1. Segurança da Informação
Respeitada –
mas ainda
limitada
Consultoria em Negócios
Segurança da
Informação
Como consequência do maior
abalo econômico global em
30 anos, a segurança da
informação confronta uma
nova ordem econômica
Pesquisa Global de Segurança
da Informação 2011
PwC 3
2.
3. Introdução
É com satisfação que divulgamos ao mercado O segundo é que os efeitos da crise econômica
brasileiro os resultados da oitava edição de nossa ajudaram para que a área de segurança ampliasse
Pesquisa Global de Segurança da Informação - seu nível de atuação, maturidade e importância.
Global State of Information Security Survey®. Um Além de ajudar a mitigar os riscos de negócio
estudo conduzido por PwC, CIO Magazine e CSO associados à globalização, à terceirização e ao
Magazine, o maior estudo do gênero no mundo, o cumprimento das políticas da empresa por terceiros,
qual representa a análise consolidada dos dados a área de segurança da informação agora também
fornecidos por mais de 12.800 executivos, entre é cobrada por novos desafios e, em algumas
CEOs, CFOs, CIOs, CSOs, vice-presidentes e diretores empresas, com mais urgência do que nunca. A área
de TI e segurança da informação, de empresas de segurança e seus líderes agora são responsáveis
médias, grandes e gigantes de 135 países e de também por ajudar a empresa a endereçar um
todos os setores da economia. No Brasil, houve a conjunto de riscos e oportunidades derivados da
participação de 500 executivos, o que permitiu crise, como aqueles associados à adoção de novos
enriquecer este estudo com dados reveladores sobre o modelos de negócios, à retomada dos movimentos
momento da segurança da informação nas empresas de fusões e aquisições, às sucessivas ondas de
do país. demissões, aos cortes de custos em outras áreas, à
rapidez na retomada do crescimento e às mudanças
Em particular, dois pontos se destacam na pesquisa estratégicas dos concorrentes.
deste ano. O primeiro é haver evidências claras de
que, em alguns casos, a área de segurança parece Os resultados da pesquisa indicam otimismo
estar no radar dos executivos da empresa. Tudo e preocupação dos executivos. Por exemplo,
indica que os esforços para se alinhar as iniciativas 52% afirmam que sua empresa irá aumentar os
de segurança com as necessidades reais de negócio investimentos ao longo do próximo ano. Ainda
estejam, de fato, começando a mostrar resultados e assim, muitos deles disseram que seus parceiros
criar valor nas empresas. de negócios (52%) e fornecedores (50%) ainda se
recuperam dos efeitos da recente crise na economia,
percentuais significativamente maiores do que os
registrados na edição anterior da pesquisa, 43%
e 42% respectivamente. E 49% dos entrevistados
afirmam que as condições econômicas ainda pesam
sobre as decisões de investimento em segurança da
informação, porém estão otimistas com relação aos
próximos 12 meses.
PwC 5
4.
5. Executivos da área de segurança informam Outra revelação da pesquisa se relaciona com o
que suas empresas também sofreram com avanço no processo de mudança da linha de reporte
a contenção de investimentos e despesas do CISO, saindo da linha do CIO para responder
operacionais e que, em muitos casos, a outros executivos de negócio da empresa. Como
resultaram na perda ou degradação de algumas esperado, as redes sociais e o novo papel da
competências fundamentais da segurança. segurança é destaque este ano. Pela primeira vez na
resposta dos executivos surge a apólice de seguro
Os principais aspectos que estão direcionando e o ressarcimento por sinistros como uma medida
os gastos com segurança são as condições adicional de segurança contra o mau uso dos ativos
econômicas (49%), os planos de contingência de informação.
e recuperação de desastres (40%), os riscos de
reputação (35%), o cumprimento de políticas A análise da pesquisa deste ano foi intitulada
internas (34%) e o atendimento às questões “Respeitada – mas ainda limitada”. O propósito
regulatórias (33%). Estes direcionadores de deste estudo é permitir reflexões profundas e
gastos não são novos, o surpreendente é que comparativas sobre o estado da segurança da
quase todos eles estão tendendo ou já próximos informação nas empresas em todo o mundo. O tema
dos níveis mais baixos em quatro anos. introdutório deste estudo trata do cerne da questão,
revelando os efeitos das condições econômicas
O destaque de crescimento este ano, segundo globais nas áreas de segurança da informação
a pesquisa, foram as “demandas de clientes”. das empresas. Em seguida, se apresentam as
Elas saíram do último lugar da lista, em 2007, revelações (“descobertas”) da pesquisa sobre
para quase empatar com o primeiro do ranking temas como gastos, contexto econômico, recursos
– ambiente regulatório/legal. O aumento das e orçamentos, capacidades e brechas, novas áreas
demandas de segurança feita pelas áreas de de foco e tendências regionais. Em seguida, dando
negócio demonstra a importância estratégica e a importância aos resultados locais, apresentamos
integração cada vez maior da área de segurança uma seção específica para revelar o estado da
com outras áreas da companhia. segurança da informação nas empresas no Brasil. A
seção sobre a análise do que tudo isto significa para
seu negócio conclui o estudo.
A equipe de especialistas em Segurança da
Informação da PwC está à sua disposição para
discutir temas específicos ou gerais dessa pesquisa,
para compartilhar tendências setoriais ou para
apoiar a sua organização em análises comparativas
de segurança da informação.
Boa leitura,
Edgar D’Andrea
Sócio
PwC
PwC 7
6.
7. Conteúdo
O cerne da questão 10
Uma vez que as condições econômicas globais continuam a
oscilar, a segurança da informação paira no equilíbrio entre
uma relação de respeito duramente conquistada junto aos
executivos e um ambiente econômico ainda de cautela.
Uma discussão profunda 12
Sinais de ganhos e avanços estratégicos de segurança aparecem
lado a lado com as recentes rachaduras na sua fundação.
I. Gastos: Uma alternância sutil, mas extremamente significativa 12
II. Contexto econômico: Os principais impactos e estratégias 17
III. Recursos e orçamentos: Um equilíbrio entre cuidado e otimismo 21
IV. Capacidades e brechas: tendências fortes para serem ignoradas 26
V. Novas áreas de foco: onde estão as oportunidades emergentes 33
VI. Tendências regionais: A troca da guarda 37
Como fica o Brasil neste contexto 42
Líder no mercado de segurança.
Ou visionário que ainda possui demandas reprimidas?
O que isto significa para o seu negócio 46
Aprenda com a desaceleração e retomada da economia.
E faça mudanças importantes. Mas também esteja entre
os primeiros a olhar para frente.
Metodologia 49
Contatos 50
PwC 9
8. O cerne da questão
Uma vez que as condições
econômicas globais continuam
a oscilar, a segurança da
informação paira no equilíbrio
entre uma relação de respeito
duramente conquistada junto
aos executivos e um ambiente
econômico ainda de cautela.
10 Pesquisa Global de Segurança da Informação de 2011
9. Durante o ano de 2009 foi difícil prever quando, A tensão é aguda. Entre a maturação contínua
onde e com que força as condições econômicas da função de segurança e a regressão. Entre
globais melhorariam. movimentos mais cuidadosos, à medida
da recuperação da economia, e o otimismo
Então não é surpreendente descobrir em 2010 que, exacerbado. Entre preservar os investimentos e
de acordo com os resultados da Pesquisa Global de proteger o negócio.
Segurança de Informação 2011, executivos em vários
segmentos e mercados mundo afora estão relutantes Pressionada pelos dois lados, a função de
por liberar fundos para a função de segurança da segurança da informação está sedenta por
informação. investimentos e determinada a contribuir cada vez
mais para o negócio da empresa.
Esta restrição financeira ainda ocorre, muito
embora haja clara evidência de que a segurança Qual a evidência destas tendências? Quais as
da informação está emergindo da fumaça de um implicações para os investimentos nos próximos
ano difícil, que foi a verdadeira “prova de fogo” 12 meses? Quais são as maiores vulnerabilidades
anunciada pela pesquisa do ano anterior, e está emergentes relacionadas à segurança? E quais
ostentando o respeito duramente conquistado são as oportunidades e prioridades cruciais que a
com muito trabalho, não apenas de muitos, mas sua empresa deve considerar, agora e pelo próximo
da maioria dos respondentes. Isto inclui mais de ano, para aumentar a contribuição que a segurança
12.800 CEOs, CFOs, CIOs, CISOs, CSOs e outros traz ao seu negócio?
executivos responsáveis pelo departamento de TI e
investimentos em segurança de suas organizações
em mais de 135 países.
