Pesquisa Global de Segurança da Informação EY 2013 · hoje em dia tem consciência da dimensão e da intensidade das ameaças que enfrentam, e realizam melhorias com o objetivo

Ernst & Young agora é EY.

TMRio2016

Na mira dos ataques cibernéticosPesquisa Global de Segurança da Informação EY 2013

Ideias e informações sobre governança, riscos e compliance

A cibernética no mundo atualVocê pode estar na mira de um ataque cibernético - agora! 2Um número bastante relevante de executivos que agora leem este estudo em breve descobrirá que hackers violaram o perímetro e os controles de segurança de suas empresas.

Melhorar A conscientização sobre ameaças cibernéticas pode trazer melhorias 3Nossa pesquisa constata que um número maior de organizações hoje em dia tem consciência da dimensão e da intensidade das ameaças que enfrentam, e realizam melhorias com o objetivo de proteger seu ambiente. Apesar do progresso que vêm alcançando, as empresas precisam fazer mais – e rapidamente – para combater os riscos cibernéticos, que estão crescendo em número e complexidade.

Ampliar Melhores práticas para combater ameaças cibernéticas 9Embora os avanços alcançados pelas empresas na melhoria de seus programas de segurança tenham sido inúmeros, nossos resultados apontam dez áreas específicas em que as empresas líderes devem se concentrar para aperfeiçoar essas melhorias.

Inovar Para sobreviver, é preciso que a inovação gere transformação 14Pedimos aos entrevistados para classificar 13 tecnologias de acordo com importância, grau de familiaridade e grau de confiança na capacidade. Os resultados mostram que as empresas dão ênfase àquilo que está diante delas e ao que é conhecido, e não direcionam o foco necessário para o que pode ser iminente ou surgir num futuro próximo.

Conclusão Combater ataques cibernéticos requer liderança e determinação de responsabilidade. 20A velocidade com que a tecnologia evolui só vai aumentar nos próximos anos – assim como os riscos cibernéticos. Enfrentar esses riscos requer pensamento proativo acompanhado de um apoio mais incisivo dos executivos das organizações. Não reconhecer a devida importância dos riscos até que eles surjam favorece os invasores cibernéticos.

Conteúdo

Ideias e informações sobre governança, riscos e compliance | Pesquisa Global de Segurança da Informação EY 2013 | 1

Bem-vindo à pesquisa “Na mira dos ataques cibernéticos: Pesquisa Global de Segurança da Informação EY 2013”.

Como muitas organizações já devem ter aprendido, às vezes do pior jeito possível, ataques cibernéticos não são mais uma questão de se, mas de quando ocorrerão. Os invasores cibernéticos (hackers) estão cada vez mais persistentes e têm muitas vezes motivação política. Quando um tipo de tática falha, tentam outra e outra, até que conseguem invadir as defesas da organização. Ao mesmo tempo, a tecnologia vem aumentando a vulnerabilidade das organizações devido à presença e consequente exposição on-line cada vez mais frequente, ao uso cada vez maior das mídias sociais, à adoção em massa de dispositivos móveis, ao aumento do uso de serviços na nuvem, assim como à coleta e análise de grande volume de dados (big data).

Além disso, os reguladores estão percebendo essa ameaça e exercendo pressão sobre as empresas para que cumpram regras e regulamentações, admitam invasões cibernéticas publicamente e se submetam a verificações detalhadas. As empresas não devem se permitir cair em armadilhas no que se refere à obrigação de regulamentação; os líderes devem analisar o que precisam fazer para administrar seus riscos residuais e de fato ter uma compreensão abrangente de onde se situam.

As organizações precisam estar preparadas para combater, gerenciar e mitigar ataques cibernéticos, que podem ocorrer a qualquer hora e em qualquer lugar.

Nossa 16º pesquisa anual sobre Segurança da Informação explora três níveis de resposta ao risco cibernético num ambiente em que os ataques são numerosos, constantes e cada vez mais complexos.

1. Melhorar — Melhorias e desafios: as melhorias que as organizações estão promovendo para enfrentar as ameaças cibernéticas com as quais já lidam e os desafios que ainda requerem maiores esforços.

2. Ampliar — Melhores práticas: as medidas que as organizações líderes estão adotando para incrementar ou ampliar as melhorias, para assim enfrentar mais proativamente as novas ameaças.

3. Inovar — Inovação em segurança: as soluções que as organizações precisam desenvolver relacionadas a tecnologias iminentes ou que podem surgir num futuro próximo.

Nossa pesquisa explora as experiências vividas por mais de 1.900 organizações clientes e como elas estão respondendo às ameaças cibernéticas dos dias de hoje. Além disso, entrevistamos um bom número de executivos experientes de organizações que, pela experiência da EY, demonstram usar as melhores práticas para enfrentar riscos cibernéticos. Utilizamos também análises realizadas por profissionais da EY e uma pesquisa secundária para aprofundar e contextualizar melhor as constatações de nossa pesquisa.

Gostaríamos de estender nossos agradecimentos a todos os participantes de nossa pesquisa.

Agradecemos pelo tempo que disponibilizaram para compartilhar suas experiências conosco.

Estamos à disposição para discutir em maiores detalhes as implicações dessas descobertas, e esperamos receber seus comentários.

Paul van KesselLíder Global de Riscos da EY

Ken AllanLíder Global de Segurança da Informação

Paul van KesselLíder Global de Riscos da EY

Ken AllanLíder Global de Segurança da Informação

Bem-vindos

2 | Ideias e informações sobre governança, riscos e compliance | Pesquisa Global de Segurança da Informação EY 2013

Improve

Você pode estar na mira de um ataque cibernético – agora! Os ataques à segurança cibernética aumentaram exponencialmente nos últimos anos. Todos os dias, conforme o rápido avanço da evolução tecnológica, novos e mais complexos riscos cibernéticos emergem, ameaçando prejudicar a marca e o lucro de uma organização. Cada executivo e cada empresa são um alvo potencial.

Enquanto leem este relatório, um grande número de executivos possivelmente ficará sabendo de um ataque à segurança de suas organizações. A infiltração pode ter ocorrido há dias, semanas ou mesmo meses – e as pessoas sequer sabem disso. Quando o evento e a magnitude da violação vêm à tona, os custos associados à organização podem surpreender. Para compreender a extensão do impacto, basta lembrar os ataques de alto padrão a marcas e organizações muito conhecidas noticiados diariamente e considerar o número de bancos de dados perdidos e os custos financeiros e de reputação.

Em nosso relatório da Pesquisa Global de Segurança da Informação EY 2012 “O desafio da redução dos gaps de Segurança da Informação”, abordamos a existência de uma lacuna cada vez maior entre a situação atual do programa de Segurança da Informação de uma organização e onde ele deveria estar para defender os negócios com sucesso dos mais insidiosos ataques cibernéticos que a maioria das organizações enfrenta. Em nosso relatório da Pesquisa Global de Segurança da Informação EY 2013, constatamos que as organizações estão se movendo na direção certa. Entretanto, ainda é preciso fazer mais – e com urgência.

Estruturamos o relatório sobre a Pesquisa Global de Segurança da Informação EY 2013 de modo a explorar três áreas:

1. Melhorar. Em muitas organizações, essa é a situação atual. Ao longo do ano passado, as empresas fizeram progressos substanciais na melhoria das suas defesas contra ataques cibernéticos. Ainda assim, suas posições permanecem reativas, enfrentando as ameaças de que têm conhecimento sem buscar compreender as ameaças que podem ser iminentes.

2. Ampliar. Organizações líderes vêm tomando medidas mais ousadas para combater ameaças cibernéticas. São mais proativas ao determinar quais são os riscos conhecidos e os desconhecidos dentro de seus programas de segurança. No entanto, ainda há muito por fazer para aumentar as medidas de segurança.

3. Inovar. Organizações que almejam se tornar inovadoras em Segurança da Informação precisam dirigir o olhar para novas fronteiras. Essas empresas precisam continuamente rever, repensar e potencialmente redesenhar toda a sua estrutura de Segurança da Informação para que possam se preparar melhor. Em muitos casos, inovar pode exigir toda uma transformação do programa de Segurança da Informação para se fortalecer de forma proativa contra os riscos conhecidos e desconhecidos.

Nas páginas a seguir, exploraremos as ações que as organizações vêm realizando para enfrentar as ameaças atuais; de que modo as organizações líderes estão olhando para além das ameaças atuais, num esforço para se preparar para riscos cibernéticos que podem já ser iminentes; e de que forma novas tecnologias e novas ideias podem ajudar as organizações a se preparar proativamente para um futuro que certamente desafiará até mesmo os programas e áreas de Segurança da Informação mais robustos e sofisticados.

Atuais ameaças cibernéticas

Conscientização

Saber

Reat

ivo

Proa

tivo

Não saber

Com

port

amen

to

Ampliar

Inovar

Melhorar

Saber que um ataque ocorrerá inevitavelmente é uma oportunidade para aperfeiçoar práticas.

A conscientização sobre ameaças cibernéticas proporciona melhorias

Melhorar



Melhorar | Ampliar | Inovar

A conscientização sobre ameaças cibernéticas proporciona melhorias. Nossa pesquisa indica que muitas organizações, desde a alta administração da organização até o chão de fábrica, reconhecem a extensão e a profundidade das ameaças que enfrentam. Em quase três quartos das organizações pesquisadas, as políticas de Segurança da Informação são de responsabilidade da alta administração.

Em 10% das organizações, a função de Segurança da Informação se reporta diretamente ao CEO. Em 35%, os profissionais de Segurança da Informação se reportam ao nível de diretoria e aos executivos da alta administração trimestralmente; um pouco mais de um em cada dez apresenta relatórios mensais. Em nossa Pesquisa Global de Informação da Segurança EY 2012, a porcentagem de profissionais de Segurança da Informação que se reportavam mensalmente aos executivos seniores era zero.

A Segurança da Informação é agora vista como vital para a saúde e sucesso contínuos da organização. Operações de segurança (antivírus, IDS, IPS, correções [patching], criptografia, etc.) encontram-se em estágio de maturidade aceitável na maioria das organizações.

