SEGURANÇA DA INFORMAÇÃO (90)

Prévia do material em texto

Relatório sobre Segurança da Informação nas 
Empresas
2011
RESULTADOS DA AMÉRICA LATINA
Relatório 2011 sobre Segurança da Informação nas Empresas | 3
SUMÁRIO
Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Resultado 1: Cibersegurança é importante para os negócios . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Resultado 2: Os fatores direcionadores à cibersegurança estão mudando . . . . . . . . . . . . . . 10
Resultado 3: Detalhes sobre os ciberataques às empresas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Resultado 4: O que as empresas estão fazendo em relação à cibersegurança? . . . . . . . . . . . . 16
Principais recomendações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 
4 | Relatório 2011 sobre Segurança da Informação nas Empresas
Introdução
Neste Relatório 2011 sobre Segurança da Informação nas Empresas, a Symantec atualizou 
a perspectiva global sobre as principais ameaças à segurança, tendências e respostas em 
um amplo conjunto de empresas de todo o mundo, incluindo companhias de pequeno e 
médio porte, assim como grandes companhias — 3 .300, no total .
Naturalmente, os resultados desta pesquisa fornecem uma visão estratégia de mercado 
para a Symantec . Ao mesmo tempo, o compartilhamento destes dados com a indústria, em 
geral, e com os profissionais de TI, em particular, ajuda a apresentar valores de referência 
para a avaliação dos seus próprios cenários de cibersegurança . 
De um modo geral, os participantes do estudo consideram que a proteção de suas redes 
e dados é muito importante para os negócios . Muitos veem uma crescente ameaça por 
parte dos ciberataques, com custos substanciais de hardware e software gerados por eles . 
E, por conta da contínua migração dos desktops para a computação móvel, em conjunto 
com um número crescente de colaboradores móveis e remotos, os fatores que direcionam a 
cibersegurança passaram a refletir essas mudanças .
As organizações estão se aprimorando na luta contra as ameaças à cibersegurança . Ainda 
que a maioria dos entrevistados tenha sofrido danos resultantes de ataques cibernéticos, 
um número global maior relatou declínio na quantidade e na frequência dos ataques 
em relação a 2010 . No entanto, a pesquisa revelou que muitas empresas - quase metade 
das entrevistadas - ainda poderiam fazer mais para proteger suas redes e ativos de 
informação . Por outro lado, as companhias estão aumentando seus orçamentos e equipes 
de cibersegurança .
Este relatório fornece mais detalhes sobre o Relatório 2011 sobre Segurança da 
Informação nas Empresas, incluindo os quatro principais resultados . Também são 
apresentadas recomendações para aprimorar a cibersegurança assim como uma 
compilação dos dados mais pertinentes da pesquisa por trás dos nossos resultados .
Para obter mais informações sobre qualquer conteúdo deste relatório, por favor, entre em 
contato com nosso representante Symantec ou visite www.symantec.com/pt/br. 
Relatório 2011 sobre Segurança da Informação nas Empresas | 5
6 | Relatório 2011 sobre Segurança da Informação nas Empresas
Metodologia
A Symantec contratou a empresa Applied Research para realizar o Relatório 2011 
sobre Segurança da Informação nas Empresas no período entre abril e maio de 2011 . 
Os pesquisadores entraram em contato com um total de 3 .300 empresas em todo 
o mundo, com cinco a mais de 5 .000 funcionários . Os resultados deste relatório se 
baseiam nas 250 respostas da América Latina . As empresas representaram diversos 
setores . No caso das pequenas, os entrevistados eram responsáveis pelos recursos 
computacionais; enquanto os entrevistados de grandes companhias foram profissionais 
de TI em funções táticas ou estratégicas, ou executivos C-level (CEOs, CIOs, CSOsetc) . 
A pesquisa tem 95% de confiabilidade e margem de erro de 6,2% em média . 
Relatório 2011 sobre Segurança da Informação nas Empresas | 7
Quantos funcionários sua empresa tem mundialmente? 
