relatório sobre ameaças internas 2015 da vormetric

RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL
Pesquisa
realizada por
RELATÓRIO
SOBRE
AMEAÇAS
INTERNAS
2015 DA
VORMETRIC
Tendências e direções futuras em segurança de dados
EDIÇÃO MÉXICO E BRASIL #2015InsiderThreat
1
ÍNDICE
SOBRE ESTE RELATÓRIO 3
Compreendendo a natureza e fontes de ameaças internas 3
RESUMO EXECUTIVO 4
Serviços na nuvem México e Brasil em risco, como o resto do mundo
4
Como os provedores de serviços na nuvem devem reagir? 11
Ameaças que evoluem rápido demais para as normas
de conformidade e muitas equipes de segurança 4
Big data: taxas de adoção e preocupações 11
Violações: custos descontrolados e preocupação maior
do conselho de administração Como as organizações estão respondendo às ameaças 13
4
FOCO NO MÉXICO
15
O resultado
5
FOCO NO BRASIL
17
ENTREVISTADOS INFORMAM
VULNERABILIDADE DIFUNDIDA
6
Índices de compromisso 7
RECOMENDAÇÕES PRINCIPAIS PARA LIDAR COM
AMEAÇAS INTERNAS 18
SOBRE O RELATÓRIO SOBRE AMEAÇAS INTERNAS
2013 DA VORMETRIC 19
SOBRE A VORMETRIC
19
HARRIS POLL – FONTE/METODOLOGIA
19
LEITURA COMPLEMENTAR
19
Resumo7
MAIORES PREOCUPAÇÕES DOS ENTREVISTADOS
8
Pessoal interno que apresenta o maior risco
8
Onde estão os dados sensíveis e onde estão em risco
9
NOSSOS PATROCINADORES
2
RISCO E PREOCUPAÇÕES EMERGENTES APRESENTADOS
POR QUESTÕES DE NUVEM E BIG DATA
9
9
RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL
SOBRE ESTE RELATÓRIO
A edição para o México e Brasil do Relatório sobre ameaças internas
2015 apresenta ideias e análises atuais das ameaças enfrentadas pelas
organizações nestas regiões e abordagens usadas como resposta. Este
relatório contém os resultados de uma pesquisa on-line realizada em nome
da Vormetric pela Harris Poll no primeiro trimestre de 2015. O questionário
recolheu respostas de 204 decisores de TI; 102 dos entrevistados eram
do México e 102 do Brasil. Todos os entrevistados informaram ser de
organizações com receitas de US$ 100 milhões e acima. Dos entrevistados
do México, 88% representavam organizações com receitas de US$ 500
milhões e acima. No Brasil, 78% eram de organizações com receitas de US$
480 milhões e acima.
“87% dos entrevistados
no México e 69% dos
entrevistados no Brasil
classificaram suas organizações
como um pouco ou mais
vulneráveis a ameaças internas.”
O relatório se concentra nos resultados dos entrevistados baseados no México
e no Brasil. Estes resultados também são comparados com dados de nossa
pesquisa global que recolheu informações de entrevistados nos EUA, RU,
Alemanha, Japão e região ASEAN (os países pesquisados na ASEAN foram
Singapura, Malásia, Indonésia, Tailândia e Filipinas). Realizada no terceiro
trimestre de 2014, esta pesquisa global também esteve ao cargo da Harris
Poll e usou o mesmo conjunto de perguntas e metodologia.
Compreendendo a natureza e fontes de ameaças internas
Quando se trata de avaliar e lidar com as ameaças internas, o ambiente se torna
cada vez mais complexo. E à medida que o cenário de ameaças se torna mais
complexo, o alcance dos desafios segue em seu encalço. Pode parecer uma
contradição em termos, mas as ameaças internas são feitas por uma faixa cada
mais vez maior de criminosos. Atualmente, as ameaças vêm de indivíduos ou
grupos que, intencionalmente ou por acidente, fazem coisas que colocam em
risco a organização e seus dados. As equipes de segurança que pretendem
enfrentar as ameaças internas devem considerar os seguintes grupos:
• Usuários com privilégios que gerenciam a infraestrutura de TI e tem
acesso total aos dados nos sistemas que gerenciam.
• Funcionários, inclusive empregados, diretores e executivos de alto nível.
• Prestadores de serviços externos e contratados com acesso às
redes e ativos da empresa. Inclui entidades como organizações de
desenvolvimento externas, provedores de serviços na nuvem e outros.
• Criminosos que comprometem as credenciais de qualquer desses
grupos.
3
RESUMO EXECUTIVO
México e Brasil em risco, como o resto do mundo
O alcance dos ataques cibernéticos é verdadeiramente global e as
organizações na América Latina não estão imunes. As empresas nestas
regiões também precisam de soluções de segurança de dados que ajudem
a atender os requisitos de conformidade e impedir a perda financeira e de
propriedade intelectual essenciais. Por exemplo, de acordo com um estudo
sobre cibercriminalidade pelo Registro de Endereços de Internet da América
Latina e Caribe, apenas o phishing afeta cerca de 2.500 bancos e contas
regionais, com perdas anuais US$ 93 bilhões na região.
Os resultados da pesquisa deixam claro que, tanto no México quanto no
Brasil e em todo o mundo, os entrevistados estão vendo os efeitos das
violações de dados e estão preocupados sobre a vulnerabilidade a ataques.
Dos entrevistados, 87% no México e 69% no Brasil classificaram suas
organizações como um pouco ou mais vulneráveis a ameaças internas.