A proteção das informações não é mais tratada como um simples item de contrato ou algo que as organizações estabelecem, de maneira simplista, ser de responsabilidade dos terceirizados. Três quartos dos entrevistados informam que as organizações em que trabalham conduzem autoavaliações obrigatórias, ou encomendam avaliações externas independentes sobre as medidas de segurança tomadas por seus parceiros externos, fornecedores ou contratados que têm acesso aos dados da organização.

No entanto, embora as organizações tenham feito grandes avanços na direção certa, ainda há espaço para melhorias. Muitas organizações vêm aumentando o investimento em Segurança da Informação, mas muitos profissionais de Segurança da Informação continuam a sentir que seu orçamento é insuficiente para lidar com os crescentes riscos cibernéticos.

De forma similar, ainda que as organizações acreditem que estão abordando as prioridades certas, muitas informam que não têm os recursos adequados para dar suporte às suas necessidades. Embora a tendência atual seja de mudança do foco em “manter as operações em andamento” para uma ênfase maior em melhorias e inovação, muitas organizações ainda permanecem expostas a esse risco. Além disso, um grande número de organizações que contam com tecnologias instaladas e funcionando (antivírus, IDS, IPS, etc.) ainda constatam que as suas configurações e processos (gerenciamento por patches, inteligência de ameaças, por exemplo) não estão adaptados às exigências atuais. Não surpreende saber que muitas organizações acreditam que alguns aspectos de seus processos de gestão da segurança ainda não estão totalmente maduros.

A maturidade dos processos de gestão da Segurança da Informação nas organizações que responderam à pesquisa.

Operações de segurança (antivírus, IDS, IPS, patching, criptografia, etc.)

Testes de segurança (aplicações web, teste de invasão, etc.)

Conscientização de segurança, treinamento e comunicação

Governança e gestão da segurança (métricas e

relatórios, arquitetura, gestão de programa, etc.)

Maior maturidade Maturidade Desenvolvido Ainda não desenvolvido Inexistente

Resultados indicados numa escala de 1 a 5, onde 1 é inexistente e 5 é muito maduro.

7%22%35%28%8%

7%33%46%14%

26%41%24% 3%6%

26%41%23% 5%5%

76%das organizações realizam autoavaliações ou encomendam uma avaliação externa independente sobre as medidas de Segurança da Informação tomadas por terceiros com acesso a dados

Conscientização

Saber

Reat

ivo

Proa

tivo

Não saber

Com

port

amen

to

Ampliar

Inovar

Melhorar

70%das organizações indicam que as políticas de Segurança da Informação são de responsabilidade da alta administração



Quais áreas da Segurança da Informação você define como de “alta prioridade” para os próximos 12 meses?

Continuidade dos negócios/recuperação de desastres

Riscos cibernéticos/ameaças cibernéticas

Vazamento de dados/prevenção de perda de dados

Transformação da Segurança da Informação (redesenho fundamental)

Monitoramento do compliance

Implementação de padrões de segurança (ex.: ISO/IEC 27002:2005)

Gestão de identidades e acessos

Governança e gestão da segurança (ex.: métricas e relatórios, arquitetura, gestão de programa)

Gestão de risco da Segurança da Informação

Privacidade

Segurança de tecnologias emergentes (ex.: computação na nuvem, virtualização, computação móvel)

Operações de segurança (ex.: antivírus, IDS, IPS, patching, criptografia)

Recrutamento de recursos de segurança

Deslocalização (offshoring)/terceirização de atividades de segurança, incluindo risco de fornecedor terceirizado

Processos de desenvolvimento de segurança (ex.: codificação segura, processo de Garantia de

Qualidade [QA])

Incidente de segurança e gestão de evento (SIEM)

Investigação forense/apoio à prevenção de fraudes

Conscientização de segurança e treinamento

Gestão de ameaças e vulnerabilidades (ex.: análise de segurança, inteligência de ameaças)

Capacidades de resposta a incidentes

Testes de segurança (ex.: ataque e invasão)

Os entrevistados da pesquisa foram solicitados a escolher 5 itens, pontuando de 1 (alta prioridade) a 5 (baixa prioridade). 1º 2º 3º 4º 5º

Com base nas constatações da Pequisa Global de Segurança da Informação EY 2013, as páginas a seguir mostram os saltos que as organizações estão realizando na luta contra o crime cibernético; esses saltos encontram-se ao lado dos passos que ainda precisam ser dados no ambiente atual.

8% 16% 21% 21% 34%

6% 13% 21% 29% 31%

12% 19% 22% 25% 22%

10% 20% 21% 28% 21%

15% 15% 20% 25% 25%

8% 15% 20% 25% 32%

13% 17% 23% 23% 24%

10% 15% 25% 24% 26%

11% 18% 26% 25% 20%

13% 17% 21% 27% 22%

10% 18% 30% 21% 21%

25% 19% 20% 16% 20%

13% 19% 26% 25% 17%

6% 18% 25% 25% 26%

20% 21% 20% 19% 20%

18% 24% 23% 18% 17%

8% 19% 24% 23% 26%

26% 30% 20% 13% 11%

38% 24% 14% 14% 10%

22% 31% 16% 16% 15%

51% 17% 12% 10% 10%

35%das organizações apresentam trimestralmente a Segurança da Informação para a diretoria e a alta administração, sob a condução de profissionais de Segurança da Informação



Saltos que as organizações estão dando Os passos que as organizações ainda precisam dar

68%dos entrevistados afirmam que a continuidade dos negócios e a recuperação de desastres continuam a ser as duas prioridades mais altas

As organizações estão realizando movimentações para se concentrar nas prioridades certas. Em geral, as organizações apontam a continuidade dos negócios e a recuperação de desastres como suas maiores prioridades em termos de Segurança da Informação para os próximos 12 meses. Riscos e ameaças cibernéticas, vazamento de dados e prevenção, transformação da Segurança da Informação e monitoramento de compliance completam as cinco maiores prioridades.

As instituições financeiras colocam ainda mais ênfase nos riscos e ameaças cibernéticos, que também são uma preocupação de todas as organizações com receita igual ou superior a US$ 1 bilhão.

Os departamentos de Segurança da Informação continuam a lutar com a falta de recursos qualificados, conscientização e apoio por parte dos executivos. Embora a Segurança da Informação esteja se concentrando nas prioridades certas, muitas vezes a função não tem os recursos qualificados ou a conscientização e o apoio necessários por parte dos executivos para abordá-las. Na verdade, a diferença está cada vez maior entre a oferta e a demanda, criando um mercado mais favorável para os fornecedores. Cinquenta por cento dos beneficiários citam a falta de recursos qualificados como uma barreira à criação de valor. Em comparação, apenas 20% dos participantes da entrevista anterior apontavam falta de conscientização ou apoio dos executivos. Agora, 31% deles citam essa falta como um problema.

Como resultado, apesar de o departamento de Segurança da Informação estar avançando no que se refere a melhorias, o apoio do restante da organização ainda não parece ser suficiente.

50%dos entrevistados cita a falta de recursos qualificados como um obstáculo à criação de valor

43%das organizações indicam que o orçamento destinado a Segurança da Informação está em ascensão

As organizações estão investindo mais em Segurança da Informação. No total, 43% dos entrevistados informam que seus orçamentos estão em ascensão.

Alguns entrevistados dos setores públicos e governamentais relataram aumento no orçamento, mas a maioria indica que seu orçamento permaneceu o mesmo quando comparado ao do ano anterior. Pequenos negócios com receitas abaixo de US$ 10 milhões ou localizados em mercados de rápido crescimento relatam os maiores aumentos no orçamento em termos percentuais.

Os departamentos de Segurança da Informação ainda vivem com orçamento apertadoEmbora os orçamentos estejam em ascensão, os departamentos de Segurança da Informação continuam a sentir que as restrições orçamentárias são o maior obstáculo para entregar valor ao negócio. Sessenta e cinco por cento citam o orçamento insuficiente como o principal desafio a superar para que suas contribuições atinjam o nível esperado pelo negócio; entre as organizações com receitas de US$ 10 milhões ou menos, esse número sobe para 71%.

O obstáculo número um da Segurança da Informação para o sucesso é um reflexo da percepção que o negócio tem do seu valor. Não obstante 17% dos entrevistados indicarem que a Segurança da Informação atende plenamente às necessidades de sua organização, 68% continuam a sentir que o departamento atende apenas parcialmente às necessidades organizacionais, com melhorias em andamento.

As organizações de Segurança da Informação precisam fazer um trabalho melhor ao articular e demonstrar o valor dos investimentos em segurança.

65%dos entrevistados citam as restrições orçamentárias como o obstáculo número um ao acréscimo de valor ao negócio

46%dos gastos serão destinados a melhorias da segurança, expansão e inovação nos próximos 12 meses

As organizações estão alterando seu foco de operações e manutenção para melhorias e inovações

Apesar de as operações de segurança e manutenção ainda serem importantes, o foco será menor para o próximo ano do que foi no ano anterior.

Hoje, a atenção dos entrevistados volta-se mais para melhorias, expansão e inovação. No próximo ano, 46% dos gastos serão destinados para essas atividades.

A despeito das melhorias, muitas organizações permanecem expostasQuase um terço das organizações ainda não possui um programa de inteligência de ameaças, e um pouco mais de um terço possui um programa informal. Em termos de identificação de vulnerabilidades, quase uma em cada quatro não tem nenhum programa.

Os setores de maior maturidade que entrevistamos são os de serviços financeiros, embora as organizações com receitas iguais ou superiores a US$ 1 bilhão tenham também relatado níveis mais altos de maturidade em seus programas de segurança cibernética.

No entanto, independentemente do setor ou porte, as organizações deveriam estar preocupadas com a falta generalizada de maturidade e rigor em uma série de áreas de segurança. Esses pontos críticos requerem melhorias. Em muitos casos, as organizações precisarão urgentemente investir mais para melhorar e inovar. Afinal de contas, o custo de uma violação pode ser bem mais dispendioso.