9%
8%
10%
10%
12%
26%
12%
12%
0% 5% 10%1 5% 20%2 5% 30%
5 a 49
50 a 99
100 a 249
250 a 499
500 a 999
1,000 a 2,499
2.500 a 4.999 (média empresa)
 5.000 ou mais (grande empresa) 
8 | Relatório 2011 sobre Segurança da Informação nas Empresas
 
Resultado 1
Cibersegurança é importante para os negócios
As empresas hoje estão preocupadas com uma variedade de ameaças, 
incluindo atividades criminosas, eventos relacionados à marca, catástrofes 
naturais e ataques em nível nacional, como o terrorismo .
No entanto, de acordo com os resultados da nossa pesquisa, os temores 
mais sérios se relacionam à cibersegurança . A principal preocupação são os 
ciberataques seguidos pelos incidentes de TI causados por colaboradores 
internos bem-intencionados e ameaças geradas internamente . 
As ciberameças não apenas subiram ao topo das listas de vigilância das organizações, 
como também a importância dessas ameaças aumentou para muitos dos entrevistados . 
Especificamente, 42% dos entrevistados consideram a cibersegurança mais importante 
hoje do que era apenas um ano atrás . Em comparação, apenas 19% deles dizem 
que a importância da cibersegurança diminui um pouco ou significativamente . 
Claramente, as empresas acreditam cada vez mais que manter suas redes 
e informações seguras é de importância vital para suas operações . 
Ameaças
Relatório 2011 sobre Segurança da Informação nas Empresas | 9
 
A segurança de TI está ameaçada 
por tendências, incluindo:
• Consumerização da TI 
• Crescimento das Aplicações 
• Mídias Sociais 
• Computação Móvel 
As ameaças mais críticas são:
• Hackers 
• Ataques direcionados 
• Iniciados bem-intenciona-
dos 
Classifique os seguintes riscos de negócios em ordem de importância para sua 
organização. (1 mais significativo, 7 menos significativo, média das classificações)
Como a importância da proteção das plataformas e informações de sua 
organização mudou nos últimos 12 meses? 
3.24
3.56
3.90 4.07 4.12 4.18
4.86
0
1
2
3
4
5
6
7
Ciberataques
Incidentes de TI
causados por 
colaboradores
bem-intencionados
Ameaças de TI
geradas 
internamente 
Atividade criminal
tradicional
Desastres
naturais
Eventos 
relacionados à
marca Terrorismo
7%
12%
40%
30%
12%
0% 5% 10%1 5% 20%2 5% 30%3 5% 40%4 5%
Significativamente menos importante 
Um pouco menos importante
É a mesma
Um pouco mais importante 
 Significativamente mais importante 
10 | Relatório 2011 sobre Segurança da Informação nas Empresas
Resultado 2 
 Os fatores direcionadores à cibersegurança estão mudando 
Por que a preocupação com a cibersegurança está aumentando? Com o mercado saturado 
por dispositivos móveis, não é nenhuma surpresa que 49% dos entrevistados considerem 
a computação móvel como um dos principais desafios para garantir a cibersegurança . A 
computação móvel pode estar revolucionando o cenário da produtividade, mas as áreas 
de TI enfrentam uma grande dificuldade para proteger redes e dados corporativos .
Além de computação móvel, 49% dos entrevistados apontaram que outra preocupação 
premente é o avanço das mídiassociais . Ainda que esses canais ofereçam oportunidades 
únicas de marketing e de colaboração, as possibilidades de se clicar em links maliciosos 
ou publicar informações confidenciais preocupam os departamentos de TI . 
A consumerização da TI é uma preocupação ainda maior, citada por 
51% dos entrevistados . Com os usuários adotando novas tecnologias, 
como tablets que atravessaram o espaço do consumidor para chegar às 
empresas, a área de TI passa a enfrentar mais desafios para proteger esses 
dispositivos bem como as conexões com as redes corporativas . 
As principais fontes de ameaças à segurança? 54% dos entrevistados apontam os hackers . 
Em seguida na lista estão os ataques direcionados, citados por 48% . Em terceiro lugar 
estão os colaboradores internos bem-intencionados, apontados por 47% dos entrevistados . 