A restrição a gastos ainda é realidade em muitos
países. Com isso, algumas funções operacionais
de segurança, que demoraram uma década inteira
para se desenvolver, estão se degradando e expondo
empresas a riscos.
PwC 11
10. Uma discussão profunda
Sinais de ganhos e avanços
estratégicos de segurança
aparecem lado a lado com as
recentes rachaduras na sua
fundação.
I. Gastos: Uma alternância sutil, mas extremamente
significativa
Descoberta #1 Descoberta #3
Três tendências estratégicas de gastos (investimentos A demanda de clientes agora emergiu – como o
e despesas), em construção há anos, que dificilmente “novo sabor do ano” ou talvez como um direcionador
serão abandonadas. estratégico de gastos que resistirá ao tempo.
Descoberta #2
Os direcionadores de gastos deste ano não são
novos. Mas eis a surpresa: Quase todos eles estão
tendendo ou já chegaram próximos dos níveis mais
baixos em quatro anos.
12 Pesquisa Global de Segurança da Informação de 2011
11. Descoberta #1
Três tendências estratégicas de gastos (investimentos e despesas), em
construção há anos, que dificilmente serão abandonadas.
Analisando os números das pesquisas destes vários anos, pela primeira vez, neste ano, se destacam três tendências
estratégicas de longo prazo em relação aos gastos em segurança.
1. Segurança está na lista de “proteger” dos Tomando o mercado nos EUA como exemplo, em 2007,
CFOs isto é seis anos depois do evento de 11 de setembro,
68% dos respondentes apontaram continuidade do
negócio e recuperação de desastre como o direcionador
As primeiras evidências disto já apareceram nos dados de investimento mais relevante em segurança, contra
da pesquisa do ano passado. Os dados deste ano 43% na atualidade. Também em 2007, cinco anos
evidenciam definitivamente esta tendência. À medida após o Sarbanes-Oxley Act e dois anos após o HIPAA
que a função amadurece e contribui de maneira mais (Health Insurance Portability and Accountability Act),
clara e direta para os objetivos do negócio, as curvas de os respondentes dos EUA identificaram conformidade
investimentos e despesas se tornam muito mais estáveis. regulatória como o segundo mais importante
Conforme revelado na pesquisa do ano passado, os direcionador, contra 47% na atualidade.
recursos de segurança ficaram protegidos durante o
período de crise. E, como mostraremos nas páginas que
3. O efeito “gota d’água”
seguem, os investimentos em segurança deste ano irão
crescer à medida que a economia se restabeleça e se
Há o grande respingo e depois vem a dispersão. Após
torne mais vigorosa.
despontarem como direcionadores relevantes, de
continuidade do negócio à conformidade regulatória,
cada um deles, inicialmente influenciados por
2. Ainda assim, a segurança continua fatores externos, passa com o tempo a se integrar às
vulnerável ao “sabor do ano” práticas internas. Eles continuam importantes para
a organização, aliás em muitos casos são cruciais,
Como segurança é importante para o negócio das mas precisamente pelo sua importância se integram
organizações, os direcionadores para os gastos tendem às práticas de negócio. Como? Através, por exemplo,
a ser atrelados às principais prioridades de negócio, de novos sistemas automatizados. De novos papéis e
conforme enfatizam de forma proeminente e freqüente responsabilidades. De políticas e práticas de negócio, ou
os executivos que buscam recursos para as iniciativas de de ambientes de controles internos otimizados.
segurança. Em suma, os direcionadores para os gastos
em segurança estão suscetíveis ao que podemos chamar
de “sabor do ano”.
PwC 13
12. Descoberta #2
Os direcionadores de gastos deste ano não são novos. Porém, eis a
surpresa! Quase todos eles estão tendendo ou já chegaram próximos dos
níveis mais baixos em quatro anos.
Que fatores estão direcionando os gastos com O que surpreende, no entanto, é que quase todos estes
segurança de informação este ano? Em um primeiro fatores estão tendendo ou já chegaram próximos dos
olhar, a resposta não surpreende: Condições níveis mais baixos em quatro anos. Continuidade do
econômicas (mencionadas por 49% dos respondentes), negócio e recuperação de desastre, como direcionador
continuidade do negócio e recuperação de desastres dos gastos em segurança, por exemplo, obteve este
(40%), reputação da empresa (35%), conformidade ano 40%, contra 68% há quatro anos. Isto significa
política interna (34%) e conformidade regulatória decrescimento de 28 pontos percentuais ou 41% de
(33%). (Figura 1). redução. Os outros direcionadores mostram reduções
semelhantes. (Figura 2).
Ou seja, estes fatores são primários e naturalmente
esperados de serem apontados, se consideramos os Vale ressaltar uma questão importante: isto significa
impactos da crise econômica mundial nos últimos 18 que estes fatores são menos importantes? De
meses, a expansão da globalização, a introdução de maneira alguma! Em muitos casos, eles ainda são
novas tecnologias, habilitando continuamente o fluxo vitais. Apenas não são direcionadores de gastos tão
livre de informações pelo mundo, a introdução da APT relevantes quanto já foram no passado. Possivelmente,
(“Advanced Persistent Threat”) e a onda de maior vigor estão em um estágio de maturidade mais avançado, o
na regulamentação entre mercados, indústrias e regiões que requer muito mais manutenção e ajustes finos do
ocorrida nos últimos dez anos. que processos transformacionais.
Figura 1: Percentual de respondentes que
49%
identificaram as seguintes questões de
negócio ou fatores como direcionadores mais 40%
importantes para gastos com segurança da
35%
informação na sua empresa. (1) 34%
33%
Condições Continuidade Reputação Conformidade Conformidade
econômicas do negócio/ da empresa com políticas regulatória
recuperação internas
de desastres
(1) Nem todos os fatores aparecem. Não soma 100%. Respondentes
podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
14 Pesquisa Global de Segurança da Informação de 2011
13. Figura 2: Percentual de respondentes que identificaram as seguintes questões de negócio ou fatores como
direcionadores mais importantes para gastos com segurança da informação na sua empresa. (2)
Diferença
2007 2008 2009 2010
em 3 anos
Condições econômicas N/D N/D 39% 49% N/D
Plano de continuidade /recuperação de desastres 68% 57% 41% 40% – 41%
Reputação da empresa 44% 39% 32% 35% – 20%
Conformidade com políticas internas 51% 46% 38% 34% – 33%
Conformidade regulatória 54% 44% 37% 33% – 39%
(2) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
Descoberta #3
A demanda de clientes agora emergiu – como o “novo sabor do ano” ou
talvez como um direcionador estratégico de gastos que resistirá ao tempo.
Qual é o novo “sabor do ano”? É a demanda do cliente, As demandas de clientes se referem a um cliente interno
muito embora o significado deste termo varie um pouco ou externo? Um mandato contratual ou um limite
entre os respondentes. mínimo em uma solicitação de proposta? Apesar da
pesquisa apresentar ambigüidade neste ponto, está
Este ano, quando os respondentes foram claro que a “demanda do cliente”, em geral, motiva
questionados sobre como os gastos com segurança maiores gastos que no passado.
de informação eram justificados na empresa, quase
todos os fatores entre os sete maiores identificados, de Demanda de clientes é somente o novo “sabor” ou
práticas comuns na indústria à responsabilidade pelo se provará mais duradoura do que nunca? Poderia
impacto de um incidente na receita, refletiram declínios “demanda de clientes” se tornar um destaque entre os
em comparação com 2007. As reduções variaram de direcionadores de gastos em segurança, reconhecido
10% a 26%. globalmente, nos próximos três ou quatro anos?
