o papel da Segurança da Informação torna-se cada vez mais indispensável. Crescimento As empresas buscam expandir seus negócios para novos mercados e atrair novos clientes com novos produtos – sempre com o objetivo de gerar receita. Uma estrutura de Segurança da Informação eficaz pode proteger toda a organização, salvaguardar a receita e deixar parte dos recursos disponível para ser usada no aumento das oportunidades de geração de lucro. Inovação As empresas estão usando as novas tecnologias para interagir diretamente com os clientes, de maneiras até então inexistentes. Os dados gerados por esse processo têm de ser seguros, sendo que a privacidade é crítica. Diante das ameaças existentes hoje, uma Segurança da Informação eficaz permite que a organização demonstre liderança na hora de garantir a proteção dos clientes e de suas respectivas empresas. Otimização Estruturas e métodos de Segurança da Informação custam dinheiro, mas as empresas nem sempre gastam recursos com sabedoria. As organizações podem reduzir custos por todo o negócio se tiverem uma Segurança da Informação bem estruturada e gerida com eficiência. Proteção Para transmitir confiança a todas as partes interessadas, a Segurança da Informação deve demonstrar boa governança e transparência. Um monitoramento forte e efetivo, além de testes, devem ser componentes indispensáveis de toda a estrutura de Segurança da Informação. É importante ainda desenvolver a estratégia e a estrutura, e identificar atividades cuja realização é necessária. 36 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Redesenhar a arquitetura e demonstrar como a Segurança da Informação pode trazer resultados de negócios A melhor forma de começar é partir do princípio, para que, desde os estágios iniciais, o projeto como um todo não apresente qualquer viés tendencioso, problemas de sistemas ultrapassados ou outros fatores que possam causar distorções. Em vez de observar a paisagem existente e buscar uma forma de redesenhá-la, o departamento de Segurança da Informação deve fazer um redesenho a partir da essência. É preciso deixar espaço para a inovação e considerar a constante necessidade de utilizar tecnologias novas e emergentes, de modo a ajudar a empresa a atingir resultados que realmente promovam proteção e progresso. Uma vez definidos os resultados que a Segurança da Informação deve produzir (“o que” a Segurança da Informação pode fazer), o próximo passo é descobrir como chegar lá. 2 Identificar os riscos reais Como ponto de partida, as empresas devem desenvolver uma estratégia absolutamente nova de Segurança da Informação. Essa estratégia deve começar com a inclusão de tecnologias e questões como computação em nuvem, redes sociais, volumes escaláveis de dados, computação móvel, globalização e o fim das fronteiras – e não acrescentar esses tópicos como “novos itens” a uma estratégia já existente. É preciso concentrar-se também na identificação dos riscos atuais (“riscos reais”), que serão diferentes daqueles que a organização enfrentou no passado. Esse processo de identificação não é a simples transferência para o futuro de riscos já conhecidos em anos anteriores; a identificação dos riscos de hoje exige um olhar renovado, que parte do reconhecimento daquilo que é mais importante no cenário atual. Deve-se começar avaliando a própria disposição para riscos e como isso se traduz em riscos para a informação. É preciso ter uma ideia clara de quais são os dados, aplicações e outros ativos de TI mais importantes, e onde eles estão. No caso da computação em nuvem, responder a essas questões pode ser complexo. O passo seguinte é avaliar o cenário de ameaças e determinar os pontos de exposição, o que tende a diferir de organização para organização. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 37 2 Proteger o mais importante Tendo em mente os riscos reais, a próxima etapa é desenvolver uma estrutura empresarial de Segurança da Informação. Historicamente, essas estruturas costumam ser estáticas – mas no ambiente de hoje exigem flexibilidade: as empresas precisam ser capazes de se adaptar, mudar e reagir com rapidez e eficácia. Uma estrutura de Segurança da Informação deve se concentrar naquilo que é fundamental, bem como nas ameaças emergentes. Deve supor que violações vão ocorrer – e, por isso, planejar e proteger é tão importante quanto detectar e reagir (dois aspectos que costumam ser ignorados). A estrutura deve cobrir a governança da Segurança da Informação (incluindo papeis