35%dos entrevistados têm a percepção de que são líderes ou pioneiros em programas de segurança

46%das organizações alinham sua estratégia de Segurança da Informação com a estratégia do negócio da organização

As organizações demonstram alinhamento entre estratégias e direcionadores de negóciosQuase metade das organizações alinha sua estratégia de Segurança da Informação com a estratégia de negócios; mais da metade alinha sua estratégia de Segurança da Informação com a estratégia de TI.

As organizações de serviços financeiros apresentam o mais forte alinhamento de estratégias.

Isso sugere uma consolidação das estratégias e direcionadores de negócios, assim como maior compreensão da importância de uma estratégia de Segurança da Informação, independentemente do tamanho ou setor de atuação da organização.

A falta de alinhamento em outras áreas críticas ainda é bastante comumEmbora tenha havido melhorias no alinhamento com os negócios e as estratégias de TI (por exemplo, a modelagem de ameaças precisa identificar ativamente todas as áreas de risco e passar de uma atividade voltada à tecnologia para uma atividade voltada ao negócio), muitas organizações não fizeram quaisquer movimentos para aperfeiçoar seu alinhamento com o apetite de risco da organização ou com o ambiente de risco atual. Empresas do setor de serviços financeiros estão mais alinhadas, enquanto organizações em mercados em rápido crescimento estão menos alinhadas.

Essa falta de alinhamento sugere que, ao definir o orçamento ou determinar a necessidade de recursos, um número ínfimo de organizações consideram os riscos cibernéticos que estão preparados a aceitar ou que devem defender a todo custo, e a maior parte das organizações volta-se apenas para o ambiente interno para se certificar de que estão devidamente protegidas contra riscos cibernéticos – uma posição que pode se revelar dispendiosa quando um ataque ocorre.

62%das organizações não alinharam suas estratégias de Segurança da Informação à sua disposição e tolerância a riscos

68%das organizações afirmam que sua função de Segurança da Informação atende parcialmente às necessidades organizacionais

Os esforços para aperfeiçoar os programas de segurança cibernética vêm crescendoDesde 2012, é possível ver uma pequena queda (de 8% contra 6%) no número de organizações que informam que sua função de Segurança da Informação não atende às necessidades organizacionais, e um pequeno aumento daquelas que informam que essa função atende plenamente às suas necessidades.

Ao mesmo tempo, 68% acreditam que sua função de Segurança da Informação atende parcialmente às necessidades organizacionais e que melhorias estão em andamento. Entre as organizações de serviços financeiros, esse número cresce para 74%.

Ao todo, a função de Segurança da Informação está realizando as melhorias certas para atender mais efetivamente às necessidades do negócio e criar valor para a organização.

As ameaças estão crescendo também, muitas vezes num ritmo mais rápidoTrinta e um por cento dos entrevistados dizem que o número de incidentes de segurança dentro de sua organização aumentou ao longo dos últimos 12 meses em pelo menos 5%.

Ao tomar medidas para aperfeiçoar seu departamento de Segurança da Informação, as organizações precisam determinar se as melhorias que estão realizando vão satisfazer o volume esperado e também a frequência das ameaças existentes e emergentes, e se podem implementá-las rápido o suficiente para fazer frente ao cenário de ameaças. Muito especificamente, as organizações precisam compreender de que maneira essas ações efetivamente ajudarão a proteger os seus processos de negócios.

59%das organizações citam um aumento de ameaças externas



Saltos que as organizações estão dando Os passos que as organizações ainda precisam dar

68%dos entrevistados afirmam que a continuidade dos negócios e a recuperação de desastres continuam a ser as duas prioridades mais altas

As organizações estão realizando movimentações para se concentrar nas prioridades certas. Em geral, as organizações apontam a continuidade dos negócios e a recuperação de desastres como suas maiores prioridades em termos de Segurança da Informação para os próximos 12 meses. Riscos e ameaças cibernéticas, vazamento de dados e prevenção, transformação da Segurança da Informação e monitoramento de compliance completam as cinco maiores prioridades.

As instituições financeiras colocam ainda mais ênfase nos riscos e ameaças cibernéticos, que também são uma preocupação de todas as organizações com receita igual ou superior a US$ 1 bilhão.

Os departamentos de Segurança da Informação continuam a lutar com a falta de recursos qualificados, conscientização e apoio por parte dos executivos. Embora a Segurança da Informação esteja se concentrando nas prioridades certas, muitas vezes a função não tem os recursos qualificados ou a conscientização e o apoio necessários por parte dos executivos para abordá-las. Na verdade, a diferença está cada vez maior entre a oferta e a demanda, criando um mercado mais favorável para os fornecedores. Cinquenta por cento dos beneficiários citam a falta de recursos qualificados como uma barreira à criação de valor. Em comparação, apenas 20% dos participantes da entrevista anterior apontavam falta de conscientização ou apoio dos executivos. Agora, 31% deles citam essa falta como um problema.

Como resultado, apesar de o departamento de Segurança da Informação estar avançando no que se refere a melhorias, o apoio do restante da organização ainda não parece ser suficiente.

50%dos entrevistados cita a falta de recursos qualificados como um obstáculo à criação de valor

43%das organizações indicam que o orçamento destinado a Segurança da Informação está em ascensão

As organizações estão investindo mais em Segurança da Informação. No total, 43% dos entrevistados informam que seus orçamentos estão em ascensão.

Alguns entrevistados dos setores públicos e governamentais relataram aumento no orçamento, mas a maioria indica que seu orçamento permaneceu o mesmo quando comparado ao do ano anterior. Pequenos negócios com receitas abaixo de US$ 10 milhões ou localizados em mercados de rápido crescimento relatam os maiores aumentos no orçamento em termos percentuais.

Os departamentos de Segurança da Informação ainda vivem com orçamento apertadoEmbora os orçamentos estejam em ascensão, os departamentos de Segurança da Informação continuam a sentir que as restrições orçamentárias são o maior obstáculo para entregar valor ao negócio. Sessenta e cinco por cento citam o orçamento insuficiente como o principal desafio a superar para que suas contribuições atinjam o nível esperado pelo negócio; entre as organizações com receitas de US$ 10 milhões ou menos, esse número sobe para 71%.

O obstáculo número um da Segurança da Informação para o sucesso é um reflexo da percepção que o negócio tem do seu valor. Não obstante 17% dos entrevistados indicarem que a Segurança da Informação atende plenamente às necessidades de sua organização, 68% continuam a sentir que o departamento atende apenas parcialmente às necessidades organizacionais, com melhorias em andamento.

As organizações de Segurança da Informação precisam fazer um trabalho melhor ao articular e demonstrar o valor dos investimentos em segurança.

65%dos entrevistados citam as restrições orçamentárias como o obstáculo número um ao acréscimo de valor ao negócio

46%dos gastos serão destinados a melhorias da segurança, expansão e inovação nos próximos 12 meses

As organizações estão alterando seu foco de operações e manutenção para melhorias e inovações

Apesar de as operações de segurança e manutenção ainda serem importantes, o foco será menor para o próximo ano do que foi no ano anterior.

Hoje, a atenção dos entrevistados volta-se mais para melhorias, expansão e inovação. No próximo ano, 46% dos gastos serão destinados para essas atividades.

A despeito das melhorias, muitas organizações permanecem expostasQuase um terço das organizações ainda não possui um programa de inteligência de ameaças, e um pouco mais de um terço possui um programa informal. Em termos de identificação de vulnerabilidades, quase uma em cada quatro não tem nenhum programa.

Os setores de maior maturidade que entrevistamos são os de serviços financeiros, embora as organizações com receitas iguais ou superiores a US$ 1 bilhão tenham também relatado níveis mais altos de maturidade em seus programas de segurança cibernética.

No entanto, independentemente do setor ou porte, as organizações deveriam estar preocupadas com a falta generalizada de maturidade e rigor em uma série de áreas de segurança. Esses pontos críticos requerem melhorias. Em muitos casos, as organizações precisarão urgentemente investir mais para melhorar e inovar. Afinal de contas, o custo de uma violação pode ser bem mais dispendioso.

35%dos entrevistados têm a percepção de que são líderes ou pioneiros em programas de segurança

46%das organizações alinham sua estratégia de Segurança da Informação com a estratégia do negócio da organização

As organizações demonstram alinhamento entre estratégias e direcionadores de negóciosQuase metade das organizações alinha sua estratégia de Segurança da Informação com a estratégia de negócios; mais da metade alinha sua estratégia de Segurança da Informação com a estratégia de TI.

As organizações de serviços financeiros apresentam o mais forte alinhamento de estratégias.

Isso sugere uma consolidação das estratégias e direcionadores de negócios, assim como maior compreensão da importância de uma estratégia de Segurança da Informação, independentemente do tamanho ou setor de atuação da organização.

A falta de alinhamento em outras áreas críticas ainda é bastante comumEmbora tenha havido melhorias no alinhamento com os negócios e as estratégias de TI (por exemplo, a modelagem de ameaças precisa identificar ativamente todas as áreas de risco e passar de uma atividade voltada à tecnologia para uma atividade voltada ao negócio), muitas organizações não fizeram quaisquer movimentos para aperfeiçoar seu alinhamento com o apetite de risco da organização ou com o ambiente de risco atual. Empresas do setor de serviços financeiros estão mais alinhadas, enquanto organizações em mercados em rápido crescimento estão menos alinhadas.

Essa falta de alinhamento sugere que, ao definir o orçamento ou determinar a necessidade de recursos, um número ínfimo de organizações consideram os riscos cibernéticos que estão preparados a aceitar ou que devem defender a todo custo, e a maior parte das organizações volta-se apenas para o ambiente interno para se certificar de que estão devidamente protegidas contra riscos cibernéticos – uma posição que pode se revelar dispendiosa quando um ataque ocorre.

