RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC / EDIO MXICO E BRASIL

Pesquisa
realizada por

RELATRIO
SOBRE
AMEAAS
INTERNAS
2015 DA
VORMETRIC
Tendncias e direes futuras em segurana de dados
EDIO MXICO E BRASIL
#2015InsiderThreat

NDICE
SOBRE ESTE RELATRIO 

Compreendendo a natureza e fontes de ameaas internas 

RESUMO EXECUTIVO 

Servios na nuvem 

Mxico e Brasil em risco, como o resto do mundo

Como os provedores de servios na nuvem devem reagir? 

11

Ameaas que evoluem rpido demais para as normas

de conformidade e muitas equipes de segurana 

Big data: taxas de adoo e preocupaes 

11

Violaes: custos descontrolados e preocupao maior

do conselho de administrao 

Como as organizaes esto respondendo s ameaas 

13

FOCO NO MXICO

15

O resultado

FOCO NO BRASIL 

17

ENTREVISTADOS INFORMAM
VULNERABILIDADE DIFUNDIDA

ndices de compromisso 

RECOMENDAES PRINCIPAIS PARA LIDAR COM

AMEAAS INTERNAS 

18

SOBRE O RELATRIO SOBRE AMEAAS INTERNAS

2013 DA VORMETRIC 

19

SOBRE A VORMETRIC

19

HARRIS POLL FONTE/METODOLOGIA

19

LEITURA COMPLEMENTAR 

19

Resumo7

MAIORES PREOCUPAES DOS ENTREVISTADOS

Pessoal interno que apresenta o maior risco

Onde esto os dados sensveis e onde esto em risco

NOSSOS PATROCINADORES

RISCO E PREOCUPAES EMERGENTES APRESENTADOS

POR QUESTES DE NUVEM E BIG DATA
9
9

RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC / EDIO MXICO E BRASIL

SOBRE ESTE RELATRIO

A edio para o Mxico e Brasil do Relatrio sobre ameaas internas
2015 apresenta ideias e anlises atuais das ameaas enfrentadas pelas
organizaes nestas regies e abordagens usadas como resposta. Este
relatrio contm os resultados de uma pesquisa on-line realizada em nome
da Vormetric pela Harris Poll no primeiro trimestre de 2015. O questionrio
recolheu respostas de 204 decisores de TI; 102 dos entrevistados eram
do Mxico e 102 do Brasil. Todos os entrevistados informaram ser de
organizaes com receitas de US$ 100 milhes e acima. Dos entrevistados
do Mxico, 88% representavam organizaes com receitas de US$ 500
milhes e acima. No Brasil, 78% eram de organizaes com receitas de US$
480 milhes e acima.

87% dos entrevistados

no Mxico e 69% dos
entrevistados no Brasil
classificaram suas organizaes
como um pouco ou mais
vulnerveis a ameaas internas.

O relatrio se concentra nos resultados dos entrevistados baseados no Mxico

e no Brasil. Estes resultados tambm so comparados com dados de nossa
pesquisa global que recolheu informaes de entrevistados nos EUA, RU,
Alemanha, Japo e regio ASEAN (os pases pesquisados na ASEAN foram
Singapura, Malsia, Indonsia, Tailndia e Filipinas). Realizada no terceiro
trimestre de 2014, esta pesquisa global tambm esteve ao cargo da Harris
Poll e usou o mesmo conjunto de perguntas e metodologia.

Compreendendo a natureza e fontes de ameaas internas

Quando se trata de avaliar e lidar com as ameaas internas, o ambiente se torna
cada vez mais complexo. E medida que o cenrio de ameaas se torna mais
complexo, o alcance dos desafios segue em seu encalo. Pode parecer uma
contradio em termos, mas as ameaas internas so feitas por uma faixa cada
mais vez maior de criminosos. Atualmente, as ameaas vm de indivduos ou
grupos que, intencionalmente ou por acidente, fazem coisas que colocam em
risco a organizao e seus dados. As equipes de segurana que pretendem
enfrentar as ameaas internas devem considerar os seguintes grupos:
Usurios com privilgios que gerenciam a infraestrutura de TI e tem
acesso total aos dados nos sistemas que gerenciam.
Funcionrios, inclusive empregados, diretores e executivos de alto nvel.
Prestadores de servios externos e contratados com acesso s
redes e ativos da empresa. Inclui entidades como organizaes de
desenvolvimento externas, provedores de servios na nuvem e outros.
Criminosos que comprometem as credenciais de qualquer desses
grupos.
3

