Ideias e informações
sobre o risco de TI
Novembro de 2012
O desafio da redução
dos gaps de Segurança
da Informação
Pesquisa Global de
Segurança da Informação
Ernst & Young 2012
Índice
A velocidade das mudanças, um gap cada vez maior 3
Inconcebível há alguns anos, a velocidade das mudanças na segurança da informação
é vertiginosa. A 15a Pesquisa Global Anual de Segurança da Informação sugere
que, embora as organizações adotem medidas para aprimorar as capacidades
de segurança da informação, poucas conseguem acompanhar um cenário de riscos
em constante mudança.
Por que o gap aumentou 11
O gap entre a situação atual e a situação ideal da segurança da informação
deve-se a uma ampla combinação de fatores nas áreas de alinhamento, pessoal,
processos e tecnologia. Intervenções indesejáveis dos governos e novas pressões
regulatórias tornarão o gap cada vez maior entre a vulnerabilidade e a segurança
de informações vitais.
Uma transformação fundamental 35
Mudanças incrementais de curto prazo e soluções temporárias não são
suficientes. A única forma de reduzir o gap é transformar a arquitetura e o modelo
de comunicação do departamento de segurança da informação.
Conclusão: faça a transição, reduza o gap 43
Implantar a transformação na segurança da informação, com o objetivo de reduzir
a crescente lacuna entre vulnerabilidade e segurança, não requer soluções tecnológicas
complexas. Na verdade, requer liderança, compromisso, capacidade e coragem
para agir – não daqui a um ou dois anos, e sim agora.
Metodologia da pesquisa 44
Bem-vindo
A Pesquisa Global de Segurança da Informação da Ernst & Young é uma
das mais antigas, reconhecidas e respeitadas pesquisas anuais do gênero.
Completando 15 anos de existência, o estudo já ajudou clientes a centrar
esforços nos riscos mais graves, identificar pontos fortes e fraquezas
e aprimorar a segurança da informação.
Convidamos CIOs, CISOs, CFOs, CEOs e outros executivos da área de
segurança da informação para participar da pesquisa. Recebemos respostas
de 1.836 participantes em 64 países, de todos os setores da economia.
Paul van Kessel
Líder global de serviços
de Auditoria e Riscos
em TI da Ernst & Young
Nesta edição do relatório, começamos com uma retrospectiva para entender
os avanços das organizações no aprimoramento dos programas de Segurança
da Informação. Descobrimos que, embora muitas empresas tenham avançado
nas medidas para proteger dados, elas não conseguem acompanhar o ritmo
e a complexidade das mudanças.
A cada ano, a velocidade e a complexidade aumentam, criando um gap entre
a situação atual do programa de segurança da informação das empresas
e a situação ideal. Há oito anos, o gap era pequeno. Hoje, é um abismo.
As origens desse gap são tão intrincadas quanto à variedade das questões
enfrentadas pelos profissionais de Segurança da Informação. Contudo,
com base nos resultados da pesquisa, tais questões podem ser organizadas
em quatro categorias distintas: alinhamento, pessoal, processos e tecnologia.
O que ainda não pode ser dividido em categorias são as questões que
despontam no horizonte, sob a forma de intervenções dos governos e novas
pressões regulatórias para enfrentar os riscos à Segurança da Informação.
Soluções de curto prazo e recursos temporários não bastam. As empresas
que lutam para reduzir o gap criado por computação móvel, redes sociais,
computação em nuvem, crimes cibernéticos e ameaças grandes e persistentes
precisam mudar radicalmente a estratégia de segurança da informação. Esta
edição da pesquisa mostra o que é uma transformação radical e as medidas
que as empresas devem adotar para ser bem-sucedidas.
Gostaria de enviar um agradecimento pessoal a todos os participantes da
pesquisa, que concordaram em compartilhar ideias e experiências. Estamos
ansiosos para aprofundar a discussão sobre as implicações das descobertas
da pesquisa com os nossos clientes atuais e futuros, órgãos reguladores
e governos, bem como com analistas e universidades.
Paul van Kessel
Líder global de serviços de Auditoria e Riscos em TI da Ernst & Young
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 1
Perguntas para os altos executivos
• O que sua empresa fez para
ajustar a Segurança da Informação
de modo a enfrentar um ambiente
em transformação?
• A empresa implantou as melhorias
necessárias na segurança
da informação para acompanhar
o ritmo das mudanças?
• Quais foram os impactos da
mudança nos níveis de segurança?
• Sua organização fez o suficiente?
• Os objetivos e as medidas
relacionados à Segurança
da Informação estão alinhados
à estratégia de negócios?
A velocidade das mudanças,
um abismo cada vez maior
Virtualização, computação em nuvem, redes sociais, aparelhos
móveis, o desaparecimento dos limites que separavam as atividades
empresariais e pessoais de TI: a velocidade das mudanças na Segurança
da Informação pode ser atordoante se pensarmos na rapidez e em quanto
a tecnologia evoluiu num curto espaço de tempo. A ascensão dos mercados
emergentes, a crise financeira e o offshoring só aumentam a complexidade
e a permanente evolução das questões relacionadas à Segurança
da Informação – e a urgência em resolvê-las.
As empresas melhoraram consideravelmente os programas de Segurança
da Informação, para enfrentar ameaças cada vez maiores. Acrescentaram
novas funções aos sistemas, redefiniram estratégias, implementaram novos
componentes e contrataram mais pessoal.
É claro que esses ajustes graduais aprimoraram os recursos dos programas
de Segurança da Informação, mas isso não é o bastante. Na verdade,
os resultados da pesquisa sugerem que, embora as organizações estejam
adotando muitas medidas para melhorar esse aspecto, poucas conseguem
acompanhar tudo o que ocorre à sua volta. E menos empresas ainda têm
a capacidade de se adiantar o suficiente para prever não apenas as ameaças
de hoje, mas também as de amanhã.
Nas próximas páginas, mapeamos a evolução e as tendências de Segurança
da Informação de 2006 até o presente – e falamos sobre o que ainda
precisa ser feito para reduzir o gap entre vulnerabilidade e segurança.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 3
2006
2007
2008
2009
Moving beyond
compliance
Outpacing change
Ernst & Young’s 12th annual
global information security survey
Ernst & Young’s 2008 Global
Information Security Survey
Temas da pesquisa de
segurança da informação
   
   
 
    
      
     
Atingir sucesso num
mundo globalizado
Principais tendências
Atingir o equilíbrio
entre risco
e desempenho
Antes de 2006, a Segurança da Informação
era vista principalmente como um importante
componente na mitigação de riscos financeiros
e no cumprimento de novas exigências
regulatórias, como a SOX 404.
Depois de 2006, o escopo da segurança
da informação foi expandido em duas direções
1.A Segurança da Informação precisava
proteger as organizações de forma
mais ampla, principalmente num
mundo globalizado
Ir além da
conformidade
Superar
o ritmo das
mudanças
Em 2008, a Segurança da Informação avançou
para além da conformidade. Proteger marcas
e reputações tornou-se a grande motivação,
num ambiente repleto de crescentes ameaças.
Identificar e administrar novos riscos e utilizar
a tecnologia para garantir a segurança dos
negócios também eram pontos centrais.
Ao mesmo tempo, o mundo mudou
de forma radical:
•A crise financeira e a desaceleração
econômica atingiram em cheio
muitas organizações.
2.A Segurança da Informação precisava
de um retorno claro de investimento,
e isso exigiu um alinhamento entre risco
e desempenho.
•O s mercados emergentes
ganharam destaque.
•O ambiente competitivo mudou.
Para enfrentar esses desafios, as empresas
se concentraram em reformar, reestruturar
e reinventar-se, com o objetivo de acompanhar
o ritmo das novas exigências e as pressões
de custos cada vez maiores.
Impacto sobre
as organizações
Velocidade da mudança
Complexidade da resposta
Gravidade do impacto
Medidas
recomendadas
Baixo
Alto



2006
•Envolver-se proativamente no cumprimento
das exigências regulatórias
•Aprimorar a gestão de risco
de relacionamentos com terceiros
•Aumentar investimentos em privacidade
e na proteção de dados pessoais
2007
•Alinhar a segurança da informação
aos negócios
•Enfrentar o desafio de preencher cargos
ligados à segurança da informação
Velocidade da mudança
Complexidade da resposta
Gravidade do impacto
Baixo
Alto



2008
•Adotar uma visão centrada no negócio
•Manter investimentos em segurança
da informação, mesmo diante de pressões
econômicas
•Investir em programas de treinamento
e conscientização, para que o fator humano
deixe de ser o elo mais fraco da corrente
2009
•Considerar o co-sourcing para enfrentar a
falta de recursos e os orçamentos apertados
•Avaliar o impacto potencial das novas
tecnologias e a capacidade de a empresa
proteger seus ativos
•Conhecer os riscos impostos pelas crescentes
ameaças externas e internas
4 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
2010
2011
2012
2012
Insights on IT risk
Insights on IT risk
Business briefing
Business briefing
November 2012
November 2011
Borderless security
Fighting to
close the gap
Into the cloud,
out of the fog
Ernst & Young’s 2010
Global Information Security Survey
Ernst & Young’s 2012
Global Information Security Survey
Ernst & Young’s 2011
Global Information Security Survey
Temas da pesquisa de
segurança da informação
Segurança
sem fronteiras
Dentro da
nuvem e longe
da névoa
O gap na segurança
da informação
Com a economia global ainda em processo
de recuperação, e num ambiente com pressões
permanentes de custos e recursos escassos,
duas novas ondas de mudança surgiram:
1.As organizações começaram a entender
que a globalização leva os dados a todos
os lugares. Com frequência cada vez
maior, os funcionários enviavam dados
pela internet a parceiros de negócios,
ou levavam consigo dados em aparelhos
móveis. Os limites tradicionais das empresas
desapareciam junto com os velhos
paradigmas de segurança.
2.O processamento de dados passou para
a nuvem. As organizações compreenderam
as necessidades de segurança relacionadas
à terceirização de TI. Adotar a nuvem exigia
que os responsáveis pela Segurança da
Informação redefinissem sua estratégia.
Velocidade da mudança
Complexidade da resposta
Gravidade do impacto
Baixo
Alto



2010
•Enfrentar os riscos associados
às tecnologias emergentes
•Ampliar os investimentos em ferramentas
de prevenção de perda de dados
•Adotar uma visão da segurança centrada
em informações mais alinhadas ao negócio
2011
•Trazer a Segurança da Informação
para a mesa do conselho
A velocidade e a complexidade das mudanças
crescem em ritmo vertiginoso:
Principais tendências
•Virtualização, computação em nuvem,
redes sociais, dispositivos móveis e outras
tecnologias novas e emergentes abrem
as portas para uma onda de ameaças
internas e externas.
•Mercados emergentes, a contínua
instabilidade econômica, offshoring
e as crescentes exigências regulatórias
aumentam a complexidade do já difícil
ambiente de Segurança da Informação.
As organizações deram grandes passos
para aprimorar os recursos de Segurança
da Informação. Apesar disso, continuam
para trás, criando um gap crescente
na Segurança da Informação.
Velocidade da mudança
Complexidade da resposta
Gravidade do impacto
Baixo
Alto



2012
•Continuar considerando a Segurança da
Informação uma prioridade que deve chegar
à mesa do conselho
O impacto sobre
as organizações
Medidas
recomendadas
•Desenvolver uma estratégia integrada em
torno dos objetivos corporativos e considerar
o panorama de risco como um todo
•Usar a análise de dados para testar
o ambiente de risco e entender os dados
que precisam de mais proteção
•Proteger as informações mais importantes
•Adotar a criptografia como controle básico
•Centrar esforços no que é mais importante
•Usar previsões orçamentárias num
horizonte de três a cinco anos, para garantir
o planejamento de longo prazo
•Inovar, inovar, inovar
•Começar a trabalhar com transformações
fundamentais, conforme descreveremos
mais adiante nesta pesquisa
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 5
Até onde
as empresas
devem ir?
Melhorias adotadas
pelas empresas
Como reação às principais recomendações feitas ao longo dos anos,
as organizações aprimoraram significativamente os programas
de Segurança da Informação, de modo a enfrentar as mudanças em um
ambiente de risco.
Talvez a evolução mais importante ocorrida entre 2006 e os dias de hoje
tenha sido a mudança no modo de olhar das empresas para a Segurança
da Informação. Até há algum tempo chamada de segurança de TI,
a responsabilidade pela proteção dos dados de uma organização cabia apenas
ao departamento de TI. Mas isso mudou. Hoje, as empresas entendem que
a segurança dos dados é um imperativo da estratégia de negócios e exige
uma resposta corporativa, alinhada à questão mais ampla da Segurança
da Informação em toda a estrutura organizacional.
Outros avanços incluíram:
Maior cumprimento das exigências regulatórias
Durante anos, as ameaças externas de programas maliciosos e vírus
estiveram no centro da Segurança da Informação. Tudo mudou em 2005,
quando o cumprimento das exigências regulatórias tornou-se assunto na
mesa do conselho. Desde então, a conformidade com as regulações tornouse a principal força motriz da Segurança da Informação para cerca de 80%
dos participantes na pesquisa. A única exceção foi o ano de 2008, quando
a questão de marca e reputação apareceu como mais importante.