62%das organizações não alinharam suas estratégias de Segurança da Informação à sua disposição e tolerância a riscos

68%das organizações afirmam que sua função de Segurança da Informação atende parcialmente às necessidades organizacionais

Os esforços para aperfeiçoar os programas de segurança cibernética vêm crescendoDesde 2012, é possível ver uma pequena queda (de 8% contra 6%) no número de organizações que informam que sua função de Segurança da Informação não atende às necessidades organizacionais, e um pequeno aumento daquelas que informam que essa função atende plenamente às suas necessidades.

Ao mesmo tempo, 68% acreditam que sua função de Segurança da Informação atende parcialmente às necessidades organizacionais e que melhorias estão em andamento. Entre as organizações de serviços financeiros, esse número cresce para 74%.

Ao todo, a função de Segurança da Informação está realizando as melhorias certas para atender mais efetivamente às necessidades do negócio e criar valor para a organização.

As ameaças estão crescendo também, muitas vezes num ritmo mais rápidoTrinta e um por cento dos entrevistados dizem que o número de incidentes de segurança dentro de sua organização aumentou ao longo dos últimos 12 meses em pelo menos 5%.

Ao tomar medidas para aperfeiçoar seu departamento de Segurança da Informação, as organizações precisam determinar se as melhorias que estão realizando vão satisfazer o volume esperado e também a frequência das ameaças existentes e emergentes, e se podem implementá-las rápido o suficiente para fazer frente ao cenário de ameaças. Muito especificamente, as organizações precisam compreender de que maneira essas ações efetivamente ajudarão a proteger os seus processos de negócios.

59%das organizações citam um aumento de ameaças externas



Com base em incidentes reais, as ameaças e vulnerabilidades abaixo são as que mais têm mudado a exposição de risco dos entrevistados ao longo dos últimos 12 meses

Vulnerabilidades

Vulnerabilidades relacionadas ao uso de computação móvel

Vulnerabilidades relacionadas ao uso de mídias sociais

Vulnerabilidades relacionadas ao uso de computação na nuvem

Funcionários descuidados ou sem conscientização

Arquitetura e controles de Segurança da Informação desatualizados

Acesso não autorizado (devido à localização dos dados, por exemplo)

Ameaças (Ameaça é definida como uma situação em que se inflige uma ação hostil proveniente de alguém do mundo externo)

Phishing

Malware (vírus, worms, cavalos de troia, etc.)

Spam

Ataques cibernéticos para provocar danos à imagem da organização

Fraudes

Ataques cibernéticos para roubar informações financeiras (número de cartão de crédito,

informações bancárias, etc.)Ataques cibernéticos para roubar dados ou

propriedade intelectual

Desastres naturais (tempestades, enchentes, etc.)

Ataques internos (empregados descontentes, por exemplo)

Espionagem (por concorrentes, por exemplo)

Aumentou nos últimos 12 meses Igual aos últimos 12 meses Diminuiu nos últimos 12 meses

A despeito de todos os esforços que as organizações têm feito ao longo dos últimos 12 meses para aperfeiçoar os programas de Segurança da Informação, muito mais ainda precisa ser realizado. Apenas 23% dos entrevistados classificaram conscientização e treinamento de segurança – um componente-chave nas atividades de melhoria contínua – como sua prioridade número 1 ou 2; 32% classificaram o item como última prioridade. A única área de segurança classificada como prioridade mais baixa por mais entrevistados foi gestão de ameaça e vulnerabilidade, e para esta ameaça 31% afirmaram não ter nenhum programa, o que é surpreendente, pois desse modo as organizações têm pouca visibilidade sobre onde as ameaças cibernéticas estão e de onde os ataques podem vir.

Por mais que as organizações tenham progredido, muitas ainda têm um longo caminho a percorrer. Como o volume e a complexidade dos ataques cibernéticos continuam a crescer, é preciso agir rapidamente para evitar a exposição a incidentes custosos e prejudiciais à marca, que abalam a confiança dos consumidores e dos acionistas.

(Vulnerabilidade é definida como uma condição em que existe a exposição à possibilidade de ser atacado ou prejudicado)

29% 57% 14%

32% 58% 10%

10% 75% 15%

31% 55% 14%

9% 78% 13%

17% 74% 9%

8% 82% 10%

13% 77% 10%

14% 76% 10%

20% 69% 11%

15% 71% 14%

32% 61% 7%

45% 48% 7%

25% 68% 7%

24% 58% 18%

18% 60% 22%

31% dos entrevistados dizem que o número de incidentes de segurança aumentou ao longo dos últimos 12 meses

32% dos entrevistados dizem que phishing é o que mais está alterando as suas exposições ao risco

45% dos entrevistados dizem que a computação móvel é o fator que mais tem alterado sua exposição de risco


As organizações devem sinalizar o apoio da alta administração para que se tornem proativas e prontas para o desconhecido. As que estão satisfeitas em permanecer meramente reativas podem não sobreviver ao próximo ataque.

Principais práticas para combater ameaças cibernéticas

Ampliar



Principais práticas para combater ameaças cibernéticas Para a maior parte dos entrevistados, as organizações têm aperfeiçoado seus programas de Segurança da Informação ao longo dos últimos 12 meses. No entanto, nossas constatações sugerem que as organizações líderes estão um passo à frente em suas melhorias. Essencialmente, há dez áreas – que agrupamos em quatro categorias – em que vemos companhias líderes aumentando as oportunidades de melhoria. Veja diagrama nas páginas 12 e 13.

Comprometimento da alta administração• Apoio dos membros da diretoria. As organizações

precisam de apoio executivo para documentar de forma clara a função de Segurança da Informação e criar uma estratégia de longo prazo para seu crescimento.

Alinhamento organizacional • Estratégia. A Segurança da Informação deve desenvolver relacionamentos fortes e

bem definidos com uma ampla gama de stakeholders por toda a empresa e estabelecer governança e modelo operacional claramente definidos e formalizados.

• Investimento. As organizações precisam estar dispostas a investir em segurança cibernética.

Pessoas, processos e tecnologia necessários para a implementação• Pessoas. A função de Segurança da Informação atual requer uma ampla gama de

capacidades, acompanhada de uma diversidade de experiências. Possuir apenas habilidades técnicas em TI já não é suficiente.

• Processos. É preciso que os processos sejam documentados e comunicados, mas as áreas de Segurança da Informação também precisam desenvolver mecanismos de gestão de mudança para que possam rapidamente atualizar processos quando surgirem oportunidades de melhoria.

• Tecnologia. Para obter o máximo de valor a partir de uma solução de tecnologia, as áreas de Segurança da Informação devem complementar os esforços de implementação de tecnologia com iniciativas estratégicas voltadas para governança, processos, treinamento e conscientização.

Capacitação operacional • Melhorias contínuas. As organizações devem estabelecer uma estrutura para monitorar

continuamente o desempenho e melhorar seus programas de Segurança da Informação nas áreas de pessoas, processos e tecnologia.

• Segurança física. As organizações devem se certificar de que toda a sua tecnologia de Segurança da Informação esteja fisicamente segura, especialmente no que se refere ao acesso wi-fi. Um centro de operações de segurança (SOC) pode ativar as áreas de Segurança da Informação para que possam responder mais rapidamente, trabalhar de forma mais colaborativa e compartilhar o conhecimento de forma mais eficaz.

• Análises e relatórios. Ferramentas que requerem assinaturas e são baseadas em regras não são mais tão eficazes no ambiente atual. Em vez disso, as áreas de Segurança da Informação devem preferir utilizar análises baseadas em comportamento com base de referência ambiental.

• Ambiente. A Segurança da Informação requer um ambiente que envolva um sistema muito bem atualizado de gestão de ativos empresariais (que inclua criticidade de processos de negócios suportados) para gerenciar eventos associados com as prioridades de negócio e avaliar o verdadeiro risco ou impacto para a organização.

Além das constatações de nossa pesquisa, este ano escolhemos entrevistar um número seleto de executivos que, baseados em nossas experiências em Segurança da Informação, acreditamos estar protegendo suas organizações de riscos e ameaças cibernéticos ao serem proativos e focados no desconhecido.

Conscientização

Saber

Reat

ivo

Proa

tivo

Não saber

Com

port

amen

to

Ampliar

Inovar

Melhorar



Levamos em consideração essas repostas dentro do contexto das constatações de nossa pesquisa. Em seguida, ampliamos os resultados com base no conhecimento de nossos profissionais de Segurança da Informação e em nossa experiência servindo nossos clientes. Ao sobrepor os dados da pesquisa, a experiência com clientes e o conhecimento da EY, desenvolvemos uma clara compreensão do efeito em cascata e cumulativo que cada área de melhoria identificada tem dentro de quatro categorias de melhoria expandidas. Por fim, se uma organização não embarcar nessa jornada desde o início (isto é, se não procurar realizar melhorias na fase de “comprometimento dos níveis mais altos”), então não poderá alcançar mudança duradoura, ou ampliar sucessos anteriores, em nenhuma das categorias que seguem:

Em nossa pesquisa, pedimos aos entrevistados para classificar a maturidade de seus programas de Segurança da Informação em seis áreas-chave.

As respostas a respeito de abordagens bem estabelecidas de Segurança da Informação, tais como programas de gestão de identidades e acessos, ficaram abaixo do que é necessário, e abordagens mais recentes, tais como inteligência de ameaças e identificação de vulnerabilidade, estão menos maduras e requerem mais atenção.

Os executivos da alta administração precisam se comprometer a buscar a maturidade da Segurança da Informação – e se responsabilizar por alcançá-la. Sem maturidade, nenhuma das outras melhorias que essa área visa implementar obterá os benefícios pretendidos.

Escala de maturidade do programa de Segurança da Informação

Capacidade de resposta a incidentes por computador

Programa de proteção de dados

Programa de gestão de identidades e acessos

Programa de inteligência de ameaças

Programa de detecção

Capacidade de identificação de vulnerabilidade

Inovador Acima da média Média Abaixo da média Deficiente

Coletamos as respostas e em seguida as classificamos de inovadoras a deficientes. As organizações são inovadoras quando possuem um programa avançado e deficientes quando não possuem nenhum programa.