e responsabilidade), a ligação entre a cadeia de valor (prioridades de negócio) e as medidas de Segurança da Informação, o monitoramento da Segurança da Informação (índices), processos de conformidade, principais indicadores de controle) e também como reagir em caso de incidentes. Incorporar no negócio A Segurança da Informação é uma responsabilidade de todos, e não apenas uma tarefa para a gerência ou o departamento específico da área. Sendo assim, qualquer estrutura de Segurança da Informação deve estar profundamente incorporada ao negócio. Todos os funcionários, departamentos, projetos e elementos relacionados têm um papel a exercer. Mas incutir essa mentalidade não é tarefa fácil. É preciso tomar uma série de decisões fundamentais, tais como: •O que precisa ser feito no cotidiano do negócio e qual deve ser a responsabilidade do departamento de Segurança da Informação ? •O que precisa ser feito manualmente e o que pode ou deve ser incorporado por vias tecnológicas ? •O que precisa ser feito internamente e o que deve ou pode ser terceirizado ? Manter o programa de segurança Uma das questões fundamentais da gestão de riscos é: como garantir que a estrutura de gestão de riscos vai funcionar de forma ininterrupta e eficaz, conforme o plano? O mesmo se aplica a uma estrutura de segurança da informação disseminada por toda a empresa. Organizações podem estar presentes em diversos países, ter um grande número de funcionários e administrar muitos ativos de TI. Como garantir que todas as medidas relativas à segurança da informação sejam eficazes, todos os dias? Como resultado, a ideia de fazer a “manutenção do programa de Segurança da Informação” é essencial para essa mudança básica. Medidas relativas a conformidade, autoavaliações, aprendizado contínuo e iniciativas de melhoria (bem como o acompanhamento de eventuais incidentes) vão garantir a eficácia contínua da estrutura de Segurança da Informação. Isso permitirá à organização saber se de fato está aplicando permanentemente as medidas de Segurança da Informação conforme o planejado. Mais importante ainda: essa postura mostra claramente se a estrutura está atualizada e preparada para determinar quais riscos emergentes podem levar a mudanças na estratégia de Segurança da Informação e indica a resposta adequada enquanto esses problemas ainda são pequenos. 38 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 O que as organizações devem fazer para ter uma Segurança da Informação que apoie o negócio Identificar os riscos reais: Proteger o mais importante: •Desenvolver uma estratégia de segurança •Partir do pressuposto de que haverá violações •Definir a disposição geral da empresa ao •Equilibrar o fundamental com a gestão voltada para as prioridades de negócios e a proteção dos dados mais valiosos risco e de que forma os riscos de informação se encaixam nesse cenários •Identificar as informações e aplicações mais importantes, onde elas estão localizadas e quem tem/deve ter acessos – aprimorar processos de planejamento, proteção, detecção e reação de ameaças emergentes •Estabelecer e racionalizar modelos de controle de acesso para aplicações e informações •Avaliar o cenário de ameaças e desenvolver modelos de previsão que deixem claras as áreas reais de exposição Manter o programa de segurança: Incorporar ao negócio: •Acertar na governança – transformar •Fazer da segurança uma responsabilidade a segurança numa prioridade que chegue à mesa do conselho •Garantir que boas medidas de segurança liderem o processo de conformidade com as regras, e não o contrário •Avaliar os principais indicadores para identificar os problemas enquanto ainda são pequenos •Aceitar riscos administráveis que sirvam para melhorar o desempenho de todos •Alinhar ao negócio todos os aspectos da segurança (informação, privacidade, continuidade física e de negócios) •Gastar com sabedoria em controles e tecnologia – investir mais em pessoas e processos •Considerar a terceirização seletiva de áreas de programas de segurança operacional Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 39 3 Executar a transformação de forma bem-sucedida e sustentável Transformações fundamentais não exigem apenas implantar um programa e depois virar as costas. Para que as mudanças permaneçam, as empresas devem: •Responsabilizar os líderes pela entrega de resultados e pela visibilidade ao longo de toda a vida do programa. •Alinhar toda a empresa à estratégia de transformação – desde o planejamento e concretização do