Além disso, 48% no México e 26% no Brasil mencionaram que, no
ano anterior, suas organizações encontraram uma violação e dados ou
foram reprovadas em auditoria de conformidade. Esta falta de proteção
aos dados reverberaram em todo o mundo, pois as organizações estão
tendo dificuldades sobre como proteger suas informações vitais contra
comprometimento.
Ameaças que evoluem rápido demais para as normas de
conformidade e muitas equipes de segurança
As ameaças continuam a ficar mais avançadas; diariamente, e mesmo, cada
hora, surgem novos ataques e ameaças. O ritmo das ameaças em evolução
continuam a colocar as equipes de TI em uma posição bem conhecida de
correr atrás do prejuízo. E se estes grupos ficam para trás, os responsáveis
por definir as políticas de segurança, responsabilidades e orientações de
conformidade para regiões e setores inteiros compreensivelmente têm maior
dificuldade para manter o ritmo. O resultado é que o número e a gravidade
das violações continuam a crescer.
Isto torna a dependência em conformidade, encontrada nos resultados da
pesquisa, uma preocupação real: 52% dos entrevistados mexicanos e 59%
dos brasileiros identificaram conformidade como muito ou extremamente
eficaz na proteção de dados. Estes números levantem receios sobre uma
sensação de segurança irreal que está sendo criada por iniciativas de
conformidade.
Violações: custos disparados e preocupação maior do conselho de
administração
Está claro que as violações de segurança estão mais presentes e onerosas.
Há anos, relatos destas invasões em noticiários são um tema recorrente,
porém, nos últimos meses, os custos cada vez maiores e em grande escala
e natureza devastadora das violações levaram a segurança como uma
preocupação para o conselho de administração. Isso foi apressado pelas
saídas altamente públicas de CIOs e CEOs após invasões em larga escala
nas organizações.
4
“49% dos
entrevistados no
México e 39% no
Brasil indicaram que
suas organizações
estavam protegendo
dados por causa
de uma violação de
dados anterior ou
de um parceiro ou
concorrente.”
RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL
“53% dos entrevistados
do México e 52% do Brasil
estão tornando a prevenção
de violações de dados alta
prioridade para gastos com TI.”
“Necessário: capacidades de
segurança ao redor de dados
para criptografia, controle
de acesso, tokenização,
monitoramento de acesso
de dados e análise de
acesso de dados.”
O resultado
No México e no Brasil, os decisores de TI estão lutando contra as mesmas
ameaças a dados que as outras regiões estão enfrentando. Além disso, estes
entrevistados também estão enfrentando mais requisitos de conformidade e
regulatórios em seus mercados locais. Não causaria surpresa que a maioria
dos entrevistados da pesquisa relataram que suas organizações estão
tornando a prevenção contra violações de dados prioridade em gastos de
TI; 53% dos entrevistados no México e 52% no Brasil se enquadram nesta
categoria.
Como os decisores de TI lidam com esta prioridade? Não mantendo as
abordagens atuais. Os investimentos em segurança de TI relatados por
entrevistados apontam para uma abordagem dispersa, com maiores gastos de
dividido em todas as áreas de segurança de TI e um foco em segurança de
terminais e defesas de rede – as mesmas defesas que os hackers continuam
a provar como falíveis.
Em vez disso, os decisores precisam dar um foco maior à proteção de dados.
Em toda a região, as equipes de segurança precisam examinar a fundo qual
será o maior impacto na proteção de dados. Eles precisam determinar como
estabelecer defesas vitais que podem parar os invasores após a violação
de perímetros e redes. Isto requer capacidades de segurança ao redor de
dados para criptografia, controle de acesso, tokenização, monitoramento de
acesso de dados e análise de acesso de dados. Essas ferramentas reduzem
as vulnerabilidades da organização e possibilitam a identificação de atividades
suspeitas, enquanto estão em processo, para que violações possam ser
interrompidas antes resultar em grandes danos.
Níveis de ameaça percebidos
Sem nenhuma vulnerabilidade
Muito vulnerável
Um pouco vulnerável
Extremamente vulnerável
EUA
RU
Alemanha
ASEAN
Japão
México
Brasil
0%
20%
40%
60%
80%
100%
Figura 1: Índices de vulnerabilidade a ameaças internas percebidos
5
ENTREVISTADOS RELATAM VULNERABILIDADE DIFUNDIDA
Entrevistados no México e no Brasil são claros quanto aos riscos e sua
exposição a ameaças internas. Uma maioria substancial dos entrevistados,
69% no Brasil e 87% no México, informou que suas organizações são
pelo menos “um pouco vulneráveis.” Aproximadamente 30% dos brasileiros
sentiram que não eram vulneráveis, que foi o maior índice de resposta em
qualquer região em todo o mundo. Contudo, isto ainda deixa 7 em 10 na
região que informam sentir algum grau de vulnerabilidade.
Além disso, os entrevistados no México e no Brasil indicaram altos índices
de fracasso em proteger os dados. As seguintes perguntas foram feitas aos
entrevistados:
• Se eles tinha encontrado uma violação de dados ou não uma auditoria
de conformidade no último ano
“Os entrevistados do
Brasil registraram
o maior nível de
‘não vulnerável’ a
ameaças internas
de todas as
organizações a nível
mundial (31%),
mas isso ainda
mostrou 69% das
organizações como
sentindo um pouco
ou mais vulneráveis.”