A adesão mais sólida às exigências regulatórias melhorou consideravelmente
a administração do risco relacionado à segurança da informação. Por exemplo:
no setor de serviços financeiros – um dos mais regulamentados –, os bancos
dos Estados Unidos discutem uma possível colaboração para identificar formas
de enfrentar os riscos impostos à segurança da informação, mesmo sendo
concorrentes. A Segurança da Informação está na pauta do presidente Barack
Obama, dos Estados Unidos, da presidente Dilma Rousseff, do Brasil, e os
bancos tentam melhorar a governança da gestão do risco da Segurança da
Informação antes que os reguladores o façam.
Maior transparência
Em 2008, apenas 18% dos participantes indicaram que a Segurança da
Informação era parte integrada da estratégia de negócios, e 33% sugeriram que
a estratégia de segurança da informação era integrada à estratégia de TI. Em
2012, esses números saltaram para 42% e 56%, respectivamente.
6 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Ameaças imprevisíveis e diversas
Ao longo das últimas décadas,
a civilização tornou-se mais dependente
de infraestruturas grandiosas, centradas
em TI. O presidente Barack Obama
escreveu recentemente num artigo:
“Até o momento, ninguém conseguiu
causar danos ou interrupções graves
às redes críticas de infraestrutura
do país. Mas governos estrangeiros,
grupos criminosos e indivíduos isolados
estão sondando diariamente nossas
finanças, nossa energia e nossos sistemas
públicos de segurança... Uma derrubada
dos sistemas bancários essenciais poderia
desencadear uma crise financeira”.
(Barack Obama, “Levando a sério a
ameaça de ataque cibernético”, The Wall
Street Journal, 19 de julho de 2012.)
de redes críticas de estrutura. O termo
“resiliência” é uma descrição, e não uma
receita pronta, que denota a capacidade
de uma empresa resistir a interrupções
e garantir prosperidade a longo prazo.
As fontes de ameaças catastróficas são
consideradas cada vez mais imprevisíveis
e diversas – ataques apoiados por
governos, crime organizado, ativistas
hackers, desastres naturais, terrorismo.
A resiliência organizacional é o objetivo
almejado, principalmente no caso
Fica a questão: será que uma ocorrência
cibernética relacionada à segurança
poderia causar outro evento catastrófico
na mesma escala do 11 de Setembro? Isso
daria prioridade imediata aos riscos de
alto impacto e baixa ocorrência – os mais
difíceis de analisar e mitigar.
Desenvolver uma estratégia de Segurança da Informação integrada
é fundamental para garantir uma visão abrangente do panorama de risco,
e também para enfrentar esses riscos. Organizações líderes já reconheceram
essa necessidade e trabalham com afinco para que a Segurança da Informação
esteja atrelada às estratégias de negócios e de TI.
A crescente importância da gestão
da continuidade dos negócios
O tema da continuidade dos negócios relacionada à Segurança da Informação
começou a aparecer em 2006. Em 2008, o departamento de TI era visto como
o principal responsável pela gestão da continuidade dos negócios - enquanto
a prioridade era mais a recuperação em caso de desastres.
Em 2012, as organizações classificaram a continuidade dos negócios como
a segunda função mais importante dentro de uma empresa. Contudo, é preciso
fazer mais, e 47% dos entrevistados declararam esperar gastar mais neste ano
para garantir a continuidade dos negócios e a recuperação em caso de desastres
A reação às novas tecnologias
As empresas tiveram de reagir com rapidez às novas tecnologias. Em 2006,
os smartphones eram usados principalmente por executivos, e os tablets
não existiam como produto vendido comercialmente. Os riscos ligados aos
aparelhos móveis, às redes sociais e à nuvem não eram prioritários para quase
ninguém, pois ainda não haviam entrado no ambiente corporativo.
Desde então, a proliferação dos aparelhos e das redes móveis, bem como
a tênue fronteira entre seu uso profissional e pessoal, forçaram as empresas
a implantar, com urgência, políticas relativas aos riscos associados à evolução
das tecnologias. As organizações vêm ajustando as políticas, adotando
programas de conscientização – e, no caso da computação na nuvem,
aprimorando a supervisão do processo de gestão de contratos com provedores
desses serviços. Além disso, estão melhorando as técnicas de criptografia.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 7
Ameaças velozes
Apesar de todos os investimentos que as empresas vêm fazendo para melhorar,
o ritmo das mudanças é cada vez mais acelerado.
Em 2009, 41% dos entrevistados notaram um aumento nos ataques externos.
Em 2011, esse número saltou para 72%. Em 2012, o número de participantes
que apontou um aumento nas ameaças externas passou para 77%. Exemplos
do aumento nas ameaças externas incluem ativismo dos hackers, espionagem
apoiada por governos, crime organizado e terrorismo.
“Para o CIO
de hoje, é normal
pensar que
rápido não é
rápido o bastante.
O mesmo
raciocínio vale
para a segurança
da informação.”
Paul van Kessel
Líder global de serviços de Auditoria
e Riscos em TI da Ernst & Young
Ao longo do mesmo período, as organizações também notaram um aumento
de vulnerabilidades no ambiente interno. Nesta edição da pesquisa, quase
metade dos entrevistados (46%) afirma que houve aumento, e 37% apontam
o descuido ou a falta de atenção dos funcionários como a ameaça que mais
cresceu ao longo dos últimos 12 meses. Curiosamente, em termos relativos
esse número não é muito inferior aos 50% que citaram, na pesquisa de 2008,
a conscientização dentro da empresa como o desafio mais importante
para concretizar iniciativas bem-sucedidas de Segurança da Informação.
O gap remanescente
Este estudo mostra claramente que as ameaças crescem em ritmo bem mais
acelerado do que as melhorias adotadas pelas organizações. Mais preocupante
é o fato de que, em algumas áreas críticas, as melhorias não só foram
pequenas, como existe uma estagnação ou até uma redução na implantação
de importantes iniciativas de Segurança da Informação.
Essas questões incluem:
•Alinhamento da estratégia de Segurança da Informação ao negócio
•Recursos suficientes para capacitação e treinamento adequados
•Processos e arquitetura
•Novas tecnologias em desenvolvimento
Esses são temas sobre os quais fazemos relatórios frequentes, e para os quais
já fornecemos recomendações em estudos anteriores.
Na falta de ações adequadas e efetivas, o gap entre os níveis
necessários para acompanhar as ameaças e vulnerabilidades e os
níveis reais de Segurança da Informação continua a aumentar. Se
não derem atenção a isso, as empresas correm riscos que podem
causar impacto em suas marcas e até mesmo na participação de mercado.
8 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
m
co
a
i
r
lho
e
em
ed
d
ida
ss
e
c
Ne
se
ba
as à
icad
l
p
sa
eai
r
s
ria
lho
Me
2006
as
aç
e
m
sa
na
Nível necessário
de segurança
da informação
tes
en
c
s
cre
O gap
Nível atual
de segurança
da informação
o
açã
m
r
info
da
a
ç
n
ura
seg
2012
Setor de serviços financeiros tenta equilibrar risco e crescimento na região Ásia-Pacífico
Na região Ásia-Pacífico, o setor
de serviços financeiros está de fato
interessado em assumir riscos adicionais
de negócios – desde que sejam
mensurados. As empresas esperam
aumentar as receitas ou expandir
sua participação nos países asiáticos.
Embora os críticos possam dizer que essa
é uma estratégia de negócios admirável,
as organizações devem pensar nas
consequências relativas ao cumprimento
das inúmeras exigências regulatórias em
centros regionais, como Cingapura, Hong
Kong e Filipinas.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 9
Por que o gap aumentou
Ameaças novas, maiores, mais perigosas
e de impacto mais rápido
alinhamento;
pessoal; processo
e tecnologia
cá
Efi
Panorama de risco:
2012 e além
Questões ligadas
à segurança
da informação:
cia
da
aç
ão
Ameaças reconhecidas que afetam a organização
egurança da in
as
for
d
ia
ão
aç
m
Panorama de risco:
2006-2011
Efi
cá
c
O gap entre onde Segurança da Informação está e onde deveria estar não é
fruto de uma só questão. É resultado de uma gama de fatores relacionados
a alinhamento estratégico organizacional, pessoas, processos e tecnologia.
No entanto, ainda não é possível definir categorias para questões que
vêm surgindo, na forma de intervenção governamental e novas pressões
regulatórias para que o risco da Segurança da Informação seja enfrentado.
m
for
n
segu
i
rança da
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 11
Um alinhamento desequilibrado
56%
dos entrevistados afirmam
que a estratégia de Segurança
da Informação da empresa está
alinhada à estratégia de TI
Durante anos, a Ernst & Young afirmou que a Segurança da Informação precisa
de um posicionamento estratégico que vá além do departamento de TI. Deve
tornar-se uma prioridade no conselho, e os executivos da área devem ter
lugar garantido na mesa onde as decisões são tomadas. Há algum tempo,
os executivos de Segurança da Informação vêm dando importantes passos
para atingir essa visibilidade, essa responsabilidade e esse valor. Entretanto,
em anos recentes, fatores como o aumento das ameaças, instabilidade
econômica, mercados emergentes, offshoring e novas tecnologias aumentam
a complexidade dessa área de atuação, e a segurança da informação se
vê obrigada a competir com outras prioridades da diretoria. Como resultado,
embora a segurança da informação esteja avançando na direção certa, talvez
não receba toda a atenção necessária para acompanhar o ritmo das mudanças.
A necessidade de um alinhamento mais amplo
42%
afirmam que a estratégia
de Segurança da Informação
da empresa está alinhada
à estratégia de negócios
38%
afirmam que a estratégia
de Segurança da Informação
da empresa está alinhada
à disposição por riscos
da organização
A pauta de Segurança da Informação continua sendo comandada
por TI, e não fundamentada na estratégia de negócios da organização.
Uma estratégia eficaz de Segurança da Informação precisa se estender
por todo o negócio e funcionar em uníssono com diversas áreas. Por isso,
é fundamental que seus objetivos estejam alinhados não apenas aos objetivos
de negócios de toda a organização, mas também aos diversos objetivos
departamentais e funcionais.
Entre 2008 e 2012, o número de entrevistados que afirmaram que a estratégia
de segurança da informação está alinhada à estratégia de TI aumentou
de 33% para 56%, o que é surpreendente. No mesmo período, o número
de participantes que afirmaram que a estratégia de Segurança da Informação
está alinhada à estratégia de negócios aumentou de 18% para 42%.
Contudo, em 2012:
•Pouco mais de um terço (38%) alinhou a estratégia de Segurança
da Informação à disposição e à tolerância a riscos dentro da empresa.
•Pouco mais da metade (54%) afirmou realizar discussões trimestrais
ou mais frequentes sobre temas relacionados à Segurança da Informação
nas reuniões do conselho. Os 46% restantes quase nunca – ou nunca –
discutem o assunto com a alta administração do organograma da empresa.
12 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Governança e monitoramento de responsabilidades
Apenas 5% têm a Segurança da Informação subordinada ao CRO
(chief risk officer) – o maior responsável pela gestão do perfil
de risco da empresa.
Considerando que a Segurança da Informação continua sendo responsabilidade
de TI dentro de tantas empresas, não surpreende que 63% dos entrevistados
tenham indicado que suas organizações conferiram a responsabilidade pela
área ao departamento de TI.
Esse departamento, sem dúvida, entende do assunto e sabe as ameaças
que enfrenta. Mas depender de uma estratégia de segurança da informação
tão subordinada a TI pode impedir a eficiente avaliação, medição e alinhamento
às prioridades de negócios.
Alguns CIOs fazem a ponte entre o negócio e a tecnologia necessária
para alinhar a Segurança da Informação às estratégias de negócios e TI.
Mas, aliando os conhecimentos de TI a um olhar de fora, as organizações
podem aprimorar a eficácia geral da Segurança da Informação.
•Ajudam a criar e manter medições precisas e alinhadas aos objetivos
de negócios
•Asseguram uma avaliação objetiva da eficácia da Segurança da Informação
•Resolvem questões relacionadas à tomada de decisões, antecipam potenciais
63%
das empresas confiaram à área
de TI a responsabilidade pela
Segurança da Informação
26%
das empresas confiaram ao CEO,
CFO ou COO a responsabilidade
pela Segurança da Informação
conflitos de interesse e facilitam discussões ligadas às prioridades que,
de outra forma, poderiam representar desafios caso fossem conduzidas
apenas por TI
É importante notar que 26% das empresas delegaram a responsabilidade
pela segurança da informação ao CEO, CFO ou COO, transformando o assunto
em prioridade para os altos executivos. Mas apenas 5% têm a segurança
da informação subordinada ao CRO (chief risk officer) – o maior responsável
pela gestão do perfil de risco da organização.
