Tempest apresenta primeiro estudo do mercado brasileiro de cibersegurança
Novas regulamentações têm influenciado o foco das prioridades nos investimentos em segurança nas empresas, que apresentam níveis difusos de maturidade
A Tempest Security Intelligence apresenta o primeiro estudo de segurança da informação do mercado brasileiro. Realizado com mais de cinquenta empresas sediadas no País, de diferentes setores industriais, “Cibersegurança: a visão dos clientes da Tempest/EZ-Security para 2019” analisa o perfil dos participantes, a maturidade das empresas em relação ao tema, os investimentos e as prioridades das empresas na área, como as novas regulamentações Lei Geral de Proteção de Dados (LGPD) e General Data Protection Regulation (GDPR – regulamentada pela União Europeia) têm influenciado o foco de prioridades das empresas, entre outros assuntos.
“O trabalho foi realizado com o objetivo de buscar uma visão ampla sobre o mercado de segurança da informação no Brasil, abordando aspectos que vão desde a organização das estruturas de tecnologia no País até os critérios de priorização dos investimentos em segurança”, explica Cristiano Lincoln Mattos, CEO da Tempest Security Intelligence. “É importante valorizar também que contribuíram com o estudo somente executivos C-Level, decisores e profissionais formadores de opinião dos segmentos de Varejo/E-commerce, Saúde, Mídia e Mercado Financeiro, entre outros”, conclui.
A função primordial dos ambientes de tecnologia é trocar informações. Em meio ao grande volume de dados trocados na comunicação entre milhares de dispositivos é comum haver anomalias que podem ser ataques, fraudes, quebras de políticas ou mudanças nos padrões de comportamento de usuários, sistemas e equipamentos os quais devem ser rapidamente identificados, qualificados, alertados e investigados.
Além das novas regulamentações, percebe-se ao longo do estudo que os SOCs (sigla em inglês para Centros de Operações de Segurança) – espaços que se monitoram, em regime 24×7, as mais variadas tecnologias e filtram sinais de diversas fontes, alertando clientes sobre comportamentos relevantes e que requerem intervenção – são uma realidade para praticamente metade das empresas; a priorização de investimentos em Gestão de Riscos pode refletir os últimos eventos de vazamentos de informação no Brasil e na atuação mais ativa de órgãos regulatórios nestes casos; os níveis de maturidade para a Segurança da Informação nas empresas são muito difusos, principalmente quando comparado com mercados como Estados Unidos e Europa, mas estão passando por um processo de amadurecimento importante; e os gestores de segurança estão extremamente preocupados em não virar alvo de vazamentos, e parecem ter compreendido a importância de gerenciar as vulnerabilidades técnicas de suas empresas como fator adjacente à prevenção destes vazamentos.
Perfil dos participantes
O estudo traz mais de 15 segmentos do mercado brasileiro, com destaque para o Financeiro, com a maioria dos respondentes (45,45%); a Indústria de Manufatura (12,73%); e o Varejo/E-Commerce (7,27%); seguidos por Saúde, Mídia, Programa de Fidelidade, Energia, Seguros, Transporte e Outros, conforme gráfico abaixo:
A quem se reporta o líder de Segurança da Informação?
Um dado que merece atenção está relacionado a quem se reportam os executivos nas empresas. Quase metade dos profissionais ouvidos, 49.09%, afirmou que, em suas empresas, os líderes e gestores de segurança respondem diretamente ao diretor de tecnologia (CIO). Em 18,18% dos casos, os profissionais reportam ao diretor de operações (COO) e apenas 9% deles respondem diretamente ao CEO.
Para efeitos comparativos, a última edição do relatório “Global State of Information Security Survey”, produzido pela PriceWaterhouseCoopers, mostrava que 40% dos CISOs ou CSOs respondiam diretamente aos CEOs de suas empresas, 27% ao Conselho e 24% a um CIO. “Em contraste com os dados da PwC, que mostram fortalecimento do papel do CISO por sua proximidade junto ao alto comando das organizações, os dados coletados mostram que o Brasil ainda precisa amadurecer”, analisa Lincoln.
Investimento destinado à Segurança da Informação
A preocupação permanece quando falamos sobre investimentos em cibersegurança. Mais da metade das empresas ouvidas informam que o orçamento anual de segurança da informação representa até 2% do faturamento anual. Destas, 34,5% afirmam que o investimento não ultrapassa 1%.