• Se eles estavam protegendo dados por causa de uma violação a um
parceiro ou concorrente
• Se eles estavam protegendo os dados, porque eles já haviam
encontrado uma violação de dados
Índices de insucesso em proteger dados sensíveis
México
Brasil
Japão
ASEAN
Alemanha
Reino Unido
EUA
Global
20%
30%
40%
50%
Figura 2: Taxas para encontrar uma violação de dados ou na ausência de uma
auditoria de conformidade nos últimos 12 meses
México e Brasil estão em extremos opostos do espectro
quando se trata da percentagem de entrevistados que
informaram que suas organizações tinham encontrado uma
violação. O Brasil foi um dos países com a taxa mais baixa
de violações ou insucesso de conformidade; apenas 26%
dos entrevistados informaram que tinha experimentado
esta forma de violação ou insucesso. Por outro lado, o
México foi classificado entre os mais altos, com 48%
dos entrevistados relatando que tinham encontrado uma
violação ou reprovação em auditoria.
6
Em particular, a falta de conformidade representa um
problema maior do que pode parecer. A conformidade
obriga prosseguir em um ritmo gradual, com padrões
novos ou atualizados que, muitas vezes, são publicados a
a cada dois anos. Por outro lado, as ameaças à segurança
continuam a evoluir diariamente e, até mesmo, a cada
hora, base. Regras de conformidade da indústria podem
ter representado um padrão ouro para melhores práticas
de segurança no passado, mas não é mais o caso.
Continuar em conformidade é um requisito fundamental,
porém este esforço hoje é realmente apenas um ponto
de partida sobre o qual estruturas de segurança eficazes
precisam.
RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL
Razões para proteger dados
Violação de dados em parceiro ou concorrente
Violação de dados anterior (tempo indeterminado)
EUA
RU
Alemanha
ASEAN
Japão
“As respostas do México e
do Brasil mostraram que
eles estavam em extremos
opostos do espectro para
encontrar uma violação dados
no passado – o Brasil foi o
menor com 26% e no México,
o mais alto com 48%.”
México
Brasil
0%
10%
20%
30%
40%
Figura 3: Proteger os dados por causa de uma violação de dados anterior ou uma violação
de dados em um parceiro ou concorrente
Índices de compromisso
Em todo o mundo em geral e no México e no Brasil em
particular, as taxas de comprometimento são elevadas. Os
entrevistados foram questionados sobre se as violações
ocorreram em sua organização em algum momento no
passado e se um parceiro ou concorrente tinha encontrado
uma violação. No México, apenas cerca de metade dos
entrevistados responderam sim a uma dessas perguntas, e
quase 40% dos entrevistados do Brasil responderam sim a
pelo menos uma.
Talvez o mais preocupante é a seguinte estatística:
apesar da frequência das violações, em grande parte,
os entrevistados mencionaram a conformidade como
sendo eficaz. Mais da metade dos entrevistados disseram
que viam a conformidade como muito ou extremamente
eficaz: 52% dos entrevistados mexicanos e 59% dos
entrevistados brasileiros se enquadraram em uma dessas
categorias. Estes números suscitam preocupações sobre
uma sensação de segurança irreal que está sendo criada
pela conformidade. Se a liderança de segurança vê sua
organização como em conformidade, eles não devem ser
complacentes – particularmente à medida que ameaças
continuam a evoluir e ser mais sofisticadas.
Pontuações para eficácia percebida da conformidade
Extremamente eficaz
Um pouco eficaz
Muito eficaz
Pouco eficaz
Global
México
Brasil
0%
20%
40%
60%
80%
100%
Figura 4: As pontuações dos entrevistados para a eficácia percebida de conformidade em matéria de proteção de dados
Resumo
De maneira semelhante ao resto do mundo, esses
números para o México e o Brasil pintam um quadro
sombrio quando visto de forma agregada. Os entrevistados
estão se sentindo cada vez mais vulneráveis após as
violações e auditorias fracassadas. Apesar destas
realidades, no entanto, muitos estão colocando uma fé um
pouco equivocada na conformidade como uma via eficaz
para a segurança, mesmo como as provas em contrário
que continuam a surgir. As violações de dados em todo
o mundo deixam claro que conformidade não equivale
a segurança, e os analistas expressam abertamente a
opinião de que “não é uma questão de se você vai sofrer
uma invasão, mas quando.”
7
MAIORES PREOCUPAÇÕES DOS ENTREVISTADOS
Pessoal interno que apresenta o maior risco
É interessante analisar as perspectivas dos entrevistados em termos de
quem são os usuários internos mais perigosos e também para ver como
essas perspectivas mudaram. Nas últimas décadas, arquiteturas de
computação, abordagens de segurança e ameaças à segurança mudaram
radicalmente. Nesse período, um único grupo interno tem surgido como o mais
potencialmente prejudicial: usuários com privilégios.
Para cumprir suas responsabilidades, estes administradores precisam das
permissões necessárias para executar tarefas como instalação de software,
configuração do sistema, gerenciamento de permissões de usuário, alocação
de recursos e muito mais. Através deste acesso, na maioria das organizações,
os administradores quase têm acesso aos dados e serviços que são executados
nos sistemas que administram.
“As pessoas internas mais
perigosas – usuários
privilegiados. Assim como
vistas em outras respostas, os
entrevistados do México e do
Brasil informaram que usuários
com privilégios eram os seus
empregados de maior risco,
com 54% para o Brasil e 68%
para o México.”
“Do outro lado do conjunto
global dos entrevistados, bases
Embora esta lacuna de segurança representada por estes usuários com
de dados (50%), servidores
privilégios não é nada nova, ela está se tornando cada vez mais difícil de
solucionar. Nos últimos anos, são os usuários com privilégios que têm estado
de arquivos (38%) e a nuvem
por trás de alguns dos comprometimentos de maior destaque, incluindo Edward (36%) são as áreas em
Snowden, responsável pelos amplamente divulgados vazamentos da NSA, e o
posições mais altas onde os
denunciante no HSBC, Herve Falciani. Com a adoção crescente de virtualização, dados estão em risco.”
serviços em nuvem e implementações de big data, ocorre a adição de novas
camadas de administração e de privilégios administrativos que, potencialmente
expandiram o risco.