Essa decisão é importante na hora de selecionar ferramentas, processos
e métodos adequados para monitorar ameaças, medir o desempenho
e identificar gaps de cobertura. Tradicionalmente, o departamento de TI não tem
um mecanismo formal para avaliação de cenários de risco – o que é essencial
para a área responsável por gestão dos riscos da empresa. Talvez isso explique
por que 52% das empresas não tenham um programa de controle de ameaças
em vigor no momento.
5%
das empresas confiaram
ao CRO (chief risk officer)
a responsabilidade pela
Segurança da Informação
Sem uma estratégia disciplinada para pesquisa e monitoramento de ameaças,
a área de TI não apenas será incapaz de enfrentar proativamente as ameaças
atuais como também não conseguirá prever as ameaças à espreita. Isso
aumenta ainda mais o gap.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 13
Os diversos meios usados para monitorar a Segurança da Informação
dificultam ainda mais a clareza da avaliação. Conforme demonstra o gráfico
abaixo, a maioria das empresas utiliza uma auditoria interna (68%) para
avaliar a eficiência da Segurança da Informação. Uma porcentagem um
pouco menor (64%) usa a área de TI ou a própria Segurança da Informação
para realizar autoavaliações.
Como a sua empresa avalia a eficiência da Segurança da Informação?
Escolha todas as respostas que se apliquem ao seu caso.
70%
dos entrevistados dizem
que a área de Segurança
da Informação atende apenas
parcialmente às necessidades
da empresa e que há melhorias
sendo feitas
Avaliações conduzidas pela
área de auditoria interna
68%
Autoavaliações feitas por TI ou pela
área de segurança da informação
64%
Avaliações feitas por terceiros
56%
Monitoramento e avaliação de
incidentes e eventos de segurança
48%
Em conjunto com a auditoria externa
responsável pelo balanço financeiro
35%
Benchmarking em relação a pares/concorrência
27%
Avaliação do desempenho operacional
da segurança da informação
19%
Certificação formal de acordo com normas externas
de segurança (ex.: ISO/IEC 27001:2005)
15%
Certificação formal de acordo com as normas
de segurança do setor (ex.: Padrão de Segurança de
Dados do Setor de Cartões de Pagamento)
15%
Avaliação dos custos de segurança da informação
14%
Avaliação de desempenho do retorno
sobre investimento (ou similar, como o Rosi –
Retorno sobre Investimento em Segurança)
5%
Nenhuma avaliação foi feita
4%
De fato, a proliferação das ameaças e o crescente gap entre vulnerabilidade
e segurança exigem mais de uma fonte de avaliação. O ideal seria as empresas
utilizarem as quatro principais técnicas identificadas: avaliação por auditoria
interna; autoavaliação; avaliação por terceiros e monitoramento e avaliação
de incidentes de segurança. Organizações de alto desempenho usam uma
combinação de duas ou mais técnicas de avaliação para determinar a eficiência
da segurança da informação. Com base na alta porcentagem observada
nas quatro principais opções de avaliação, é possível concluir que muitos
entrevistados são empresas de alto desempenho.
Infelizmente, um bom desempenho nas avaliações não basta para proteger
algumas áreas de segurança da informação de críticas a seu desempenho
como um todo. Apenas 16% dos participantes declaram que a área de
segurança da informação atende completamente às necessidades da empresa;
70% dizem que a área de segurança da informação atende parcialmente
a essas necessidades e afirmam que melhorias estão a caminho.
14 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Um cenário de risco em transformação
É possível adotar medidas físicas para evitar ações criminosas.
Mas é frequentemente mais difícil evitar incompetência, maldade
ou vingança.
As empresas reconhecem que o cenário de risco está mudando. Cerca de 80%
concordam que há um nível crescente de ameaças externas, e quase metade
afirma que a vulnerabilidade interna é cada vez maior.
Mudanças no cenário de risco nos últimos 12 meses
Nível de risco decrescente devido a:
Nível de risco crescente devido a:
77%
6%
Redução na
vulnerabilidade
interna
18%
Redução nas
ameaças externas
46%
Aumento na
vulnerabilidade
interna
Aumento nas
ameaças externas
Além disso, 31% dos entrevistados observaram um aumento no número
de incidentes de segurança em relação a 2011, enquanto apenas 10% sentiram
uma redução desse fator. O número de incidentes ficou estável de acordo
59%. Com o aumento na frequência e no tipo de ameaças à segurança da
informação, e diante do número cada vez mais alto de incidentes, aumenta
também o impacto das perdas provocadas pelas falhas na segurança.
Ameaças externas não são o único gap de segurança enfrentado pelas
organizações. O volume de perdas não intencionais de dados provocadas
pelos funcionários também está crescendo.
“As empresas
têm de deixar
para trás a ideia
de proteger o
perímetro de
segurança e
passar a proteger
informações.
Tudo se resume a
centrar esforços
no alvo correto.”
Manuel Giralt Herrero
Líder de serviços de auditoria e riscos
em TI para a região EMEIA (Europa,
Oriente Médio, Índia e África)
da Ernst & Young
Gestão eficiente, treinamentos e conscientização podem frear a crescente
ocorrência de perda de dados, e é possível adotar medidas físicas para evitar
atos criminosos. Mas com frequência é mais difícil evitar as ações de pessoas
determinadas a causar danos por ações maliciosas, vingança ou ganância.
Insights on risk
July 2012
The future of
internal audit is now
Increasing relevance by turning
risk into results
A segurança da informação é prioridade para profissionais de auditoria internas
Em 2012, a Ernst & Young encomendou
uma pesquisa global para estudar
a evolução no papel da auditoria interna.
Quase metade dos entrevistados (48%)
declarou que o risco à segurança da
informação e à privacidade era prioridade
absoluta dentro da empresa. Na verdade,
14% dedicam entre 10% e 20% de seu
tempo de auditoria ao risco da segurança
da informação e pretendem continuar
a fazer isso durante os próximos dois
anos. Para ler o relatório The future
of internal audit is now, acesse
www.ey.com/internalaudit.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 15
44%
dos entrevistados esperam
manter inalterado o orçamento
para Segurança da Informação
nos próximos 12 meses
O investimento aumentou. Mas será que o dinheiro
é bem empregado?
Os participantes da pesquisa classificam a gestão da continuidade
dos negócios como a maior prioridade de investimentos para
os próximos 12 meses.
Em todo o mundo, as empresas registram um aumento nos níveis de ameaças
e reagem gastando mais e ajustando prioridades:
•4 4% dos entrevistados vão manter inalterado o orçamento ao longo
dos próximos 12 meses
•3
 0% preveem um aumento de 5% a 15% no orçamento para segurança
da informação
30%
esperam um aumento de 5%
a 15% no orçamento para
Segurança da Informação
9%
esperam um aumento de 25%
ou mais no orçamento para
Segurança da Informação
32%
gastam US$ 1 milhão
ou mais em Segurança
da Informação
•9% preveem um aumento de 25% ou mais no orçamento para segurança
da informação
Do ponto de vista orçamentário, o volume varia muito:
•32% investem US$ 1 milhão ou mais em Segurança da Informação
Conforme mostra o gráfico à direita, a área prioritária para investimentos
ao longo dos próximos 12 meses (apontada por 51% dos entrevistados)
é a gestão da continuidade dos negócios e a recuperação em caso de desastres.
Em 2011, essa porcentagem era de 36%. Isso reflete nossa afirmação,
já destacada neste relatório, de que as organizações trabalharam com afinco
para avançar na área da continuidade dos negócios. Esperamos que seja
também, ao menos em parte, uma reação aos acontecimentos prejudiciais
e por vezes catastróficos dos últimos anos – terremotos, incêndios, furacões
e tsunamis – que enfraqueceram a tecnologia, destruíram cadeias
de fornecimento e dizimaram receitas.
É interessante observar que a segunda prioridade apontada pelos
entrevistados foi a remodelagem do programa de segurança da informação.
Isso mostra que as empresas líderes reconhecem a existência do gap descrito
no primeiro capítulo do relatório. Essas empresas compreendem que adotar
soluções pontuais ou melhorias temporárias não basta. Para enfrentar
os problemas atuais é preciso realizar uma transformação (ou uma mudança
radical) na segurança da informação.
Por outro lado, os testes de segurança foram considerados alta prioridade
por apenas 6% das empresas. As baixas porcentagens no final do gráfico
sugerem que os entrevistados sentem-se confiantes nessas áreas – acreditam
estar fazendo o suficiente e, portanto, podem voltar a atenção para áreas
de maior prioridade.
Em relação às áreas nas quais as empresas pretendem aumentar os
investimentos em 2013, não surpreende que garantir novas tecnologias,
continuidade nos negócios e recuperação em caso de desastre esteja no alto
da lista de prioridades. Conforme mostra o gráfico da página 19, mais
de metade (55%) espera aumentar os gastos na compra de novas
tecnologias. Uma porcentagem ligeiramente inferior (47%) planeja gastar
mais na prioridade número um – a continuidade dos negócios. Pouco mais
de um quarto (26%) planeja gastar mais na sua prioridade número dois:
a transformação da segurança da informação.
16 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Quais áreas abaixo, ligadas à segurança da informação, são definidas como “prioridades essenciais” para os próximos 12 meses?
Continuidade dos negócios/recuperação
em caso de desastres
Transformação da segurança da informação
(reformulação fundamental)
Vazamento de dados/prevenção de perda
de dados, tecnologias e processos
Adoção de normas de segurança
(ex.: ISO/IEC 27002:2005)
Gestão do risco de segurança da informação
Garantir novas tecnologias (ex.: computação na nuvem,
virtualização e computação para aparelhos móveis)
Monitoramento de conformidade
Tecnologias e processos de gestão
de identidade e acesso
Operações de segurança
(antivirus IDS IPS patching encryption)
Governança e gestão de segurança (ex.: gestão de
programas de arquitetura de dados e de relatórios)
Privacidade
Atividades de segurança ligadas
a offshoring/terceirização
Apoio contra fraudes/investigação criminal
Recrutamento de pessoal de segurança
Gestão de eventos e incidentes de segurança
Capacitação para reagir a incidentes
Conscientização e treinamento sobre segurança
Tecnologias e processos de gestão de
ameaças e vulnerabilidade
Testes de segurança (ex.: ataques e invasões)
Garantir processos de desenvolvimento (ex.: processos
de garantia de qualidade para codificação segura)
Legenda:
1º
2º
3º
4º
5º
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 17
Um paradigma completamente novo
Na guerra pela segurança dos dados de governos, as estatísticas mostram que os vilões estão levando
a melhor. Alguns especialistas em segurança afirmam que, para reverter essa tendência, é preciso
adotar um “paradigma completamente novo” de segurança de TI.
O Government Accountability Office dos Estados Unidos (órgão do congresso americano responsável
por questões relativas ao recebimento e pagamento de recursos públicos) informou que as violações
de dados federais envolvendo a divulgação não autorizada de informações pessoalmente
identificáveis aumentaram 19% entre 2010 e 2011(1), num salto de 13.000 para 15.500 registros.
As vítimas dessas violações passam pelo menos alguns meses sem saber o que está acontecendo.
Cerca de 123.000 contribuintes do Thrift Savings Plan (plano de pensão para servidores públicos
americanos), cujos dados pessoais foram comprometidos numa violação ocorrida em julho de 2011,
só foram avisados sobre o episódio em maio de 2012.
Não é o único exemplo de casos do tipo. Em um artigo, o Washington Business Journal informou
que a Agência de Proteção Ambiental dos Estados Unidos (EPA) levou meses para notificar 5.100
funcionários e 2.700 “outros indivíduos” sobre uma violação na segurança de dados, em março
de 2012, que deixou expostos números de CPF e informações bancárias(2).
(1) “GAO
registra alta de 19% em violações de dados”, www.federaltimes.com; 31 de julho de 2012;
http://federaltimes.com/article/20120731/IT01/307310003/Data-breaches-up-19-percent-GAO-reports
(2)
Aitoro, Jill; “Violação de segurança na EPA expõe informações pessoais de 8.000 pessoas”; Washington Business Journal; www.bizjournals.com; 2 de agosto de 2012;
http://www.bizjournals.com/washington/news/2012/08/02/epa-security-breach-exposes-personal.html.
Informação interessante
As empresas que usam a concorrência
como base de referência para avaliar
a eficácia da segurança da informação
relatam um impacto financeiro acima
da média. É importante notar ainda que
quase 25% de todos os entrevistados
declaram desconhecer o impacto
financeiro. Para organizações que
não fazem avaliação de eficácia (4% dos
participantes na pesquisa), a porcentagem
dos que desconhecem o impacto de
problemas de segurança da informação
sobe para 40%.
18 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Em comparação com o ano anterior, sua empresa planeja investir mais, aproximadamente a mesma quantia ou menos
nas atividades abaixo ao longo do próximo ano?