programa até a adoção sustentada dos objetivos de desempenho. • Prever, monitorar e administrar riscos continuamente na execução do programa. •Adotar novas soluções até o fim antes de encerrar um programa, Questões do cliente en cu Ali •Envolver líderes e outras pessoas importantes no processo de tomada de decisões na hora de definir a situação futura •Estabelecer um processo de benefícios por realização, além to E xe çã o Liderança Lid e ão oç nça ra Ad de modo que o jeito antigo de fazer as coisas não interfira. m nha de responsabilidades e métricas de desempenho •Conectar análises e alertas externos à estratégia do programa •Criar justificativas abrangentes para a mudança Alinhamento •Definir e envolver toda a empresa no entendimento e na participação em relação à situação futura •Impulsionar os resultados logo cedo, e com frequência, de modo a acelerar a transição para a situação futura •Ouvir ativamente, com o objetivo de identificar os problemas e implantar melhorias contínuas •Fornecer capacitação especializada e dedicada exclusivamente ao apoio das várias partes interessadas, por toda a empresa Execução •Ampliar o apoio às etapas de execução, de modo a permitir uma concretização bem-sucedida •Implantar um projeto cuidadoso de tecnologia, bem como as bases do processo, para garantir estabilidade e flexibilidade •Utilizar dados para criar modelos de riscos na concretização do programa, e aprimorar estratégias e planos permanentemente Adoção •Construir relacionamentos de longo prazo com as partes interessadas, de modo a adotar soluções sustentáveis •Utilizar as redes sociais para facilitar a interação e aumentar o grau de influência do programa logo de início, e fazê-lo com frequência •Identificar técnicas de adoção •Comunicar vitórias e ser transparente em relação aos desafios e soluções 40 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 4 Um mergulho profundo nas novas tecnologias A despeito dos riscos, as novas tecnologias vieram para ficar. As empresas precisam usá-las para obter vantagens, aumentando seu alcance e impulsionando um crescimento lucrativo. Qualquer estrutura de segurança da informação deve avaliar constantemente o papel das novas tecnologias e como aproveitar ao máximo seu potencial para a organização, preservando sempre a segurança. Aspectos como virtualização, mobilidade e tecnologia na nuvem aumentaram a ameaça de ataques graves, elevando o número de pontos de entrada para os negócios de uma empresa. As atividades dos hackers e a espionagem apoiada por Estados são cada Modelos Avaliação de vez mais sofisticadas e persistentes, de negócio e portfólio e oportunidades racionalização e as altas recompensas oferecidas na nuvem da nuvem Governos Visão e pela venda de dados organizacionais e incentivos estratégia na nuvem alimentam o crescimento de grupos na nuvem Mentalidade Revisar o cenário setorial sobre de aplicações criminosos num ritmo sem novos modelos – determinar Estabelecer a de negócios o alinhamento direção certa precedentes. Esses ataques possibilitados entre valor de Apoio ao da nuvem e pela nuvem negócios de Risco e desenvolvimento contar com podem causar perdas para cada commodity econômico para comunicação uma estrutura indústria X valor a nuvem em todo na nuvem adequada de estratégico financeiras significativas, o mundo Pesquisa de tomada de fornecedores na decisões além de danos às marcas. nuvem, ajustes, Estratégias de curto prazo, mudanças incrementais e soluções temporárias não bastam. As empresas têm de adotar uma visão de 360 graus sobre cada uma das novas tecnologias de modo a identificar e compensar os riscos inerentes a elas. Segurança e privacidade na nuvem Garantia de que a nuvem irá apoiar preocupações relativas à continuidade das operações ia da nuve rant m Ga Continuidade de negócios e disponibilidade na nuvem Questões relativas a “ceder o controle” e a novas culturas de confiança Adesão a regras e regulações no mundo sem fronteiras da nuvem Conformidade e regulações na nuvem Visão de 360 graus da nuvem Re a Usar as plataformas na nuvem para desenvolvimento e para uma nova governança associada Sistemas e desenvolvimento na nuvem acordos, dependência de fornecedores e estratégia de saída n oname to da nuv sici em Po l i za çã o d a n u Definir a estratégia de curto, médio e longo prazo para a arquitetura da empresa Arquitetura e modelo de utilização da nuvem ve m Maturidade e adoção de padrões e desafios mais amplos para a integração de serviços Nova mentalidade