Ataques
EMPRESA
Relatório 2011 sobre Segurança da Informação nas Empresas | 11
78% dos entrevistados sofreram um 
ataque no ano passado, incluindo 
código malicioso, engenharia social
e ataques maliciosos externos 
23% dos entrevistados veem a 
frequência dos ataques aumentar 
e 1/5 vê os ataques como algo 
significativamente efetivo 
 
51%
50%
49%
49%
46%
45%
44%
44%
43%
43%
0% 10%2 0% 30%4 0% 50%6 0%
54%
48%
47%
46%
45%
45%
41%
39%
0% 10%2 0% 30%4 0% 50%6 0%
Tendências da indústria que afetam pouco / significativamente 
a dificuldade na segurança 
 Infraestrutura Pública / Plataforma como Serviço 
Software como Serviço Público 
 Virtualização 
 
Conformidade
 Mudanças no cenário de Ameaças
Computação em Nuvem Privada
Computação Móvel
Mídias Sociais
Crescimento das Aplicações
Consumerização da TI
Ataques patrocinados pelo Estado
Hacktivismo 
Colaboradores Maliciosos
Criminosos
Espionagem Industrial 
Colaboradores internos bem-intencionados 
Ataques Direcionados
Hackers 
Ameaças à segurança pouco/extremamente significativas 
12 | Relatório 2011 sobre Segurança da Informação nas Empresas
Resultado 3
Detalhes sobre os ciberataques às empresas
A preocupação com os hackers tem fundamento, dado o número de empresas que sofrem 
ciberataques . 78% das organizações sofreram ataques nos últimos 12 meses; 95% dos 
entrevistados relataram perdas com tais incidentes . 23% relataram uma frequência 
crescente de ataques .
As três principais perdas foram períodos de inatividade, roubo de informações de identidade 
de clientes e funcionários, e roubo de propriedade intelectual . 
Quão destrutivos são esses ataques em termos de custos? Em uma palavra, substanciais . Na 
América Latina, 20% deles geraram, pelo menos, US$181 .220 em despesas resultantes de 
ataques durante o ano passado . 
Os entrevistados dizem que as principais fontes desses custos são perda de produtividade, 
perda de receita e custos para cumprir regulamentações após um ataque . 
Os métodos usados pelos cibercriminosos em seus ataques refletem a evolução dos 
direcionadores da segurança, de acordo com os resultados da pesquisa . Os ataques com 
códigos maliciosos ocupam a posição mais alta entre os entrevistados, com 24% deles tendo 
experimentado um número elevado desse tipo de ataque no ano passado . 
 
Efeitos dos 
ciberataques 
Continua na página 14
Rec
eita
Valor da
Marca
Dados d
e
Cliente
s
EMPRESA
Relatório 2011 sobre Segurança da Informação nas Empresas | 13
95% dos entrevistados geradas
pelos ciberataques, 
incluindo períodos de 
inatividade, perda de 
informações de clientes e 
funcionários e de propriedade 
intelectual
86% dos entrevistados veem a 
frequência dos ataques au-
mentar e 1/5 vê os ataques 
como algo significativa-
mente efetivo
US$181k 
 mil
20% das empresas 
perderam US$181.220 
como consequência dos 
ciberataques 
Caracterize a quantidade de ciberataques contra sua organização nos 
últimos 12 meses: 
Número um pouco / extremamente alto nos últimos 12 meses? 
22%
47%
23%
6%
2%
0% 5% 10%1 5% 20%2 5% 30%3 5% 40%4 5% 50%
Não sofreu ciberataques 
Sofreu apenas alguns ciberataques 
Sofreu quantidade regular de ciberataques
Sofreu um grande número de ciberataques 
Sofreu um número extremamente maior de ciberataques 
24%
22%
20%
19%
17%
16%
15%
0% 5% 10%1 5% 20%2 5%
Ataques de Código Malicioso
Ataques externos Maliciosos
Ações internas Não Intencionais
Ataques de Engenharia Social
Ataques internos Maliciosos
Ataques de Negação de Serviço 
Ataques Direcionados
14 | Relatório 2011 sobre Segurança da Informação nas Empresas
22% dos entrevistados dizem ter sofrido um número elevado de ataques 
externos maliciosos no ano passado . Ações internas não intencionais também 
é um problema que afetou 20% dos entrevistados no ano passado . 