Garantir novas tecnologias
Continuidade dos negócios/recuperação
em caso de desastre
Vazamento de dados/tecnologias e processos
de prevenção de perda de dados
Tecnologias e processos de gestão
de identidade e acesso
Conscientização e treinamento de segurança
Gestão de risco de segurança da informação
Testes de segurança
Operações de segurança
Governança e gestão da segurança
Tecnologias e processos de gestão
de vulnerabilidade e ameaças
Monitoramento de conformidade
Gestão de eventos e incidentes de segurança
Adoção de normas de segurança
Capacidade de reação em caso de incidentes
Transformação da segurança da informação
Processos seguros de desenvolvimento
Privacidade
Recrutamento de pessoal de segurança
Apoio contra fraudes/investigação criminal
Atividades e segurança ligadas
a offshoring/terceirização
Legenda:
Investir mais
Investir o mesmo
Investir menos
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 19
Principais obstáculos
para a eficácia da Segurança
da Informação
62%
Restrições orçamentárias
43%
Falta de pessoal capacitado
26%
Falta de ferramentas
20%
Falta de apoio dos executivos
Recursos insuficientes,
capacitação inadequada
É um mantra conhecido, principalmente nesta era de instabilidade econômica
e retenção de custos: trabalho demais, recursos de menos. Entretanto, a falta
de recursos é apenas parte da história. A Segurança da Informação não precisa
apenas de mais dinheiro; ela requer pessoas com capacitação e treinamento
adequados para enfrentar com rapidez as mudanças contínuas no cenário
da segurança da informação.
Limitação de recursos
Apenas 22% dos entrevistados indicam que planejam investir mais
na área nos próximos 12 meses.
Perguntados sobre as principais barreiras e obstáculos que desafiam o trabalho
da área de Segurança da Informação, 43% dos entrevistados citaram a falta
de mão de obra capacitada. Essa porcentagem sem dúvida está ligada ao único
fator com pontuação ainda mais alta: as restrições orçamentárias. Porém,
apenas 22% dos participantes na pesquisa planejam gastar mais na área
ao longo dos próximos 12 meses.
Treinamento limitado sobre conscientização
de segurança
As empresas precisam treinar funcionários que não sejam da área
de segurança da informação sobre o papel que têm de exercer
para garantir a segurança das informações da organização.
Encontrar pessoas bem preparadas na área de Segurança da Informação
é apenas parte da equação. Considerando a aceleração das ameaças externas,
aliada à proliferação de aparelhos e redes usadas para fins profissionais
e de lazer, as empresas têm de dedicar profissionais e dinheiro ao treinamento
de funcionários que não sejam da área de Segurança da Informação,
para deixar claro seu papel na segurança das informações da organização.
Conforme já dissemos, 37% dos entrevistados apontam funcionários
descuidados ou desinformados como a ameaça que mais aumenta a exposição
da empresa a riscos. Da mesma maneira, o número de incidentes ligados
à perda de dados causada por funcionários negligentes aumentou 25%
ao longo do último ano.
Os entrevistados indicam que pretendem gastar mais; entretanto, a quantia
ainda representa aproximadamente 5% de todos os gastos com Segurança
da Informação.
20 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Quais ameaças e vulnerabilidades aumentaram mais sua exposição ao risco nos últimos 12 meses?
Funcionários descuidados ou desinformados
Ataques cibernéticos para roubar
informações financeiras
Controles ou arquitetura de segurança
da informação ultrapassados
Ataques cibernéticos para interromper
serviços ou prejudicar a empresa
Fraude
Desastres naturais
Programas maliciosos
Ataques cibernéticos para roubar dados
ou propriedade intelectual
Vulnerabilidades relacionadas ao uso
de computação móvel
Vulnerabilidades relacionadas ao uso
da computação na nuvem
Espionagem
Phishing
Acesso não autorizado
Spam
Ataques internos
Vulnerabilidades relacionadas
ao uso de redes sociais
Legenda:
1º
2º
3º
4º
5º
Dados roubados do carro de um funcionário
De acordo com relatórios da eweek.com,
softpedia.com e nakedsecurity.com,
em agosto de 2012 um grupo de médicos
do estado americano de Indiana – o Cancer
Care Group – admitiu que mídias de
backup com dados de 55.000 pacientes
e funcionários haviam sido roubadas
do carro de um funcionário no mês anterior.
Embora a escala desse evento seja
pequena em relação às violações
registradas por grandes empresas,
os dados roubados continham nome,
endereço, data de nascimento,
número de CPF, número de prontuário
médico, informações sobre planos
de saúde e dados clínicos dos pacientes
envolvidos, bem como as datas de
nascimento, números de CPF e nomes
dos beneficiários dos funcionários
desses médicos.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 21
Falta rigor ao processo
“A Segurança
da Informação
deve partir da
proteção do
negócio, e não das
vulnerabilidades
tecnológicas.”
Bernie Wedge
Líder de Serviços de Auditoria
e Riscos em TI para as Américas,
Ernst & Young LLP
Em 2009, sugerimos que as empresas deveriam adotar uma postura
que colocasse a informação no centro das atenções da segurança, de modo
a garantir mais alinhamento ao fluxo de informação. Afirmamos ainda que
a compreensão do uso da informação em importantes processos de negócios
era a única forma de administrar de maneira eficiente as necessidades
de segurança – principalmente na área de Segurança da Informação. Tais
recomendações foram feitas na crença de que as empresas já haviam adotado,
ou iriam adotar, os processos necessários – incluindo uma estrutura efetiva
e organizada, ou um sistema de gestão de Segurança da Informação. Em
2012, descobrimos que a maioria das empresas ainda não tem essa estrutura.
A falta de uma estrutura de arquitetura de segurança
O que existe é uma colcha de retalhos de defesas não integradas,
complexas e frequentemente frágeis, que cria sérios gaps
de segurança.
Surpreendentemente, 63% dos entrevistados nesta edição da pesquisa
indicaram que suas empresas não desenvolveram qualquer estrutura formal
de arquitetura de segurança, e não necessariamente planejam utilizar alguma.
Para algumas organizações, mão de obra capacitada, maturidade na segurança
ou questões orçamentárias podem causar impacto nas decisões tomadas.
Outras empresas simplesmente esperam que o problema desapareça por conta
própria. Ainda assim, é animador observar o gráfico ao lado, segundo o qual
37% utilizam uma ou mais estruturas, sendo que a mais popular é a TOGAF Open Group Architecture Framework.
Essas descobertas podem explicar por que 56% das empresas realizam apenas
entre um e dez testes anuais de ataque e invasão, e por que 19% não fazem
nenhum tipo de teste.
56%
dos entrevistados realizam
apenas de um a dez testes anuais
de ataque e invasão
19%
não realizam qualquer
teste de ataque e invasão
22 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Que estruturas formais de arquitetura de segurança são usadas (ou se planeja
utilizar) na sua organização?
Não temos uma estrutura formal
de arquitetura de segurança
63%
TOGAF – Open Group Architecture Framework
11%
ANSI/IEEE 1471:ISO/IEC 42010
4%
Estrutura e metodologia SABSA
3%
Estrutura de arquitetura do
Departamento de Defesa dos EUA
3%
Estrutura Zachman
2%
Estrutura Estendida de Arquitetura Empresarial
1%
Estrutura de Arquitetura do Ministério
da Defesa do Reino Unido
1%
OBASHI
0%
Outros
12%
“A estratégia
de segurança das
empresas deve ser
constantemente
atualizada, de
modo a reagir
com rapidez
à evolução das
necessidades.”
Jenny Chan
Líder de serviços de auditoria e riscos
em TI para a região Ásia-Pacífico
da Ernst & Young
Em reação às necessidades de curto prazo de segurança da informação,
as empresas parecem cada vez mais inclinadas a unir ou “empilhar” soluções
para contornar o problema. Isso cria uma colcha de retalhos de defesas
não integradas, complexas e frequentemente frágeis que cria sérios gaps
de segurança. As soluções usadas para contornar o problema não são fáceis
de entender, usar ou atualizar. Cerca de um terço das organizações classifica
a própria arquitetura como a ameaça ou vulnerabilidade que mais aumentou
ao longo dos últimos 12 meses, principalmente porque os controles estão
defasados e não podem ser aprimorados ou substituídos facilmente.
Informação interessante
Os setores com maior exposição
são aqueles com mais probabilidade
de executar testes de ataque e invasão.
Isso vale principalmente no caso de bancos
e mercados de capitais. É interessante,
porém, notar que os setores de seguros
e telecomunicações realizaram um número
desproporcionalmente inferior de testes
em relação à exposição que enfrentam.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 23
Uma enxurrada de tecnologia
30%
dos entrevistados afirmam
que estão usando ou planejam
usar serviços de computação
em nuvem
44%
afirmam que estão usando
ou planejam usar serviços
de computação em nuvem
59%
afirmam que estão usando
ou planejam usar serviços
de computação em nuvem
38%
afirmam que não tomaram
nenhuma medida para mitigar
os riscos da utilização de serviços
de computação em nuvem
A inovação é a arma secreta que ajudará as empresas a acompanhar o ritmo
das mudanças. As organizações precisam explorar, implantar e refinar novas
tecnologias para continuar crescendo e se desenvolvendo, adaptando-se
às mudanças principalmente porque as ameaças e os riscos aumentam.
No entanto, as mesmas tecnologias que ajudam uma empresa a seguir em
frente são as que trazem novos riscos. Elas abrem excelentes oportunidades
para as organizações, mas a área de Segurança da Informação deve estar
especialmente atenta aos riscos associados a elas, para que seja possível
administrá-los à luz das necessidades organizacionais.
Lá em cima, na nuvem
A computação na nuvem continua sendo um dos principais
impulsos de inovação nos modelos de negócios e na concretização
dos serviços de TI.
A computação em nuvem permite tirar maior proveito de TI, uma vez que
possibilita centrar mais esforços na parte estratégica, e menos na operacional.
Serviços na nuvem são ágeis e flexíveis, e aumentam a capacidade de entender
e reagir às constantes mudanças nas condições do mercado, atendendo às
necessidades do cliente e respondendo às iniciativas da concorrência.
Por tudo isso, a computação em nuvem continua sendo um dos principais
determinantes de inovação nos modelos de negócios e na concretização
dos serviços de TI. Em 2010, só 30% das empresas indicaram que usavam
ou planejavam usar serviços de computação em nuvem. Em 2011, o número
subiu para 44%. Hoje, 59% das organizações estão na nuvem, ou a caminho
dela. Essa porcentagem não inclui as empresas que talvez desconheçam
a extensão do próprio envolvimento.
Embora a maioria dos entrevistados indique que está usando ou usará a
nuvem nos próximos 12 meses, 38% não adotaram nenhuma medida para
mitigar os riscos. Em 2011, esse número era superior a 50%. O que ocorre
é que as empresas reconhecem os riscos, mas muitas continuam vulneráveis.
As medidas adotadas com mais frequência incluem o aumento na supervisão
do processo de gestão de contratos com provedores de serviços na nuvem
(28%) e o uso de técnicas de criptografia (28%).
Insights on IT risk
Business brieng
April 2012
Ready for takeoff
Preparing for your journey into
the cloud
Informação interessante
Mais de 25% dos entrevistados
que disseram não utilizar a nuvem e/ou
afirmaram não utilizar serviços na nuvem
e não ter planos de fazê-lo no próximo
ano afirmam que contam com avaliações
externas para determinar a eficácia
da área de segurança da informação.
Caso queira saber mais sobre isso, leia
a publicação Ready for takeoff: preparing
for your journey into the cloud,
disponível no endereço www.ey.com/
informationsecurity.
24 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Quais dos seguintes controles você já implantou para mitigar riscos novos
ou crescentes relacionados ao uso da computação na nuvem?
Supervisão aprimorada do processo de gestão de
contratos para provedores de serviços na nuvem
28%
Técnicas de criptografia
28%
Maior due diligence nos provedores de serviços
25%
Reforço nos controles de identificação
e gestão de acesso
22%
Inspeção ou avaliação in loco por parte das
equipes de segurança/riscos de TI
16%
Processos ajustados de
monitoramento de conformidade
15%
Aumento na auditoria do fornecimento
de serviços na nuvem
15%
Ajustes nos processos de
gestão de incidentes
15%
Maior responsabilidade contratual
para provedores de serviços na nuvem
14%
Contrato com terceiros para testar controles
do provedor de serviços na nuvem
13%
Multas em caso de violações de segurança
13%
Maior dependência de certificações independentes
dadas aos provedores de serviços na nuvem
12%
Multas em caso de problemas de
conformidade e privacidade
12%
Nenhum
38%
Turn risks and opportunities
into results
Exploring the top 10 risks and opportunities
for global organizations
Global report
Tecnologias emergentes apontadas como
os 10 principais riscos para organizações globais
Numa pesquisa recente realizada
pela Ernst & Young com 700 grandes
empresas, o risco imposto pelas tecnologias
emergentes foi apontado como o número
cinco numa lista dos dez principais riscos
a ser enfrentados pelas organizações
nos próximos anos.
Quando se observam as causas de riscos,
a resposta mais frequente entre os
participantes da pesquisa foi a dificuldade
no desenvolvimento de uma cultura
de inovação. Um número semelhante
de entrevistados identificou também
a incerteza inerente a tecnologias ainda
não testadas.
de realizar um monitoramento contínuo
das novas tecnologias e de revisar
permanentemente produtos, serviços
e processos internos.
A maioria das empresas pesquisadas
afirmou realizar uma gestão ativa de risco.