A boa notícia é que, para 2019, 38,8% das empresas ouvidas afirmaram que a expectativa é incrementar este orçamento em até 20%. Por outro lado, 30,9% afirmam que a variação positiva não deve ultrapassar os 5%.
Maturidade das empresas
Um dos quadros mais relevantes levantados no estudo foi como as empresas enxergam a sua maturidade em relação ao tema. Como o Brasil está abaixo dos níveis adequados, principalmente quando comparados com mercados maduros como o norte-americano e o europeu, as respostas tendem a mostrar uma visão distorcida sobre maturidade em cibersegurança, demonstrando que a preocupação das empresas brasileiras ainda está aquém do que deveria.
Praticamente 25% das empresas estão nos estágios “Inexistente” ou “Inicial”, ou seja, possuem poucos recursos estruturados e sem visão abrangente ou apoio da empresa. 30% consideram que suas empresas possuem um nível estabelecido de maturidade, contando com um plano claro de atuação e apoio às organizações, mesmo estando abaixo das exigências do mercado.
Nos estágios “Gerenciado” e “Avançado” encontram-se 43,64% das empresas. 20% afirmam que apresentam recursos e processos maduros e investimentos na área, e apenas 23% do total segue padrão internacional.
Fatores mais relevantes para investimentos em cibersegurança
As perdas financeiras sempre ganham muito destaque quando a empresa é surpreendida por uma fraude, mas quando pedimos aos respondentes para que citassem as suas principais preocupações em ordem de importância, a proteção dos dados de seus clientes liderou (67,27%), seguido pela reputação da marca (54,55%) e, finalmente, pelas perdas financeiras relacionadas a falhas de segurança (45,45%). Lincoln credita isso às regulamentações como GDPR e LGPD, que estão influenciando a priorização nos investimentos em segurança. “A conformidade regulatória ser a quarta colocada no ranking das prioridades, com 41,82% comprova esta preocupação”, afirma.
Estrutura dos SOCs
SOCs são uma realidade em quase metade das empresas participantes (49%). Sendo que destes, 29% contam com estrutura própria, sem a intenção de terceirizá-la, e, em 20% dos casos, o SOC é operado por uma companhia terceirizada.
As empresas que não contam com a estrutura, própria ou terceirizada, respondem por 51%. Destes, 14% tem a intenção de contratar uma empresa para fornecer o serviço.
A pesquisa “State of the SOC Report, da Exabeam”, realizada nos EUA e no Reino Unido, em maio de 2018, mostra que 40% das empresas terceirizam seus SOCs. Destas, 95% terceirizam apenas parte das atividades – especialmente os quesitos detecção de ameaças (47%) e monitoramento (45%), mantendo em casa as respostas a incidentes (68%). Outro estudo, este do SANS Institute, mostra que as empresas tendem a confiar em serviços terceirizados na pesquisa de ameaças (44%) e forense digital (38%).
Áreas prioritárias dos investimentos em cibersegurança
Seguindo a forte tendência na prevenção à perda de dados, a Gestão de Riscos (6,6%) está no topo das prioridades de investimentos entre os participantes do estudo. Também merecem destaque os itens Arquitetura de Segurança (6,4%) e Prevenção de Ameaças (5,56%).
É possível que os recentes eventos envolvendo vazamentos de dados no Brasil, além da atuação mais ativa de órgãos regulatórios, sejam determinantes nesta tendência.
Metodologia e base de dados
O estudo “Cibersegurança: a visão dos clientes da Tempest/EZ-Security para 2019” foi realizado a partir de um questionário composto por perguntas com respostas únicas e de múltiplas escolhas, nas quais o participante era convidado a atribuir uma nota a diversos itens e criando uma escala de importância. Este método foi utilizado especialmente em perguntas referentes à prioridade de alocação dos investimentos relacionados a cibersegurança.
Nos casos das outras respostas que envolvem múltiplas escolhas usamos como critério de classificação a média ponderada, e não o percentual de pessoas que escolheram um determinado item; esse critério foi escolhido por levar em consideração não só o item apontado como o mais importante pelos participantes, mas os pesos atribuídos por eles a todas as alternativas apresentadas.