A demanda de clientes não foi apenas o único fator Talvez. Neste momento parece ser mais um sinal, após
entre os sete mais importantes a aumentar neste 15 anos, de que a função de segurança da informação
período, ela também subiu no ranking (da posição 6) continua a assumir um papel mais avançado voltado
para próximo da paridade com o fator líder (posição 2). para as “demandas do cliente”, o suporte ao negócio e a
(Figura 3). criação de valor estratégico da organização.
PwC 15
14. Figura 3: Percentual de respondentes que identificaram os seguintes fatores quando solicitados a revelar como
segurança de informação é justificada nas suas empresas. (3)
Diferença em
2007 2008 2009 2010
3 anos
Ambiente regulatório/legal 58% 47% 43% 43% – 26%
Demanda do cliente 34% 31% 34% 41% + 21%
Julgamento profissional 45% 46% 40% 40% – 11%
Responsabilidade potencial/exposição 49% 40% 37% 38% – 22%
Práticas comuns na indústria 42% 37% 34% 38% – 10%
Redução do risco quantificado 36% 31% 31% 30% – 17%
Impacto potencial na receita 30% 27% 26% 27% – 10%
(3) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
16 Pesquisa Global de Segurança da Informação de 2011
15. II. Contexto econômico: Os principais impactos e estratégias
Descoberta #4
Enquanto os impactos da retração econômica permanecem, o maior
aumento em risco está associado às fraquezas de segurança existentes
em parceiros e fornecedores.
Descoberta #5
As estratégias de segurança definidas pelas empresas neste ano são
basicamente as mesmas adotadas no ano passado. A preocupação é
que algumas delas podem abrir novas áreas de risco.
PwC 17
16. Descoberta #4
Enquanto os impactos da retração econômica permanecem, o maior
aumento em risco está associado às fraquezas de segurança existentes em
parceiros e fornecedores.
A recuperação da economia em países emergentes Isto é compreensível, especialmente considerando
como Brasil, Índia e China está sendo muito mais rápida fatores como a recente onda de globalização e de
que nos países europeus. A maioria dos economistas desenvolvimento dos mercados emergentes, que inseriu
concorda que as condições do mercado hoje são muito economicamente outros países na cadeia de produção e
melhores que no final de 2008. Neste contexto, seria de consumo global. Da mesma forma, era de se esperar
natural se a percepção dos respondentes sobre os que os impactos reais em parceiros e fornecedores
impactos provocados pela crise econômica na função de levassem pelo menos um ano para surgir.
segurança fosse diferente daquela do ano passado.
Mas há uma implicação muito menos óbvia, que é
Mas ela não é, pelo menos para a maioria. De fato, enormemente reveladora, sobre a evolução estratégica
as percepções dos respondentes a este respeito são da maturidade da função de segurança.
surpreendentemente consistentes com as do ano
passado. A maioria concorda, por exemplo, que o Os dados desta descoberta não vêm apenas daqueles
ambiente regulatório se tornou mais complexo e que ocupam posições executivas de negócio ou de TI. A
oneroso. E que o ambiente de risco crescente continua informação claramente vem, direta ou indiretamente,
a elevar a importância da função de segurança. E que do nível gerencial das áreas centrais de operação das
as políticas atuais de redução de custo dificultam o empresas. Isto inclui os responsáveis por unidades de
alcance de níveis adequados de segurança. (Figura 4). negócio, os tomadores de decisão operacionais, os
especialistas de “supply chain”, ou seja, aqueles que
Então, qual a maior mudança relatada no impacto trabalham diretamente com parceiros de negócios e
da economia global para a função este ano? Os fornecedores das organizações.
respondentes são bem mais propensos a relatar
que parceiros de negócios e fornecedores foram
enfraquecidos pelas condições econômicas, quando
comparados ao ano passado.
18 Pesquisa Global de Segurança da Informação de 2011
17. Em outras palavras, este ano, estamos Figura 4: Percentual de respondentes relatando
começando a ver evidências quantitativas os seguintes impactos das condições econômicas
das tendências subjetivas que estão atuais nas funções de segurança da informação
sendo acompanhadas há vários anos. Os da empresa. (4)
holofotes sobre o valor da segurança estão
acesos e brilhando intensamente não
apenas no nível C-Suite das organizações, Ambiente regulatório se tornou mais complexo e oneroso
mas também no cerne das áreas 2010 56%
operacionais como produção, cadeia de
suprimentos, compras, desenvolvimento 2009 56%
de negócios, marketing, inovação e
parcerias estratégicas.
Ambiente de risco crescente aumentou o papel e a
importância da função de segurança
2010 55%
2009 52%
Esforços de redução de custo fazem com que a
segurança adequada seja mais difícil de atingir
2010 50%
2009 52%
Ameaças à segurança de nossos ativos de
informação aumentaram
2010 43%
2009 43%
Nossos parceiros de negócios se enfraqueceram
pelas condições econômicas
2010 52%
2009 43%
Nossos fornecedores se enfraqueceram pelas
condições econômicas
2010 50%
2009 42%
(4) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
PwC 19
18. Descoberta #5
As estratégias de segurança definidas pelas empresas neste ano são
basicamente as mesmas adotadas no ano passado. A preocupação é que
algumas delas podem abrir novas áreas de risco.
A Figura 5 mostra as ações definidas pelas empresas está fundamentada na busca por confidencialidade e
para atingir seus objetivos de segurança face às eficiência da segurança. Assim como a área de TI, a de
condições incertas da economia neste ano. segurança precisa ter custos operacionais mais baixos
e concentrar os esforços em atividades de maior valor
Pelo segundo ano consecutivo, aumentar o foco em agregado. Fica o alerta que estas ações, para alguns
proteção de dados é a ação prioritária em todo o casos, podem criar novos riscos para a empresa.
mundo. Consistente com os resultados do ano passado
estão outras prioridades, como os investimentos Por exemplo, se as empresas estabelecem uma relação
de segurança com base em risco, o fortalecimento de prestação de serviços de gerenciamento contínuo
da governança da empresa, o estabelecimento de de segurança com um determinado fornecedor, elas
programas de risco e conformidade e a adoção de estariam também (1) aumentando a necessidade por
tecnologias de automação relacionada à segurança. supervisão e governança desta prestação de serviços?
(2) tendo que conduzir auditorias mais freqüentes
Um segundo conjunto de tendências inclui outras ações, das operações deste fornecedor? e (3) assegurando
tais como o aumento de confiança em serviços de o alinhamento dos processos do fornecedor com as
segurança gerenciados, a redução do número de pessoal políticas de segurança da empresa, com as exigências
de segurança em tempo integral e a migração das regulatórias correspondentes e com o gerenciamento
responsabilidades relacionadas à segurança para áreas estratégico de riscos?
que não sejam de segurança de TI.
Figura 5: Percentual de respondentes que relataram
Com certeza a lógica de negócio por trás destas ações
Aumentar o foco em proteção de dados 71%
Priorizar investimentos de segurança com base em risco 69%
Fortalecer a governança da empresa, o risco e o programa de conformidade 67%
Redirecionamento da estratégia central existente 66%
Acelerar a adoção de tecnologia de automação de segurança para aumentar a eficiência e cortar custos 66%
Buscar configurações mais completas de ferramentas de DLP 65%
Aumentar a confiança em serviços gerenciados de segurança 59%
Alocar as tarefas de segurança a funcionários que não são de TI 48%
Reduzir o número de pessoal de segurança em tempo integral 43%
que estratégias são importantes para atingir seus objetivos de segurança diante das incertezas da
econômica. (5)
(5) Respondentes que responderam “Importante”, “Muito Importante” ou “Prioridade Top”. Nem todas as respostas incluídas. Não soma
100%. Respondentes podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
20 Pesquisa Global de Segurança da Informação de 2011
19. III. Recursos e orçamentos: Um equilíbrio entre cuidado e
otimismo
Descoberta #6
A precaução financeira permanece alta na medida em que executivos na indústria mantêm
políticas de arrocho orçamentário, pelo menos por enquanto.
Descoberta #7
Entretanto, esta precaução parece estar menor para projetos com mais de seis meses e para
casos em que a redução orçamentária é acima de 10%.
