estudo - Computerworld

computerworld.com.pt

estudo - Computerworld

Riscos Globais para a Segurança TI

2013


1. Introdução

2. Números a destacar

3. Principais ameaças e riscos

4. Segurança TI nas empresas

4.1 Implementação

4.2 Investimento

4.3 Planificação

4.4 Gestão de tempos e tarefas

5. BYOD

6. Redes Sociais

7. Encriptação

8. Ataques sofisticados

9. Melhorias

10. Conclusões

1

A Kaspersky Lab, consciente da importância que a protecção

dos sistemas informáticos tem vindo a assumir no sector empresarial,

elaborou um relatório sobre Riscos Globais para a Segurança TI que

reflecte com clareza a situação actual das organizações. As redes de

empresas públicas e privadas são hoje o sítio onde se armazena e se

transmite todo o tipo de informação altamente confidencial, tanto

referente às próprias companhias como aos clientes que trabalham

com elas.

Desde então, essa importância não tem deixado de crescer, à medida

que se multiplica o fluxo de informação em rede e se incorporam novos

suportes como os tablets e smartphones, e novos padrões de

funcionamento, como o auge do cloud ou a tendência do BYOD.

E a adicionar a tudo isto, o facto de as ameaças continuarem a crescer

exponencialmente em volume.

Dados do relatório:

Mais de 3.300 profissionais de TI de 22 países participaram no inquérito,

realizado em Julho de 2012. Todos os inquiridos são responsáveis pela

política de segurança de TI da sua empresa e possuem um amplo

conhecimento tanto dos problemas de segurança TI e como de outros

aspectos gerais do negócio (finanças, recursos humanos, etc.) A nível

mundial, os inquiridos procediam de empresas de três dimensões:

Pequenas, de 10-99 postos informáticos, Médias, de 100-999 postos

e grandes corporações com mais de 1000 postos.


2

1

Os ataques informáticos são considerados a segunda maior ameaça

para as empresas, só superados pela crise económica. Em dois anos,

esta tendência inverteu-se.

61,9% das empresas

sofreram ataques de malware

nos últimos doze meses

2

3

Sobe 65,3% sta percentagem

nas pequenas empresas

31% Os empregados são

responsáveis, deliberada ou

acidentalmente, pela fuga de dados

4

32% dos responsáveis

por TI desconhece os nomes

dos principais Trojans

5

28% das empresas só

instalaram qualquer tipo de

antivírus parcialmente na

sua organização

6

Em média, 10% das

empresas ainda utilizam

soluções gratuitas

7

8 Segurança ocupa o primeiro lugar

entre as tarefas dos departamentos de TI

mais importantes.

42,9% dos especialistas

em TI considera insuficiente

o orçamento da sua empresa

para a segurança informática

9

50% das empresas veta aos

seus empregados o acesso às

redes sociais através da rede

corporativa


3

As ameaças detectadas pelas empresas, de acordo com o inquérito levado

a cabo pela Kaspersky Lab, conduzem a dados interessantes sobre os riscos

para a segurança. Por ordem, estas são as principais ameaças detectadas:

29,7% Incerteza económica

18,3% Ciberataques (ataques por via informática à

rede empresarial)

8,8% Roubo de propriedade intelectual

6,9% Espionagem industrial

6,9% Fraude

No entanto, quando as empresas vaticinam quais serão as principais

ameaças dentro de dois anos, então os ciberataques passam a ocupar o

primeiro lugar, com 42,4%, superando em três pontos a incerteza económica,

que obtém 39,5%. O roubo de propriedade intelectual (19%) e a espionagem

industrial (18,9%) também experimentam subidas significativas, e a fraude

sobe para 16%.

Ciberataques 42,4%

Incerteza económica 39,5%

Roubo de propriedade intelectual 19%

Espionagem industrial 18,9%

Fraude 16%

A presença de ataques à segurança informática

no sector empresarial é já bastante significativa,

como para justificar esta preocupação: nos últimos

doze meses, 8% das empresas sofreram um

aumento significativo – superior a 50% - no número

de ciberataques, e 42,50% um aumento “moderado”.