Muitos entrevistados nesta pesquisa mais recente parece estar bem conscientes dos riscos decorrentes de funcionários
com privilégios. No relatório de 2015, usuários com privilégios eram a categoria em posição mais elevada para pessoas
internas perigosas; globalmente, a resposta foi de 57% e no México, 68% no México. É importante ver como este grupo
tem aumentando em importância nos últimos anos. Por exemplo, em nosso Relatório sobre ameaças internas de 2013
da Vormetric, usuários com privilégios foram selecionados por apenas 34% dos entrevistados, em terceiro lugar na
categoria, bem atrás de “funcionários comuns, que foram selecionado por 51% dos entrevistados (para mais detalhes,
ver a descrição do relatório de 2013, no final do presente documento).
Ameaça percebida do grupo de usuários
Global
Todos os EUA
México
Brasil
Terceirizados e prestadores de serviços
Diretoria executiva
Empregados comuns
Outros funcionários de TI
Parceiros com acesso interno
Usuários com privilégios
0%
8
10%
20%
30%
40%
50%
60%
70%
Figura 5: O pessoal interno mais perigos
são usuários com privilégios
RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL
Onde estão os dados sensíveis e onde estão em risco
Do outro lado do conjunto global dos entrevistados, bases
de dados (50%), servidores de arquivos (38%) e a nuvem
(36%) são os três locais que apresentam o maior risco
em relação à quantidade de dados sensíveis hospedados.
O México segue um padrão semelhante de respostas:
bancos de dados, 54%; servidores de arquivos, 39%; e
da nuvem, 41%. No entanto, no México, computadores
e estações de trabalho estão um próximo quarto lugar,
com uma resposta de 36%. No Brasil, computadores e
estações de trabalho estão empatados em segundo lugar
com servidores de arquivos (35%); apenas bancos de
dados (53%) estão em posição mais alta.
Para dispositivos móveis, parece claro que, embora
os riscos reais atualmente sejam baixos, existem
preocupações significativas sobre a forma como os
dados sensíveis estão seguros nesses dispositivos. Em
termos de risco real por volume de dados, os dispositivos
móveis receberam apenas uma resposta de 21% em nível
mundial, 20% entre os entrevistados do México e 23%
no Brasil. No entanto, quando se trata da percepção de
risco, os dispositivos móveis estão em posição mais alta,
recebendo a terceira resposta mais alta de 37% em nível
mundial e 31% no México.
Riscos para dados sensíveis – percebidos e por volume
Percepção do risco no Brasil
Percepção do risco no México
Percepção do risco global
Risco real no Brasil, por volume
Risco real no México por volume
Risco global real por volume
SaaS
Computadores e estações de trabalho
Dispositivos móveis
Servidores de arquivos
“No Brasil, 63%
dos entrevistados
relataram
hospedar dados
em ambientes de
nuvem IaaS, em
comparação com
43% no México.”
Bancos de dados
Nuvem
Big data
0%
10%
20%
30%
40%
50%
60%
Figura 6: Percepção dos entrevistados de risco para dados sensíveis por categoria, e os
volumes de dados sensíveis dentro desses ambientes
RISCOS EMERGENTES E PREOCUPAÇÕES APRESENTADOS POR QUESTÕES DE NUVEM E BIG DATA
Serviços em nuvem
Esta e muitas outras pesquisas mostram que a dependência
da empresa em serviços de nuvem continua a ser mais
difundida e que esses serviços são hospedando dados
mais sensíveis. No Brasil, 63% dos entrevistados estão
hospedando dados confidenciais em um serviço de
ambientes de infraestrutura como serviço (IaaS); neste
quesito, o país está em posição mais alta. Por outro lado, o
México, com 43%, foi o país com a taxa de resposta mais
baixa nesta categoria.
Embora seja claro que a nuvem está hospedando dados
sensíveis, está claro também que os dados sensíveis nesses
ambientes estão sujeitos a riscos que não existem para
os ativos hospedados em um data center tradicional da
empresa. Por exemplo, os dados podem ser expostos a
outros inquilinos nestes ambientes multi-inquilinos. Além
disso, se um administrador que trabalha para o prestador
de serviços em nuvem tem suas credenciais comprometida,
os dados sensíveis podem ser expostos. E mais ainda,
muitos provedores de serviços continuam a ser objeto de
intimações do governo nas quais os dados do cliente está
sendo exigidos pelas autoridades governamentais.
9
Ambientes de Infraestrutura como Serviço (IaaS)
Global
EUA
ASEAN
Alemanha
Reino Unido
Japão
México
Brasil
30%
40%
50%
60%
70%
Figura 7: Índices relatados de hospedagem de dados sensíveis em ambientes IaaS
Todos os ambientes segurança como serviço (SaaS)
cobertos na pesquisa tiveram uma alta percepção de
risco. Além dos riscos para outros serviços em nuvem,
as equipes de segurança têm de lidar com visibilidade e
controle em ambientes SaaS ainda mais limitados. Por
exemplo, em ambientes IaaS, os administradores podem
monitorar recursos em nível de sistema operacional,
armazenamento e aplicativo, enquanto nos ambientes
SaaS eles não têm esse nível de visibilidade. As
categorias SaaS receberam níveis relativamente altos de
preocupação, tanto em nível mundial como no México
e no Brasil, porém o backup on-line e armazenamento
em nuvem foram classificados como número um e dois,
respectivamente.