Descoberta #8
Quando perguntados sobre as expectativas de gastos com segurança no próximo ano, os
respondentes estão mais otimistas do que em qualquer momento desde 2005.
PwC 21
20. Descoberta #6
A precaução financeira permanece alta na medida em que executivos na
indústria mantêm políticas de arrocho orçamentário, pelo menos por
enquanto.
Os recursos ainda estão restritos. Não há dúvidas De forma surpreendente, pelo menos dados os sinais
quanto a isso. Embora alguns mercados e segmentos de um iminente retorno do mercado para níveis
pareçam estar se fortalecendo, as empresas ainda estão sustentáveis de crescimento, mais respondentes
reagindo com extrema atenção. que no ano passado relataram que suas empresas
tinham adiado investimentos (CAPEX) relacionados à
Quando perguntados se a empresa havia reduzido segurança. Isto é, de 43% em 2009 para 46% este ano
os orçamentos de segurança durante o ano passado, e despesas operacionais (OPEX), de 40% para 42%
aproximadamente metade de todos os 12.847 respectivamente.
respondentes declara que houve redução para
investimentos (47% dos respondentes) e para Um ajuste sutil do controle de custos? Sim,
despesas operacionais (46%). O interessante é que aparentemente. Um sinal de que ainda haverá
estes percentuais foram exatamente os mesmos do restrições mais rígidas de investimentos? Talvez. Mas
ano passado para a mesma pergunta (47% e 46% provavelmente não. As evidências sugerem que este
respectivamente). (Figura 6). comportamento de extremo foco em custo, em alguns
casos, por exemplo, pode ser comparado com aquela
situação em que o consumidor não gasta dinheiro nos
meses imediatamente anteriores à compra de um novo
carro. Economizar agora para gastar depois.
Figura 6: Percentual de
Sua empresa reduziu orçamentos
respondentes que relataram 2009 2010
para iniciativas de segurança?
que sua empresa está reduzindo
Sim, para investimentos 47% 47%
orçamentos para iniciativas de
segurança ou adiando os mesmos. Sim, para despesas operacionais 46% 46%
A sua empresa adiou iniciativas
2009 2010
de segurança?
Sim, para investimentos 43% 46%
Sim, para despesas operacionais 40% 42%
Fonte: 2011 Global State of Information Security Survey®
22 Pesquisa Global de Segurança da Informação de 2011
21. Descoberta #7
Entretanto, esta precaução parece estar menor para
projetos com mais de seis meses e para casos em que a
redução orçamentária é acima de 10%.
Nos segundos após o timão de um navio oceânico de 200 toneladas, que se move
rapidamente, ser direcionado em uma rota notoriamente diferente, e antes da evidência
desta virada ser indicada na bússola do navio, o nível de água em um lado do casco que
corta ondas registra uma mudança inconfundível.
É o que está acontecendo aqui – de certa maneira. Analisamos mais a fundo como os
executivos responderam nossa pergunta sobre restrição de investimentos e de despesas
operacionais. E o que descobrimos é fascinante.
As precauções com gastos parecem estar menores para projetos com mais de
seis meses e para as reduções orçamentárias de mais de 10%. Por outro lado,
a atenção está naqueles projetos inferiores a seis meses ou com reduções
orçamentárias inferiores a 10%.
Por que existe grande concentração em projetos de curto prazo? É difícil dizer. Alguns
de nossos clientes ainda estão atentos à recuperação da economia no curto prazo.
Outros estão interessados em determinar o CAPEX e OPEX de segurança com base
no fluxo de caixa e não no reconhecimento da receita. Como conseqüência, muitos
gerentes de segurança buscam alocar recursos em projetos do tipo “quick win”, com
resultados de curto prazo, em detrimento de projetos cujas demandas têm caráter
estruturantes ou transformacionais de médio e longo prazo.
Como foi possível perceber esta tendência? Os dados apresentam uma alternância
perceptível em relação a CAPEX e OPEX nos últimos dois anos. Analisando esta
alternância, se percebe distância das iniciativas de longo prazo e foco crescente nas
iniciativas planejadas para o curto prazo. Tomamos esta tendência como o primeiro
sinal de otimismo, embora cauteloso.
PwC 23
22. Figura 7: Percentual de respondentes que relataram que sua empresa está reduzindo orçamentos para
iniciativas de segurança ou adiando as mesmos.
A sua empresa adiou iniciativas de Diferença
2009 2010
segurança? de 1 ano
Sim, para investimento 43% 46%
- por menos de 6 meses 21% 27% +6pts
- por mais de 6 meses 22% 19% -3pts
Sim, para despesas operacionais 40% 42%
- por menos de 6 meses 22% 26% +4pts
- por mais de 6 meses 18% 16% -2pts
Sua empresa reduziu o orçamento Diferença
2009 2010
para iniciativas de segurança? de 1 ano
Sim, para investimento 47% 47%
- em menos de 10% 19% 22% +3pts
- em mais de 10% 28% 25% -3pts
Sim, para despesas operacionais 46% 46%
- em menos de 10% 19% 22% +3pts
- em mais de 10% 27% 24% -3pts
Fonte: 2011 Global State of Information Security Survey®
24 Pesquisa Global de Segurança da Informação de 2011
23. Descoberta #8
Quando perguntados sobre as expectativas de gastos com segurança no
próximo ano, os respondentes estão mais otimistas do que em qualquer
momento desde 2005.
O segundo sinal de otimismo revelado na pesquisa é mais exuberante. Nunca na história
desta pesquisa se registrou um salto tão grande na expectativa de que os gastos com
segurança aumentarão nos próximos 12 meses. Este otimismo, declarado por 52% dos
respondentes, é significativo e representa o maior nível percentual desde antes de 2005.
(Figura 8).
Isto significa a total disposição das empresas em aumentarem seus CAPEX e OPEX em
segurança nos próximos 12 meses, a menos que a economia global sofra outro revés.
Figura 8: Percentual de respondentes da pesquisa que relatam que os gastos
com segurança aumentarão nos próximos 12 meses. (6)
52%
46%
44% 44%
42%
38%
2005 2006 2007 2008 2009 2010
(6) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
PwC 25
24. IV. Capacidades e brechas: tendências muito fortes para se
ignorar
Descoberta #9
Após demonstrarem avanços sólidos nos últimos anos, algumas empresas estão
permitindo que suas capacidades em segurança piorem.
Descoberta #10
À medida que as organizações continuam a ganhar mais visibilidade a partir dos
incidentes de segurança, mais elas aprendem sobre os custos reais de suas brechas.
Descoberta #11
O processo de mudança da linha de reporte do CISO, do CIO para outros executivos de
negócio da empresa, deu uma guinada significativa este ano.
26 Pesquisa Global de Segurança da Informação de 2011
25. Descoberta #9
Após demonstrarem avanços sólidos nos últimos anos, algumas
empresas estão permitindo que suas capacidades em segurança
piorem.
Este ano, a adoção de muitos dos processos planejados Além disso, em muitos casos, os índices de adoção estão
relacionados à segurança de informação parece ter em declínio. Quando comparado com o ano passado,
sofrido estagnação. Quem sabe seja a conseqüência por exemplo, menos respondentes declaram ter a
não prevista da austeridade de redução de custos nas prática de checar antecedentes civis e criminais como
empresas. Os respondentes estão na mesma posição parte do processo de contratação de pessoal ou terceiros
que declaram estar no ano passado, por exemplo, em (60% em 2009, 56% este ano), de monitorar o uso da
relação a ter definida a estratégia geral de segurança internet e dos ativos de informação pelos funcionários
(65% em 2009, 65% este ano), a usar ferramentas de (57% em 2009, 53% este ano) e de conduzir programas
varredura de vulnerabilidades (53% em 2009, 53% este de sensibilização e conscientização de segurança (53%
ano) e a ter padrões e procedimentos de segurança para em 2009, 49% este ano).
os recursos sem fio (celular e wi-fi) (45% em 2009, 45%
este ano). (Figura 9). Um impacto de apenas um ano? Talvez. Mas nos casos
em que isto ocorre, a regressão das capacidades leva a
segurança aos níveis de 2008 ou de antes.