Para mais detalhes sobre os riscos
relacionados a tecnologias emergentes,
leia o relatório Turn risks and
opportunities into results, disponível
no endereço www.ey.com/
top10challenges.
De longe, a estratégia de mitigação
mais utilizada é o desenvolvimento
de uma “cultura de inovação” específica
para a organização, com o objetivo
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 25
Redes sociais nas empresas
As redes sociais têm o poder de construir rapidamente a marca
de uma organização – mas podem destruí-la com a mesma velocidade.
Até recentemente consideradas tabu dentro de muitas empresas, as redes
sociais passaram a ser vistas como essenciais para desenvolver produtos,
colher opiniões e garantir a interação e a participação dos clientes. Elas
reinventaram o relacionamento entre organizações, clientes, funcionários,
fornecedores e órgãos reguladores, além de encurtar para horas ou até
minutos processos que costumavam levar dias ou semanas.
No entanto, além das inúmeras oportunidades geradas pelas redes sociais,
existem desafios. Num mundo que opera 24 horas por dia, a qualquer momento
e em qualquer lugar, as redes sociais – e qualquer pessoa com acesso à internet
– podem construir a marca de uma empresa em segundos, mas também
destruí-la. Os desafios incluem segurança de dados, privacidade, exigências
regulatórias e de cumprimento de normas, o uso do tempo de trabalho dos
funcionários e as ferramentas de negócios para participar desse universo.
Conforme mostra o gráfico abaixo, nossa pesquisa aponta que 38%
das organizações não têm uma estratégia coordenada para lidar com
o uso de redes sociais dentro da empresa ou que considere as
diretrizes da alta administração e suporte da Segurança da Informação.
O resultado é um aumento no risco geral e uma capacidade limitada
de explorar todo o potencial das redes sociais no futuro.
Como a sua organização lida com as redes sociais?
43%
Temos uma estratégia
coordenada, comandada
por um departamento
que não é o departamento
de Segurança
da Informação
38%
Não temos uma estratégia
coordenada para lidar
com as redes sociais
26 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
19%
Temos uma estratégia
coordenada comandada pelo
departamento de Segurança
da Informação
Quais dos seguintes controles você já implantou para mitigar riscos novos
ou crescentes relacionados ao uso de redes sociais?
Acesso limitado ou nenhum acesso
a redes sociais
45%
Ajustes nas políticas
45%
Programas de conscientização sobre
segurança e redes sociais
40%
Monitoramento de redes sociais
32%
Novos processos disciplinares
11%
Ajustes nos processos de gestão de incidentes
10%
Nenhum
20%
No caso das organizações que não têm uma estratégia formal para o uso
de redes sociais, o gráfico acima mostra que as medidas de mitigação de riscos
implantadas com maior frequência incluem: acesso limitado ou nenhum
acesso a redes sociais (45%), ajustes nas políticas (45%) e programas
de conscientização (40%).
Insights on IT risk
Business brieng
May 2012
Protecting and
strengthening
your brand
Social media governance
and strategy
Informação interessante
De maneira quase universal, a maioria
dos participantes na pesquisa afirma que
ajustes nas políticas são a forma preferida
de mitigar preocupações relacionadas
a redes sociais, independentemente
do método com que mensuram a efetividade
do departamento de segurança
da informação.
No entanto, a maioria dos participantes
que afirmam não realizar avaliação
da efetividade do departamento de
segurança da informação diz também
que, para mitigar preocupações relativas
a redes sociais, simplesmente proíbe
ou limita o acesso dos funcionários
a redes sociais.
Para mais informações, confira a
publicação Protecting and strengthening
your brand, sobre redes sociais, que pode
ser consultada no endereço www.ey.com.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 27
Como aproveitar ao máximo os benefícios
das tecnologias móveis
Conforme a mobilidade da força de trabalho cresce, a frase
“no momento estou fora do escritório” perde relevância.
De acordo com uma previsão divulgada recentemente pela Cisco, em 2016
haverá 10 bilhões de dispositivos móveis com acesso à internet – quase 1,5
para cada homem, mulher e criança do planeta. Se no passado os telefones
celulares serviam apenas para fazer ligações, os aparelhos móveis de hoje
são uma ferramenta de comunicação e uma fonte de conhecimento essencial
para atividades pessoais e de negócios. Eles permitem conectividade à internet
e à nuvem 24 horas por dia, sete dias por semana.
Sua empresa permite o uso de tablets para fins de negócios?
O uso de tablets está em fase de
avaliação ou é bastante limitado
35%
Sim, os tablets pertencentes à empresa
são amplamente utilizados
19%
Sim, os tablets particulares são amplamente
utilizados e contam com o apoio da organização,
por intermédio de uma política BYOD
(traga seu próprio aparelho)
13%
Sim, os tablets particulares são
amplamente utilizados, mas não contam
com o apoio da organização
12%
Não, e não existem planos para usar
tablets ao longo dos próximos 12 meses
11%
Não, mas planejamos usar tablets
ao longo dos próximos 12 meses
9%
Os avanços tecnológicos e os benefícios de negócios trazidos por eles
aumentaram consideravelmente as taxas de adoção das tecnologias móveis.
De acordo com a nossa pesquisa, e conforme demonstra o gráfico desta
página, o uso de tablets para fins de negócios mais do que dobrou desde 2011.
Essa porcentagem passou de 20% em 2011 para 44% de organizações que
atualmente permitem o uso de tablets particulares ou pertencentes à empresa
dentro das organizações em 2012: 19% dizem que tablets da empresa são
amplamente utilizados; 13% dão apoio ao uso de tablets particulares com uma
política BYOD (sigla em inglês para a expressão “traga seu próprio aparelho”); e
12% permitem o uso particular de tablets, mas não oferecem apoio.
Conforme a mobilidade da força de trabalho cresce, a frase “no momento
estou fora do escritório” perde relevância. Além disso, fica cada vez mais difícil
controlar o aumento no fluxo das informações que entram e saem da empresa.
De acordo com o gráfico da próxima página, 52% dos participantes na pesquisa
implantaram ajustes nas políticas, e 40% investiram em programas de
conscientização. Mas as organizações reconhecem que é necessário fazer
mais. Elas estão começando a se informar sobre as funcionalidades e o design
dos produtos de software de segurança para aparelhos móveis disponíveis
no mercado. Mesmo assim, ainda é baixa a adoção de técnicas e softwares
de segurança no mercado de computação móvel, que se movimenta em alta
velocidade. Um exemplo: técnicas de criptografia são utilizadas por menos
de metade (40%) das organizações.
28 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Quais dos seguintes controles você já implantou para mitigar os riscos novos
ou crescentes relacionados ao uso da computação móvel, incluindo tablets
e smartphones?
Ajustes nas políticas
52%
Atividades para aumentar a
conscientização sobre segurança
40%
Técnicas de criptografia
40%
Novo software de gestão de aparelhos móveis
36%
Permissão de uso de aparelhos pertencentes à
empresa e proibição do uso de aparelhos pessoais
34%
Processo de governança para
administrar o uso de aplicativos móveis
31%
Mudanças na arquitetura
24%
Ajustes nos processos de gestão de incidentes
15%
Testes de ataque e invasão de aplicativos móveis
14%
Maior capacidade de auditoria
12%
Novos processos disciplinares
9%
Proibir o uso de qualquer tipo de
tablet/smartphone para fins profissionais
6%
Nenhum
14%
Tecnologias móveis: oportunidades X ameaças
Oportunidades:
Ameaças:
•Aumento na produtividade
•Roubo/perda/vazamento de dados
•Escolha de tecnologias
•Infecção por programas maliciosos
•Redução com gastos de capital
•Acesso não autorizado
•Promoção de um ambiente mais criativo
•Questões jurídicas
• Incentivo à felicidade e motivação
dos funcionários
•Questões de privacidade
•Aumento dos gastos
administrativos gerais
•Equilíbrio entre trabalho e diversão
•Enterprise-ready [pronto para
utilização]/integração de sistemas
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 29
Traga seu próprio aparelho
Conforme o ritmo de vendas de aparelhos móveis e smartphones supera o de computadores,
e à medida que as empresas se apressam para criar maneiras que ajudem os funcionários a unir
os dispositivos de trabalho aos aparelhos pessoais, é preciso considerar em detalhes questões
relativas à segurança de dados e informações.
Os funcionários já compram telefones e pacotes de dados por conta própria. Oferecer apoio
à habilitação de aparelhos no ambiente de trabalho ajuda não apenas a reduzir os custos com
funcionários, como também elimina alguns gastos até então associados a grandes compras
de celulares apoiadas pela empresa. Essa integração de aparelhos pessoais que tenham acesso
pela empresa pode ajudar a reduzir custos coletivos e a aumentar a produtividade, o ânimo
e a criatividade dos funcionários.
No entanto, oportunidades sempre trazem riscos. Aumentar as atividades BYOD (sigla
em inglês para a expressão “traga seu próprio aparelho”) significa que os funcionários
podem atualizar por conta própria o tablet ou o smartphone, sem qualquer envolvimento
do departamento de TI. Isso pode ter impactos sobre a funcionalidade e a segurança
de qualquer aplicativo corporativo, ou de algum aplicativo com outro tipo de autorização
que possa estar instalado no aparelho. Daí a importância da gestão de aparelhos móveis.
Ao apoiar a estratégia BYOD, as organizações devem considerar as seguintes atividades:
1. D
ecidir quem é o verdadeiro “dono” do aparelho. Depois que se determina isso, a empresa
pode estabelecer políticas mais precisas em relação a limites. Por exemplo: a organização pode
instalar um aplicativo que permita desligar câmeras ou outros aplicativos, ou bloquear redes
sociais através das quais possa haver vazamento de dados.
2. Garantir a segurança da rede corporativa. Para evitar a perda de dados causada pelo
acesso autorizado a partir de aparelhos sem suporte, vale a pena considerar a possibilidade
de ter uma rede paralela para “convidados”, separada da rede principal. Isso permite que
os funcionários utilizem aparelhos pessoais para ter acesso direto à internet – às vezes
até por uma conta de e-mail usada exclusivamente para fins profissionais. Além disso,
vale a pena considerar a utilização de serviços terceirizados ou de suas codificações para
criar “nichos” nesses aparelhos, onde fiquem localizados dados e aplicativos da empresa,
isolados da interação com dados, aplicativos ou serviços on-line de uso pessoal.
3. Manter a segurança dos dados básicos. As empresas devem garantir que os dados
armazenados no aparelho estejam protegidos de hackers, de acesso por pessoas
externas e de vírus.
30 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Vazamento de dados
Programas maliciosos cada vez mais sofisticados são um caminho
para que informações confidenciais saiam da empresa sem que
se perceba nada.
A digitalização global de produtos, serviços e processos tem um profundo
impacto sobre as organizações. A disponibilidade de grandes quantidades
de dados cria excelentes oportunidades para obter valor e ideias interessantes.
As empresas que dominam a disciplina da gestão de grandes dados podem
colher importantes benefícios e se destacar da concorrência.
A despeito de todos os benefícios, entretanto, as organizações devem
estar cientes dos riscos. Ao longo dos últimos cinco anos, as empresas
testemunharam um aumento no volume de vazamentos de dados, intencionais
ou não. Programas maliciosos cada vez mais sofisticados são um caminho para
que informações confidenciais saiam da empresa sem que se perceba nada.
Conforme mostra o gráfico abaixo, esta edição da pesquisa sugere
que a maioria das organizações já definiu uma política relativa ao sigilo
de informações (72%). Além disso, muitas empresas (68%) realizaram programas
de conscientização. A adoção de tecnologias de DLP (prevenção de perda
de dados), no entanto, permanece relativamente baixa (38%).
Quais das seguintes iniciativas sua empresa já adotou para controlar o vazamento
de dados relativos a informações sigilosas?
Definição de uma política específica
sobre sigilo e trato de informações
72%
Programas de conscientização de funcionários
68%
Implantação de mecanismos adicionais de segurança
para proteção de informações (exemplo: criptografia)
57%
Uso impedido/restrito de determinados componentes
de hardware (exemplo: pen-drives, portas FireWire)
43%
Auditoria interna para testar controles
41%
Definição de exigências específicas para trabalho a
distância, relativas à proteção de informações
levadas para fora do escritório
39%
Implantação de ferramentas de revisão de log
38%
“As empresas
devem implantar
defesas flexíveis
e adaptáveis,
que continuem
resistentes mesmo
diante de violações
dos dados – e
essas violações
vão ocorrer.”
Haruyoshi Yokokawa
Uso restrito ou proibido de ferramentas de “bate-papo”
on-line ou e-mail para transmissão de dados sigilosos
31%
Uso proibido de câmeras em áreas
sensíveis ou restritas
23%
Acesso restrito a informações sigilosas em
determinados períodos
16%
Líder de serviços de Auditoria e Riscos
em TI para o Japão da Ernst & Young
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 31
Gaps iminentes
Embora tenhamos identificado alguns gaps atuais, há outros no horizonte,
na forma de intervenções governamentais e novas pressões regulatórias.