Para lidar com os riscos decorrentes da administração de
dados sensíveis em ambientes IaaS, os controles centrados
em dados serão cada vez mais vitais. Ao otimizar recursos
como criptografia e controle de acesso e manter a posse
das chaves usadas para criptografar e decriptografar
os dados, as equipes de segurança podem estabelecer
controles persistentes auditáveis sobre o acesso a ativos
sensíveis. Dependendo de suas necessidades e objetivos
técnicos, as equipes de segurança frequentemente podem
escolher se querem manter as chaves armazenados nas
instalações da empresa ou na nuvem, mantendo o controle
necessário.
As equipes de segurança também podem mitigar os
riscos de hospedar dados confidenciais em ambientes
de armazenamento em nuvem baseados em SaaS. Neste
caso, podem aproveitar gateways de criptografia em
nuvem que permitem que os arquivos sejam criptografados
antes de serem enviados para a nuvem. Como resultado,
ao manter o controle sobre as chaves de criptografia,
as equipes de segurança podem também estabelecer e
manter controles robustos sobre quem pode acessar os
dados, mesmo quando eles estão armazenados nesses
ambientes de nuvem externos.
Preocupações com SaaS
Global
México
Brasil
Back-up on-line
Armazenamento na nuvem
Ferramentas de colaboração
Gestão de Relacionamento com Cliente
Enterprise Resource Planning
Contabilidade on-line
Suítes on-line do Office
Gestão de Projetos e Tarefas
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Figura 8: Índices de preocupação relatadas com a proteção de dados por tipo de ambiente SaaS
10
RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL
Como os provedores de serviços na nuvem devem reagir?
Para a pergunta sobre as preocupações com a nuvem, os entrevistados
efetivamente disseram, “todas as respostas acima.” Tanto no México e no
Brasil, cada categoria de preocupações rendeu uma resposta de 70% ou
mais.
O que os provedores de serviços em nuvem, incluindo fornecedores de
SaaS, devem fazer para compensar esse problema? Será vital investir em
tecnologias que ofereçam aos clientes a visibilidade e os controles que
precisam. Cada vez mais, serão os fornecedores de nuvem que oferecem
esses recursos que verão a expansão de suas fatias de mercado e listas de
clientes.
Preocupações com ambientes SaaS e em nuvem
México
Brasil
Abuso por usuário com privilégios na nuvem ou
Fornecedor de SaaS1
Cumprir os requisitos de conformidade2
Falta de visibilidade em medidas de segurança
Falta de controle sobre a localização de dados/infrações
envolvendo dados através de fronteiras
Falta de política de privacidade de dados ou
compromisso com nível de serviço de privacidade
Penetrações persistentes de pessoa interna ou
avançada (APT) no provedor de serviços
Vulnerabilidades aumentadas de infraestrutura
compartilhada
Custódia de suas chaves de criptografia
60%
1
2
65%
70%
75%
80%
85%
90%
Inclui administradores de sistemas, administradores de nuvem, administradores de armazenamento, administradores de virtualização
Exemplos : PCIDSS, leis nacionais de proteção de dados
Figura 9: Níveis de preocupação com as questões de segurança de dados em
ambientes SaaS
Big data: taxas de adoção e preocupações
Com base nas respostas relativas, parece que taxas de adoção grande de
dados no México e no Brasil não são tão elevadas como em outros países. As
porcentagens, tanto em termos de risco real quanto a percepção de risco, são
relativamente baixas em ambas as regiões.
Ao examinar as preocupações específicas relacionadas com big data, a maior
percentagem de entrevistados no México e no Brasil citaram “violações de
privacidade de dados provenientes de outros países.” Em contraste, enquanto
49% dos entrevistados no Brasil e 50% dos entrevistados no México
selecionaram essa preocupação, em média, esta foi uma preocupação para
apenas 32% dos entrevistados a nível mundial.
11
“DEFESAS DE DATA-AT-REST FORAM CONSIDERADAS
EFICAZES NA PREVENÇÃO DE AMEAÇAS INTERNAS POR 69%
DOS ENTREVISTADOS NO BRASIL E 74% NO MÉXICO.”
12
RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL
México e Brasil: preocupações com big data
México
Brasil
Global
Informações confidenciais podem residir
qualquer lugar dentro do ambiente
Segurança de relatórios que podem
conter dados sensíveis
Acesso de usuário com privilégios a
dados protegidos na implementação
Violações de privacidade de dados
originária de diversos países
Falta de estruturas de segurança e
controles dentro do ambiente
0%
10%
20%
30%
40%
50%
60%
Figura 10: Maiores preocupações para
segurança de dados com big data
Como as organizações estão respondendo às ameaças
Em todo o mundo em geral, e no México e no Brasil,
muitos entrevistados parecem estar aumentando seus
gastos com segurança de TI para conter as ameaças
crescentes.
Quase um quarto, 24%, dos entrevistados no Brasil
informaram que os níveis de gastos serão “muito maiores,”
uma percentagem que ultrapassa todas as outras regiões.
Quando você considera que um total de 72% dos
entrevistados informaram que gastos serão um pouco ou
muito mais altos, está claro que os decisores no Brasil
consideram as ameaças de segurança como sérias. No
México, uma porcentagem menor, mas ainda uma maioria
sólida (55%), informou que gastos serão um pouco ou
muito mais altos.
Onde estão os entrevistados que fazem investimentos em
segurança e o quanto eles acreditam que estes sejam
eficazes? Assim como em outras regiões do mundo, os
entrevistados no México e Brasil pareciam não ter certeza
sobre quais os investimentos trarão os maiores dividendos.