PwC 27
26. Figura 9: Percentual de respondentes cujas empresas possuem as seguintes práticas de segurança e privacidade.
A amostra destaca a estagnação no avanço da capacidade de segurança nas empresas. (7)
65% 65% 67%
57% 59%
58% 59% 60%
37% 38%
2006 2007 2008 2009 2010 2006 2007 2008 2009 2010
Têm definida a estratégia geral de Asseguram o descarte seguro de hardware
segurança da informação
44% 42% 54% 53% 53%
36% 50%
28% 30%
21%
2006 2007 2008 2009 2010 2006 2007 2008 2009 2010
Integram os planos de segurança, Usam ferramentas de varredura de
privacidade e conformidade vulnerabilidades
43% 43% 45% 45%
35% 40%
29% 29% 29%
11%
2006 2007 2008 2009 2010 2006 2007 2008 2009 2010
Implementaram software de correlação de Tem padrões e procedimentos de segurança
eventos de segurança para recursos sem fio (celular e Wi-Fi)
(7) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
28 Pesquisa Global de Segurança da Informação de 2011
27. Figura 10: Percentual de respondentes cujas empresas possuem as seguintes práticas de segurança e
privacidade. A amostra reflete a piora emergente de algumas funções de segurança. (8)
60%
56%
52% 50% 57%
51% 51% 53%
48%
40%
2006 2007 2008 2009 2010 2006 2007 2008 2009 2010
Conduzem verificação do histórico pessoal Tem pessoal dedicado ao monitoramento
do uso de internet e ativos de informação
pelos funcionários
51% 53%
50% 48%
43% 46%
42% 44%
34%
25%
2006 2007 2008 2009 2010 2006 2007 2008 2009 2010
Estabelecem baselines de segurança para Usam processo centralizado de
parceiros externos, clientes, fornecedores e gerenciamento de informações
distribuidores
58%
54% 53% 54% 54%
49% 49% 47%
39% 42%
2006 2007 2008 2009 2010 2006 2007 2008 2009 2010
Conduzem programas de sensibilização Monitoram e analisam ativamente a
ou conscientização de segurança para os inteligência de segurança da informação
colaboradores
(8) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
PwC 29
28. Descoberta #10
À medida que as organizações continuam a ganhar mais visibilidade a
partir dos incidentes de segurança, mais elas aprendem sobre os custos
reais de suas brechas.
Por anos, os percentuais de respondentes que relatavam Trata-se de uma evolução importante com
desconhecer os fatos chave relacionados a incidentes de conseqüências ainda mais importantes. Isto porque, ao
segurança foram sempre inacreditavelmente altos. Em se colocar luzes nas ocorrências e na causa raiz, o que
2007, por exemplo, 40% declararam não saber quantos de descobre é preocupante. O impacto dos incidentes
incidentes de segurança haviam ocorrido nos últimos de segurança no negócio este ano aumentou para níveis
12 meses na empresa. Este ano, houve uma melhora significativos, particularmente em relação às perdas
significativa tendo apenas 23% declarado desconhecer financeiras, relatadas por 20% dos respondentes,
os fatos chave dos incidentes de segurança. Em 2007, seguido por roubo de propriedade intelectual (15%)
quase metade (45%) não sabia que tipo de incidente e comprometimento de marcas ou reputações (14%).
de segurança havia ocorrido. Hoje, 33% não sabem. (Figura 12).
(Figura 11).
À medida que estes números continuam a crescer,
prevemos maior pressão no CFO para a liberação de
recursos, não apenas para manter funções de segurança
no nível atual, mas também para avançar na habilidade
de proteger e habilitar o próprio negócio da empresa.
Figura 11: Percentual de respondentes que relataram as seguintes informações com relação às ocorrências de
incidentes de segurança com impacto negativo à empresa. (9)
40%
35% 32%
Não sabem quantos incidentes 23%
de segurança ocorreram nos
últimos 12 meses
2007 2008 2009 2010
Não sabem que tipo de incidente
de segurança ocorreu, i.e. se houve 45% 44%
39%
exploração de aplicativos, dados, 33%
dispositivos móveis (como smart
phones e armazenamento em USB),
sistemas, redes ou por meio de
2007 2008 2009 2010
engenharia social
42% 39% 34%
Não conhecem a possível origem Não
disponível
do evento, i.e. colaboradores ou
ex-colaboradores, hackers, clientes,
2007 2008 2009 2010
parceiros ou fornecedores
(9) Nem todos os fatores apresentados. Não soma 100%. Respondentes podiam indicar múltiplos fatores.
Fonte: 2011 Global State of Information Security Survey®
30 Pesquisa Global de Segurança da Informação de 2011
29. Figura 12: Percentual de todos os respondentes que relataram os seguintes impactos em suas empresas. (10)
21% 20%
8% 10%
Perdas financeiras
2007 2008 2009 2010
15% 15%
Roubo de propriedade 8%
intelectual 6%
2007 2008 2009 2010
15% 14%
7% 7%
Marca ou reputação
comprometida
2007 2008 2009 2010
(10) Nem todos os fatores apresentados. Não soma 100%. Respondentes podiam indicar múltiplos fatores.
Fonte: 2011 Global State of Information Security Survey®
PwC 31
30. Descoberta #11
O processo de mudança da linha de reporte do CISO, do CIO
para outros executivos de negócio da empresa, deu uma guinada
significativa este ano.
A diferença aumentou. Há três anos, empresas Então, para onde caminha a linha de reporte do CISO?
ainda viam a função de segurança da informação Para o lado do negócio, tipicamente para o “Board” de
substancialmente como um centro de custo de Diretores, o CEO, o CFO, o COO e o CPO. (Figura 13).
tecnologia. Um sinal claro disto era a linha de reporte
do CISO (ou executivo equivalente, responsável por Qual é o significado estratégico desta mudança de
segurança da informação) para o CIO (ou executivo reporte? Em todos os segmentos, as evidências são
equivalente responsável por TI). claras do alinhamento da segurança com o negócio e
do reconhecimento executivo em relação à importância
As mudanças foram rápidas. Desde 2007, o número de e ao valor estratégico da segurança no âmbito
respondentes que relataram responder ao CIO diminuiu corporativo, muito além de somente TI.
significativamente, de 38% para 23% este ano.
Figura 13: O percentual de respondentes da pesquisa que relatou que o CISO de sua empresa ou líder
equivalente de segurança da informação reporta aos seguintes executivos sênior. (11)
Diferença %
2007 2008 2009 2010
em 3 anos
Diretor de Tecnologia (CIO) 38% 34% 32% 23% –39%
“Board” de Diretores 21% 24% 28% 32% +52%
Diretor Executivo (CEO) 32% 34% 35% 36% +13%
Diretor Financeiro (CFO) 11% 11% 13% 15% +36%
Diretor de Operações (COO) 9% 10% 12% 15% +67%
Diretor de Privacidade (CPO) 8% 8% 14% 17% +113%
(11) Nem todos os fatores aparecem. Não soma 100% Respondentes podiam indicar múltiplos fatores.
Fonte: 2011 Global State of Information Security Survey®
32 Pesquisa Global de Segurança da Informação de 2011
31. V. Novas áreas de foco: onde estão as oportunidades emergentes
Descoberta #12
Não é de surpreender que as redes sociais apareçam como a mais nova área de
risco crescente.
Descoberta #13
Para muitas empresas, uma das prioridades é atenuar as consequências de uma
violação de segurança, por meio de uma melhor resposta a incidentes.
Descoberta #14
Um elemento familiar novo no portfólio do CISO? O seguro.
PwC 33
32. Descoberta #12
Não é de surpreender que as redes sociais apareçam como a
mais nova área de risco crescente.