Nas páginas seguintes, listamos as principais práticas que constatamos durante nossas entrevistas individuais. A implementação de uma ou mais dessas principais práticas isoladamente ajudará: haverá melhoria no status quo da Segurança da Informação. No entanto, implementar as principais práticas em cada uma das dez áreas em foco concomitantemente resultará numa ampliação significativa de suas respostas a ameaças cibernéticas e numa mudança significativa em seu nível de Segurança da Informação.

10% 25% 33% 20% 12%

17% 29% 22% 24% 8%

5% 58% 25% 12%

9% 20% 27% 32% 12%

7% 17% 35% 18% 23%

14% 21% 34% 31%


Melhorar | Ampliar | Inovar As principais práticas que possibilitam melhorias

Comprometimento da alta liderança

Alinhamento organizacional

Apoio dos executivos e do conselho

• Articular a disposição ao risco para fornecer

uma direção clara e inequívoca • Incentivar a correção de questões de segurança

no momento adequado, por exemplo, via auditoria interna ou áreas de Segurança da Informação

• Medir o desempenho da Segurança da Informação e os critérios para seu sucesso

• Promover uma cultura de Segurança da Informação em todos os níveis da organização

• Compreender de que modo os eventos de segurança podem afetar o negócio, seus serviços e produtos

• Integrar as percepções (insights) de Segurança da Informação diretamente nos processos de tomada de decisão da gestão

• Interpretar as ameaças de Segurança da Informação em termos de seu impacto no resultado e no balanço patrimonial

Estratégia • Identificar e envolver todos os

stakeholders relevantes• Estabelecer um SOC por toda a organização,

incluindo inteligência de ameaça abrangente e monitoramento da vulnerabilidade

• Alinhar a estratégia de segurança com a estratégia global de negócios

• Definir quais responsabilidades de segurança são internas, terceirizadas e em nuvem

• Aumentar a confiança do negócio e dos stakeholders por meio da utilização de padrões confiáveis (ISO, COSO, COBIT, etc.) e considerar o alinhamento ou a certificação formal

• Realizar avaliações independentes de terceiros – e em seguida obter uma segunda opinião, também independente

• Definir o que significa ser uma organização “segura”; definir KRI e KPI para monitoramento do sucesso

• Beneficiar-se do conhecimento técnico de parceiros e fornecedores

• Construir uma organização de Segurança da Informação e um modelo operacional preparados para prever, e não apenas reagir

Investimento• Identificar quem paga pela segurança cibernética • Definir uma estrutura holística de risco para avaliar

o crescente cenário de risco • Priorizar iniciativas na área de segurança para

promover investimentos em segurança • Categorizar benefícios esperados, por exemplo:

proteção de marca, redução de risco, melhoria de compliance e redução de custos

• Diminuir o gasto com manutenção e incidentes; aumentar o gasto em melhoria e inovação

“ Nossa solução de Segurança da Informação mudou da arquitetura tradicional, que protege as práticas de negócios em si, para a que protege os serviços que completam as práticas de negócios em geral. Isso transforma o modelo estreitamente associado de negócio num modelo associado relativamente flexível, proporcionando funções de segurança por meio de serviços, com pacotes de serviços de segurança lançados no sistema.”

Empresa de serviços financeiros

“ Do nosso ponto de vista, a prática de maior sucesso dentro da Segurança da Informação foi a mudança de mentalidade: de considerar as questões unicamente no nível operacional do passado para a nova abordagem, que é orientada de acordo com o risco. Análises, relatórios, apresentações e outros métodos são usados para detectar possíveis problemas, e esses problemas são agora comunicados e resolvidos em conjunto com os departamentos de uma forma mais ativa, o que ocorria de modo bastante passivo no passado.”

Empresa de tecnologia

“ Conduzimos o processo de auto-otimização do sistema de gestão da Segurança da Informação por meio do monitoramento interno/externo, incluindo auditoria interna, avaliação interna do risco de Segurança da Informação, verificação interna de segurança, auditoria externa de tecnologia da informação, verificação externa de compliance, etc.”


“ É importante ter profissionais qualificados com visão de negócio. O maior desafio no mercado de segurança de hoje é encontrar profissionais que sejam capazes de inovar e de se adaptar a mudanças na velocidade necessária.”

Empresa de mineração e metais

Todo e qualquer negócio é um alvo potencial para um ataque cibernético. Os motivos, métodos e oportunidades podem diferir, mas constatamos que organizações que se situam em qualquer um dos estágios abaixo em seu ciclo de vida estão em risco ainda maior:

• Grande mudança organizacional ou estrutural. Embora as novas tecnologias estejam promovendo iniciativas voltadas ao marketing e ao cliente, medidas paralelas de Segurança da Informação não estão sendo necessariamente conduzidas no mesmo ritmo. O marketing e as áreas de desenvolvimento nem sempre têm conhecimento sobre os riscos e ameaças que surgem com as novas tecnologias – ou preparo para responder a eles. As organizações também podem às vezes desconectar ou distrair os funcionários, levando-os a esquecer ou rejeitar as medidas de segurança e protocolos testados.

• Fusões e aquisições. Novos sistemas, políticas, procedimentos e garantias podem criar lacunas nos sistemas, medidas e protocolos de segurança. Fusões e aquisições também frequentemente originam reduções de pessoal, gerando dessa forma um número de ex-funcionários com motivos para estar descontentes que têm familiaridade com os sistemas, processos e medidas de segurança de suas organizações.

• Entrada em novos mercados. Entrar em novos mercados geralmente pressupõe novos processos, fornecedores, clientes, sistemas – até mesmo novas linguagens e culturas. Todos esses fatores vêm com diferentes níveis de risco de segurança e conscientização de ameaças. Regulamentações governamentais desconhecidas sobre privacidade, comunicações e segurança de dados são fatores de complexidade adicional ao ambiente de segurança.

• Nas manchetes. Hackers e invasores cibernéticos frequentemente usam crises de relações públicas para alvejar empresas que estão com a atenção voltada para outro ponto. Funcionários e acionistas podem agir de modo irregular e imprevisível, dificultando a capacidade da organização de identificar e lidar com um volume crescente de ameaças em uma variedade de plataformas. Ações “emergenciais” reativas destinadas a resolver um problema de curto prazo correm o risco de dar origem a questões que podem representar riscos a longo prazo.



Pessoas, processos e tecnologia necessários para a implementação

Capacitação operacional

Pessoas• Aumentar a conscientização dos profissionais

sobre suas responsabilidades para com a segurança e utilização apropriada dos bens, IP, dados e tecnologia da organização

• Selecionar e contratar as pessoas certas, com as qualificações e competências adequadas, inclusive as que desempenharão atribuições de alto risco

• Fazer com que a Segurança da Informação seja parte da avaliação de desempenho de funcionários

• Estar a par e controlar quem detém privilégios em nível de administrador ou semelhante

• Formar “responsáveis por conhecimento em segurança” no negócio

Processos • Utilizar cláusulas contratuais testadas e obrigatórias

para tornar sócios e fornecedores responsáveis por prestar contas pela Segurança da Informação

• Descrever processos de Segurança da Informação para obter o entendimento de regras e procedimentos e garantir que todos compreendam a informação

• Alinhar-se a um padrão de Segurança da Informação reconhecido, como o ISO 27001

• Assegurar que a Segurança da Informação seja uma parte integrante da área de GRC (gestão de risco) da organização, e não uma área independente

• Criar um monitoramento contínuo de segurança dos controles no âmbito dos serviços de terceiros contratados

• Fazer a diferenciação entre compliance e requisitos regulatórios, definindo o cenário de ameaças

• Envolver o negócio no processo de gestão de risco para aperfeiçoar a identificação de riscos-chave e aumentar a conscientização de segurança

• Implementar a governança cibernética no negócio e nos processos do negócio

• Prever potenciais falhas de segurança e preparar resposta adequada a incidentes e abordagens de comunicação

Tecnologia• Construir relacionamentos claros entre tecnologia

de informação, tecnologia operacional e Segurança da Informação

• Equilibrar as escolhas tecnológicas com as ameaças e vulnerabilidades que a tecnologia traz

• Assegurar que a Segurança da Informação seja parte integrante dos projetos de TI; como resultado, novos sistemas de informação serão seguros desde o início

• Compreender o volume de tecnologias de que você depende e criar padrões específicos para elas

• Desenvolver a capacidade de monitorar em tempo real ativos de tecnologia de hospedagem de dados sensíveis e serviços de negócios críticos

• Como parte da rotina, testar a segurança no nível de aplicação, assim como no nível de infraestrutura

• Alinhar seus esforços de Segurança da Informação à segurança do seu produto, à solidez dos seus serviços e/ou à experiência do seu cliente

• Tornar a Segurança da Informação parte da sua oferta de produto/serviço

Melhoria contínua• Beneficiar-se da inteligência dos órgãos da

indústria, autoridades judiciais, entidades de classe, autoridades reguladoras e consultores profissionais

• Reavaliar continuamente as novas tecnologias e o cenário de ameaças para confirmar o foco nas prioridades corretas

• Criar um sandbox de simulação de segurança ou uma função para testar a segurança sob a perspectiva de um hacker

• Permanecer sempre vigilante; ouvir o que acontece nos mercados, entender as novas tendências e ameaças em Segurança da Informação, e ajustar a avaliação de risco de acordo com elas

• Implementar uma função de inovação dentro da área de Segurança da Informação para prever questões relacionadas à segurança em novas tecnologias

Segurança funcional • Compreender a ligação entre segurança física

e segurança de rede tendo em vista os dispositivos sem fio

• A prevenção eficaz requer uma estreita cooperação entre a Segurança da Informação, recursos humanos, TI e aspectos legais

• Aperfeiçoar a coordenação entre segurança física, de TI e de informação

• Realizar, sistematicamente, análise de risco sobre tecnologias emergentes

Análises e relatórios• Encomendar avaliações independentes de diversas

áreas de dentro e fora da organização para avaliar a eficácia do GRC e a função de Segurança da Informação

• Construir uma capacidade holística para correlacionar eventos aparentemente sem ligação e detectar anomalias comportamentais utilizando ferramentas e modelos analíticos