Estes resultados também parecem estar em desacordo
com as notícias sobre violações nos últimos anos. Por
exemplo, defesas de rede e terminal estão provando ser
vulneráveis, mas os entrevistados viam estes mecanismos
como altamente eficazes, recebendo respostas de 77% e
70% dos participantes globais, respectivamente.
Tecnologias de data-at-rest também foram consideradas
eficazes por uma porcentagem substancial, recebendo
uma taxa de resposta global de três quartos, 69% no
Brasil e 74% no México. Também é interessante notar uma
discrepância aparente em percepções e investimentos no
México. Enquanto 74% viram defesas para data-at-rest
como as mais eficazes, menos de metade têm investido
nestas soluções.
13
Em um nível alto, parece que muitos entrevistados estão usando uma
abordagem de “todas as respostas acima” ao investir em segurança. Estes
números indicam que as organizações dos entrevistados continuam a buscar
muitas estratégias que já empregam há algum tempo. As defesas baseadas
em perímetro tradicional e s foram suficientes em anos anteriores, mas esses
dias acabaram.
Para lidar com a evolução e ciberataques e cada vez mais avançados, e para
se alinhar com as novas realidades criadas por serviços em nuvem, big data e
outras tendências, as equipes de TI e têm um poder claro para adaptar suas
abordagens. Empregar uma estratégia de defesa detalhada que usa várias
tecnologias continuará a ser essencial, mas está cada vez mais claro que será
necessário um enfoque maior defesa de em data-at-rest.
Planos de gastos com segurança
Muito mais alto
Aproximadamente o mesmo
Um pouco maior
Um pouco menor
Muito mais baixo
EUA
RU
Alemanha
ASEAN
Japão
México
Brasil
0%
20%
40%
60%
80%
Figura 11: Taxas de alterações de gastos para compensar as ameaças a dados ao
longo dos próximos 12 meses informadas pelos entrevistados
14
100%
RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL
Como estão mudando as prioridades de gastos de segurança? Nos últimos
anos, houve uma clara mudança de prioridades. Em nosso relatório de 2013,
discutimos como a conformidade direcionou os gastos com segurança de TI
(para mais detalhes, consulte a descrição do relatório de 2013 ao final deste
documento). Em nível mundial, e no México e no Brasil, houve uma mudança
para se concentrar diretamente na prevenção de uma violação de dados,
que foi a categoria em posição nestas regiões. A proteção da propriedade
intelectual essencial e a proteção de ativos financeiros e outros foram
classificadas segundo e terceiro, tanto globalmente quanto no México e no
Brasil. Globalmente, cumprir os requisitos de conformidade caiu para o quarto
lugar entre cinco categorias.
“Muitos entrevistados estão
adotando uma abordagem
‘todas as respostas acima’
ao fazer investimentos em
segurança ...
Nos anos anteriores, as
defesas baseadas em
perímetro, terminal e rede
eram suficiente, mas esses
dias acabaram.”
Prioridades de gastos com segurança de TI
Global
México
Brasil
20%
30%
Cumprir os requisitos de conformidade
e aprovação em auditorias
Atender os requisitos de cientes,
parceiros ou potenciais
Prevenir um incidente de violação
de dados
Proteção de propriedade
intelectual essencial
Proteção de ativos financeiros e outros
0%
10%
40%
50%
60%
Figura 12: Principais prioridades de TI ou de segurança de segundo
nível de gastos para organizações dos entrevistados
FOCO NO MÉXICO
Representantes das organizações entrevistadas no México mostraram
respostas bem próximas das de entrevistados em outras partes do mundo. As
empresas estão se sentindo vulneráveis a ameaças de pessoal interno e do
comprometimento de suas credenciais por ameaças externas (87% sentiram
um tanto ou mais vulneráveis). Eles parecem ter uma boa razão para se sentir
vulneráveis:
• 48% relataram que suas organizações tinham encontrado uma violação
de dados ou reprovação em uma auditoria de conformidade no ano
anterior (o nível mais alto medido na pesquisa).
• 16% estavam protegendo os dados por causa de uma violação de
dados anterior em sua organização em algum momento no passado.
• 33% estavam protegendo os dados por causa de uma violação em um
parceiro ou concorrente.
O nível destas respostas representa um fracasso sistemático em proteger
os dados da organização afetada. Além disso, como a conformidade não
representa uma melhor prática para a proteção de dados, a taxa de resposta
do México citando conformidade como muito a extremamente eficaz (52%)
15
“48% relataram que
suas organizações tinham
encontrado uma violação de
dados ou reprovação em uma
auditoria de conformidade no
ano anterior – o nível mais
alto medido na pesquisa.”
representa ainda uma outra preocupação. Os requisitos
de conformidade estão rapidamente ficando para trás
em relação aos últimos ciberataque, e, hoje, representam
muito menos do que até mesmo uma linha de base
para a proteção de dados – eles representam a melhor
prática para proteger contra os ataques de ontem. Como
resultado, os regimes de conformidade estão se tornando
ineficazes rapidamente, ao mesmo tempo que sugam
recursos de segurança de TI de uma organização para
atender o que, muitas vezes, são requisitos obsoletos.
Há bons sinais que indicam que as organizações dos
entrevistados no México estão levando a sério as ameaças
aos dados:
• O reconhecimento de que usuários com privilégios
representam a maior ameaça para os dados sensíveis
é forte; os entrevistados os selecionando como
pessoal internas que representam o maior risco. Em
68%, as respostas foram 28% maiores do que a
categoria seguinte – parceiros com acesso interno,
em 40%.
• 55% dos entrevistados disseram que seus gastos em
segurança de TI seriam um pouco a muito maiores
para compensar essas ameaças.