Como se não bastasse a complexidade em se proteger a Poucas empresas se encontram adequadamente
informação nos processos, na tecnologia e na estrutura preparadas para conter esta nova fronteira de
organizacional das empresas, a disseminação do riscos. A maioria das empresas (60%) ainda precisa
uso das redes sociais no âmbito corporativo cria, em implementar tecnologias de segurança que suportem
todo o mudo, uma nova fronteira de riscos para as aplicações Web 2.0 como redes sociais, blogs ou
organizações. wikis. Além disto, 77% ainda não estabeleceram
políticas e práticas de segurança específicas para o uso
Os riscos, na perspectiva da segurança de informação, corporativo de redes sociais ou da tecnologia Web 2.0,
incluem os de perda ou vazamento de informações, uma medida crítica que custaria virtualmente muito
os de impacto na imagem da empresa por declarações pouco. (Figura 14).
ou informações inapropriadas em nome da empresa,
os de impacto legal ou financeiro por download de
programas piratas, os de roubo de identificação (Id e
Senha), que direta ou indiretamente comprometa a
rede e as informações da empresa, e os de agregação de
dados na construção do perfil de um indivíduo para se
estruturar ataques de segurança por meio de práticas de
engenharia social.
34 Pesquisa Global de Segurança da Informação de 2011
33. Figura 14: Percentual de respondentes que relataram as seguintes medidas de segurança em suas empresas. (12)
Implementaram tecnologias de 2010 40%
segurança para aplicações Web 2.0
como redes sociais, blogs ou wikis 2009 40%
Possuem políticas de segurança para o 2010 23%
uso de redes sociais ou de tecnologias
Web 2.0 2009 23%
(12) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
Descoberta #13
Para muitas empresas, uma das prioridades é atenuar as
consequências de uma vulnerabilidade de segurança, por meio de
uma melhor resposta a incidentes.
À primeira vista, o fato de quase seis em cada dez entrevistados (58%) declarar que sua empresa tem um
plano de contingência para incidentes de segurança parece positivo. (Figura 15).
Mas quando você analisa este número considerando o percentual dos que consideram este plano eficaz
(63%), os resultados são decepcionantes.
Isso significa que, de fato, a maioria das empresas (63%) ou não tem um plano de contingência ou, se tem,
ele não cumpre o seu propósito com eficácia.
Figura 15: Percentual de respondentes que
relataram se a empresa tem ou não um plano de
contingência para resposta a incidentes Sim 58% Não 23% Não sei 19%
Fonte: 2011 Global State of Information Security Survey®
PwC 35
34. Descoberta #14
Um elemento familiar novo no portfólio do CISO? O seguro.
É fato que as empresas tomam continuamente medidas Surpreendente, pois quase a metade (46%) respondeu
para conter riscos de segurança da informação. Pela “sim”. Além disto, 17% declararam ter requerido os
primeira vez este ano, perguntamos se as empresas direitos diante de um sinistro e 13% ter recebido a
possuíam apólices de seguro contra roubo ou uso indenização pelos direitos. A expectativa é que estes
inadequado de ativos de informação como dados e números cresçam significativamente nos próximos anos.
registros eletrônicos de clientes. (Figura 16).
46%
Figura 16: Percentual dos respondentes que declarou
as seguintes questões relacionadas a apólices de
seguro. (13)
17%
13%
Sim, nossa empresa Sim, foi requerido Sim, recebemos
tem apólice de seguro o direito diante de a indenização
contra roubo ou um sinistro dos respectivos
uso inadequado de direitos
ativos como dados ou
registros eletrônicos
de clientes
(13) Nem todos os fatores aparecem. Não soma 100%. Respondentes podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
36 Pesquisa Global de Segurança da Informação de 2011
35. VI. Tendências regionais: a troca da guarda
Descoberta #15
Com confiança, persistência e iniciativa, a Ásia parece determinada em se tornar o
novo líder global em segurança de informação.
Descoberta #16
Com mais atenção e restrição e sem apresentar a mesma perspectiva de
crescimento da Ásia, a América do Norte desacelera os motores.
Descoberta #17
Com otimismo e cautela, a América do Sul pisa no acelerador e no freio quase ao
mesmo tempo. Com falta de senso de urgência e de direção segue a Europa.
PwC 37
36. Descoberta #15
Com confiança, persistência e iniciativa, a Ásia parece
determinada em se tornar o novo líder global em segurança de
informação.
Após perseguir a América do Norte por muitos anos, a Da mesma forma, as empresas asiáticas buscam,
Ásia demonstra níveis superiores de maturidade e de com maior vigor e energia, medidas estratégias para
capacidade em segurança do que qualquer outra região atingir os objetivos de segurança no atual contexto
do mundo. econômico. Por exemplo, o fortalecimento das
competências de governança, risco e compliance no
Escolha uma métrica. As respostas dos asiáticos contexto da segurança da informação é apontado
apontam a “demanda do cliente” como um dos com determinação pelos respondentes asiáticos que
principais motivadores para os gastos com segurança, consideram estas competências como “prioridade top”,
cujos montantes são muito superiores aos gastos de “muito importante” ou “importante” (75%), superando
outras regiões do mundo. Eles, também, perceberam a América do Sul com 70% e contrastando com América
rapidamente o aumento da importância e do papel do Norte com 66%) e Europa com 56%.
da segurança nas empresas em função da crise e da
instabilidade econômica mundial. Eles estão muito Seria apenas um ponto fora da curva de tendências
mais focados em programas de proteção de dados de vários anos? Não. Muito pelo contrário. A Ásia, há
do que seus pares em outras regiões do mundo Eles anos, vem destinando volumes significativos de recursos
têm uma atitude muito mais progressiva a respeito de para programas de segurança de informação.
práticas emergentes como, por exemplo, na contratação
de pessoal dedicado à segurança para apoio às áreas O cenário na Ásia é muito favorável. Os asiáticos
de negócios e na implementação de tecnologias de estão muito mais otimistas quanto ao aumento dos
segurança para soluções Web 2.0. investimentos em segurança nos próximos meses,
quando comparados aos seus pares em outras regiões
do mundo. Em breve, a Ásia será líder em segurança
da informação. Será em um ano? Ou em dois? O fato é
que a Ásia está posicionada para conquistar a liderança.
(Figuras 17 e 18).
38 Pesquisa Global de Segurança da Informação de 2011
37. Descoberta #16 Descoberta #17
Com mais atenção e restrição e sem Com otimismo e cautela, a América
apresentar a mesma perspectiva de do Sul pisa no acelerador e no freio
crescimento da Ásia, a América do quase ao mesmo tempo. Com falta
Norte desacelera os motores. de senso de urgência e de direção
segue a Europa.
Em enorme contraste com os avanços asiáticos em
segurança de informação, que vem dando foco em Ao contrário da Ásia, que parece ter quase ignorado
questões estratégicas como o alinhamento entre a muitos dos impactos de curto prazo da economia global
segurança e o negócio e a necessidade vital de se na segurança de informação, o foco da América do Sul
proteger os dados nas empresas, a América do Norte no último ano foi volátil e antagônico. Se por um lado a
decidiu reduzir os investimentos em segurança da América do Sul ficou atrás do Oriente Médio e da África
informação e preservar os recursos financeiros. como regiões propensas a adiar as ações de segurança
ou a reduzir investimentos e despesas operacionais,
Era de se esperar. O nível de maturidade da maioria das como sinal de cautela à crise econômica, por outro, os
competências de segurança de informação na América sul-americanos estão próximos dos asiáticos quanto ao
do Norte se manteve estável ou declinou nos últimos 12 otimismo no aumento dos investimentos em segurança
meses. da informação nos próximos 12 meses.
