A Tempest Security Intelligence apresenta seu primeiro estudo de segurança da informação do mercado brasileiro. Realizado com mais de cinquenta empresas sediadas no País, de diferentes setores industriais, “Cibersegurança: a visão dos clientes da Tempest/EZ-Security para 2019” analisa o perfil dos participantes, a maturidade das empresas em relação ao tema, os investimentos e as prioridades das empresas na área, como as novas regulamentações Lei Geral de Proteção de Dados (LGPD) e General Data Protection Regulation (GDPR – regulamentada pela União Europeia) têm influenciado o foco de prioridades das empresas, entre outros assuntos.
SonicWall vê aumento no número de arquivos PDF fraudulentos em 2019
Além das novas regulamentações, percebe-se ao longo do estudo que os SOCs (sigla em inglês para Centros de Operações de Segurança) – espaços que se monitoram, em regime 24×7, as mais variadas tecnologias e filtram sinais de diversas fontes, alertando clientes sobre comportamentos relevantes e que requerem intervenção – são uma realidade para praticamente metade das empresas; a priorização de investimentos em Gestão de Riscos pode refletir os últimos eventos de vazamentos de informação no Brasil e na atuação mais ativa de órgãos regulatórios nestes casos; os níveis de maturidade para a Segurança da Informação nas empresas são muito difusos, principalmente quando comparado com mercados como Estados Unidos e Europa, mas estão passando por um processo de amadurecimento importante; e os gestores de segurança estão extremamente preocupados em não virar alvo de vazamentos, e parecem ter compreendido a importância de gerenciar as vulnerabilidades técnicas de suas empresas como fator adjacente a? prevenção destes vazamentos.
Perfil dos participantes
O estudo traz mais de 15 segmentos do mercado brasileiro, com destaque para o Financeiro, com a maioria dos respondentes (45,45%); a Indústria de Manufatura (12,73%); e o Varejo/E-Commerce (7,27%); seguidos por Saúde, Mídia, Programa de Fidelidade, Energia, Seguros, Transporte e Outros, conforme gráfico abaixo:
A quem se reporta o líder de Segurança da Informação?
Um dado que merece atenção está relacionado a quem se reportam os executivos nas empresas. Quase metade dos profissionais ouvidos, 49.09%, afirmou que, em suas empresas, os líderes e gestores de segurança respondem diretamente ao diretor de tecnologia (CIO). Em 18,18% dos casos, os profissionais reportam ao diretor de operações (COO) e apenas 9% deles respondem diretamente ao CEO.
Para efeitos comparativos, a última edição do relatório “Global State of Information Security Survey”, produzido pela PriceWaterhouseCoopers, mostrava que 40% dos CISOs ou CSOs respondiam diretamente aos CEOs de suas empresas, 27% ao Conselho e 24% a um CIO. “Em contraste com os dados da PwC, que mostram fortalecimento do papel do CISO por sua proximidade junto ao alto comando das organizações, os dados coletados mostram que o Brasil ainda precisa amadurecer”, analisa Lincoln.
Investimento destinado à Segurança da Informação
A preocupação permanece quando falamos sobre investimentos em cibersegurança. Mais da metade das empresas ouvidas informam que o orçamento anual de segurança da informação representa ate? 2% do faturamento anual. Destas, 34,5% afirmam que o investimento não ultrapassa 1%.
A boa notícia é que, para 2019, 38,8% das empresas ouvidas afirmaram que a expectativa e? incrementar este orçamento em ate? 20%. Por outro lado, 30,9% afirmam que a variação positiva não deve ultrapassar os 5%.
Maturidade das empresas
Um dos quadros mais relevantes levantados no estudo foi como as empresas enxergam a sua maturidade em relação ao tema. Como o Brasil está abaixo dos níveis adequados, principalmente quando comparados com mercados maduros como o norte-americano e o europeu, as respostas tendem a mostrar uma visão distorcida sobre maturidade em cibersegurança, demonstrando que a preocupação das empresas brasileiras ainda está aquém do que deveria.
Praticamente 25% das empresas estão nos estágios “Inexistente” ou “Inicial”, ou seja, possuem poucos recursos estruturados e sem visão abrangente ou apoio da empresa. 30% consideram que suas empresas possuem um nível estabelecido de maturidade, contando com um plano claro de atuação e apoio às organizações, mesmo estando abaixo das exigências do mercado.
Nos estágios “Gerenciado” e “Avançado” encontram-se 43,64% das empresas. 20% afirmam que apresentam recursos e processos maduros e investimentos na área, e apenas 23% do total segue padrão internacional.
Fatores mais relevantes para investimentos em cibersegurança
As perdas financeiras sempre ganham muito destaque quando a empresa é surpreendida por uma fraude, mas quando pedimos aos respondentes para que citassem as suas principais preocupações em ordem de importância, a proteção dos dados de seus clientes liderou (67,27%), seguido pela reputação da marca (54,55%) e, finalmente, pelas perdas financeiras relacionadas a falhas de segurança (45,45%). Lincoln credita isso às regulamentações como GDPR e LGPD, que estão influenciando a priorização nos investimentos em segurança. “A conformidade regulatória ser a quarta colocada no ranking das prioridades, com 41,82% comprova esta preocupação”, afirma.
Estrutura dos SOCs
SOCs são uma realidade em quase metade das empresas participantes (49%). Sendo que destes, 29% contam com estrutura própria, sem a intenção de terceiriza?-la, e, em 20% dos casos, o SOC e? operado por uma companhia terceirizada.
As empresas que não contam com a estrutura, própria ou terceirizada, respondem por 51%. Destes, 14% tem a intenção de contratar uma empresa para fornecer o serviço.
A pesquisa “State of the SOC Report, da Exabeam”, realizada nos EUA e no Reino Unido, em maio de 2018, mostra que 40% das empresas terceirizam seus SOCs. Destas, 95% terceirizam apenas parte das atividades – especialmente os quesitos detecção de ameaças (47%) e monitoramento (45%), mantendo em casa as respostas a incidentes (68%). Outro estudo, este do SANS Institute, mostra que as empresas tendem a confiar em serviços terceirizados na pesquisa de ameaças (44%) e forense digital (38%).
Áreas prioritárias dos investimentos em cibersegurança
Seguindo a forte tendência na prevenção a? perda de dados, a Gestão de Riscos (6,6%) esta? no topo das prioridades de investimentos entre os participantes do estudo. Também merecem destaque os itens Arquitetura de Segurança (6,4%) e Prevenção de Ameaças (5,56%).
E? possível que os recentes eventos envolvendo vazamentos de dados no Brasil, além da atuação mais ativa de órgãos regulatórios, sejam determinantes nesta tendência.
Metodologia e base de dados
O estudo “Ciberseguranc?a: a visa?o dos clientes da Tempest/EZ-Security para 2019” foi realizado a partir de um questionário composto por perguntas com respostas únicas e de múltiplas escolhas, nas quais o participante era convidado a atribuir uma nota a diversos itens e criando uma escala de importância. Este método foi utilizado especialmente em perguntas referentes a? prioridade de alocação dos investimentos relacionados a ciberseguranc?a.
Nos casos das outras respostas que envolvem múltiplas escolhas usamos como critério de classificação a média ponderada, e não o percentual de pessoas que escolheram um determinado item; esse critério foi escolhido por levar em consideração não só o item apontado como o mais importante pelos participantes, mas os pesos atribuídos por eles a todas as alternativas apresentadas.