No entanto, as respostas identificaram os mesmos padrões
que foram encontrados em todo o mundo na forma como
estas despesas serão aplicadas. Com pequenas variações,
existem planos para aumentar todas as categorias de
gastos com segurança em aproximadamente o mesmo
nível (50% a 70%). Isso representa não entender onde
aumentar o investimento para melhor prevenir a perda de
dados.
16
Os entrevistados também relataram o uso de dados
sensíveis na nuvem (41%) e ambientes SaaS (18%)
comparáveis com as médias globais, mas também
relataram menor uso de dados sensíveis em ambientes de
big data do que outras regiões (15% no México contra a
média global de 27%). Quando se trata de ambientes IaaS,
no entanto, o México teve o menor nível de uso de dados
sensíveis dentro deste ambiente de nuvem (43%).
No geral, as respostas do México indicam que os
entrevistados sentem que suas empresas estão sob
alto risco de ataques de pessoas internas – seja do
comprometimento de credenciais de uma pessoal interna
ou de uma pessoa interna, terceirizado ou parceiro malintencionado. Muitas organizações também parecem estar
adotando medidas com o aumento de gastos, mas estão
encontrando a mesma confusão que outras organizações
em todo o mundo sobre quais necessidades devem ser
priorizadas.
Neste ponto, as melhores adições ao conjunto de camadas
de defesa de TI da maioria das organizações são melhorias
que podem proteger data-at-rest de comprometimento, e
manter os dados disponíveis para o uso comercial seguro.
Os controles mais eficazes para isso são a criptografia com
controles de acesso, monitoramento de acesso a dados
e acesso a dados de perfis – no nível do sistema e nos
aplicativos. Essa combinação reduz superfícies de ataque,
limitando o acesso apenas a usuários e aplicativos que
precisam dele, e, em seguida, permitindo que o uso seja
monitorado para indicar quando um comprometimento
está acontecendo.
RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL
FOCO NO BRASIL
As respostas dos decisores de TI no Brasil indicaram
que as organizações estão se sentindo um pouco menos
vulneráveis do que suas contrapartes globais. Relatos de
proteção de dados por causa de uma violação de dados
anterior (própria ou de um parceiro ou concorrente) ou
por encontrar uma violação de dados nos últimos 12
meses estiveram entre os mais baixos níveis relatados
globalmente.
• 69% dos entrevistados se sentiram vulneráveis a
ameaças internas, o menor nível medido de todos os
pesquisados.
• 26% dos entrevistados disseram que já tinham
encontrado uma violação de dados; isto une o Brasil
com a Alemanha no nível mais baixo.
• 39% disseram que estavam protegendo dados por
causa de sua própria violação de dados ou uma
violação a um parceiro ou concorrente, a taxa mais
baixa, exceto a do Japão.
Mesmo assim, estes são números bastante elevados,
indicando que o Brasil está sendo exposto aos mesmos
tipos de ataques e pressões sentidas no resto do mundo,
Os entrevistados do Brasil também tiveram taxas de
resposta comparáveis às da média mundial quanto à
eficácia percebida de conformidade (taxa de conformidade
como muito ou extremamente eficaz na proteção de
dados: Brasil, 59%; global, 58%). Como observado
anteriormente, e com o aumento de provas em contrário,
isto representa uma fé mal orientada na conformidade
como uma via eficaz para a segurança.
Ao mesmo tempo, os entrevistados brasileiros relataram
que suas organizações vão gastando “muito mais” no
próximo ano para compensar essas ameaças; esta foi a
taxa mais elevada que medimos globalmente (24%). Eles
também estão aumentando os gastos gerais nos índices
mais altos de qualquer região que medimos (72%). Estes
investimentos, no entanto, estão espalhados por todas as
áreas de investimento de forma bastante equilibrada (rede,
terminal/móveis, dados em movimento, dados em repouso
e ferramentas de análise/correlação), assim como em
todas as regiões que medimos.
Este conjunto de dados claramente mostra que os
entrevistados do Brasil entendem que suas organizações
estão sob ameaça, mas assim como com organizações
em outros lugares, eles ainda não absorveram que sua
“OS ENTREVISTADOS NO BRASIL RESPONDERAM QUE
ESTÃO AUMENTANDO OS GASTOS PARA COMPENSAR AS
AMEAÇAS À TAXA MAIS ALTA MEDIDA – 72%.”
embora a um ritmo um pouco menor do que em muitas
outras regiões.
Uso de dados sensíveis em novos ambientes de
tecnologia, como a nuvem, big data e SaaS não parece
ser a razão para essa percepção de menor risco, pois os
entrevistados relataram o uso de informações sensíveis
nesses ambientes semelhantes às médias globais:
• Nuvem: 41%, Brasil; 36%, global
• SaaS: 18%, Brasil; 21%, global
• Big data: 17%, Brasil; 27%, global
primeira prioridade deve ser proteger dados sensíveis.
Durante anos, muitas organizações de TI se concentraram
na proteção de redes, terminais e operações como a
melhor forma de proteger suas organizações, porém, os
analistas apontam consistentemente hoje que as defesas
de periféricos, rede e terminais não são mais eficazes
em impedir a entrada de atacantes ou parar pessoas
internas mal-intencionadas. A crença de que os padrões
de conformidade são um bom caminho para alcançar a
segurança é provavelmente um fator aqui também. Assim
como com seus pares globais, as empresas no Brasil
precisam de uma ênfase maior na proteção de dados
como primeiro passo, para proteger os ativos de dados
sensíveis, mesmo quando as contas foram comprometidos
e os sistemas e redes penetrados.