sobre SLAs e governança de múltiplos fornecedores visão da nuvem Pro O que surpreende, considerando a natureza sinistra desses crimes, é que os ataques muitas vezes ocorrem sem que as empresas se deem conta. Quais são os principais riscos da nuvem e o desenvolvimento de um modelo de risco na nuvem para ajudar na mitigação? Sourcing e departamentos de compras na nuvem Modelos de negócio da nuvem e modelos de preço para otimizá-los Sistemas de gestão de contabilidade, ideias sobre localização e caracterização Gestão de tributária programa de transição/ transformação; exigência de treinamento e novas habilidades Gestão e governança de fornecedores na nuvem Preço e ROI na nuvem Tributação e contabilidade na nuvem Adoção da nuvem e gestão de mudança Padrões e interoperabilidade na nuvem Uma visão de 360 graus da computação em nuvem Em todos os aspectos da nuvem, a garantia é uma consideração essencial. Acreditamos que existem quatro componentes fundamentais para concretizá-la: 2. C ontinuidade de negócios e disponibilidade na nuvem: ter a garantia de que a nuvem dará apoio a preocupações relativas à continuidade das operações 1. Risco e comunicação na nuvem: identificar os principais riscos da nuvem e desenvolver um modelo de risco específico para ajudar na mitigação 3. S egurança e privacidade na nuvem: enfrentar questões relativas a “ceder o controle” e a uma nova cultura de confiança 4. Conformidade e regulações na nuvem: assegurar a adesão a regras e regulações no mundo sem fronteiras da nuvem Para mais detalhes sobre a nuvem, leia o relatório Cloud computing issues and impacts, disponível no endereço www.ey.com/informationsecurity. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 41 Conclusão Faça a transição, reduza o gap De 2006 até hoje, os resultados da nossa pesquisa sugerem que a disparidade entre o aumento no ritmo das ameaças e a reação das organizações não está diminuindo. Na verdade, está crescendo exponencialmente, transformando o gap de Segurança da Informação de uma fenda em um abismo Uma transformação efetiva na Segurança da Informação não exige soluções tecnológicas complexas. Exige, sim, liderança e compromisso, capacidade e disposição para agir. E isso não deve ocorrer daqui a 12, 24 ou 36 meses, mas agora. Se houver atrasos, muitas empresas poderão perder um terreno que não conseguirão recuperar depois. A Ernst & Young acredita que, ao seguir os quatro passos essenciais discutidos nas páginas anteriores: 1. Conectar a estratégia de Segurança da Informação à estratégia de negócios 2. Redesenhar a arquitetura 3. Executar a transformação de forma bem-sucedida e sustentável 4. Mergulhar profundamente nas oportunidades e nos riscos apresentados pelas novas tecnologias As organizações podem transformar as bases sobre as quais os departamentos de segurança da informação operam e tornar-se mais capazes de fechar o crescente gap de riscos de TI. Iniciativas tomadas por algumas grandes empresas •Fazer a transição da proteção do perímetro de segurança para a proteção de seus dados, cientes de que alguns ataques inevitáveis vão invadir o perímetro que está sob defesa. •Criar recursos dinâmicos para administrar a Segurança da Informação, de modo a reagir rapidamente num ambiente que evolui em alta velocidade. •Envolver ativamente os mais altos líderes de todos os departamentos na tomada de decisão sobre os problemas relativos à segurança. •Criar estratégias e processos de Segurança da Informação com base num grau mais elevado de transparência em relação a ativos críticos, ataques, capacidades de segurança, riscos de negócios e opções de defesa. Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 43 Metodologia da pesquisa A Pesquisa Global de Segurança da Informação da Ernst & Young foi realizada entre maio e julho de 2012. Ouvimos 1.836 pessoas dos principais setores da economia, em 64 países. Convidamos CIOs, CISOs, CFOs, CEOs e outros executivos ligados à Segurança da Informação para participar da pesquisa. Distribuímos um questionário aos profissionais escolhidos pela Ernst & Young no escritório de cada país, além de instruções para que o processo de pesquisa fosse realizado de forma consistente. A maioria das respostas foi obtida em entrevistas pessoais. Nos casos em que isso não foi possível, o questionário foi respondido on-line. Caso deseje participar da edição de 2013 da Pesquisa Global de Segurança da Informação da Ernst & Young, entre em contato com nosso escritório na sua cidade/país, ou