• Estabelecer uma capacidade de gerar relatórios de garantias de segurança, com o objetivo de medir a vulnerabilidade da segurança e melhorias de compliance

• Investigar e avaliar o nível atual de ameaça externa; em seguida, fornecer avisos antecipados para TI e para o negócio, e estabelecer equipes para responder a crises

• Apresentar ao conselho o impacto das ameaças de segurança cibernética no resultado, balanço patrimonial, reputação e marca

• Coordenar com prestadores de serviços e organismos de certificação para que promovam troca de informações e de conhecimento das principais práticas

Ambiente • Alinhar a primeira, a segunda e a terceira linhas

de defesa para reconfirmar as responsabilidades e reduzir sobreposições de tarefas

• A prevenção eficaz requer uma estreita cooperação entre a Segurança da Informação, recursos humanos e TI

• Conhecer os ativos críticos e suas vulnerabilidades; monitorar de perto ataques no âmbito da infraestrutura

“ A chave para que as práticas sejam bem-sucedidas está em serem compreensíveis e aplicáveis. As pessoas preferem abordagens por meio de experiências práticas em vez de abordagens teóricas complexas. Você precisa identificar os riscos relacionados à informação em todo o processo do negócio usando perguntas simples e padronizadas e questionar a informação recebida por meio da verificação, e em seguida usar essa informação para identificar suas ‘joias da coroa’ e considerar todos os stakeholders relevantes. Então você poderá definir o impacto no negócio e a avaliação do risco, em combinação com as medidas propostas para mitigar o risco.”

Empresa de petróleo e gás

“ A parceria com terceiros tem nos permitido elaborar uma estratégia de Segurança da Informação e um programa de melhoria associados com conhecimento e expertise do mercado externo, assim como flexibilizar solicitações de recursos para auxiliar nos picos de demanda para desenho e arquitetura da segurança, testes de segurança e investigação e resposta a incidentes de segurança. A coparticipação/terceirização é vista bem mais como um recurso para aprimoramento de capacidade do que de redução de custo.


“ É vital ter os participantes certos alinhados no Core Command Center – assim como as funções certas: coordenação entre Segurança da Informação, TI, líderes do negócio, comunicação, vendas, responsáveis pela segurança e integridade física, etc. Você precisa dos nomes de todas as pessoas que conhecem as conexões certas para todos os aspectos do negócio com antecedência. E o nível de senioridade certo tem que estar presente – isto é, pessoas com poder de decisão em tempo real.”


Soluções inovadoras de Segurança da Informação podem proteger as empresas contra riscos cibernéticos conhecidos e prepará-las para um grande desconhecido: o futuro.

Para sobreviver, é preciso que a inovação gere transformação

Inovar




Ao longo do ano passado, muitas organizações aperfeiçoaram seus atuais programas de Segurança da Informação para melhor se protegerem de riscos cibernéticos conhecidos. As empresas líderes têm ampliado as oportunidades de melhoria para prever mais proativamente tanto os riscos cibernéticos conhecidos como os desconhecidos. No entanto, para que se tornem inovadoras na prevenção de ameaças cibernéticas, elas precisam ir muito além de alcançar a marca de dez principais práticas nas quatro principais categorias que articulamos. Inovadores devem constantemente examinar o horizonte, procurando vulnerabilidades em cada oportunidade que as tecnologias emergentes fazem surgir.

Os orçamentos destinados à inovação em segurança estão em ascensão, possibilitando às organizações canalizar mais recursos e esforços em busca de soluções inovadoras que possam protegê-las contra o grande desconhecido: o futuro.

No entanto, muitas organizações ainda sentem que seus orçamentos são insuficientes para que se tornem pioneiras. Sendo assim, é crucial dedicar tempo e esforços ao avaliar novas tecnologias para compreender não somente os benefícios, mas também as lacunas de conhecimentos fundamentais e os riscos cibernéticos associados: ou seja, a familiaridade de uma organização com uma tecnologia e quão apta ela está para lidar com esses riscos. Uma vez que o desconhecido se torna conhecido, a organização pode então priorizar e abordar os riscos em ordem de importância.

14%dos gastos nos próximos 12 meses será em inovação da segurança (tecnologias emergentes)

50%dos entrevistados informam que seus orçamentos aumentarão entre 5% e 25% ou mais nos próximos 12 meses

Conscientização

Saber

Reat

ivo

Proa

tivo

Não saber

Com

port

amen

to

Ampliar

Inovar

Melhorar



Tecnologias emergentes e tendências Em nossa pesquisa, pedimos aos entrevistados para enumerar as seguintes tecnologias emergentes e tendências em ordem de importância. Agrupamos essas tecnologias e tendências em três categorias: corrente, iminente e do futuro próximo.

Tecnologias correntes Tecnologias correntes têm aparecido no radar de muitas empresas já há alguns anos, e em muitos casos já foram implementadas. Tais tecnologias incluem:

• Dispositivos digitais, que contam com considerações de segurança e risco para:— Smartphones e tablets — Aplicativos de software — Aplicativos baseados na web (HTML5) e o design de sites adaptados às telas de celulares

• Mídia social no papel de um canal de negócios digitais e rede de relacionamentos.

Tecnologias iminentes Tecnologias iminentes têm sido foco de consideração há pouco tempo e podem estar próximas de ser amplamente implementadas ou adotadas. Essas tecnologias incluem:

• Big data, que descrevemos como sendo a gestão de volumes exponenciais e complexos de dados.

• Banco de aplicativos da empresa, que engloba os custos associados contra o aumento da produtividade por pedido de aplicativo por funcionário.

• Gestão de cadeia de suprimentos, no contexto de como o público externo (clientes, fornecedores, contratados e parceiros) impactam a segurança.

• Serviços de corretagem na nuvem, no que se refere à forma como operadores gerenciam questões de segurança, privacidade e compliance na nuvem.

• Traga a sua própria nuvem, inclusive infraestruturas pessoais de nuvem que podem ser mantidas, administradas e operadas por uma organização, terceiro ou uma combinação de ambos, e cuja existência seja possível dentro ou fora das instalações ou que se referem a acesso a dados e aplicativos que somente os chamados proprietários de nuvem gerenciam.

Tecnologias do futuro próximo As tecnologias do futuro próximo estão deixando de ser apenas um conceito ou ideia e um dia podem se tornar realidade. Essas tecnologias incluem:

• Computação na memória (in-memory computing), que envolve o armazenamento de dados na principal memória de acesso aleatório (random access memory – RAM) em vez de banco de dados complexos, permitindo análises em tempo real de dados de alto volume.

• Internet das coisas (internet of things). Por exemplo, sensores embutidos e tecnologias de reconhecimento de imagem, que são utilizados em programas de segurança mas que serão mais frequentemente aplicados às nossas vidas do dia a dia.

• Dinheiro digital e a regulamentação e legislação associadas necessárias para combater fraudes e questões de lavagem de dinheiro relacionadas a serviços financeiros móveis.

• Paraísos cibernéticos, onde países fornecem hospedagem de dados sem regulamentações onerosas.

Além de pedir aos entrevistados para classificar as tecnologias e tendências emergentes de acordo com o nível de importância, pedimos também que classificassem o seu nível de familiaridade com cada uma delas e, em seguida, a sua confiança em ser capaz de abordar as implicações dessas novas tecnologias.



• Familiaridade: As tecnologias emergentes são conhecidas?

• Capacidade: Somos capazes de lidar com as implicações de segurança das tecnologias emergentes?

• Importância: Qual o grau de atenção que damos às ameaças de tecnologias emergentes?

Também perguntamos aos nossos entrevistados sobre suas perspectivas em relação às tecnologias e tendências, como por exemplo o “traga sua própria nuvem”. A partir desses resultados e das observações, criamos um diagrama de correlação que classifica o grau de importância em relação ao nível de familiaridade e às capacidades.

O eixo horizontal representa a familiaridade, enquanto que o tamanho do círculo indica o nível de importância. Não causa surpresa perceber que existe uma correlação entre o grau de familiaridade que a organização sente em relação à tecnologia e o grau de importância que ela atribui a essa tecnologia. O eixo vertical representa o grau de confiança que a organização tem em sua capacidade de se defender contra ameaças e minimizar vulnerabilidades.

Tecnologias emergentes e tendências

Confi

ança

na

prep

araç

ão d

a em

pres

a (%

dos

ent

revi

stad

os)

Familiaridade com tecnologias e tendências (% dos pesquisados)

70

60

50

40

30

20

10

010 20 30 40 50 60 70

Smartphones e tablets

Computação na memória

Internet das coisas

Aplicativos com base na web

Loja de aplicativos da empresa

Mídia social

Big data

Dinheiro digital

Paraísos cibernéticos

Traga sua própria nuvem Serviços de corretagem na nuvem

Aplicativos de software

Gestão da cadeia de suprimento

Tecnologias correntes

Iminentes

Do futuro próximo

(o tamanho dos círculos representa a importância para os entrevistados da pesquisa)

Do futuro próximo

Tecnologias correntes

Iminentes



Classificações altas para tecnologias correntes Conforme demonstrado no diagrama “Tecnologias emergentes e tendências” (pág. 17), as tecnologias correntes e as tendências têm o maior peso em termos de nível de importância, familiaridade e confiança nas capacidades. Para a maior parte, as organizações estão cientes dessas tecnologias e em muitos casos já as adotaram.

Entretanto, embora estivéssemos esperando uma pontuação elevada para os dispositivos digitais, uma pontuação de 70% para smartphones e tablets não é elevada o suficiente, dada a onipresença dos dispositivos. Há alguns anos, as organizações não poderiam imaginar funcionários utilizando seus smartphones e tablets para fins de trabalho. Na verdade, “traga seu próprio dispositivo” (BYOD – Bring your own device) só entrou no mercado a partir de 2009, e a adoção generalizada de BYOD só ocorreu recentemente.

Contudo, à medida que continuamos a ficar a par de violações de segurança por aqueles que usam smartphones e tablets, a questão que se coloca é: quem é o responsável pelos dados do smartphone – o empregado ou o empregador? E com que frequência o smartphone é atualizado e as notificações de segurança aparecem?