Curiosamente, os entrevistados também veem dois desses métodos de ciberataques 
como os que crescem mais rápido, com os ataques maliciosos externos 
substituindo ações internas não intencionais entre os três primeiros .
Ataques crescendo de forma pouco / extremamente rápida
30%
25%
24%
20%
19%
18%
18%
0% 5% 10%1 5% 20%2 5% 30%3 5%
Ataques de Código Malicioso
Ataques de Engenharia Social
Ataques externos Maliciosos
Ataques Direcionados
Ataques internos Maliciosos
Ações internas Não Intencionais
Ataques de Negação de Serviço
Relatório 2011 sobre Segurança da Informação nas Empresas | 15
0% 5% 10%1 5% 20%2 5% 30%3 5%
0% 5% 10%1 5% 20%2 5% 30%3 5% 40%
Perdas sofridas 
Roubo de Informações de Saúde dos funcionários
Roubo de Identidades
Roubo de outros Dados Corporativos
Roubo de Informações de Saúde dos clientes
Roubo de Informações Financeiras dos clientes
Roubo de Propriedade Intelectual
Roubo de Informações Pessoais dos funcionários
Roubo de Informações Pessoais dos clientes
 Inatividade do ambiente
Não sei o que foi tomado ou afetado
Custos com Litígios
Queda no valor das Ações
Custos Financeiros diretos (dinheiro ou bens) 
Perda de Dados da empresa, de clientes ou de funcionários 
Danos à Reputação da Marca
Multas Regulatórias
Perda de confiança dos clientes / relacionamentos prejudicados
Custos com Conformidade às Regulamentações após o ataque
Perda de Receita
Perda de Produtividade 
Custos dos ciberataques 
16 | Relatório 2011 sobre Segurança da Informação nas Empresas
Resultado 4
O que as empresas estão fazendo em relação à cibersegurança? 
Quando se trata de medidas de segurança, as empresas precisam ser capazes de prevenir 
ataques e reagir assim que eles ocorrem . Também é importante ter iniciativas estratégicas 
que estabeleçam a base para futura proteção . Com base nos resultados da pesquisa, 
ainda há o que fazer para que as organizações aprimorem o modo como se preparam e 
respondem às ameaças . 
A pesquisa revelou que as empresas estão mais preparadas quando se trata de medidas de 
segurança rotineiras . 54% reportaram que estão indo bem nessa área e 53% disseram que 
são bem-sucedidas no tratamento dos ciberataques . Por outro lado, apenas 51% disseram 
que estão se saindo bem em termos de iniciativas estratégicas de segurança e 50% em 
questões de conformidade . Apenas 44% buscam inovar em segurança .
 Para lidar com essas deficiências, as empresas estão elevando o nível das equipes 
de TI . Em particular, estão aumentando o time que trata da segurança emambientes 
virtualizados, na Web e em ambientes móveis . Além disso, estão destinando um 
orçamento maior para segurança de endpoints e rede; assim como para a segurança na 
Web . É evidente que as organizações estão intensificando seus esforços para melhorar 
a proteção, mas muitas empresas - quase a metade dos entrevistados - ainda têm muito 
trabalho a fazer na proteção de seus ativos de informação e redes .