Talvez as empresas até estejam estudando – com maior ou menor eficácia
– o cenário de riscos e avaliando questões de inteligência relativas a
ameaças. Mas elas não são as únicas com essa preocupação. Os governos
e órgãos reguladores também vêm observando os riscos crescentes
em Segurança da Informação e estão começando a tomar atitudes. Caso
as organizações não ajam por conta própria, a consequência combinada
das questões atuais (descritas nas páginas anteriores) e futuras (descritas
a seguir) irá aumentar ainda mais esse gap.
Provedores de infraestrutura essencial
É provável que os governos comecem a publicar diretrizes
– com o apoio dos legisladores – aplicáveis a todas as
organizações que considerarem essenciais do ponto de vista
econômico, com o objetivo de garantir que não sejam vítimas
de ameaças à segurança da informação.
Ainda que as empresas se preocupem com o próprio desempenho
individual, os governos buscam assegurar que as organizações
responsáveis pelo fornecimento de serviços essenciais que apoiam
o bem-estar contínuo da sociedade sejam capazes de manter
suas operações com o menor grau possível de problemas,
em qualquer circunstância.
Espera-se que as empresas de fornecimento de energia, telecomunicações,
abastecimento de água, produção e distribuição de alimentos,
ou dos setores de saúde e serviços financeiros implantem medidas
sólidas para se proteger de incidentes de segurança da informação
que possam interromper ou prejudicar suas operações.
Informação interessante
Como reação ao impasse no Congresso
americano envolvendo a Lei de
Cibersegurança [Cybersecurity Act]
de 2012, o senador John D. Rockefeller
IV desafiou 500 das maiores empresas
do país a exercer um papel de liderança
na reforma da legislação relativa
à segurança da informação.
O lobby da Câmara Americana de
Comércio e de outras partes contrárias
a medidas de segurança adiou a
aprovação de leis tidas como vitais
tanto pelo Comandante geral de
cibersegurança dos Estados Unidos
quanto pelo chefe do Estado-Maior,
considerando a gravidade da ameaça
cibernética enfrentada pelo país.
Com uma série de perguntas incluídas
numa carta enviada a empresas
como Exxon Mobil, Wal-Mart, General
Electric, AT&T, Apple, Citigroup
e UnitedHealth Group, entre outras,
o senador Rockefeller pediu que esses
líderes corporativos se diferenciassem,
trabalhando em conjunto no
desenvolvimento de soluções
proativas de combate às crescentes
ameaças à segurança da informação
nos Estados Unidos.
Com a Lei de Cibersegurança de
2012, o senador Rockefeller e outros
defensores da causa buscam proteger
infraestruturas críticas, como usinas
de energia, oleodutos, prestadoras
de serviços essenciais, hospitais,
redes de transporte e empresas
de telecomunicações, descritas
pelos americanos como
imprescindíveis no dia a dia.
32 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Informação interessante
Muitas empresas ainda têm dificuldades
para encontrar violações de segurança
e registrá-las de modo a cumprir as
exigências regulatórias sobre a divulgação
desses fatos.
Grandes violações ou vazamentos de dados
que chegam ao conhecimento do público
recebem ampla cobertura de imprensa,
numa demonstração da importância
social de tais acontecimentos. No entanto,
a ENISA – Agência de Segurança de Redes
e Informação da União Europeia – divulgou
recentemente um relatório(3) alertando
para o fato de que muitos incidentes não
são detectados ou registrados, a despeito
da importância fundamental da internet
e das comunicações eletrônicas confiáveis
para a economia atual.
“Incidentes cibernéticos costumam ser
mantidos em sigilo quando descobertos,
o que deixa clientes e legisladores no escuro
em relação à frequência, ao impacto
e às causas centrais desses fatos”, dizem
os autores do texto.
O relatório identifica gaps no marco
regulatório sobre registros de incidentes
e pede melhorias no compartilhamento
desses fatos por toda a União Europeia.
Ainda há “pouco intercâmbio de
informações entre as autoridades
nacionais” sobre lições aprendidas e boas
práticas, apesar da natureza transnacional
dessa ameaça.
Dr. Marnix Dekker, Christoffer Karsberg, Barbara Daskala,
“Cyber Incident Reporting in the EU: An overview of
security articles in EU legislation” [Registo de Incidentes
Cibernéticos na União Europeia: panorama geral dos
artigos relativos à segurança na legislação da UE], Agência
de Segurança de Redes e Informação da União Europeia,
agosto de 2012.
(3)
Os governos não têm de levar em conta apenas a proteção dos cidadãos.
É preciso considerar também a imagem de eficiência das autoridades
e a proteção do crescimento econômico.
Além das organizações da infraestrutura essencial, outras 100 ou 500
grandes empresas de todos os setores da economia estão sob um olhar atento.
O crescimento econômico é prioritário na pauta dos governos. Organizações
que fazem o máximo para apoiar esse crescimento e impulsionar o PIB,
graças à produtividade e geração de emprego, terão de comprovar a eficácia
de seus programas de segurança da informação.
É provável que os governos comecem a publicar diretrizes – com o apoio
dos legisladores – aplicáveis a todas as organizações que considerarem
essenciais do ponto de vista econômico, com o objetivo de garantir que não
sejam vítimas de ameaças à segurança da informação. Essas diretrizes vão
exigir que as empresas compartilhem conhecimentos sobre ameaças, bem
como as medidas tomadas para mitigar ou administrar os riscos corporativos.
Num cenário ideal, a comunidade de negócios deveria se unir por
iniciativa própria para compartilhar experiências e estabelecer estruturas
e soluções comuns. Essa estratégia já funcionou no caso de outros desafios,
e possivelmente é a melhor alternativa de que o setor privado dispõe
para interromper o fluxo iminente de regulações.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 33
Uma transformação
fundamental
As empresas estão trabalhando com afinco para
acompanhar o ritmo das mudanças tecnológicas
e o número crescente de ameaças à Segurança
da Informação. Os resultados têm tido níveis
variados de êxito. As organizações capazes
de minimizar a distância entre o trabalho atual
dos departamentos de Segurança da Informação
e aquilo que essas áreas de fato têm de fazer
vão garantir uma vantagem competitiva.
As empresas têm de tomar quatro medidas essenciais para promover
uma mudança fundamental nos departamentos de segurança
da informação:
a estratégia de Segurança da Informação à estratégia
1 Cdeonectar
negócio e aos resultados gerais desejados para a empresa.
omeçar do princípio ao considerar as novas tecnologias
2 Cemais
ao redesenhar arquiteturas, para chegar a uma definição
precisa do que precisa ser feito. Isso representa uma
oportunidade de derrubar barreiras e remover qualquer viés
tendencioso que possa prejudicar mudanças imprescindíveis.
xecutar a transformação com a criação de um ambiente
3 Eque
possibilite uma mudança bem-sucedida e sustentável
da área de Segurança da Informação.
o considerar as novas tecnologias, mergulhar profundamente
4 Anas
oportunidades e nos riscos apresentados por elas. Redes
sociais, volumes imensos de dados, nuvem e tecnologias móveis
vieram para ficar, e as empresas têm de estar preparadas
para usar isso.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 35
1
Conexão com a estratégia de negócios
Conforme já observamos nos resultados da desta edição da pesquisa,
é fundamental alinhar a estratégia de Segurança da Informação das empresas
à estratégia e aos objetivos de negócios. Mas será que isso muda de acordo
com os objetivos de negócios da organização? O que é preciso ter na estratégia
de Segurança da Informação? Quais iniciativas e táticas devem estar presentes
na pauta de Segurança da Informação da empresa?
No ambiente econômico atual, as organizações costumam centrar esforços
para atingir um ou mais dos seguintes resultados: crescimento, inovação,
otimização e proteção. À medida que as empresas trabalham para concretizar
esses resultados, o papel da Segurança da Informação torna-se cada
vez mais indispensável.
Crescimento
As empresas buscam expandir seus negócios para novos mercados e atrair
novos clientes com novos produtos – sempre com o objetivo de gerar receita.
Uma estrutura de Segurança da Informação eficaz pode proteger toda a
organização, salvaguardar a receita e deixar parte dos recursos disponível para
ser usada no aumento das oportunidades de geração de lucro.
Inovação
As empresas estão usando as novas tecnologias para interagir diretamente
com os clientes, de maneiras até então inexistentes. Os dados gerados
por esse processo têm de ser seguros, sendo que a privacidade é crítica.
Diante das ameaças existentes hoje, uma Segurança da Informação eficaz
permite que a organização demonstre liderança na hora de garantir a proteção
dos clientes e de suas respectivas empresas.
Otimização
Estruturas e métodos de Segurança da Informação custam dinheiro, mas
as empresas nem sempre gastam recursos com sabedoria. As organizações
podem reduzir custos por todo o negócio se tiverem uma Segurança
da Informação bem estruturada e gerida com eficiência.
Proteção
Para transmitir confiança a todas as partes interessadas, a Segurança
da Informação deve demonstrar boa governança e transparência.
Um monitoramento forte e efetivo, além de testes, devem ser componentes
indispensáveis de toda a estrutura de Segurança da Informação.
É importante ainda desenvolver a estratégia e a estrutura, e identificar
atividades cuja realização é necessária.
36 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Redesenhar a arquitetura e demonstrar
como a Segurança da Informação pode
trazer resultados de negócios
A melhor forma de começar é partir do princípio, para que, desde os estágios
iniciais, o projeto como um todo não apresente qualquer viés tendencioso,
problemas de sistemas ultrapassados ou outros fatores que possam
causar distorções.
Em vez de observar a paisagem existente e buscar uma forma de redesenhá-la,
o departamento de Segurança da Informação deve fazer um redesenho a partir
da essência. É preciso deixar espaço para a inovação e considerar a constante
necessidade de utilizar tecnologias novas e emergentes, de modo a ajudar
a empresa a atingir resultados que realmente promovam proteção e progresso.
Uma vez definidos os resultados que a Segurança da Informação deve produzir
(“o que” a Segurança da Informação pode fazer), o próximo passo é descobrir
como chegar lá.
2
Identificar os riscos reais
Como ponto de partida, as empresas devem desenvolver uma estratégia
absolutamente nova de Segurança da Informação. Essa estratégia deve
começar com a inclusão de tecnologias e questões como computação em
nuvem, redes sociais, volumes escaláveis de dados, computação móvel,
globalização e o fim das fronteiras – e não acrescentar esses tópicos como
“novos itens” a uma estratégia já existente. É preciso concentrar-se também na
identificação dos riscos atuais (“riscos reais”), que serão diferentes daqueles
que a organização enfrentou no passado. Esse processo de identificação não
é a simples transferência para o futuro de riscos já conhecidos em anos
anteriores; a identificação dos riscos de hoje exige um olhar renovado,
que parte do reconhecimento daquilo que é mais importante no cenário atual.
Deve-se começar avaliando a própria disposição para riscos e como isso se
traduz em riscos para a informação. É preciso ter uma ideia clara de quais
são os dados, aplicações e outros ativos de TI mais importantes, e onde eles
estão. No caso da computação em nuvem, responder a essas questões pode
ser complexo. O passo seguinte é avaliar o cenário de ameaças e determinar
os pontos de exposição, o que tende a diferir de organização para organização.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 37
2
Proteger o mais importante
Tendo em mente os riscos reais, a próxima etapa é desenvolver uma estrutura
empresarial de Segurança da Informação. Historicamente, essas estruturas
costumam ser estáticas – mas no ambiente de hoje exigem flexibilidade:
as empresas precisam ser capazes de se adaptar, mudar e reagir com rapidez
e eficácia. Uma estrutura de Segurança da Informação deve se concentrar
naquilo que é fundamental, bem como nas ameaças emergentes. Deve supor
que violações vão ocorrer – e, por isso, planejar e proteger é tão importante
quanto detectar e reagir (dois aspectos que costumam ser ignorados).
A estrutura deve cobrir a governança da Segurança da Informação (incluindo
papeis e responsabilidade), a ligação entre a cadeia de valor (prioridades
de negócio) e as medidas de Segurança da Informação, o monitoramento da
Segurança da Informação (índices), processos de conformidade, principais
indicadores de controle) e também como reagir em caso de incidentes.
Incorporar no negócio
A Segurança da Informação é uma responsabilidade de todos, e não apenas
uma tarefa para a gerência ou o departamento específico da área.
Sendo assim, qualquer estrutura de Segurança da Informação deve
estar profundamente incorporada ao negócio. Todos os funcionários,
departamentos, projetos e elementos relacionados têm um papel a exercer.
Mas incutir essa mentalidade não é tarefa fácil. É preciso tomar uma série
de decisões fundamentais, tais como:
•O que precisa ser feito no cotidiano do negócio e qual deve ser
a responsabilidade do departamento de Segurança da Informação ?
•O que precisa ser feito manualmente e o que pode ou deve ser incorporado
por vias tecnológicas ?
•O que precisa ser feito internamente e o que deve ou pode ser terceirizado ?
