1) A pesquisa avaliou a segurança da informação em empresas brasileiras e encontrou que a maioria não possui sistemas de gestão de segurança da informação formais ou não receberam aprovação da alta administração; 2) Muitas empresas ainda investem pouco em segurança e não acreditam que os investimentos atuais são ideais; 3) Os incidentes mais comuns estão relacionados a pessoas, como acessos e vazamentos não autorizados, engenharia social e perda de informações.

1. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
PESQUISA NACIONAL DE
SEGURANÇA DA INFORMAÇÃO 2014
Uma visão estratégica dos principais elementos da Segurança da Informação no Brasil

2. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Sumário executivo
CIBERCRIMES, FALHAS EM PROCESSOS, FRAUDES, COMPORTAMENTO. O atual contexto corporativo contempla inúmeras ameaças a Segurança da Informação, que se tratadas de maneira inapropriada constituem impactos severos que podem abalar as finanças ou reputação até mesmo das maiores companhias.
Enquanto lidamos com dados que crescem exponencialmente em quantidade e complexidade, organizações ainda começam a compreender que uma postura reativa não é mais suficiente. Recentes incidentes trouxeram a tona um novo nível de conscientização sobre a necessidade de se estabelecer não somente estruturas tecnológicas, mas também processos e habilidades para se desenvolver, manter e otimizar programas de Gestão de Segurança da Informação.
Mesmo com essa maior maturidade, a quantidade de incidentes de segurança leva executivos a questionar a capacidade de suas organizações para conter e lidar com ameaças. Estamos preparados ou seremos mais um a aprender a dolorosa lição que é o preço de uma gestão ineficiente?
O cenário brasileiro mostra que enquanto incidentes atingem níveis inaceitáveis, os investimentos em Segurança ainda são tímidos, mão de obra especializada é escassa, e leis e regulamentações ainda são ineficientes para resguardar a proteção de dados corporativos.
Este relatório, baseado em uma pesquisa realizada entre junho e agosto de 2014, mostra um panorama da Segurança da Informação no Brasil. Com foco em elementos estratégicos, a visão apresentada pelos pesquisados demonstra como este tema cresceu em relevância nas corporações, juntamente com o quão distante ainda estamos da maturidade ideal.
Realização:
Apoio:
DARYUS Strategic Risk Cosnulting DARYUS Education Center
IT MÍDIA
conteúdo | relacionamento | negócios
EXIN Brasil

3. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Siglas e abreviaturas
GSI – Gestão da Segurança da Informação
SGSI – Sistema de Gestão da Segurança da Informação
PSI – Política de Segurança da Informação
PDCA – Plan-Do-Check-Act (Planejar, Fazer, Verificar e Agir/Melhoria contínua)
ISO – International Standarization Organization
ABNT – Associação Brasileira de Normas Técnicas
ITIL – Information Technology Infrastructure Library

4. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Metodologia
Período da Coleta 30 Junho a 25 de Agosto de 2014
Formato de pesquisa
ON LINE
Respondentes
Dos 171 respondentes, 122 foram válidos
Abrangência
Convidadas mais de *500 empresas no BRASIL
* Quantidade de respondentes baixa frente a importância e quantidade solicitada. Demonstra que as empresas ainda não possuem maturidade para responder ou preferem pesquisas mais técnicas ou sobre controles.

5. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Como foi dividida
GESTÃO
CONTROLES
CAPACITAÇÃO

6. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Gás & Óleo
Transportes
Manufatura
Telecomunicações
Tecnologia
Comércio
Saúde
Educação
Financeiro
Governo
Indústria
Serviços
1%
1%
2%
2%
3%
4%
4%
7%
8%
11%
15%
42%
+ Maduras em relação ao tema:
•Governo (10,7%);
•Indústria (14,8%) e
•Serviços (41,8%).
Quem respondeu a pesquisa?

7. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Perfil das empresas e respondentes
27,9% Faturam mais de US$ 100 milhões; 51,6% + 1.000 colaboradores; 32,7% Gerentes e Diretores; 85,2% estão envolvidos na tomada de DECISÃO; 46,72% atuam há mais de 5 anos com SI

8. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Sua empresa possui um Sistema de Gestão de Segurança da Informação (SGSI)
11,48%
24,59%
27,87%
36,07%
Sim (aprovado pela TI)
Não.
Informalmente
Sim (aprovado pela
Alta Direção)
52,46% são informais ou não existem!
SGSI

9. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Há quanto tempo um SGSI foi estabelecido na empresa?
Motivadores 35,25% alinhamento com as melhores práticas, 5,74% buscam a ISO 27001
40,38% das empresas participantes possuem a GSI com foco em TODA A EMPRESA
18,85%
35,25%
8,20%
5,74%
31,97%
menos de 1
ano
de 1 a 5
anos
de 5 a 10
anos
mais de 10
anos
Não possui

10. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Tempo de Casa X Tempo de S.I.
A maior parte das equipes tem menos de 5 anos e é formada por profissionais que tem tempo médio de casa de 5 anos.
18,85%
42,62%
22,95%
15,57%
menos de 1
ano
entre 1 e 5
anos
entre 5 e 10
anos
mais de 10
anos
4,10%
38,52%
30,33%
16,39%
10,66%
menos de 1
anos
de 1 a 5
anos
de 5 a 10
anos
mais de 10
anos
Não atua
com S.I

11. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI”
Fonte: ISO 27001 – Requisito 5.1
Das empresas entrevistadas apenas 36,07% tiveram sua GSI aprovadas pela Alta Direção.
Em 53,46% a GSI não foi aprovada ou é informal e ainda parte de TI.
Sim 61,48%
Não 10,66%
Razoavelmente 27,87%
Participação da Alta Administração

12. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Qual a área atualmente responsável nas empresas?
Segurança da Informação
1%
1%
2%
2%
2%
2%
3%
11%
11%
65%
Auditoria
Recursos Humanos
Jurídico
Finanças
Operações
Segurança Patrimonial
Segurança da Informação
Não possuímos uma área responsável
Presidência / Alta Direção
Tecnologia
TI domina com ampla margem
Pessoas
Processos
Tecnologia

13. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a segurança da informação sejam atribuídos e comunicados”. Fonte: ISO 27001 – Requisito 5.3
0,82%
0,82%
1,64%
1,64%
2,46%
3,28%
4,10%
4,10%
4,92%
6,56%
30,33%
39,34%
Finanças
Segurança Patrimonial
Jurídico
Recursos Humanos
Outro
Operações
GRC
Segurança da Informação
Negócios
Auditoria
Alta Direção
Tecnologia
Qual a área os pesquisados acreditam que deveria ser responsável?
Segurança da Informação
Segurança ainda é vista como uma disciplina primariamente de tecnologia!

14. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Riscos e oportunidades
Quando planejamos a gestão de segurança da informação devemos considerar questões relacionadas à prevenção de riscos e oportunidades de melhorias.
Estas ações devem ser realizadas dentro dos processos organizacionais e ter seus resultados medidos, aumentando assim a CONFIANÇA da organização em relação à gestão da segurança da informação.
CONFIANÇA “Confiança é o ato de confiar na análise se um fato é ou não verdadeiro, devido às experiências anteriores, entregando essa análise à fonte de estatísticas e opiniões de onde provém a informação e simplesmente considerando-a e checando-a com outras, o chamado cruzamento de informações”. Fonte: Wikipedia

15. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Avaliação da confiança
4,92% não confiam nas leis e regulamentos que afetam a segurança da informação.
5,74% não confiam na capacidade organizacional atual para contramedidas para prevenção/proteção contra incidentes de segurança.
8,20% não confiam na área de segurança da informação para evitar ou tratar ataque cibernético de origem interna ou externa.

16. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Prejuízos financeiros
O Centro de Estudos Estratégicos e Internacionais dos EUA em conjunto com a empresa de segurança digital McAfee revela que falhas em segurança digital geram, em todo o mundo, um prejuízo anual que atinge a marca de aproximadamente
R$ 1.120 trilhões (US$ 500 bilhões).
Fonte: McAfee
As organizações devem assegurar um enfoque consistente e efetivo para
gerenciar os incidentes de segurança da informação, incluindo
a comunicação sobre fragilidades e eventos de
segurança da informação.
Fonte: ISO 27001 – Anexo A – 16.1

17. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Investimentos em segurança
mais de 10%
de 1 a 5
milhões de
Reais
mais de 5
milhões de
Reais
de 5 a 10%
do
faturamento
de 500 a 1
milhão de
Reais
de 3 a 5% do
faturamento
até 500 mil
Reais
até 3% do
faturamento
N/A
1,6%
3,3%
4,1%
4,9%
4,9%
6,6%
9,8%
27,0%
37,7%
37,7% não realizam previsões de investimentos relacionados ao tema.
68,03% dos participantes não acredita que o percentual investido em segurança da informação seja o ideal para a sua organização.
+ 85% considera que o principal fator crítico para a segurança da informação está contido nos temas: Capacitação e mudança de Cultura Organizacional.

18. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Os incidentes mais frequentes
Mais de 40% das falhas relacionadas à segurança da informação não está associada à tecnologias, mas sim em torno de pessoas e a maneira na qual os dados, informações e sistemas são utilizados nas organizações.
Acesso não autorizado (físico)
Guerra Cibernética
Hacktivismo
Investigação (incidentes não confirmados)
Acesso não autorizado (lógico)
Engenharia Social
Negação de Serviço (DoS)
Varredura/Tentativas de Invasão
Falhas em Equipamentos
Códigos Maliciosos
N/A
Perda de Informação
Mal Uso
Vazamento de Informação
0,8%
0,8%
2,5%
3,3%
4,1%
4,1%
5,0%
5,0%
6,6%
9,9%
12,4%
12,4%
16,5%
16,5%

19. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Certificação ISO 27001
Sistema de Gestão de Segurança da Informação (SGSI)
• Redução de custos financeiros relacionados a incidentes de segurança da informação;
• Promove a melhoria continuada nos controles e políticas de segurança da informação;
Benefícios:
53,28%
23,77%
9,84%
7,38%
5,74%
Não possuímos mas temos interesse
Não possuímos e não temos interesse
Não possuímos mas já temos um projeto de certificação em andamento
Possuímos a certificação ISO 27001:2005
Possuímos a certificação ISO 27001:2013

20. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Política de Segurança da Informação (PSI)
“Prover orientações da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentos relevantes”
63,11%
17,21%
19,67%
Sim
Em desenvolvimento
Não
A PSI é o principal ativo estratégico da Alta Direção para definição das diretrizes básicas de Segurança da Informação.

21. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Características e tipos de políticas de Segurança da Informação
76,23%
Dos conselhos administrativos auxliaram no desenvolvimento da política de SI
66,39%
Das organizações tiveram como aprovadores finais da política de SI a Presidência/Alta Direção
37,70%
Das políticas são revisadas anualmente, enquanto 27,05% não possuem periodicidade definida
27,87%
Das organizações divulgam a política de SI aos seus fornecedores
70,49%
A intranet é o meio mais utilizado para divulgação da política de SI
38,02% É a porcentagem de empresas que possui política de uso aceitável de ativos
30,58%
Das organizações tem uma política de classificação da informação definida
54,55%
A classificação da informação somente é utilizada em pouco mais da metade das organizações

22. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
COMPETÊNCIAS E RESPONSABILIDADES
“As organizações devem determinar e prover recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua da segurança da informação.”
Fonte: ISO 27001 – Requisito 7.1

23. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Competências e responsabilidades
32% das organizações não definiram papéis e responsabilidades;
Em 59,84% das organizações a contratação é utilizada como o momento para comunicação dos papéis e responsabilidades, embora em 23,77% das organizações os mesmos não sejam comunicados;
A ação de conscientização mais utilizada (99,99%) é o meio eletrônico (e-mail) enquanto as demais ações não ultrapassam a marca de 55% de utilização.
Em apenas 39,34% das organizações é utilizado um processo disciplinar, e apenas 17,21% dos respondentes acredita que é o mesmo seja seguido corretamente.
Principais papéis definidos nas organizações
Analista de SI
Proprietário de
Informação
Usuário de
Informação
39,3%
41,0%
41,8%

24. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Principais certificações dos pesquisados
0,89%
0,89%
0,89%
0,89%
0,89%
0,89%
2,68%
2,68%
2,68%
2,68%
3,57%
4,46%
5,36%
6,25%
6,25%
7,14%
7,14%
8,04%
25,89%
55,36%
57,14%
ABCP (DRII)
Agile Scrum
Integrator Cloud Service
ISMES (EXIN - ISO 27002 Expert)
ITIL Expert
ITMP
CISA (ISACA)
CISM (ISACA)
Green IT
Security +
ITIL Practicioner
CRISC (ISACA)
Certificações Microsoft
CISSP (ISC2)
ISO 20000
ISMAS (EXIN - ISO 27002 Advanced)
PMP (PMI)
Lead Auditor (BSI)
Cobit Foundation (ISACA)
ISFS (EXIN - ISO 27002 Foundation)
ITIL Foundation

25. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
1
5
9
12
29
76
84
Continuidade de Negócios
Gestão de Riscos
Gerenciamento de Projetos
Auditoria
Governança de TI
Gestão de Serviços de TI
Segurança da Informação
Principais certificações dos pesquisados
Por domínio:
39%
39%
22%
Básico
Intermediário
Avançado
Apenas 16,96% dos pesquisados ainda não possui nenhum tipo de certificação reconhecida internacionalmente.
Por nível:

26. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Gestão de Ativos
“Associados à informação, recursos e processamento da informação, os ativos devem ser identificados, e um inventário dos mesmos deve ser estruturado
e mantido.”
Fonte: ISO 27001 – Anexo A 8.1.1

27. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“Brasil já é 4ª economia digital no mundo e representa 60% das transações na América Latina.”
Fonte: FECOMERCIO SP

28. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Gestão Ativos + BYOD
BYOD e Ativos Corporativos
Em 25,41% existe políticas relacionadas ao tema e 46,72% das organizações permitem acesso aos dados externos.
Mesmo nas organizações em que não é permitido o acesso aos dados, 45,90% dos entrevistados acreditam que seja possível o acesso.
Sua empresa faz uso de dispositivos móveis no ambiente de trabalho?
3,3%
36,9%
59,8%
Não
Apenas dispositivos Corporativos
Dispositivos Corporativos e Pessoais

29. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Controles de Segurança da Informação
“Controlar é comparar o resultado das ações, com padrões previamente estabelecidos, com a finalidade de corrigi-las se necessário”
Fonte: Wikipedia

30. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Controles de Segurança da Informação
Vazamento de informações
Os controles mais utilizados contra vazamento de informação são a conscientização (57,02%) e a
criptografia (44,63%);
Acesso lógico
28,10% das organizações não adotam controles de gestão de acesso, enquanto que
33,88% utilizam trilhas de auditoria e revisão manual;
Acesso físico
10,74% não utilizam controles de acesso físico.
Códigos maliciosos, vírus, vermes...
57,02% disseminados nos principais ambientes;
31,40% Completamente disseminados;
4,96% apenas em ambientes críticos
6,61% não usam
Cópias de Segurança (Backup) e Restauração
23,97% acreditam que irão proteger a organização em caso de falhas nos ambientes produtivos.
48,76% armazenamento em locais fora do escritório,
16,53% realizam seus backups em nuvem privada.

31. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“Responsabilidades e procedimentos devem ser estabelecidos para assegurar respostas rápidas e efetivas aos incidentes de SI”
ISO 27001:2013
Das empresas entrevistadas apenas 36,36% possui um processo formal para gestão de incidentes de SI.
A frequência na qual os incidentes são relatados é baixa 56,20%.
Mais de 50% dos entrevistados considera o impacto operacional dos incidentes, embora 54,55% não saiba informar como é considerado o impacto financeiro.
Impactos mais severos segundo os respondentes:
Gestão de Incidentes
35,54%
25,62%
13,22%
Operacionais
Marca/Reputação
Financeiros

32. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Plano de Continuidade de Negócios
"81% dos gestores cujas organizações ativaram os seus acordos de continuidade dos negócios nos últimos 12 meses disseram que isto foi eficaz na redução de paralisações.
Em resumo: a continuidade dos negócios funciona.”

33. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Continuidade de negócios
55,46% das organizações afirma possuir um plano de continuidade, e 42,86% considera em seu plano pessoas, processos e tecnologia
52,10% das organizações não realizam testes de seus planos. 19,33% (maior índice de testes) realiza anualmente.
Mais de 35% não possuem local alternativo para recuperação.
47,90% das organizações contemplam aspectos de segurança da informação em seus planos de continuidade de negócio;

34. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Análise de vulnerabilidade
“O objetivo da Análise de vulnerabilidade é reduzir o risco em relação aos incidentes de segurança, seja tanto na rede interna quanto na externa, é necessário detectar essas possíveis falhas e corrigi-las para garantir que a rede esteja em um nível de segurança adequada.”
37,8% das empresas não realizam análise de vulnerabilidade técnica!
2,52%
4,20%
15,13%
15,97%
24,37%
37,82%
Não soube
informar
Bienal
Anual
Semestral
Mensal
Não Realiza
Quando realizadas, as mesmas são concretizadas por equipe interna em 46,22% das vezes.

35. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
“As organizações devem conduzir auditorias a intervalos planejados para prover informações sobre o quanto a gestão de segurança encontra-se em conformidade e está sendo mantida.”
Fonte: ISO 27001 – Requisito 9.2
Bienal
Mensal
Semestral
Anual
Não é realizada
4,2%
5,0%
20,2%
23,5%
47,1%
Auditorias internas para S.I.

36. ✪ public ©Copyright 2014 DARYUS Group Brazil. www.daryus.com.br
Pesquisa Nacional de Segurança da Informação
“A segurança da informação é obtida da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.
Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde é necessário para garantir que os objetos do negócio e de segurança da organização sejam atendidos.”
NBR ISO/IEC 27002:2005
Avenida Pualista 1009 - 11º andar
CEP 01311-100 – Bela Vista - SP Brasil
contato@daryus.com.br | www.daryus.com.br
As implicações para o seu negócio:
Por mais que os resultados aqui apresentados possam ser interessantes, eles não representam o roteiro padrão de execução para a sua empresa ou para qualquer outra.
Você pode usar estas informações como suporte na definição de uma visão de futuro para o seu programa de segurança da informação.
Apoio:
Realização