À medida que as tecnologias correntes se tornam mais enraizadas na rede e na cultura de uma organização, é necessário que as empresas tenham em mente o modo como os funcionários utilizam seus dispositivos, tanto no ambiente de trabalho como em sua vida pessoal. Isso é especialmente verdadeiro quando se trata de mídias sociais. Resultados da pesquisa sugerem que essa continua a ser uma área em que as organizações ainda não se sentem confiantes em suas capacidades para lidar com riscos.

Considerando que mesmo após quatro anos utilizando dispositivos móveis no ambiente de trabalho as organizações ainda não têm um nível alto de confiança, como enfrentarão os desafios de gerir e se defender de nuvens pessoais e hospedadas? Além disso, se as organizações estão investindo toda a sua energia para solucionar questões sobre tecnologias correntes, de que modo irão se proteger contra as tecnologias iminentes ou que estão para surgir no futuro próximo?

É necessário que as organizações se voltem mais para o futuro. Como podemos constatar com os dispositivos digitais e a mídia social, as empresas deveriam se preparar para tecnologias correntes à medida que surgirem no horizonte. Se os profissionais ainda estão trabalhando para aperfeiçoar a maneira de lidar com tecnologias que estão na sua frente ou até já os passaram um pouco, então não terão tempo para preparar uma defesa que proativamente proteja suas empresas de tecnologias que já são iminentes.

Principais práticas recomendadas por alguns de nossos entrevistados:

• “Se você de alguma forma ficou para trás, tenha conversas bilaterais com as áreas de negócios e TI – não para bloquear, manter ou controlar, mas para colocar as coisas em movimento e fazê-las acontecer.” – Empresa de atacado e varejo

• “As atividades de privacidade, segurança e fraudes precisam se integrar. O que os clientes e funcionários entendem como informação privada terá de ser diferente.” – Empresa de serviços financeiros

• “O elemento mais fraco na Segurança da Informação é o fator humano. Como resultado, estamos constantemente aperfeiçoando os programas de conscientização e introduzindo novos instrumentos de segurança.” — Empresa de serviços financeiros

• “Vemos os crescentes riscos e ameaças no cenário dos aplicativos. Enquanto há algum tempo protegíamos as redes e os sistemas expostos, agora precisamos proteger todos os sistemas – no nível dos aplicativos – por toda a rede, inclusive os conteúdos de informação utilizados nos aplicativos (por exemplo, e-mails e anexos).” – Empresa de atacado e varejo

26%afirmam que o “traga a sua própria nuvem” é importante

19%afirmam que a computação na memória é importante

71%consideram que a segurança de aplicativos é importante

70%consideram que smartphones e tablets são importantes



Importância média das tecnologias e tendências que são iminentes.

Os entrevistados classificam as tecnologias iminentes (ou seja, as que estão no radar das organizações já há algum tempo mas não foram ainda implementadas ou largamente adotadas) como médias em termos de nível de importância, familiaridade e confiança em suas capacidades para enfrentar os riscos cibernéticos relacionados.

As organizações normalmente veem essas tecnologias como fatores que oferecem oportunidades de melhoria em seus desempenhos e criação de vantagem competitiva. É nesse ponto que a familiaridade e a confiança precisam aumentar hoje em dia, já que a importância dessas tecnologias tende a crescer significativamente no futuro próximo.

Os termos big data, supply chain management (gestão de cadeia de suprimentos) e enterprise application store (loja de aplicativos da empresa) já entraram no jargão corporativo. “Traga sua própria nuvem” e “serviços de corretagem da nuvem” estão próximos de ser adotados dentro das organizações, assim como “traga seu próprio dispositivo” estava há mais ou menos um ano atrás. É necessário que as organizações conheçam agora os riscos cibernéticos associados a essas tecnologias, suas vulnerabilidades a esses riscos e o modo como podem mitigá-los. Definir as ameaças cibernéticas no momento da adoção é simplesmente tarde demais.

É necessário mais atenção para as tecnologias e tendências do futuro próximo.

Com tanto esforço sendo despendido no que está bem diante delas, as organizações não estão dando a devida atenção às tecnologias e tendências do futuro próximo – por enquanto. À medida que aumenta a velocidade com que essas tecnologias emergem e são adotadas, observa-se que o futuro pode estar mais próximo do que se imagina.

Empresas maduras estão começando a levar em consideração tais tecnologias. Elas estão revisando, repensando e, em alguns casos, redesenhando completamente os programas de Segurança da Informação para se preparar para as tecnologias do futuro e assim captar os benefícios potenciais da inovação.

Se as organizações quiserem se antecipar às ameaças cibernéticas – ou ao menos acompanha-las –, é preciso que sejam proativas não só a respeito dos riscos conhecidos e desconhecidos associados às tecnologias iminentes, mas também sobre aqueles que estão começando a surgir no horizonte.

As organizações precisam investir agora para compreender tanto as oportunidades como as ameaças – e agir de acordo com o que constatarem. Precisam também estar preparadas para mudar radicalmente seus programas de Segurança da Informação sempre que necessário. Caso contrário, a lacuna existente entre o programa de Segurança da Informação da organização e as ameaças cibernéticas que enfrenta só continuará a aumentar.

Ao considerar as tecnologias iminentes, os entrevistados compartilharam as seguintes observações:

“ Planeje suprir a lacuna por meio de parcerias e co-sourcing. Fortaleça as capacidades de monitoramento; explore as ferramentas e tecnologias existentes. Aumente a due diligence dos provedores de serviços; tenha um processo de gestão de incidentes mais robusto e estabeleça a inteligência para ameaças.” — Empresa de serviços financeiros

“ Inteligência de segurança é a chave para o futuro. (...) Precisamos de técnicas de big data para encontrar os maus elementos.” — Empresa de serviços financeiros

Entrevistados que levam em consideração tecnologias e tendências do futuro próximo compartilham as seguintes observações:

“ Você nunca pode assumir que alcançou pleno êxito em Segurança da Informação: seria ser complacente. Eliminar as lacunas potenciais entre ameaças e medidas de segurança é uma luta contínua. Com esse propósito, “saímos da caixa”: procuramos ouvir o mercado, compreender as novas tendências, identificar novas ameaças e de que modo podemos lidar com elas. É preciso estar sempre vigilante. O mais importante é ter uma visão holística, a mente aberta e estar disponível à discussão e colaboração. Não só dentro dos limites da organização, mas também entre as empresas.” — Empresa de serviços financeiros

“ Novas tecnologias levantarão novas questões sobre as quais você terá que pensar com antecedência”. — Empresa de serviços profissionais

O ritmo acelerado da (r)evolução que temos visto nos anos recentes deverá se tornar ainda mais veloz nos anos que virão – assim como os riscos cibernéticos. Não dar a devida importância aos riscos até que eles surjam dá vantagem aos hackers. Na verdade, é muito provável que eles já estejam por aí!

Combater ataques cibernéticos requer liderança e determinação de responsabilidades

Conclusão



As organizações estão fazendo um bom progresso ao melhorar a forma como gerenciam os riscos que já conhecem. No entanto, considerando que apenas 17% dos entrevistados informam que suas áreas de Segurança da Informação atendem plenamente às necessidades da companhia, observa-se que as empresas ainda têm um longo caminho a percorrer.

E que estão correndo contra o tempo. O volume de riscos cibernéticos que as organizações não conhecem, especialmente quando se trata de novas tecnologias iminentes ou do futuro próximo, está crescendo a uma velocidade rápida demais para que as empresas acompanhem.

As novas tecnologias agora direcionam as iniciativas voltadas ao cliente e de marketing, enquanto que a Segurança da Informação rastreia as ameaças cibernéticas a elas associadas. Fusões ou aquisições, mudanças estruturais dentro das organizações ou entradas em novos mercados, todas elas exercem pressão adicional para que o departamento de Segurança da Informação forneça proteção adequada.

De acordo com o que os resultados de nossa pesquisa indicam, é necessário que as organizações dediquem mais esforços para promover a conscientização dos funcionários, aumentar os orçamentos e alocar mais recursos para soluções de segurança inovadoras. Esses esforços precisam ser empreendidos pelos executivos da alta administração, que devem estar conscientes de que 80% da solução não é técnica – é na realidade um caso de boa governança.

Os ataques cibernéticos não irão parar!Mais que o dobro dos entrevistados indica que, ao longo dos últimos 12 meses, a frequência de ataques subiu em comparação com aqueles que indicam que eles diminuíram. Se os invasores forem bem-sucedidos ao se infiltrarem nos limites de uma empresa, as consequências poderão, na melhor das hipóteses, provocar uma distração, e, na pior, paralisia. As violações podem inviabilizar objetivos importantes, minar a confiança dos acionistas, analistas e consumidores, prejudicar a reputação da marca e causar prejuízos financeiros significativos.

Com grande frequência, a Segurança da Informação é percebida como uma necessidade do Compliance e um fardo para os custos do negócio. Os executivos precisam considerar a Segurança da Informação como uma oportunidade que pode realmente beneficiar a companhia e seus clientes. Precisam dirigir a atenção para as principais práticas descritas neste relatório e estudar como poderão ser aplicadas a seus negócios.

Entretanto, com os entrevistados indicando que alocarão apenas 14% de seus orçamentos em inovação de novas soluções de segurança nos próximos 12 meses, a possibilidade de hackers causarem estragos nas empresa torna-se não apenas provável, mas inevitável.

Conclusão

“ O crime cibernético é a maior ameaça existente para a sobrevivência das empresas atualmente.“

Ken AllanLíder global de Segurança da Informação


A Pesquisa de Segurança da Informação da EY foi realizada entre junho de 2013 e julho de 2013. Participaram mais de 1.900 entrevistados oriundos de todos os principais setores e de 64 países.

Para a nossa pesquisa, convidamos CIOs, CISOs, CFOs, CEOs e outros executivos da área de Segurança da Informação. Distribuímos um questionário aos profissionais da EY designados para a prática de cada país, acompanhado das instruções necessárias para que conduzissem a gestão do processo de entrevista de forma consistente.