acesse www.ey.com/US/en/Home/Home-ContactUS e preencha um breve formulário de solicitação. Participantes da pesquisa por área (1.836 participantes em 64 países) Japão Ásia-Pacífico Américas 11% 20% 46% 23% 44 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 EMEIA (Europa, Oriente Médio, Índia e África) Participantes da pesquisa por setor da economia (1.836 participantes em 64 países) Bancos e mercado de capitais 358 Seguros 154 Tecnologia 148 Governo e setor público 130 Produtos industriais diversos 121 Bens de consumo 121 Varejo e atacado 96 Telecomunicações 79 Mídia e entretenimento 64 Imóveis 57 Escritórios e serviços profissionais 56 Energia e serviços públicos 56 Automotivo 49 Óleo e gás 41 Saúde 41 Gestão de patrimônio 38 Produtos químicos 37 Ciências biológicas 33 Transporte 32 Metais e mineração 29 Serviços de cuidados médicos 15 Indústria aeroespacial e de defesa 15 Companhias aéreas 12 Domicílios particulares 2 Private equity 2 Outros 50 Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 45 Participantes da pesquisa por receita anual total da empresa Menos de US$ 50 milhões 326 US$ 50 milhões a US$ 99 milhões 167 US$ 100 milhões a US$ 249 milhões 169 US$ 250 milhões a US$ 499 milhões 172 US$ 500 milhões a US$ 999 milhões 178 US$ 1 bilhão a US$ 1,9 bilhão 170 US$ 2 bilhões a US$ 2,9 bilhões 86 US$ 3 bilhões a US$ 3,9 bilhões 50 US$ 4 bilhões a US$ 4,9 bilhões 42 US$ 5 bilhões a US$ 7,49 bilhões 81 US$ 7,5 bilhões a US$ 9,9 bilhões 48 US$ 10 bilhões a US$ 14,9 bilhões 65 US$ 15 bilhões a US$ 19,9 bilhões 30 US$ 20 bilhões a US$ 49,9 bilhões 60 Mais de US$ 50 bilhões 66 Não se aplica (exemplo: governo, entidade sem fins lucrativos) 126 46 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Participantes da pesquisa por cargo Executivo de tecnologia da informação 347 Executivo de segurança da informação 271 Chief information security officer (CISO) 249 Chief information officer (CIO) 226 Chief security officer (CSO) 70 Diretor/gerente de auditoria interna 63 Chief technology officer (CTO) 55 Administrador de rede/sistema 40 Executivo/vice-presidente de unidade de negócios 30 Chief operating officer (COO) 21 Chief risk officer (CRO) 9 Chief financial officer (CFO) 8 Chief compliance officer (CCO) 6 Chefe do departamento jurídico 1 Outros 440 Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 47 Outras fontes de informações para líderes A Ernst & Young publica regularmente textos e artigos para dar ideias a líderes sobre uma ampla gama de temas relacionados a TI e segurança da informação – incluindo a série Insights on IT Risk, centrada no risco de TI e nos desafios e oportunidades a ele relacionados. As publicações trazem informações e descobertas oportunas, desenvolvidas para ajudar os clientes a oferecer conhecimentos valiosos e importantes sobre questões fundamentais para seus altos executivos. Para acessar os relatórios listados abaixo, use o QR Code correspondente ou acesse www.ey.com/informationsecurity. Insights on IT risk Business brieng May 2012 Protecting and strengthening your brand Social media governance and strategy Insights on IT risk Business brieng April 2012 Ready for takeoff Preparing for your journey into the cloud Insights on IT risk Business brieng January 2012 Privacy trends 2012 The case for growing accountability Insights on IT risk Technical brieng January 2012 Mobile device security Understanding vulnerabilities and managing risks Protecting and strengthening your brand: social media governance and strategy Para muitas empresas, o sucesso de longo prazo depende do êxito de diversos programas essenciais de transformação individual. Concentradas em responder ao tumulto no mercado atual, as organizações têm de executar concomitantemente inúmeros programas e projetos de mudança, além de manter o negócio em funcionamento. Várias companhias têm dificuldade em resolver o dilema entre “fazer as coisas certas” e “fazer as coisas do jeito certo”. Como resultado, muitas recebem pouco retorno sobre os investimentos feitos em projetos e programas. Ready for takeoff: preparing for your journey into the cloud Muitas empresas estão considerando a computação na nuvem para aumentar a eficácia das iniciativas de TI, reduzir o custo das operações internas, aumentar a flexibilidade operacional e gerar vantagem competitiva. Se usada com uma estratégia eficaz, a computação na nuvem pode garantir um melhor aproveitamento de TI, centrado na estratégia e não nas operações. Os serviços na nuvem