Embora em menor número, há alguns pontos para Ao mesmo tempo, em um ano em que várias regiões
serem destacados. Eles incluem os avanços da do mundo estão aumentando em dois dígitos sua
América do Norte na adoção de softwares de gestão preocupação com o enfraquecimento da segurança de
de segurança e melhorias no impacto causado pela seus fornecedores e parceiros de negócios devido às
virtualização nas funções de segurança de informação. condições econômicas, a preocupação com esse aspecto
diminuiu na América do Sul. Um sinal de preocupação
Entretanto, a “gasolina do carro” Norte Americano não é que apenas 28% dos sul-americanos declararam que
é a mesma. Se por um lado os executivos asiáticos agem suas empresas realizam avaliações de segurança em
proativamente e apontam a “demanda de clientes” terceiros que lidam com os dados pessoais de clientes e
como a principal justificativa de gastos com segurança, funcionários.
os norte-americanos são reativos e apontam como
principal justificativa de gastos as exigências legais e Na Europa, o foco em informação é muito mais suave.
regulatórias. A Europa está atrás de outras regiões quanto ao
nível de maturidade de segurança. Embora estejam
Isto é revelador e, talvez, um pouco profético. Em buscando estratégias semelhantes para fazer frente aos
alguns anos, poderemos olhar para a primeira impactos causados pelas condições econômicas, como
década deste século e concordar que a segurança da priorizar investimentos de segurança com base em
informação, em sua adolescência, se desenvolveu tendo risco, os europeus estão fazendo isso com um nível de
como referência o rigor do ambiente legal e regulatório comprometimento muito menor do que seus pares em
determinado pela liderança norte-americana em outras regiões do mundo. Como a América do Norte,
segurança até 2009. Mas, com o amadurecimento da a Europa tem uma visão limitada das ocorrências
segurança de informação até se tornar parte integrante de segurança e, portanto, não está percebendo o
das funções de negócio, garantindo assento na direção verdadeiro impacto dessas ocorrências nos negócios.
da empresa, o atendimento à demanda dos clientes e Enquanto 68% dos europeus que responderam a
o incremento de receita que segurança pode trazer ao pesquisa dizem que sua empresa dispensa alto nível de
se alinhar verdadeiramente ao negócio se tornaram importância à proteção de informações dos clientes,
a “cenoura” ou o principal direcionador do setor. E nas outras regiões do mundo as respostas refletem mais
podemos, também, considerar o domínio da Ásia no convicção, direção e urgência. Isto é na Ásia, 80%;
setor, cujos primeiros sinais apareceram em 2009 e América do Norte, 80%; América do Sul, 76%. (Figuras
2010, marcando o início de uma nova fase de evolução 17 e 18).
para a segurança da informação nas organizações em
todo o mundo. (Figuras 17 e 18).
PwC 39
38. Figura 17: Diferenças regionais nas práticas de segurança de informação. (14)
América América
Ásia Europa
do Norte do Sul
Um direcionador líder nas despesas com segurança: condições econômicas 53% 55% 51% 41%
Um direcionador líder nas despesas com segurança: continuidade do negócio 50% 42% 35% 29%
Um direcionador líder nas despesas com segurança: reputação da empresa 41% 33% 37% 28%
Uma das justificativas mais dadas para segurança: ambiente regulatório/legal 45% 55% 35% 35%
Uma das justificativas mais dadas para segurança: exposição/resp. potencial 45% 50% 32% 25%
Uma das justificativas mais dadas para segurança: demanda do cliente 52% 37% 39% 29%
Despesas com segurança crescerão ou se manterão estáveis 86% 71% 81% 68%
Percebem proteção de informações do cliente “importante/extremamente importante” 80% 80% 76% 68%
Usam software corporativo de gestão de segurança 49% 42% 41% 34%
Têm inventário preciso de onde os dados sensíveis estão armazenados 42% 40% 33% 24%
Têm uma estratégia geral de segurança da informação 68% 73% 58% 60%
Têm baselines de segurança estabelecidas para parceiros e clientes 46% 55% 47% 39%
Têm pessoal dedicado à segurança dando suporte a departamentos de negócio 56% 45% 51% 38%
Têm padrões de segurança para dispositivos portáteis 52% 47% 41% 36%
Criptografam mídia removível 59% 44% 53% 43%
Usam ferramentas para descobrir dispositivos não autorizados 56% 56% 52% 45%
Usam ferramentas para evitar o vazamento de dados (DLP) 50% 46% 41% 40%
Têm tecnologias de segurança com suporte à Web 2.0 48% 36% 43% 32%
Número de incidentes de segurança nos últimos 12 meses: desconhecido 14% 37% 19% 29%
Tipo de incidentes de segurança: desconhecido 22% 43% 35% 40%
Possível fonte de incidentes: desconhecido 26% 44% 31% 41%
Impactos de incidentes de segurança no negócio: perdas financeiras 26% 12% 27% 14%
Impactos de incidentes de segurança no negócio: roubo de propriedade intelectual 18% 11% 17% 12%
Impactos de incidentes de segurança no negócio: marca/reputação comprometida 18% 8% 13% 12%
Conduzem avaliação de risco da empresa pelo menos duas vezes ao ano 41% 28% 42% 33%
Continuamente priorizam ativos de informação de acordo com o nível do risco 24% 16% 20% 16%
Têm processo centralizado de gestão de segurança da informação 52% 57% 44% 40%
(14) Nem todos os fatores aparecem. Não soma 100% Respondentes podiam indicar vários fatores.
Fonte: 2011 Global State of Information Security Survey®
40 Pesquisa Global de Segurança da Informação de 2011
39. Figura 18: Diferenças entre percepções regionais dos impactos da desaceleração econômica na função de
segurança de informação (15)
América América
Ásia Europa
do Norte do Sul
O ambiente de risco elevou o papel e a
65% 53% 56% 45%
importância da função de segurança de informação.
O ambiente regulatório se tornou mais
62% 58% 52% 50%
complexo e pesado.
Esforços de redução de custo fazem com que
53% 53% 55% 43%
segurança adequada seja mais difícil de se atingir.
Nossos parceiros de negócio foram enfraquecidos
57% 54% 48% 48%
pela desaceleração.
Nossos fornecedores foram enfraquecidos pela
55% 52% 46% 46%
desaceleração.
Os riscos a dados da empresa aumentaram devido
46% 39% 43% 38%
a demissões de funcionários.
As ameaças à segurança de nossos ativos de
48% 50% 41% 33%
informação aumentaram
(15) Aqueles que responderam “concordo” ou “concordo totalmente”.
Fonte: 2011 Global State of Information Security Survey®
PwC 41
40. Como fica o Brasil neste
contexto
Líder no mercado de
segurança. Ou visionário
que ainda possui demandas
reprimidas?
42 Pesquisa Global de Segurança da Informação de 2011
41. Cerca de 4% executivos que responderam à Pesquisa otimismo do Brasil com relação ao crescimento dos
Global de Segurança da Informação 2011 informaram gastos com segurança da informação é maior, se
ocupar posições de trabalho no Brasil, o que é comparado ao resultado global. Isto se deve ao fato
significativo em termos absolutos (quase 500 do total de a crise econômica mundial não ter surtido por
de participantes). Nesta edição da pesquisa decidimos aqui o mesmo efeito devastador que surtiu em outros
então, pela primeira vez, incluir este capítulo com mercados, especialmente nos EUA. Ou seja, enquanto no
alguns dados específicos e conclusões a respeito do restante do mundo as corporações ainda encontram-se
mercado nacional de segurança da informação. um pouco tímidas e cautelosas em voltar a aumentar os
gastos no curto e médio prazo, no Brasil as expectativas
A primeira informação analisada não surpreende são mais promissoras, uma vez que dois terços das
e demonstra consistência ao ser comparada com o empresas indicam aumentos nos gastos com segurança
resultado obtido na edição anterior da pesquisa. O da informação nos próximos 12 meses. (Figura 19)
Figura 19: Percentual de respondentes da pesquisa que relatam que os gastos com segurança aumentarão nos
próximos 12 meses.
66%
55%
52%
44%
Resultados globais
Brasil
2009 2010
Por outro lado, um dado do mercado nacional que muito surpreende, diz respeito à estrutura organizacional.
Conforme já mencionado anteriormente neste relatório, já faz alguns anos que a área de segurança da
informação não é mais vista única e exclusivamente como um centro de custo de Tecnologia da Informação
(TI). A tendência é de que a linha de reporte do CISO, cada vez mais, desprenda-se do CIO. O que surpreende
no Brasil é que este movimento parece ocorrer de forma mais intensa, com 46% das respostas relatando que o
CISO já se reporta ao “Board” de Diretores. (Figura 20)
PwC 43
42. Figura 20: Percentual de respondentes que relatou que o CISO de sua empresa ou líder equivalente de segurança
da informação reporta aos seguintes executivos sênior.