Manter o programa de segurança
Uma das questões fundamentais da gestão de riscos é: como garantir
que a estrutura de gestão de riscos vai funcionar de forma ininterrupta
e eficaz, conforme o plano? O mesmo se aplica a uma estrutura de segurança
da informação disseminada por toda a empresa. Organizações podem
estar presentes em diversos países, ter um grande número de funcionários
e administrar muitos ativos de TI. Como garantir que todas as medidas
relativas à segurança da informação sejam eficazes, todos os dias?
Como resultado, a ideia de fazer a “manutenção do programa de Segurança
da Informação” é essencial para essa mudança básica. Medidas relativas
a conformidade, autoavaliações, aprendizado contínuo e iniciativas de
melhoria (bem como o acompanhamento de eventuais incidentes) vão garantir
a eficácia contínua da estrutura de Segurança da Informação. Isso permitirá
à organização saber se de fato está aplicando permanentemente as medidas
de Segurança da Informação conforme o planejado. Mais importante ainda:
essa postura mostra claramente se a estrutura está atualizada e preparada
para determinar quais riscos emergentes podem levar a mudanças na
estratégia de Segurança da Informação e indica a resposta adequada enquanto
esses problemas ainda são pequenos.
38 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
O que as organizações devem fazer para ter
uma Segurança da Informação que apoie o negócio
Identificar os riscos reais:
Proteger o mais importante:
•Desenvolver uma estratégia de segurança
•Partir do pressuposto de que haverá violações
•Definir a disposição geral da empresa ao
•Equilibrar o fundamental com a gestão
voltada para as prioridades de negócios
e a proteção dos dados mais valiosos
risco e de que forma os riscos de informação
se encaixam nesse cenários
•Identificar as informações e aplicações mais
importantes, onde elas estão localizadas
e quem tem/deve ter acessos
– aprimorar processos de planejamento,
proteção, detecção e reação
de ameaças emergentes
•Estabelecer e racionalizar modelos de controle
de acesso para aplicações e informações
•Avaliar o cenário de ameaças e desenvolver
modelos de previsão que deixem claras
as áreas reais de exposição
Manter o programa de segurança:
Incorporar ao negócio:
•Acertar na governança – transformar
•Fazer da segurança uma responsabilidade
a segurança numa prioridade que chegue
à mesa do conselho
•Garantir que boas medidas de segurança
liderem o processo de conformidade
com as regras, e não o contrário
•Avaliar os principais indicadores para
identificar os problemas enquanto ainda
são pequenos
•Aceitar riscos administráveis que sirvam
para melhorar o desempenho
de todos
•Alinhar ao negócio todos os aspectos
da segurança (informação, privacidade,
continuidade física e de negócios)
•Gastar com sabedoria em controles
e tecnologia – investir mais em pessoas
e processos
•Considerar a terceirização seletiva de áreas
de programas de segurança operacional
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 39
3
Executar a transformação de forma
bem-sucedida e sustentável
Transformações fundamentais não exigem apenas implantar um programa
e depois virar as costas. Para que as mudanças permaneçam,
as empresas devem:
•Responsabilizar os líderes pela entrega de resultados e pela visibilidade
ao longo de toda a vida do programa.
•Alinhar toda a empresa à estratégia de transformação – desde
o planejamento e concretização do programa até a adoção sustentada
dos objetivos de desempenho.
• Prever, monitorar e administrar riscos continuamente na execução do programa.
•Adotar novas soluções até o fim antes de encerrar um programa,
Questões
do cliente
en
cu
Ali
•Envolver líderes e outras pessoas importantes no processo de tomada
de decisões na hora de definir a situação futura
•Estabelecer um processo de benefícios por realização, além
to
E xe
çã
o
Liderança
Lid
e
ão
oç
nça
ra
Ad
de modo que o jeito antigo de fazer as coisas não interfira.
m
nha
de responsabilidades e métricas de desempenho
•Conectar análises e alertas externos à estratégia do programa
•Criar justificativas abrangentes para a mudança
Alinhamento
•Definir e envolver toda a empresa no entendimento e na participação
em relação à situação futura
•Impulsionar os resultados logo cedo, e com frequência, de modo
a acelerar a transição para a situação futura
•Ouvir ativamente, com o objetivo de identificar os problemas
e implantar melhorias contínuas
•Fornecer capacitação especializada e dedicada exclusivamente ao apoio
das várias partes interessadas, por toda a empresa
Execução
•Ampliar o apoio às etapas de execução, de modo a permitir
uma concretização bem-sucedida
•Implantar um projeto cuidadoso de tecnologia, bem como as bases
do processo, para garantir estabilidade e flexibilidade
•Utilizar dados para criar modelos de riscos na concretização do programa,
e aprimorar estratégias e planos permanentemente
Adoção
•Construir relacionamentos de longo prazo com as partes interessadas,
de modo a adotar soluções sustentáveis
•Utilizar as redes sociais para facilitar a interação e aumentar o grau
de influência do programa logo de início, e fazê-lo com frequência
•Identificar técnicas de adoção
•Comunicar vitórias e ser transparente em relação aos desafios e soluções
40 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
4
Um mergulho profundo
nas novas tecnologias
A despeito dos riscos, as novas tecnologias vieram para ficar. As empresas
precisam usá-las para obter vantagens, aumentando seu alcance e
impulsionando um crescimento lucrativo. Qualquer estrutura de segurança
da informação deve avaliar constantemente o papel das novas tecnologias
e como aproveitar ao máximo seu potencial para a organização, preservando
sempre a segurança.
Aspectos como virtualização, mobilidade e tecnologia na nuvem aumentaram
a ameaça de ataques graves, elevando o número de pontos de entrada para
os negócios de uma empresa. As atividades dos hackers
e a espionagem apoiada por Estados são cada
Modelos
Avaliação de
vez mais sofisticadas e persistentes,
de negócio e
portfólio e
oportunidades
racionalização
e as altas recompensas oferecidas
na nuvem
da nuvem
Governos
Visão
e
pela venda de dados organizacionais
e incentivos
estratégia
na nuvem
alimentam o crescimento de grupos
na nuvem
Mentalidade
Revisar o cenário
setorial sobre
de aplicações
criminosos num ritmo sem
novos modelos
– determinar
Estabelecer a
de negócios
o alinhamento
direção certa
precedentes. Esses ataques
possibilitados
entre valor de
Apoio ao
da nuvem e
pela nuvem
negócios de
Risco e
desenvolvimento
contar com
podem causar perdas
para cada
commodity
econômico para
comunicação
uma estrutura
indústria
X valor
a nuvem em todo
na nuvem
adequada de
estratégico
financeiras significativas,
o mundo
Pesquisa de
tomada de
fornecedores na
decisões
além de danos às marcas.
nuvem, ajustes,
Estratégias de curto
prazo, mudanças
incrementais e soluções
temporárias não
bastam. As empresas têm
de adotar uma visão
de 360 graus sobre cada
uma das novas tecnologias
de modo a identificar
e compensar os riscos
inerentes a elas.
Segurança
e privacidade
na nuvem
Garantia de que
a nuvem irá apoiar
preocupações
relativas à
continuidade
das operações
ia da nuve
rant
m
Ga
Continuidade
de negócios e
disponibilidade
na nuvem
Questões
relativas a
“ceder o controle”
e a novas culturas
de confiança
Adesão a regras
e regulações
no mundo
sem fronteiras
da nuvem
Conformidade
e regulações
na nuvem
Visão de
360 graus
da nuvem
Re
a
Usar as
plataformas
na nuvem para
desenvolvimento
e para uma nova
governança
associada
Sistemas e
desenvolvimento
na nuvem
acordos, dependência
de fornecedores e
estratégia de saída
n
oname to da nuv
sici
em
Po
l i za
çã o d a n u
Definir a
estratégia de
curto, médio
e longo prazo
para a arquitetura
da empresa
Arquitetura
e modelo de
utilização
da nuvem
ve m
Maturidade
e adoção de
padrões e
desafios mais
amplos para
a integração
de serviços
Nova mentalidade
sobre SLAs
e governança
de múltiplos
fornecedores
visão da nuvem
Pro
O que surpreende,
considerando a natureza
sinistra desses crimes,
é que os ataques muitas
vezes ocorrem sem que
as empresas se deem
conta.
Quais são os principais
riscos da nuvem e
o desenvolvimento
de um modelo de risco
na nuvem para ajudar
na mitigação?
Sourcing e
departamentos
de compras
na nuvem
Modelos de
negócio da nuvem
e modelos de preço
para otimizá-los
Sistemas de gestão
de contabilidade,
ideias sobre
localização e
caracterização
Gestão de
tributária
programa de
transição/
transformação;
exigência de
treinamento e novas
habilidades
Gestão e
governança de
fornecedores
na nuvem
Preço e ROI
na nuvem
Tributação e
contabilidade
na nuvem
Adoção da
nuvem e gestão
de mudança
Padrões e
interoperabilidade
na nuvem
Uma visão de 360 graus da computação em nuvem
Em todos os aspectos da nuvem,
a garantia é uma consideração essencial.
Acreditamos que existem quatro
componentes fundamentais
para concretizá-la:
2. C
ontinuidade de negócios
e disponibilidade na nuvem: ter
a garantia de que a nuvem dará
apoio a preocupações relativas
à continuidade das operações
1. Risco e comunicação na nuvem:
identificar os principais riscos da nuvem
e desenvolver um modelo de risco
específico para ajudar na mitigação
3. S
egurança e privacidade na nuvem:
enfrentar questões relativas a “ceder
o controle” e a uma nova cultura
de confiança
4. Conformidade e regulações na nuvem:
assegurar a adesão a regras e regulações
no mundo sem fronteiras da nuvem
Para mais detalhes sobre a nuvem, leia
o relatório Cloud computing issues
and impacts, disponível no endereço
www.ey.com/informationsecurity.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 41
Conclusão
Faça a transição,
reduza o gap
De 2006 até hoje, os resultados da nossa
pesquisa sugerem que a disparidade entre
o aumento no ritmo das ameaças e a reação
das organizações não está diminuindo.
Na verdade, está crescendo exponencialmente,
transformando o gap de Segurança da Informação
de uma fenda em um abismo
Uma transformação efetiva na Segurança da Informação não exige soluções
tecnológicas complexas. Exige, sim, liderança e compromisso, capacidade
e disposição para agir. E isso não deve ocorrer daqui a 12, 24 ou 36 meses,
mas agora. Se houver atrasos, muitas empresas poderão perder um terreno
que não conseguirão recuperar depois.
A Ernst & Young acredita que, ao seguir os quatro passos essenciais discutidos
nas páginas anteriores:
1. Conectar a estratégia de Segurança da Informação à estratégia de negócios
2. Redesenhar a arquitetura
3. Executar a transformação de forma bem-sucedida e sustentável
4. Mergulhar profundamente nas oportunidades e nos riscos apresentados
pelas novas tecnologias
As organizações podem transformar as bases sobre as quais os departamentos
de segurança da informação operam e tornar-se mais capazes de fechar
o crescente gap de riscos de TI.
Iniciativas tomadas por algumas grandes empresas
•Fazer a transição da proteção
do perímetro de segurança para
a proteção de seus dados, cientes
de que alguns ataques inevitáveis vão
invadir o perímetro que está sob defesa.
•Criar recursos dinâmicos para
administrar a Segurança da Informação,
de modo a reagir rapidamente num
ambiente que evolui em alta velocidade.
•Envolver ativamente os mais altos
líderes de todos os departamentos
na tomada de decisão sobre os
problemas relativos à segurança.
•Criar estratégias e processos
de Segurança da Informação com base
num grau mais elevado de transparência
em relação a ativos críticos, ataques,
capacidades de segurança, riscos
de negócios e opções de defesa.
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 43
Metodologia
da pesquisa
A Pesquisa Global de Segurança da Informação da Ernst & Young foi realizada
entre maio e julho de 2012. Ouvimos 1.836 pessoas dos principais setores
da economia, em 64 países.
Convidamos CIOs, CISOs, CFOs, CEOs e outros executivos ligados à Segurança
da Informação para participar da pesquisa. Distribuímos um questionário
aos profissionais escolhidos pela Ernst & Young no escritório de cada
país, além de instruções para que o processo de pesquisa fosse realizado
de forma consistente.
A maioria das respostas foi obtida em entrevistas pessoais. Nos casos em que
isso não foi possível, o questionário foi respondido on-line.
Caso deseje participar da edição de 2013 da Pesquisa Global de Segurança
da Informação da Ernst & Young, entre em contato com nosso escritório
na sua cidade/país, ou acesse www.ey.com/US/en/Home/Home-ContactUS
e preencha um breve formulário de solicitação.