17
PRINCIPAIS RECOMENDAÇÕES PARA ABORDAR AS AMEAÇAS
INTERNAS
A seguir estão alguns dos principais princípios orientadores que a segurança
e de liderança de TI devem considerar enquanto procuram reforçar suas
defesas para se proteger contra ameaças internas:
• Estabelecer defesas multicamadas. Soluções de segurança de
terminal e rede não impediram nem mesmo detectaram de forma
sistemática ataques por pessoas internas ou ataques avançados que
exploram credenciais de usuário comprometidas. Como resultado,
prosseguindo, as equipes segurança devem criar uma defesa em
camadas que combina as abordagens tradicionais, bem como técnicas
avançadas de proteção de dados, como banco de dados ou criptografia
de arquivos com controles de acesso, tokenização, mascaramento de
dados, criptografia de camada de aplicativo e gateways de criptografia
em nuvem.
• Dados seguros na fonte. Cada vez mais, as equipes de segurança de TI
precisarão de uma arquitetura de segurança de TI em camadas com foco
em proteger os dados na fonte – onde quer que estejam. Para a maioria
das organizações, isso exigirá a criação de controles em servidores e
bancos de dados no local, bem como em aplicações de grande de dados
e ambientes de nuvem remotos. A criptografia com controles de acesso
baseados em políticas é um ponto de partida fundamental para esta
abordagem.
• Otimizar plataformas. Para responder às exigências de segurança,
maximizar a eficiência de custos e pessoal, as organizações de
segurança e TI estarão melhores se afastando de ferramentas de ponto
e começando a otimizar plataformas de segurança que oferecem
capacidades unificadas e completas lidem com todas as empresas
demandas de proteção de dados essenciais.
• Instituir monitoramento eficaz de acesso a dados. Para maximizar a
segurança, é vital implementar monitoramento de dados e tecnologias,
como sistemas de gestão de eventos e de informações de segurança
(SIEM) . Isso representa um meio fundamental para acompanhar
efetivamente o uso de dados e identificar padrões de acesso incomuns e
mal-intencionados.
• Ir além da conformidade. Para manter toda a organização segura,
as empresas devem perceber que os poderes de conformidade
representam proteções para os ataques de ontem e, ir além regimes
de conformidade para desenvolver uma estratégia integrada e holística
de segurança de dados, que inclui monitoramento, controles de
acesso relevantes e altos níveis de proteção de dados. Através desta
abordagem, a segurança pode ser deixada a cargo da equipe do
diretor de segurança da informação – não nas reuniões do conselho de
administração.
18
RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC / EDIÇÃO MÉXICO E BRASIL
SOBRE O RELATÓRIO AMEAÇAS INTERNAS 2013
DA VORMETRIC
O Relatório sobre ameaças internas de 2013 da Vormetric foi um projeto
de pesquisa colaborativa pela Vormetric e o Enterprise Strategy Group
(ESG). O relatório se baseou em uma pesquisa com 707 profissionais de TI
responsáveis por avaliar, comprar ou administrar tecnologias e serviços de
segurança da informação para suas organizações. Os entrevistados vieram
de empresas representativas de vários segmentos da indústria e governo. O
tamanho das empresas foi amplamente variado, com receitas entre menos
de US$ 250 milhões a mais de US$ 20 bilhões. A pesquisa foi concluída em
julho de 2013 e o relatório foi publicado em setembro de 2013.
SOBRE A VORMETRIC
Vormetric (@Vormetric) é a líder em soluções de segurança de dados que
protegem data-at-rest em ambientes físicos, big data e em nuvem. Mais de
1.500 clientes, inclusive 17 entre os classificados na Fortune 30, contam com a
Vormetric para cumprir os requisitos de conformidade e proteger o que importa,
seus dados sensíveis, de ameaças internas e externas. A Data Security Platform
expansível da Vormetric protege qualquer arquivo, base de dados e dados de
aplicativo, independente de sua localização com um conjunto de soluções de alto
desempenho e líder de mercado.
HARRIS POLL – FONTE/METODOLOGIA
O Relatório de ameaça interna 2015 da Vormetric foi realizado on-line pela Harris
Poll em nome da Vormetric entre 22 setembro de e 16 de outubro de 2014,
entre 808 adultos, com idades de 18 anos ou mais, que trabalham em tempo integral como profissionais de TI e têm, pelo menos, uma influência significativa na
tomada de decisão em suas empresas. Nos Estados Unidos, foram pesquisados
408 IDTMs entre as empresas com receitas de pelo menos US$ 200 milhões;
102 no setor de cuidados com a saúde, 102 no setor financeiro, 102 varejistas
e 102 em outros setores. No Reino Unido, foram entrevistados aproximadamente
100 IDTMs. (103), Alemanha (102), Japão (102) e ASEAN (103), com 102 do
Brasil e 102 do México entre 20 de marco e 2 de abril de 2015. Fora dos EUA,
as empresas tinham receita de pelo menos US$ 100 milhões. Os países da
ASEAN foram definidos como Singapura, Malásia, Indonésia, Tailândia e Filipinas.
A pesquisa on-line não se baseou em uma amostra de probabilidade e, portanto,
não pode ser calculada uma estimativa de erro de amostragem teórico.
LEITURA COMPLEMENTAR
Para ler o Relatório sobre ameaça interna 2015 da Vormetric – Edição global,
visite www.vormetric.com/InsiderThreat/2015.
19
RELATÓRIO SOBRE AMEAÇAS INTERNAS 2015 DA VORMETRIC –
EDIÇÃO MÉXICO E BRASIL
Vormetric.com/InsiderThreat/2015
20
©2015 Vormetric, Inc. Todos os direitos reservados.