Resultados globais
2007 2008 2009 2010
Brasil
Diretor de Tecnologia (CIO) 38% 34% 32% 23% 17%
“Board” de Diretores 21% 24% 28% 32% 46%
Diretor Executivo (CEO) 32% 34% 35% 36% 26%
Diretor Financeiro (CFO) 11% 11% 13% 15% 11%
Diretor de Operações (COO) 9% 10% 12% 15% 14%
Diretor de Privacidade (CPO) 8% 8% 14% 17% 15%
Outra constatação interessante da pesquisa foi que as empresas no Brasil parecem ter mais conhecimento a
respeito dos incidentes de segurança da informação ocorridos, se comparadas às respostas dos resultados
globais da pesquisa. Além disso, os incidentes relacionados com exploração de dados ocupam a primeira
posição no ranking e são ainda mais representativos no Brasil do que no resto do mundo, tendo recebido 34%
das respostas. (Figura 21).
Figura 21: Tipos de incidentes ocorridos.
27%
Exploração de dados 34%
25%
Exploração de rede
33%
23%
Exploração de sistema
25%
Exploração de aplicação 16%
18%
20%
Exploração de dispositivo móvel
19%
15%
Engenharia social 18%
Não sei 33%
28%
Resultados globais
Brasil
44 Pesquisa Global de Segurança da Informação de 2011
43. Os executivos apontaram que a principal estratégia para a mitigação de riscos e o atendimento aos objetivos de
segurança é o foco em proteção de dados, com 71% das indicações gerais da pesquisa. No caso do Brasil, esta
preocupação é ainda maior, uma vez que 83% dos respondentes brasileiros da pesquisa indicam proteção de dados
como “importante”, “muito importante” ou “prioridade imediata”. (Figura 22)
Figura 22: Percentagem de respondentes que relataram que, a fim de atingir seus objetivos de segurança,
o foco em proteção de dados é importante.
71%
83%
Resultados globais
Brasil
Mas é claro que nem tudo são flores, e de certa forma o Talvez os dados positivos do Brasil se justifiquem
Brasil também possui os mesmos desafios em segurança pelo crescimento das demandas que se encontravam
da informação que os demais países, como a tendência estranguladas. Talvez os números de outros mercados
de novas soluções tecnológicas (ex.: nova geração é que estejam aquém do seu potencial devido ainda
de dispositivos móveis) que podem ser aplicadas a reflexos da crise global recentemente superada. Ou
diretamente ao negócio da companhia e trazem novos talvez os números realmente signifiquem que o Brasil
riscos. Ou questões relacionadas à Web 2.0, como redes assumiu, com certeza, uma liderança regional e, quem
sociais, blogs e wikis, que provocam tanta dor de cabeça sabe, mundial no tema segurança da informação
aos CISOs. por conta do excelente trabalho dos CISO e outros
executivos das empresas no país que têm tratado
segurança da informação de forma ampla e com a
devida importância em suas organizações ao longo
destes anos.
PwC 45
44. O que isto significa para o
seu negócio
Aprenda com a desaceleração
e retomada da economia. E
faça mudanças importantes.
Mas também esteja entre os
primeiros a olhar para frente.
46 Pesquisa Global de Segurança da Informação de 2011
45. Foi um ano de muitas incertezas em que o balanço da Entretanto, os sinais de otimismo são incontestáveis.
segurança esteve sob avaliação permanente. Da mesma A crescente maturidade funcional da segurança nas
forma, os alertas empresariais continuam com: organizações é uma realidade e impossível de não ser
notada em todo o mundo.
• A disciplina rígida na redução de custos.
• Após a “prova de fogo” da economia em 2009, a
• O foco na economia de recursos, embora alguns
área de segurança está ganhando mais respeito sob
processos de segurança estejam começando a se
o aspecto de negócios.
degradar.
• Maior compreensão do valor da segurança, não
• O menor número de incidentes, mas com impactos
apenas pelo “C-level”, mas também pelas áreas
negativos cada vez maiores para o negócio.
operacionais da empresa.
• O surgimento de novas áreas de risco e com maior
• A “demanda dos clientes” está se tornando, cada
possibilidade, em comparação com o ano passado,
vez mais, um direcionador de investimentos em
de que os sistemas de segurança não estejam
segurança.
adequados para proteger o negócio.
• A análise sobre a causa raiz dos incidentes
de segurança, onde eles se originam e qual
impacto eles causam aumenta a visibilidade da
segurança nas empresas. O nível de otimismo dos
últimos cinco anos é o mais alto em relação aos
investimentos em segurança nas empresas.
O que isso significa para o seu negócio?
Tire lições da desaceleração e da retomada da
economia e faça mudanças cruciais. Da mesma
forma, fique atento e seja o primeiro entre os
seus concorrentes a encarar e a posicionar
estrategicamente a segurança da informação na sua
empresa, criando valor e apoiando o desempenho
corporativo nos próximos anos.
PwC 47
46. Imagem 23: É um ano incerto – e a segurança está equilibrada?
Cuidado Otimismo
A disciplina rígida na Após a “prova de fogo” da economia em
redução de custos 2009, a área de segurança está ganhando
mais respeito sob o aspecto de negócios
O foco na economia de recursos, Maior compreensão do valor da segurança,
embora alguns processos de não apenas pelo “C-level”, mas também
segurança estejam começando a se pelas áreas operacionais da empresa
degradar
O menor número de incidentes, mas A “demanda dos clientes” está se tornando,
com impactos negativos cada vez cada vez mais, um direcionador de
maiores para o negócio investimentos em segurança
O surgimento de novas áreas de risco e A análise sobre a causa raiz dos incidentes
com maior possibilidade, em comparação de segurança, onde eles se originam e qual
com o ano passado, de que os sistemas de impacto eles causam aumenta a visibilidade da
segurança não estejam adequados para segurança nas empresas. O nível de otimismo
proteger o negócio dos últimos cinco anos é o mais alto em relação
aos investimentos em segurança nas empresas
2011
48 Pesquisa Global de Segurança da Informação de 2011
47. Metodologia
A Pesquisa Global de Segurança da Informação 2011 (Global State of
Information Security Survey®) é um estudo mundial de segurança realizado
pela PwC em parceria com a CIO Magazine e CSO Magazine. Esta pesquisa foi
conduzida online entre 19 de fevereiro de 2010 e 4 de março de 2010. Leitores
das revistas CIO e CSO e clientes da PwC de todo o mundo foram convidados por
email a responder à pesquisa. Os resultados discutidos neste relatório têm por
base as respostas de mais de 12.800 CEOs, CFOs, CIOs, CSOs, vice-presidentes
e diretores de TI e segurança da informação de 135 países, sendo quase 500
respondentes do Brasil. 37% dos respondentes são da Ásia, 30% da Europa, 17%
da América do Norte, 14% da América do Sul e 2% do Oriente Médio e da África
do Sul. A margem de erro é menos de 1%.
PwC 49
48. Contatos
pwc.com/giss2011
Para mais informações, entre em contato com a nossa equipe de Segurança da Informação:
São Paulo Rio de Janeiro
Edgar R. P. D’Andrea Rodrigo Milo
Sócio Gerente Executivo
edgar.dandrea@br.pwc.com rodrigo.milo@br.pwc.com
Eliane Kihara Jeferson Stabille
Sócia Gerente
eliane.kihara@br.pwc.com jeferson.stabille@br.pwc.com
Antonio Gesteira Felipe Almeida
Diretor Gerente
antonio.gesteira@br.pwc.com felipe.almeida@br.pwc.com
Ana Rosa
Gerente Executiva Porto Alegre
ana.rosa@br.pwc.com
Ricardo Dastis
Claudinei Vieira Gerente Executivo
Gerente Executivo ricardo.dastis@br.pwc.com
claudinei.vieira@br.pwc.com
Marcos Martins
Gerente Executivo
marcos.martins@br.pwc.com
Viviane Oliveira
Gerente Executiva
viviane.oliveira@br.pwc.com
Afonso Coelho
Gerente
afonso.coelho@br.pwc.com
Joana Mendes
Gerente
joana.mendes@br.pwc.com
Marcelo Lima
Gerente
marcelo.lima@br.pwc.com Ou visite:
www.pwc.com/giss2011
Patrícia Durigao
Gerente
patricia.durigao@br.pwc.com
50 Pesquisa Global de Segurança da Informação de 2011