A Tempest Security Intelligence apresenta o primeiro estudo de segurança da informação do mercado brasileiro. Realizado com mais de cinquenta empresas sediadas no País, de diferentes setores industriais, “Cibersegurança: a visão dos clientes da Tempest/EZ-Security para 2019” analisa o perfil dos participantes, a maturidade das empresas em relação ao tema, os investimentos e as prioridades das empresas na área, como as novas regulamentações Lei Geral de Proteção de Dados (LGPD) e General Data Protection Regulation (GDPR – regulamentada pela União Europeia) têm influenciado o foco de prioridades das empresas, entre outros assuntos.
“O trabalho foi realizado com o objetivo de buscar uma visão ampla sobre o mercado de segurança da informação no Brasil, abordando aspectos que vão desde a organização das estruturas de tecnologia no País até os critérios de priorização dos investimentos em segurança”, explica Cristiano Lincoln Mattos, CEO da Tempest Security Intelligence. “É importante valorizar também que contribuíram com o estudo somente executivos C-Level, decisores e profissionais formadores de opinião dos segmentos de Varejo/E-commerce, Saúde, Mídia e Mercado Financeiro, entre outros”, conclui.
A função primordial dos ambientes de tecnologia é trocar informações. Em meio ao grande volume de dados trocados na comunicação entre milhares de dispositivos é comum haver anomalias que podem ser ataques, fraudes, quebras de políticas ou mudanças nos padrões de comportamento de usuários, sistemas e equipamentos os quais devem ser rapidamente identificados, qualificados, alertados e investigados.
Além das novas regulamentações, percebe-se ao longo do estudo que os SOCs (sigla em inglês para Centros de Operações de Segurança) – espaços que se monitoram, em regime 24x7, as mais variadas tecnologias e filtram sinais de diversas fontes, alertando clientes sobre comportamentos relevantes e que requerem intervenção – são uma realidade para praticamente metade das empresas; a priorização de investimentos em Gestão de Riscos pode refletir os últimos eventos de vazamentos de informação no Brasil e na atuação mais ativa de órgãos regulatórios nestes casos; os níveis de maturidade para a Segurança da Informação nas empresas são muito difusos, principalmente quando comparado com mercados como Estados Unidos e Europa, mas estão passando por um processo de amadurecimento importante; e os gestores de segurança estão extremamente preocupados em não virar alvo de vazamentos, e parecem ter compreendido a importância de gerenciar as vulnerabilidades técnicas de suas empresas como fator adjacente à prevenção destes vazamentos.
O estudo traz mais de 15 segmentos do mercado brasileiro, com destaque para o Financeiro, com a maioria dos respondentes (45,45%); a Indústria de Manufatura (12,73%); e o Varejo/E-Commerce (7,27%); seguidos por Saúde, Mídia, Programa de Fidelidade, Energia, Seguros, Transporte e Outros.
A quem se reporta o líder de Segurança da Informação?
Um dado que merece atenção está relacionado a quem se reportam os executivos nas empresas. Quase metade dos profissionais ouvidos, 49.09%, afirmou que, em suas empresas, os líderes e gestores de segurança respondem diretamente ao diretor de tecnologia (CIO). Em 18,18% dos casos, os profissionais reportam ao diretor de operações (COO) e apenas 9% deles respondem diretamente ao CEO.
Para efeitos comparativos, a última edição do relatório “Global State of Information Security Survey”, produzido pela PriceWaterhouseCoopers, mostrava que 40% dos CISOs ou CSOs respondiam diretamente aos CEOs de suas empresas, 27% ao Conselho e 24% a um CIO. “Em contraste com os dados da PwC, que mostram fortalecimento do papel do CISO por sua proximidade junto ao alto comando das organizações, os dados coletados mostram que o Brasil ainda precisa amadurecer”, analisa Lincoln.
Investimento destinado à Segurança da Informação
A preocupação permanece quando falamos sobre investimentos em cibersegurança. Mais da metade das empresas ouvidas informam que o orçamento anual de segurança da informação representa até 2% do faturamento anual. Destas, 34,5% afirmam que o investimento não ultrapassa 1%.
A boa notícia é que, para 2019, 38,8% das empresas ouvidas afirmaram que a expectativa é incrementar este orçamento em até 20%. Por outro lado, 30,9% afirmam que a variação positiva não deve ultrapassar os 5%.
Maturidade das empresas
Um dos quadros mais relevantes levantados no estudo foi como as empresas enxergam a sua maturidade em relação ao tema. Como o Brasil está abaixo dos níveis adequados, principalmente quando comparados com mercados maduros como o norte-americano e o europeu, as respostas tendem a mostrar uma visão distorcida sobre maturidade em cibersegurança, demonstrando que a preocupação das empresas brasileiras ainda está aquém do que deveria.
Praticamente 25% das empresas estão nos estágios “Inexistente” ou “Inicial”, ou seja, possuem poucos recursos estruturados e sem visão abrangente ou apoio da empresa. 30% consideram que suas empresas possuem um nível estabelecido de maturidade, contando com um plano claro de atuação e apoio às organizações, mesmo estando abaixo das exigências do mercado.
Nos estágios “Gerenciado” e “Avançado” encontram-se 43,64% das empresas. 20% afirmam que apresentam recursos e processos maduros e investimentos na área, e apenas 23% do total segue padrão internacional.
Fatores mais relevantes para investimentos em cibersegurança
As perdas financeiras sempre ganham muito destaque quando a empresa é surpreendida por uma fraude, mas quando pedimos aos respondentes para que citassem as suas principais preocupações em ordem de importância, a proteção dos dados de seus clientes liderou (67,27%), seguido pela reputação da marca (54,55%) e, finalmente, pelas perdas financeiras relacionadas a falhas de segurança (45,45%). Lincoln credita isso às regulamentações como GDPR e LGPD, que estão influenciando a priorização nos investimentos em segurança. “A conformidade regulatória ser a quarta colocada no ranking das prioridades, com 41,82% comprova esta preocupação”, afirma.
Áreas prioritárias dos investimentos em cibersegurança
Seguindo a forte tendência na prevenção à perda de dados, a Gestão de Riscos (6,6%) está no topo das prioridades de investimentos entre os participantes do estudo. Também merecem destaque os itens Arquitetura de Segurança (6,4%) e Prevenção de Ameaças (5,56%).
É possível que os recentes eventos envolvendo vazamentos de dados no Brasil, além da atuação mais ativa de órgãos regulatórios, sejam determinantes nesta tendência.