são ágeis e flexíveis, aumentam a capacidade de compreender e reagir às constantes mudanças nas condições do mercado, permitem atender às necessidades do cliente e reagir às iniciativas tomadas pela concorrência. Privacy trends 2012 Com a mesma rapidez com que os governos adotam medidas para regulamentar a privacidade, grupos empresariais exploram oportunidades de autorregulamentação, com o objetivo de limitar a intervenção governamental. Em última análise, contudo, quem deve agir são as próprias organizações. Para aumentar suas responsabilidades, muitas empresas terão de rever o conceito de privacidade. Mobile device security Os enormes avanços tecnológicos dos aparelhos móveis estenderam as fronteiras virtuais do negócio, apagando as linhas entre casa e escritório e garantindo o acesso permanente a e-mails. Essa realidade gerou novos aplicativos móveis de negócios e permitiu o acesso e a armazenagem de dados confidenciais da empresa. Neste estudo, exploramos os riscos das plataformas e da tecnologia inerentes aos dispositivos mais populares, além dos métodos que podem ser usados para avaliar a exposição das empresas e mitigar os riscos. Cloud computing issues and impacts A computação na nuvem é uma mudança fundamental de TI, que altera a estrutura de poder da área de tecnologia, aprimora a agilidade dos negócios e facilita o acesso de todos aos dados armazenados. O relatório descreve os problemas e impactos de todos os aspectos da computação na nuvem. Insights on IT risk Technical brie�ng January 2012 Bringing IT into the fold Lessons in enhancing industrial control system security Insights on IT risk Technical briefing October 2011 A path to making privacy count Five steps to integrating privacy protection into IT transformations Bringing IT into the fold: lessons in enhancing industrial control system security Concessionárias e empresas de energia elétrica, bem como outras empresas com operações industriais – como concessionárias de óleo e gás e diversas empresas do setor de produção –, enfrentam o crescente risco de ataques cibernéticos, ao mesmo tempo em que buscam unir os ambientes de operações tecnológicas, em tempo real, aos ambientes empresariais de TI. A path to making privacy count Será que as informações pessoais que você obtém de seus clientes está protegida de olhares indiscretos? Por toda a parte, os departamentos de TI enfrentam a evolução tecnológica e seu impacto sobre os sistemas já existentes e sobre as novas integrações. Nesse cenário, a privacidade é uma questão imprescindível. Uma gestão eficaz dos riscos impostos à privacidade pode proteger contra violações custosas, que podem prejudicar a imagem da empresa e o valor para os acionistas, além de oferecer oportunidades para melhorar o desempenho de negócios e garantir vantagem competitiva. 48 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 A visão da Ernst & Young sobre o risco de TI Na Ernst & Young, os serviços de assessoria estão centrados em necessidades de negócios específicas e nos problemas individuais dos clientes: sabemos que cada empresa tem necessidades e problemas específicos. TI é um importante elemento de capacitação para que as organizações atuem em meio à concorrência do atual cenário global de negócios. TI oferece uma oportunidade de aproximação com os clientes, permitindo atendê-los com mais rapidez. Isso pode melhorar consideravelmente a eficiência das operações. No entanto, conforme as empresas adotam a nuvem e tiram proveito das novas tecnologias, os riscos também aumentam. Nossos 6.000 profissionais da área de Auditoria e Riscos em TI têm ampla experiência pessoal para oferecer novas ideias e uma assessoria franca e objetiva – onde quer que você esteja. Para nós, TI é tanto um “negócio” como uma “ferramenta que possibilita a realização de negócios”. TI é fundamental para auxiliar as empresas a aprimorar continuamente o desempenho e manter as melhorias num cenário em constante transformação. Além de TI, nossos profissionais de Consultoria reúnem a experiência obtida trabalhando com importantes organizações, essencial para ajudar na concretização de avanços mensuráveis e sustentáveis no desempenho do seu negócio. Formamos uma equipe multidisciplinar, criada sob medida para as necessidades específicas de cada cliente. No campo, nossas equipes contam com o alcance global da Ernst & Young, com a nossa ampla experiência setorial e o profundo conhecimento sobre inúmeros temas para ajudar você a vencer a guerra contra