No sector das PME, 65,3% das pequenas empresas,

e 59,3% das médias, sofreram ataques de malware

nos últimos doze meses. E mais de metade das

empresas de todos os tamanhos sofreu uma fuga

de dados, deliberada ou acidental, devido às acções

dos seus empregados. Em 38,4% tratava-se de

informação confidencial sobre dados financeiros

e dos seus clientes e 33,2% sobre os funcionários

da empresa.


4

As respostas recolhidas sobre as medidas de protecção adoptadas pelas

empresas revelam percentagens de segurança com espaço para

melhoramentos. A própria opinião dos responsáveis sobre o seu grau de

preparação nem sempre coincide com as respostas concretas referidas

sobre os seus recursos e orçamentos de segurança.

Assim, estabelecendo um nível de 1 a 5, e sendo 1 o ponto mais baixo de

preparação e o 5 o mais alto, 17,20% das empresas atribui a si própria um

5 (“extremamente bem preparada”) para se defender das ciberameaças,

41,30% um 4, 30% um 3, 8% um 2, sendo que só 2% se classifica com um

1 (“muito pouco preparada”).

27,4%

7%

21,4%

44,2%

44,2% - Bem preparada

27,4% - Pouco preparada

21,4% - Muito bem preparada

7% - Muito pouco preparada

Quanto à infra-estrutura e preparação de

pessoal especializado em TI para permitir às

empresas enfrentar as ciber-ameaças, 33,3%

das organizações inquiridas consideram-se

“muito bem preparadas”, 38,4% “bem

preparadas”, 20% “pouco preparada” e 7%

“muito pouco preparada”.

No entanto, estas elevadas estimativas sobre

recursos e orçamentos destinados à segurança

parecem contradizer-se em questões mais

concretas, revelando um nível de conhecimento

sobre as ciber-ameaças surpreendentemente

baixo nos profissionais e departamentos de TI:

cerca de 32,7% dos especialistas neste

campo nunca ouviu falar de Trojans como

Adequado Insuficiente o SpyEye e Zeus, ou de duas das maiores

ameaças para o roubo de dados confidenciais

nas empresas – Stuxnet e Duqu -,

desconhecidos respectivamente para 72,9% e

91,5%, dos especialistas e managers de TI.


4.1 4.2

Os antivírus como sistemas de protecção ainda estão longe de ser

adoptados de forma unânime pelo meio empresarial: 21% das empresas

ainda não os têm totalmente implementados e 28,2% só os instalaram

parcialmente na organização.

Entre os sistemas mais utilizados pelas empresas como forma de protecção

destacam-se as correcções de segurança e as actualizações de software,

implementadas plenamente por 61,6% das organizações inquiridas.

Outras protegem separando na sua estrutura as redes críticas de outras de

menor importância, solução implementada plenamente por 44%, enquanto

45% optaram por implementar níveis de acesso por privilégios.

Além destas, 41% escolheram a encriptação como forma de proteger

dados extremamente sensíveis.

Muitas empresas proíbem, ainda, o acesso dos seus empregados a

determinadas aplicações, sites ou plataformas que possam significar um

risco para a segurança.

Aplicações mais

bloqueadas

1

58,7% Jogos online

2

3

44% Streaming de vídeo

4 34,9% Mensagens

instantâneas (MSN, QQ, AIM)

53,6% Software de partilha de ficheiros

(BitTorrent ou eDonkey)

5

24,7% Acesso a

alguns sites

42,9% dos especialistas de TI de empresas responderam negativamente

à pergunta de se considerava o nível de investimento de sua empresa

adequado para evitar falhas na sua segurança informática.

Inquiridos sobre as suas expectativas em termos de recursos humanos

dedicados à segurança TI nos próximos 12 meses, 12,5% dos entrevistados

declararam esperar um incremento superior a 25%, e 44,10% uma ligeira

subida, abaixo dessa percentagem. Por outro lado, 40,8% não esperam que

ocorra qualquer mudança, e 2,6% prevêem mesmo uma redução de pessoal.

Investimento em licenças por tipo de empresa

Grande

Médias

92,4%

91,8%

7,6%

8,2%

Pequenas 83,7% 16,3%

Produto com licença

Produto sem licença

Na hora de solicitar mais orçamento, 45,3% dos profissionais dos

departamentos de TI declaram ter dificuldades para o conseguir, e citam

como motivo principal os limites orçamentais da organização.