A maior parte das respostas foi obtida durante entrevistas pessoais.

Quando o contato pessoal não foi possível, o questionário foi respondido on-line.

Se você deseja participar de futuras Pesquisas Globais de Segurança da Informação da EY, entre em contato com seu escritório local ou representante da EY, ou visite www.ey.com/giss e preencha um breve formulário.

Metodologia da pesquisa

Aeroespacial e de defesa 47

Companhias aéreas 12

Gestão de ativos 42

Indústria automotiva 66

Bancos e mercado de capitais 361

Indústria química 35

Tecnologia limpa 5

Bens de consumo 116

Produtos industriais em geral 128

Governo e setor público 128

Saúde 37

Mercado segurador 125

Life sciences 47

Mídia e entretenimento 57

Mineração e metais 39

Petróleo e gás 43

Energia e serviços públicos 61

Private equity 3

Serviços profissionais 73

Serviços de assistência médica 12

Mercado imobiliário 69

Atacado e varejo 98

Tecnologia 179

Telecomunicações 72

Transportes 54

Entrevistados por receita total anual da companhia

Entrevistados por setor

Entrevistados por área (1.900 entrevistados)

Perfil dos participantes

Legenda:

US$ 10 bilhões – 50 bilhões 196

US$ 1 bilhão – 50 bilhões 455

US$ 100 milhões – 1 bilhão 492

US$ 10 milhões – 100 milhões 388

Inferior a US$ 10 milhões 217

Governo, entidades sem fins lucrativos 96

Não aplicável 65

Legenda:

EMEIA 39%

Américas 28%

Ásia-Pacífico 19%

Japão 14%

1,909entrevistados

64países

25setores


Publicações relacionadas

Beating cybercrime. Security Program Management from the Board’s perspectiveA maioria das organizações se esforça para acompanhar a velocidade vertiginosa das tecnologias em constante evolução e suas ameaças, que criam lacunas perigosas entre os verdadeiros riscos que ameaçam sua viabilidade e a capacidade de responder a esses riscos e mitigá-los de forma eficaz. As organizações podem se beneficiar de uma avaliação objetiva de seus programas de Segurança da Informação e suas estruturas por meio da abordagem da Gestão do Programa de Segurança da EY.www.ey.com/spm

Cybersecurity: considerations for the audit committeeaSegurança cibernética não é apenas uma questão de tecnologia, é um risco do negócio que exige uma resposta de toda a empresa. Os quadros de diretores estão começando a tomar conhecimento disso, particularmente os membros do comitê de auditoria, que agora citam a segurança cibernética entre suas preocupações mais importantes. http://www.ey.com/Publication/vwLUAssets/Cybersecurity_Considerations_for_the_audit_committee/$FILE/Cybersecurity_considerations_for_the_audit_committee_GA0001.pdf

Security Operations Centers against cyber crime. Top 10 considerations for successAo compreender que os ataques à Segurança da Informação nunca podem ser totalmente evitados, as empresas deveriam aprimorar sua capacidade de detecção antecipada de modo a responder a eles de forma adequada. Um Security Operations Center – SOC (Centro de Operações de Segurança) que funcione bem está no centro de tais esforços. Examinamos as dez principais considerações críticas para o sucesso de um SOC.www.ey.com/soc

Identity and access management (IAM): beyond complianceA gestão de identidades e acessos está evoluindo para se tornar um programa com base nos riscos, com habilidades focadas em gestão de direitos e aplicação de controles de acesso lógico, alavancando novas tecnologias para a transformação de programas baseados em compliance em um verdadeiro facilitador de negócios.www.ey.com/iam

Business continuity managementAproximadamente 50% das empresas deixam de tomar medidas para proteger seus negócios em caso de um desastre, o que poderia potencialmente ameaçar sua existência. Desastres e a consequente falta de recursos podem ser devastadores; as empresas líderes têm cada vez mais consciência da necessidade de desenvolver, manter e sustentar programas eficazes de gestão de continuidade do negócio.www.ey.com/bcmtrends

Privacy trends: the uphill climb continuesÀ medida que o cenário de privacidade continua a evoluir e amadurecer, surgem tendências no âmbito de como as condições de mercado estão impactando as decisões de privacidade das organizações. Nosso relatório destaca as três categorias cuja importância é cada vez maior na nova era de proteção à privacidade: governança, tecnologias e regulação. www.ey.com/privacy2013

Key considerations for your internal audit plan: enhancing the risk assessment and addressing emerging risksA avaliação de risco de auditoria interna e os processos de atualização em curso são fundamentais para identificar e filtrar as atividades que a área pode realizar para fornecer benefícios mensuráveis para a organização. Os processos têm início na identificação desses riscos emergentes e nas áreas visadas e suas correspondentes auditorias práticas com base em valor. www.ey.com/iaplan

Veja também este livro sobre segurança cibernética publicado pela EY e ISACA: http://www.ey.com/US/en/Newsroom/News-releases/ News_Five-Things-Every-Organization-Should-Know-about-Detecting-and-Responding-to-Targeted-Cyberattacks

A EY publica regularmente a série Ideias e informações sobre governança, riscos e compliance (Insights on governance, risk and compliance), incluindo estudos sobre Segurança da Informação. Com o objetivo de auxiliar os clientes, são concebidas perspectivas oferecendo ideias valiosas e oportunas que abordam questões de importância para a alta liderança. Visite www.ey.com/GRCinsights

CybersecurityConsiderations for the audit committee

Identity and access management Beyond compliance

Insights on governance, risk and compliance

May 2013

��

��

��

��

��

��


EY - Serviços relacionados a Riscos

Líder global de Riscos

Paul van Kessel +31 88 40 71271 [email protected]

Líderes regionais de Riscos

Américas

Jay Layman +1 312 879 5071 [email protected]

EMEIA

Jonathan Blackmore +44 20 795 11616 [email protected]

Ásia-pacífico

Iain Burnet +61 8 9429 2486 [email protected]

Japão

Shohei Harada +81 3 3503 1100 [email protected]

Os líderes para Segurança da Informação dentro da nossa área de Riscos são:

Líder global de Segurança da Informação

Ken Allan +44 20 795 15769 [email protected]

Líderes regionais de Segurança da Informação

Américas

Jose Granado +1 713 750 8671 [email protected]

EMEIA

Ken Allan +44 20 795 15769 [email protected]

Ásia-pacífico

Mike Trovato +61 3 9288 8287 [email protected]

Japão

Shinichiro Nagao +81 3 3503 1100 [email protected]

Na EY, temos uma perspectiva integrada de todos os aspectos dos riscos organizacionais. Somos líderes em auditoria interna e riscos e controles financeiros, e continuamos a ampliar nossas habilidades em outras áreas relacionadas a riscos, como governança, conformidade e risco e gestão do risco empresarial.

Nós inovamos em áreas como consultoria em riscos, análise de riscos e tecnologias para riscos, o que coloca a EY na dianteira desse mercado. Com base num conhecimento profundo e de ponta sobre gestão de riscos técnicos e tecnológicos, prestamos serviços relacionados a controles de TI com foco em formato, implantação e racionalização dos controles, que reduzem os riscos nas ferramentas, infraestrutura e dados de nossos clientes. Segurança da informação é uma área chave, na qual a EY é líder reconhecida no mercado dentro do cenário atual de tecnologias móveis, redes sociais e computação em nuvem.

Os líderes de nossa área de Riscos são:

Contatos de Segurança da Informação para o Brasil:

Sócio de Segurança da Informação

Sérgio Kogan Francesco Bottino

+55 11 2573 3395 + 55 21 3263 7142

[email protected] [email protected]

Sócio de Segurança da Informação para o Setor Financeiro

Alberto Fávero +55 11 2573 3511 [email protected]

Diretor de Segurança da Informação

Demetrio Carrión + 55 21 3263 7327 [email protected]

ey.com/betterworkingworld #BetterWorkingWorld

facebook | EYBrasiltwitter | EY_Brasillinkedin | ernstandyoungapp | ey.com.br/eyinsights

EY Auditoria | Impostos | Transações Corporativas | Consultoria

Sobre a EY

A EY é líder global em serviços de Auditoria, Impostos, Transações Corporativas e Consultoria. Nossos insights e os serviços de qualidade que prestamos ajudam a criar confiança nos mercados de capitais e nas economias ao redor do mundo. Desenvolvemos líderes excepcionais que trabalham em equipe para cumprir nossos compromissos perante todas as partes interessadas. Com isso, desempenhamos papel fundamental na construção de um mundo de negócios melhor para nossas pessoas, nossos clientes e nossas comunidades.

No Brasil, a EY é a mais completa empresa de Auditoria, Impostos, Transações Corporativas e Consultoria, com 5.000 profissionais que dão suporte e atendimento a mais de 3.400 clientes de pequeno, médio e grande portes.

A EY Brasil é Apoiadora Oficial dos Jogos Olímpicos Rio 2016 e fornecedora exclusiva de serviços de Consultoria para o Comitê Organizador. O alinhamento dos valores do Movimento Olímpico e da EY foi decisivo nessa iniciativa.

EY refere-se à organização global e pode referir-se também a uma ou mais firmas-membro da Ernst & Young Global Limited (EYG), cada uma das quais é uma entidade legal independente. A Ernst & Young Global Limited, companhia privada constituída no Reino Unido e limitada por garantia, não presta serviços a clientes.

© 2014 EYGM Limited. Todos os direitos reservados.

Esta é uma publicação do Departamento de Marca, Marketing e Comunicação. A reprodução deste conteúdo, na totalidade ou em parte, é permitida desde que citada a fonte.

ey.com.br

Baixe o app EY Insights gratuitamente na Apple Store ou no Google Play e conheça nossos estudos e publicações.

Documents

Pesquisa Global de Segurança da Informação EY 2013 · hoje em dia tem consciência da dimensão e da intensidade das ameaças que enfrentam, e realizam melhorias com o objetivo