as constantes mudanças nos riscos de TI. Para mais informações sobre o que podemos fazer pela sua empresa, entre em contato com um profissional local da Ernst & Young ou com qualquer uma das pessoas listadas abaixo. Contatos Global Norman Lonergan Líder de Serviços de Consultoria +44 20 7980 0596 [email protected] Paul van Kessel Líder de Serviços de Auditoria e Riscos em TI +31 88 40 71271 [email protected] Área Américas Robert Patton Líder de Serviços de Consultoria +1 404 817 5579 [email protected] Bernie Wedge Líder de Serviços de Auditoria e Riscos em TI +1 404 817 5120 [email protected] Brasil Antonio Vita Sócio-líder de Consultoria para o Brasil e América do Sul + 55 11 2573 3708 [email protected] Wilson Gellacic Sócio-líder de Auditoria e Riscos em TI para o Brasil e América do Sul + 55 11 2573 3443 [email protected] 4 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Sergio Kogan Sócio de Auditoria e Riscos em TI / Segurança da Informação + 55 11 2573 3395 [email protected] Alberto Favero Sócio de Auditoria e Riscos em TI / Segurança da Informação para a Indústria Financeira + 55 11 2573 3511 [email protected] Claudia Marona Sócia de Auditoria e Riscos em TI + 55 11 2573 3206 [email protected] Francesco Bottino Sócio de Auditoria e Riscos em TI / Segurança da Informação + 55 21 3263 7142 [email protected] Henrique Oliveira Sócio de Auditoria e Riscos em TI + 55 11 2573 3471 [email protected] Demétrio Carrion Diretor de Segurança da Informação + 55 21 3263 7327 [email protected] Eduardo Batista Diretor de Segurança da Informação + 55 11 2573 3359 [email protected] Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 5 Anotações 6 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 7 Ernst & Young Auditoria | Impostos | Transações Corporativas | Consultoria Sobre a Ernst & Young A Ernst & Young é líder global em serviços de Auditoria, Impostos, Transações Corporativas e Consultoria. Em todo o mundo, nossos 167 mil colaboradores estão unidos por valores pautados pela ética e pelo compromisso constante com a qualidade. Nosso diferencial consiste em ajudar nossos colaboradores, clientes e as comunidades com as quais interagimos a atingir todo o seu potencial, em um mundo cada vez mais integrado e competitivo. No Brasil, a Ernst & Young Terco é a mais completa empresa de Auditoria, Impostos, Transações Corporativas e Consultoria, com 4.900 profissionais que dão suporte e atendimento a mais de 3.400 clientes de pequeno, médio e grande portes Sobre os serviços de Consultoria da Ernst & Young A relação entre risco e melhoria no desempenho é um desafio de negócios cada vez mais complexo e importante. O desempenho corporativo está diretamente ligado ao reconhecimento e à gestão eficaz do risco. Quer o risco esteja na transformação dos negócios ou na manutenção de conquistas já realizadas, a presença dos consultores certos pode fazer uma imensa diferença. Nossos 25 mil consultores profissionais formam uma das mais amplas redes globais de consultoria de qualquer organização profissional. Temos equipes experientes e multidisciplinares que trabalham com os clientes para atingir uma experiência de qualidade superior. Utilizamos metodologias comprovadas e integradas para ajudar você a atingir suas prioridades estratégicas e a realizar melhorias sustentáveis no longo prazo. Sabemos que, para atingir seu potencial máximo, uma empresa precisa de serviços que ajudem a solucionar problemas específicos. Por isso, reunimos nossa ampla experiência em diversos setores da economia a um profundo conhecimento especializado, agindo de forma proativa e objetiva. Acima de tudo, nosso compromisso é mensurar ganhos e identificar os pontos em que a estratégia agrega valor às necessidades de negócios. É assim que a Ernst & Young faz a diferença. © 2012 EYGM Limited. Todos os direitos reservados. Esta é uma publicação do Departamento de Marketing. A reprodução deste conteúdo, na totalidade ou em parte, é permitida desde que citada a fonte. Esta publicação contém informações resumidas e, portanto, tem a intenção de servir como orientação geral. Ela não pretende substituir pesquisas detalhadas ou avaliações profissionais. Nem a EYGM Limited, nem qualquer outro membro da organização global Ernst & Young podem aceitar responsabilidade por danos causados a qualquer pessoa ao agir ou abster-se de qualquer ação como resultado de qualquer material contido nesta publicação. Para consultas sobre assuntos específicos, consulte o assessor adequado.