91,8%


4.3 4.4

Ao planificar a estratégia de protecção sobre possíveis ataques

informáticos, 19% das pequenas empresas e 15% das empresas médias

declaram-se mais reactivos que proactivos, e só se preocupam com a

segurança depois de terem sido vítimas de um ataque. Nas PMEs, só 25%

declaram investir em segurança de forma proactiva.

Questionados pelas principais barreiras que lhes impedem de contar com

os recursos necessários para lutar contra as ameaças à segurança, os

especialistas das empresas assinalaram como as 5 principais:

45,3% 38,7%

As restrições de

orçamento

Falta de conhecimento da

segurança TI entre os

responsáveis pelos orçamentos

27,6% 32,6%

Problemas quotidianos que

tiram tempo ao

planeamento da segurança

Directores que não consideram a

segurança TI como uma ameaça

significativa

33,5%

A falta de

pessoal

preparado

Na avaliação das suas tarefas por ordem de importância, os responsáveis

dos departamentos de TI situam em primeiro lugar a prevenção de falhas

de segurança, em detrimento da gestão económica dos sistemas

informáticos. Assim, a principal missão dos seus departamentos é prevenir

o aparecimento de falhas na segurança das TI (34,1%), encontrando-se

em segundo lugar o uso pleno dos sistemas de TI para maximizar o

ROI (25,3%), e em terceiro as decisões sobre futuros investimentos

em TI (24,7%).%.

Outras funções do departamento incluem a formação dos utilizadores

(22,6%), evitar o mau uso dos sistemas pelos empregados (21%), a

gestão de mudanças em sistemas e infra-estrutura (20,2%), a gestão

de cliente (gestão do ciclo de vida do PC) e sua convergência com a

segurança TI (12,4%).

.


5

32,6% das empresas não estabelecem limitações aos seus empregados

que queiram aceder com os seus próprios smartphones aos recursos da

companhia. Só 48,7% das organizações impuseram algum tipo de restrição

ao seu uso, e a percentagem das que proíbem qualquer tipo de acesso é

apenas de 18,6%.

A utilização de programas específicos de protecção para estes dispositivos é

ainda relativamente pouco conhecida, só 23,4% das empresas declaram ter

implementado totalmente software MDM (Movile Device Management -

Administração de Dispositivos Móveis) para assegurar que se cumprem as

políticas corporativas de segurança; 44,8% implementaram-no parcialmente,

e 31,8% não o instalaram de todo.

PCs

Utilização de dispositivos pessoais

no local de trabalho

43,4%

23,4% bloqueio total

12,2% com restrições

10,7% MDM

10,2% middleware

Quanto à opção de estabelecer medidas de segurança específicas para 30,7% acesso total

smartphones e tablets, 32,3% das empresas implementaram-nas

plenamente, 45,9% de maneira parcial, e só 21,9% declaram não as

ter implementado.

Apesar de 55% das empresas considerarem importante reduzir os riscos

da má utilização do BYOD, 35,7% manifestam intenção de promover o seu

uso entre seus empregados nos próximos dois anos, e só 9,3% planeiam

introduzir restrições claras ao uso de dispositivos pessoais na empresa.

Percebe-se uma verdadeira resignação por parte dos responsáveis de TI,

já que 35,7% dos inquiridos estão seguros de que a tendência de usar

dispositivos pessoais no trabalho continuará a aumentar mesmo que se

tome qualquer tipo de medida.

23,8%

15,7%

com restrições

15% MDM

14,7% middleware

Smartphones

bloqueio total

32,6% acesso total

19,8%

18,6%

com restrições

bloqueio total

17,7% mIddleware

11,2% MDM

acesso total

Tablets


6

A posição do sector corporativo para o uso das redes sociais no trabalho

varia segundo o tipo de rede, e se esta é de carácter particular ou

empresarial. O seu uso está vetado em 50,2% das empresas, e 19,9%

autoriza-as mas com restrições.

O aproveitamento do tempo por parte dos empregados pode estar por

trás desta política, mas não é o único motivo: 32,7% das companhias

consideram as redes sociais como uma das maiores ameaças informáticas.