Participantes da pesquisa por área (1.836 participantes em 64 países)
Japão
Ásia-Pacífico
Américas
11%
20%
46%
23%
44 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
EMEIA (Europa,
Oriente Médio,
Índia e África)
Participantes da pesquisa por setor da economia (1.836 participantes em 64 países)
Bancos e mercado de capitais
358
Seguros
154
Tecnologia
148
Governo e setor público
130
Produtos industriais diversos
121
Bens de consumo
121
Varejo e atacado
96
Telecomunicações
79
Mídia e entretenimento
64
Imóveis
57
Escritórios e serviços profissionais
56
Energia e serviços públicos
56
Automotivo
49
Óleo e gás
41
Saúde
41
Gestão de patrimônio
38
Produtos químicos
37
Ciências biológicas
33
Transporte
32
Metais e mineração
29
Serviços de cuidados médicos
15
Indústria aeroespacial e de defesa
15
Companhias aéreas
12
Domicílios particulares
2
Private equity
2
Outros
50
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 45
Participantes da pesquisa por receita anual total da empresa
Menos de US$ 50 milhões
326
US$ 50 milhões a US$ 99 milhões
167
US$ 100 milhões a US$ 249 milhões
169
US$ 250 milhões a US$ 499 milhões
172
US$ 500 milhões a US$ 999 milhões
178
US$ 1 bilhão a US$ 1,9 bilhão
170
US$ 2 bilhões a US$ 2,9 bilhões
86
US$ 3 bilhões a US$ 3,9 bilhões
50
US$ 4 bilhões a US$ 4,9 bilhões
42
US$ 5 bilhões a US$ 7,49 bilhões
81
US$ 7,5 bilhões a US$ 9,9 bilhões
48
US$ 10 bilhões a US$ 14,9 bilhões
65
US$ 15 bilhões a US$ 19,9 bilhões
30
US$ 20 bilhões a US$ 49,9 bilhões
60
Mais de US$ 50 bilhões
66
Não se aplica
(exemplo: governo, entidade sem fins lucrativos)
126
46 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Participantes da pesquisa por cargo
Executivo de tecnologia da informação
347
Executivo de segurança da informação
271
Chief information security officer (CISO)
249
Chief information officer (CIO)
226
Chief security officer (CSO)
70
Diretor/gerente de auditoria interna
63
Chief technology officer (CTO)
55
Administrador de rede/sistema
40
Executivo/vice-presidente de unidade de negócios
30
Chief operating officer (COO)
21
Chief risk officer (CRO)
9
Chief financial officer (CFO)
8
Chief compliance officer (CCO)
6
Chefe do departamento jurídico
1
Outros
440
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 47
Outras fontes de informações
para líderes
A Ernst & Young publica regularmente textos e artigos para dar ideias a líderes
sobre uma ampla gama de temas relacionados a TI e segurança da informação
– incluindo a série Insights on IT Risk, centrada no risco de TI e nos desafios
e oportunidades a ele relacionados. As publicações trazem informações
e descobertas oportunas, desenvolvidas para ajudar os clientes a oferecer
conhecimentos valiosos e importantes sobre questões fundamentais para
seus altos executivos.
Para acessar os relatórios listados abaixo, use o QR Code correspondente
ou acesse www.ey.com/informationsecurity.
Insights on IT risk
Business brieng
May 2012
Protecting and
strengthening
your brand
Social media governance
and strategy
Insights on IT risk
Business brieng
April 2012
Ready for takeoff
Preparing for your journey into
the cloud
Insights on IT risk
Business brieng
January 2012
Privacy trends 2012
The case for growing accountability
Insights on IT risk
Technical brieng
January 2012
Mobile device security
Understanding vulnerabilities
and managing risks
Protecting and strengthening your brand: social media governance and strategy
Para muitas empresas, o sucesso de longo prazo depende do êxito de diversos programas
essenciais de transformação individual. Concentradas em responder ao tumulto no mercado atual,
as organizações têm de executar concomitantemente inúmeros programas e projetos de mudança,
além de manter o negócio em funcionamento. Várias companhias têm dificuldade em resolver
o dilema entre “fazer as coisas certas” e “fazer as coisas do jeito certo”. Como resultado, muitas
recebem pouco retorno sobre os investimentos feitos em projetos e programas.
Ready for takeoff: preparing for your journey into the cloud
Muitas empresas estão considerando a computação na nuvem para aumentar a eficácia
das iniciativas de TI, reduzir o custo das operações internas, aumentar a flexibilidade operacional
e gerar vantagem competitiva. Se usada com uma estratégia eficaz, a computação na nuvem pode
garantir um melhor aproveitamento de TI, centrado na estratégia e não nas operações. Os serviços
na nuvem são ágeis e flexíveis, aumentam a capacidade de compreender e reagir às constantes
mudanças nas condições do mercado, permitem atender às necessidades do cliente e reagir
às iniciativas tomadas pela concorrência.
Privacy trends 2012
Com a mesma rapidez com que os governos adotam medidas para regulamentar a privacidade,
grupos empresariais exploram oportunidades de autorregulamentação, com o objetivo
de limitar a intervenção governamental. Em última análise, contudo, quem deve agir são
as próprias organizações. Para aumentar suas responsabilidades, muitas empresas terão de rever
o conceito de privacidade.
Mobile device security
Os enormes avanços tecnológicos dos aparelhos móveis estenderam as fronteiras virtuais
do negócio, apagando as linhas entre casa e escritório e garantindo o acesso permanente a e-mails.
Essa realidade gerou novos aplicativos móveis de negócios e permitiu o acesso e a armazenagem
de dados confidenciais da empresa. Neste estudo, exploramos os riscos das plataformas
e da tecnologia inerentes aos dispositivos mais populares, além dos métodos que podem
ser usados para avaliar a exposição das empresas e mitigar os riscos.
Cloud computing issues and impacts
A computação na nuvem é uma mudança fundamental de TI, que altera a estrutura
de poder da área de tecnologia, aprimora a agilidade dos negócios e facilita o acesso de todos
aos dados armazenados. O relatório descreve os problemas e impactos de todos os aspectos
da computação na nuvem.
Insights on IT risk
Technical brie�ng
January 2012
Bringing IT into the fold
Lessons in enhancing industrial
control system security
Insights on IT risk
Technical briefing
October 2011
A path to making
privacy count
Five steps to integrating
privacy protection into
IT transformations
Bringing IT into the fold: lessons in enhancing industrial control system security
Concessionárias e empresas de energia elétrica, bem como outras empresas com operações
industriais – como concessionárias de óleo e gás e diversas empresas do setor de produção –,
enfrentam o crescente risco de ataques cibernéticos, ao mesmo tempo em que buscam unir
os ambientes de operações tecnológicas, em tempo real, aos ambientes empresariais de TI.
A path to making privacy count
Será que as informações pessoais que você obtém de seus clientes está protegida de olhares
indiscretos? Por toda a parte, os departamentos de TI enfrentam a evolução tecnológica
e seu impacto sobre os sistemas já existentes e sobre as novas integrações. Nesse cenário,
a privacidade é uma questão imprescindível. Uma gestão eficaz dos riscos impostos à privacidade
pode proteger contra violações custosas, que podem prejudicar a imagem da empresa e o valor
para os acionistas, além de oferecer oportunidades para melhorar o desempenho de negócios
e garantir vantagem competitiva.
48 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
A visão da Ernst & Young
sobre o risco de TI
Na Ernst & Young, os serviços de assessoria estão centrados em necessidades
de negócios específicas e nos problemas individuais dos clientes: sabemos
que cada empresa tem necessidades e problemas específicos.
TI é um importante elemento de capacitação para que as organizações atuem
em meio à concorrência do atual cenário global de negócios. TI oferece
uma oportunidade de aproximação com os clientes, permitindo atendê-los
com mais rapidez. Isso pode melhorar consideravelmente a eficiência das
operações. No entanto, conforme as empresas adotam a nuvem e tiram
proveito das novas tecnologias, os riscos também aumentam.
Nossos 6.000 profissionais da área de Auditoria e Riscos em TI têm ampla
experiência pessoal para oferecer novas ideias e uma assessoria franca
e objetiva – onde quer que você esteja.
Para nós, TI é tanto um “negócio” como uma “ferramenta que possibilita
a realização de negócios”. TI é fundamental para auxiliar as empresas
a aprimorar continuamente o desempenho e manter as melhorias num cenário
em constante transformação.
Além de TI, nossos profissionais de Consultoria reúnem a experiência
obtida trabalhando com importantes organizações, essencial para ajudar
na concretização de avanços mensuráveis e sustentáveis no desempenho
do seu negócio.
Formamos uma equipe multidisciplinar, criada sob medida para
as necessidades específicas de cada cliente. No campo, nossas equipes contam
com o alcance global da Ernst & Young, com a nossa ampla experiência setorial
e o profundo conhecimento sobre inúmeros temas para ajudar você a vencer
a guerra contra as constantes mudanças nos riscos de TI.
Para mais informações sobre o que podemos fazer pela sua empresa, entre
em contato com um profissional local da Ernst & Young ou com qualquer
uma das pessoas listadas abaixo.
Contatos
Global
Norman Lonergan
Líder de Serviços de Consultoria
+44 20 7980 0596
[email protected]
Paul van Kessel
Líder de Serviços de Auditoria e Riscos em TI
+31 88 40 71271
[email protected]
Área
Américas
Robert Patton
Líder de Serviços de Consultoria
+1 404 817 5579
[email protected]
Bernie Wedge
Líder de Serviços de Auditoria e Riscos em TI
+1 404 817 5120
[email protected]
Brasil
Antonio Vita
Sócio-líder de Consultoria para o Brasil e América do Sul
+ 55 11 2573 3708
[email protected]
Wilson Gellacic
Sócio-líder de Auditoria e Riscos em TI para o Brasil
e América do Sul
+ 55 11 2573 3443
[email protected]
4 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Sergio Kogan
Sócio de Auditoria e Riscos em TI / Segurança da Informação
+ 55 11 2573 3395
[email protected]
Alberto Favero
Sócio de Auditoria e Riscos em TI / Segurança da Informação
para a Indústria Financeira
+ 55 11 2573 3511
[email protected]
Claudia Marona
Sócia de Auditoria e Riscos em TI
+ 55 11 2573 3206
[email protected]
Francesco Bottino
Sócio de Auditoria e Riscos em TI / Segurança da Informação
+ 55 21 3263 7142
[email protected]
Henrique Oliveira
Sócio de Auditoria e Riscos em TI
+ 55 11 2573 3471
[email protected]
Demétrio Carrion
Diretor de Segurança da Informação
+ 55 21 3263 7327
[email protected]
Eduardo Batista
Diretor de Segurança da Informação
+ 55 11 2573 3359
[email protected]
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 5
Anotações
6 | Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012
Ideias e informações sobre o risco de TI | Pesquisa Global de Segurança da Informação Ernst & Young 2012 | 7
Ernst & Young
Auditoria | Impostos | Transações Corporativas | Consultoria
Sobre a Ernst & Young
A Ernst & Young é líder global em serviços
de Auditoria, Impostos, Transações Corporativas
e Consultoria. Em todo o mundo, nossos 167 mil
colaboradores estão unidos por valores pautados
pela ética e pelo compromisso constante com
a qualidade. Nosso diferencial consiste em ajudar
nossos colaboradores, clientes e as comunidades
com as quais interagimos a atingir todo
o seu potencial, em um mundo cada vez mais
integrado e competitivo.
No Brasil, a Ernst & Young Terco é a mais
completa empresa de Auditoria, Impostos,
Transações Corporativas e Consultoria,
com 4.900 profissionais que dão suporte
e atendimento a mais de 3.400 clientes
de pequeno, médio e grande portes
Sobre os serviços de Consultoria
da Ernst & Young
A relação entre risco e melhoria no desempenho
é um desafio de negócios cada vez mais
complexo e importante. O desempenho
corporativo está diretamente ligado
ao reconhecimento e à gestão eficaz do risco.
Quer o risco esteja na transformação dos
negócios ou na manutenção de conquistas
já realizadas, a presença dos consultores certos
pode fazer uma imensa diferença. Nossos 25 mil
consultores profissionais formam uma das mais
amplas redes globais de consultoria de qualquer
organização profissional. Temos equipes
experientes e multidisciplinares que trabalham
com os clientes para atingir uma experiência
de qualidade superior. Utilizamos metodologias
comprovadas e integradas para ajudar
você a atingir suas prioridades estratégicas
e a realizar melhorias sustentáveis no longo
prazo. Sabemos que, para atingir seu potencial
máximo, uma empresa precisa de serviços
que ajudem a solucionar problemas específicos.
Por isso, reunimos nossa ampla experiência
em diversos setores da economia a um profundo
conhecimento especializado, agindo de forma
proativa e objetiva. Acima de tudo, nosso
compromisso é mensurar ganhos e identificar
os pontos em que a estratégia agrega valor
às necessidades de negócios. É assim que
a Ernst & Young faz a diferença.
© 2012 EYGM Limited.
Todos os direitos reservados.
Esta é uma publicação do Departamento
de Marketing.
A reprodução deste conteúdo, na totalidade ou
em parte, é permitida desde que citada a fonte.
Esta publicação contém informações resumidas e, portanto,
tem a intenção de servir como orientação geral. Ela não pretende
substituir pesquisas detalhadas ou avaliações profissionais. Nem
a EYGM Limited, nem qualquer outro membro da organização
global Ernst & Young podem aceitar responsabilidade por
danos causados a qualquer pessoa ao agir ou abster-se de
qualquer ação como resultado de qualquer material contido
nesta publicação. Para consultas sobre assuntos específicos,
consulte o assessor adequado.