Como a TI 
está atuando
Proteção
Relatório 2011 sobre Segurança da Informação nas Empresas | 17
49% dos entrevistados estão 
aumentando as equipes de 
segurança para ambientes 
virtuais
42% dos entrevistados estão 
aumentando o orçamento 
para prevenção contra perda 
de dados
45% dos entrevistados estão 
aumentando o orçamento 
para segurança na Web, 
Redes e Endpoints
Indo bem / extremamente bem 
54%
53%
51%
50%
44%
0% 10%2 0% 30%4 0% 50%6 0%
Lidar com Medidas Rotineiras de Segurança
Tratar Ataques ou Brechas de Segurança
Buscar iniciativas estratégicas de Segurança
Demonstrar Conformidade
Buscar ações de Segurança avançadas ou inovadoras
18 | Relatório 2011 sobre Segurança da Informação nas Empresas
Recursos humanos crescendo
lenta / rapidamente
49%
48%
47%
45%
45%
45%
45%
45%
44%
44%
43%
43%
43%
42%
42%
40%
39%
0% 10%2 0% 30%4 0% 50 0%
Segurança na Web
Segurança para Ambientes Virtuais
Segurança Móvel
Segurança para iniciativas de Nuvem Privada
Segurança de Endpoints
Prevenção contra Perda de Dados
Segurança de Rede
Treinamento e Conscientização de usuários
Segurança para iniciativas de Nuvem Pública
Segurança das Mensagens
Gestão de Segurança dos Sistemas 
Auditoria / Conformidade
Relatório
Políticas e Procedimentos
Respostas para Incidentes de Segurança 
Gestão de Riscos
Avaliação / Detecção de Vulnerabilidade
%6
Orçamento de segurança crescendo
lenta/rapidamente 
45%
45%
45%
42%
41%
41%
41%
41%
41%
41%
40%
38%
38%
37%
35%
35%
35%
0% 5% 10%1 5% 20%2 5% 30%3 5% 40%4 5% 50%
Segurança de Endpoints
Segurança de Rede
Segurança na Web
Prevenção contra Perda de Dados
Auditoria / Conformidade
Avaliação / Detecção de Vulnerabilidade
Segurança para iniciativas de Nuvem Privada
Segurança Móvel
Segurança para Ambientes Virtuais
Gestão de Riscos
Gestão de Segurança dos Sistemas
Relatório
Segurança para iniciativas de Nuvem Pública
Respostas para Incidentes
Políticas e Procedimentos
Segurança das Mensagens
Treinamento e Conscientização de usuários
Relatório 2011 sobre Segurança da Informação nas Empresas | 19
Principais Recomendações 
As organizações precisam desenvolver e aplicar políticas de TI . Depois de priorizar 
riscos e definir políticas que envolvam todos os ambientes, as empresas podem 
aplicá-las por meio de processos automatizados e fluxos de trabalho que protejam as 
informações, identifiquem ameaças e corrijam incidentes ou se antecipem a eles . 
As empresas precisam garantir a proteção proativamente, tendo uma abordagem 
centrada nas informações para proteger tanto essas informações quanto as interações . 
Adotar uma abordagem sensível ao conteúdo para proteger as informações é 
fundamental para identificar e classificar dados confidenciais e críticos, conhecendo 
onde eles estão armazenados, quem tem acesso a eles, e como estão chegando ou 
saindo da empresa . Criptografar proativamente os endpoints também ajudará as 
organizações a minimizar as consequências associadas a perdas de dispositivos .
Para ajudar a controlar os acessos, os administradores de TI precisam validar e proteger 
a identidade de usuários, sites e dispositivos em toda a organização . Além disso, 
precisam fornecer conexões confiáveis e autenticar transações, quando necessário .
As organizações precisam gerenciar os sistemas por meio da implementação de ambientes 
operacionais seguros, distribuição e regulamentação de níveis de patches, automação de 
processos para elevar a eficiência, monitoramento e relatórios sobre o status dos sistemas . 
Os administradores de TI precisam proteger a infraestrutura, garantindo a segurança 
de todos os endpoints - incluindo o número crescente de dispositivos móveis -, além 
das mensagens e ambientes Web . Proteger os servidores internos críticos e assegurar 
a capacidade de fazer backup e recuperar dados também devem ser prioridades . 
Além disso, as organizações precisam de visibilidade, inteligência de segurança e 
avaliações de malware em seus ambientes para responder às ameaças rapidamente .
Sobre a Symantec 
A Symantec é líder mundial no fornecimento de soluções de segurança, armazenamento e gerenciamento de 
sistemas para ajudar consumidores e organizações a proteger e gerenciar suas informações em um mundo 
conectado . Nossos softwares e serviços protegem contra mais riscos, em mais pontos, de forma completa e 
eficiente, oferecendo segurança onde quer que a informação esteja sendo utilizada ou armazenada .
Mais informações em www.symantec.com/la
® 2011 Symantec Corporation . Symantec e o logo da Symantec são marcas registradas da Symantec Corporation ou de suas afiliadas 
nos Estados Unidos e em outros países . Outros nomes podem ser marcas registradas de seus respectivos proprietários .