A PwC Brasil está divulgando os resultados da Pesquisa Global de Segurança de Informação 2014, elaborada a partir de entrevistas com 9.600 companhias – 700 só no Brasil – de 115 países. O estudo mostra um aumento considerável na preocupação de executivos com a segurança da informação, além do crescimento e sofisticação de ameaças aos sistemas das empresas.
A pesquisa deste ano mostra que os incidentes de segurança detectados aumentaram em 25% em relação ao ano anterior, enquanto os custos financeiros médios dos incidentes cresceram 18%. No entanto, apesar de os riscos de segurança da informação aumentarem, as estratégias de proteção não acompanham essa evolução. Isso leva organizações a travarem batalhas ineficazes contra inimigos altamente qualificados.
Ainda assim, globalmente, 74% dos respondentes dizem que suas atividades de segurança são eficazes, e mais de 80% afirmam que as despesas e políticas de proteção estão alinhadas com os objetivos do negócio. Em 2013, os gastos das empresas em segurança da informação foram de aproximadamente US$ 4,3 milhões, um aumento de 51% em relação ao ano passado. De toda a fatia desse investimento, apenas 3,8% é destinado para TI, uma porcentagem relativamente pequena.
O número de participantes que desconhecem a frequência dos incidentes continua a crescer ano a ano – agora está em 18% - e isso parece contradizer a “ideia” de que as organizações estão se tornando mais competentes na detecção de invasões. Segundo Edgar D’Andrea, sócio da PwC Brasil e líder em segurança da informação, a segurança ainda não é um componente essencial da estratégia de negócios em muitas empresas. “O novo mundo dos riscos de segurança demanda que as organizações tratem o tema da segurança da informação como uma questão de gestão de riscos corporativos que pode ameaçar seriamente os objetivos do negócio.”
A PwC, considerando depoimentos de todos os respondentes, chegou a uma média por ataque. Cada vez que o sistema de uma empresa é invadido, a companhia gasta US$ 531,00. “Esse valor pode parecer pouco, mas há instituições que recebem, por dia, mais de mil ataques”, dimensiona o líder em segurança da informação.
As perspectivas para o futuro, porém, são animadoras. Quase metade (49%) dos entrevistados afirma que os gastos de segurança nos próximos 12 meses aumentarão, em comparação com 45% no ano passado. Os respondentes da América do Sul (66%) e da Ásia-Pacífico (60%) esperam que os investimentos em segurança cresçam. Mas apenas 38% dos respondentes da América do Norte preveem uma alta nas despesas relacionadas a essa área, o que os torna os menos propensos a gastar.
Outros dados da pesquisa:
• Este ano, 24% dos respondentes relataram ter perdido dados em consequência de incidentes de segurança, uma elevação de 16% em relação a 2012.
• Os registros de funcionários (35%) e de clientes (31%) comprometidos lideram a lista de categorias de dados afetados.
• Entre as indústrias que informaram perdas de US$ 10 milhões ou mais estão a farmacêutica (20%), a de serviços financeiros (9%) e a de tecnologia (9%).
• A maioria dos participantes atribui incidentes de segurança a inimigos internos conhecidos, como funcionários ativos (31%) ou ex-funcionários (27%).
• Alguns inimigos muito conhecidos cumprem o seu potencial de risco externo: 32% dos respondentes da pesquisa atribuem incidentes de segurança a hackers, um aumento de 27% em relação ao ano anterior.
• A segurança ainda é falha em algumas áreas - 52% dos respondentes não implantaram ferramentas de monitoramento e definição de perfis de comportamento, e 46% não implantaram tecnologias de gestão de eventos e informações de segurança.
Brasil
O volume de incidentes segue a mesma tendência do resto do mundo: continua a crescer. Em 2012, houve uma redução em relação ao ano anterior, mas em 2013, a quantidade de incidentes cresceu mais de 200%.
No Brasil, o principal impacto das ocorrências está relacionado ao comprometimento dos registros de clientes. No resto do mundo, o principal aspecto comprometido foram os registros de empregados. Outro aspecto cuja tendência está aderente ao resto do mundo é a origem dos incidentes. No país, 41% dos respondentes classificam que os hackers ainda são a principal origem dos problemas, enquanto nos demais países essa responsabilidade foi atribuída por 32% dos respondentes.
De acordo com a pesquisa, 61,5% dos executivos afirmaram que conduzem testes regulares de penetração de dados para avaliar suas vulnerabilidades e nível de exposição. Ainda no Brasil, apenas 10% dos respondentes afirmam que desconhecem a origem dos incidentes, enquanto que nos demais países esse número atinge a marca de 24%.
Há também uma forte preocupação sobre o tratamento dos dispositivos móveis: 12% a mais dos respondentes (em relação ao resto do mundo) reportam ter uma “Estratégia de Segurança Móvel” e um “Software para gestão de dispositivos móveis” (MDM - Mobile Device Management). No Brasil, porém, nota-se uma postura mais restritiva em relação a outros países: 38% dos executivos brasileiros proíbem o uso de dispositivos de propriedade dos usuários para acesso ao ambiente de trabalho ou rede corporativa.
Ao analisar os resultados do Brasil, a equipe da PwC percebe uma questão importante. Quando o assunto é inovação, os investimentos em Cyber Security estão nulos. Segundo dados do estudo, as empresas ainda não dão suporte de segurança para projetos de inovação e iniciativas de modernização. Isso pode afetar o crescimento de companhias e prejudicar a reputação de uma empresa junto ao cliente, em especial depois de um ataque que possa prejudicar seus consumidores. “As companhias brasileiras devem pensar em estratégias de segurança da informação desde o início dos processos de inovação, de modo que elas cresçam preparadas para os riscos e não deixem para se preocupar quando o dano já tiver ocorrido. Esse é um dos pontos de alerta da pesquisa no Brasil”, analisa D’Andrea.
Para saber mais detalhes sobre a pesquisa e filtrar dados por países e indústrias, entre no site: http://www.pwc.com.br/pt/estudos-pesquisas/giss-2013.jhtml