Como foi referido, ao estabelecer restrições tem uma grande importância

a classe de rede social, e costuma estar mais autorizado o uso das que

estão presentes, total ou parcialmente, no sector corporativo.

Índice de aceitação

46% Facebook

30,1% Google +

24,4% Twitter

23,1% Linkedin

21% YouTube

13% MySpace

7,7% Flickr

7

Os sistemas de encriptação parecem consolidar-se como um dos métodos

mais populares para a protecção dos corporativos. A nível global, aparece

no estudo como a quinta medida mais adoptada - atrás da protecção

anti-malware, das correcções e actualizações de software, das distintas

hierarquias de acesso e da separação da estrutura das redes de acordo

com a sua importância -, quando nos resultados do ano anterior apenas

aparecia entre as dez primeiras.

De acordo com as conclusões do estudo, 41% das empresas reconhece ter

implementado plenamente tecnologia de encriptação para proteger os seus

dados críticos, uma percentagem que um ano antes era de apenas 36,6%.

Por sua vez, a encriptação nas comunicações de negócio foi plenamente

implementada em 35,8% das empresas, e parcialmente em 43,5%.

Quanto aos tipos de encriptação, só 33,50% das empresas aplicaram

plenamente a encriptação completa do disco rígido e 31,8% das empresas

alargou a sua política de encriptação à totalidade de seus dispositivos

móveis, como as memórias USB, e 40,9% apenas a parte deles.


8

Ao apontarem as ameaças à sua segurança que já sofreram ao longo do

último ano, as empresas referem os vírus, worms, spyware e outros

programas maliciosos em primeiro lugar, ameaças que afectaram 61,9%

das organizações inquiridas. Segue-lhe o Spam, com 57,3%, o phishing,

com 35,20%, a intrusão e hacking com 22,8%, e os ataques de denegação

de serviço (DDoS) com 17,4%.

Além disso, 12,8% das empresas já sofreram roubos físicos de dispositivos

móveis (smartphones e tablets) e 8,6% de outro tipo de hardware.

Tipo de informação perdida por ataques

Vírus e malware

Spam

Phishing

Hacking

DDoS

Roubos físicos

Sensível

21,7%

12,7%

16,4%

25,8%

27,3%

20,5%

Não sensível

36%

23,4%

30,7%

39,3%

35,7%

59,1%

9

os especialistas em TI do sector corporativo estão plenamente conscientes

dos perigos que as falhas na sua segurança informática representam para

o desempenho das suas empresas.

Mais de metade - 52% - dos mesmos estão convencidos de que os

ciberataques continuarão com a sua tendência crescente, e 33% acham

que mais tarde ou mais cedo a sua empresa será o alvo de um ciberataque

planificado.

Questionados acerca da atitude das suas empresas quanto à adopção de

tecnologias de segurança TI, uma percentagem significativa - 20,5% -

consideram que esta consistirá em procurar as tecnologias e soluções

mais recentes do mercado, e 22% afirmam que procurará a solução mais

completa, sem olhar a custos.

Por outro lado, outras percentagens de resposta revelam um maior

conservadorismo, e a preponderância dos custos acima de qualquer outra

consideração: assim, 17,6% manifesta que procurará soluções que tenham

funcionado antes na sua empresa, 19,2% noutras empresas, e 20,7% irá

procura uma alternativa que represente o menor custo possível.


10

O aumento nos ataques à segurança TI das empresas, em conjunto com

a popularização de novos elementos de risco como os dispositivos móveis

ou o uso de um mesmo equipamento no meio pessoal e profissional,

evidenciam a necessidade de incrementar e reforçar as medidas de

protecção no sector empresarial. Assim o considera a maioria dos

responsáveis tecnológicos consultados para a realização deste estudo.

No entanto, a falta de consciencialização dos quadros directivos parece

estar a reduzir a capacidade de resposta e preparação do sector. A crise

económica pode estar a impor medidas de poupança nos departamentos

errados, como o da segurança, pelo que ainda existem muitas empresas

pouco dispostas a pagar pelos seus sistemas de protecção.


Kaspersky Lab

Edifício Pertejo, Rua das Vigias, N.2 - 2A - 1990-506, Lisboa

www.kaspersky.pt

More magazines by this user
Similar magazines