RESUMO EXECUTIVO
Mxico e Brasil em risco, como o resto do mundo
O alcance dos ataques cibernticos verdadeiramente global e as
organizaes na Amrica Latina no esto imunes. As empresas nestas
regies tambm precisam de solues de segurana de dados que ajudem
a atender os requisitos de conformidade e impedir a perda financeira e de
propriedade intelectual essenciais. Por exemplo, de acordo com um estudo
sobre cibercriminalidade pelo Registro de Endereos de Internet da Amrica
Latina e Caribe, apenas o phishing afeta cerca de 2.500 bancos e contas
regionais, com perdas anuais US$ 93 bilhes na regio.
Os resultados da pesquisa deixam claro que, tanto no Mxico quanto no
Brasil e em todo o mundo, os entrevistados esto vendo os efeitos das
violaes de dados e esto preocupados sobre a vulnerabilidade a ataques.
Dos entrevistados, 87% no Mxico e 69% no Brasil classificaram suas
organizaes como um pouco ou mais vulnerveis a ameaas internas.
Alm disso, 48% no Mxico e 26% no Brasil mencionaram que, no
ano anterior, suas organizaes encontraram uma violao e dados ou
foram reprovadas em auditoria de conformidade. Esta falta de proteo
aos dados reverberaram em todo o mundo, pois as organizaes esto
tendo dificuldades sobre como proteger suas informaes vitais contra
comprometimento.
Ameaas que evoluem rpido demais para as normas de
conformidade e muitas equipes de segurana
As ameaas continuam a ficar mais avanadas; diariamente, e mesmo, cada
hora, surgem novos ataques e ameaas. O ritmo das ameaas em evoluo
continuam a colocar as equipes de TI em uma posio bem conhecida de
correr atrs do prejuzo. E se estes grupos ficam para trs, os responsveis
por definir as polticas de segurana, responsabilidades e orientaes de
conformidade para regies e setores inteiros compreensivelmente tm maior
dificuldade para manter o ritmo. O resultado que o nmero e a gravidade
das violaes continuam a crescer.
Isto torna a dependncia em conformidade, encontrada nos resultados da
pesquisa, uma preocupao real: 52% dos entrevistados mexicanos e 59%
dos brasileiros identificaram conformidade como muito ou extremamente
eficaz na proteo de dados. Estes nmeros levantem receios sobre uma
sensao de segurana irreal que est sendo criada por iniciativas de
conformidade.
Violaes: custos disparados e preocupao maior do conselho de
administrao
Est claro que as violaes de segurana esto mais presentes e onerosas.
H anos, relatos destas invases em noticirios so um tema recorrente,
porm, nos ltimos meses, os custos cada vez maiores e em grande escala
e natureza devastadora das violaes levaram a segurana como uma
preocupao para o conselho de administrao. Isso foi apressado pelas
sadas altamente pblicas de CIOs e CEOs aps invases em larga escala
nas organizaes.
4

49% dos
entrevistados no
Mxico e 39% no
Brasil indicaram que
suas organizaes
estavam protegendo
dados por causa
de uma violao de
dados anterior ou
de um parceiro ou
concorrente.

RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC / EDIO MXICO E BRASIL

53% dos entrevistados

do Mxico e 52% do Brasil
esto tornando a preveno
de violaes de dados alta
prioridade para gastos com TI.
Necessrio: capacidades de
segurana ao redor de dados
para criptografia, controle
de acesso, tokenizao,
monitoramento de acesso
de dados e anlise de
acesso de dados.

O resultado
No Mxico e no Brasil, os decisores de TI esto lutando contra as mesmas
ameaas a dados que as outras regies esto enfrentando. Alm disso, estes
entrevistados tambm esto enfrentando mais requisitos de conformidade e
regulatrios em seus mercados locais. No causaria surpresa que a maioria
dos entrevistados da pesquisa relataram que suas organizaes esto
tornando a preveno contra violaes de dados prioridade em gastos de
TI; 53% dos entrevistados no Mxico e 52% no Brasil se enquadram nesta
categoria.
Como os decisores de TI lidam com esta prioridade? No mantendo as
abordagens atuais. Os investimentos em segurana de TI relatados por
entrevistados apontam para uma abordagem dispersa, com maiores gastos de
dividido em todas as reas de segurana de TI e um foco em segurana de
terminais e defesas de rede as mesmas defesas que os hackers continuam
a provar como falveis.
Em vez disso, os decisores precisam dar um foco maior proteo de dados.
Em toda a regio, as equipes de segurana precisam examinar a fundo qual
ser o maior impacto na proteo de dados. Eles precisam determinar como
estabelecer defesas vitais que podem parar os invasores aps a violao
de permetros e redes. Isto requer capacidades de segurana ao redor de
dados para criptografia, controle de acesso, tokenizao, monitoramento de
acesso de dados e anlise de acesso de dados. Essas ferramentas reduzem
as vulnerabilidades da organizao e possibilitam a identificao de atividades
suspeitas, enquanto esto em processo, para que violaes possam ser
interrompidas antes resultar em grandes danos.

Nveis de ameaa percebidos

Sem nenhuma vulnerabilidade

Muito vulnervel

Um pouco vulnervel

Extremamente vulnervel

EUA
RU
Alemanha
ASEAN
Japo
Mxico
Brasil
0%

20%

40%

60%

80%

100%

Figura 1: ndices de vulnerabilidade a ameaas internas percebidos

ENTREVISTADOS RELATAM VULNERABILIDADE DIFUNDIDA

Entrevistados no Mxico e no Brasil so claros quanto aos riscos e sua
exposio a ameaas internas. Uma maioria substancial dos entrevistados,
69% no Brasil e 87% no Mxico, informou que suas organizaes so
pelo menos um pouco vulnerveis. Aproximadamente 30% dos brasileiros
sentiram que no eram vulnerveis, que foi o maior ndice de resposta em
qualquer regio em todo o mundo. Contudo, isto ainda deixa 7 em 10 na
regio que informam sentir algum grau de vulnerabilidade.
Alm disso, os entrevistados no Mxico e no Brasil indicaram altos ndices
de fracasso em proteger os dados. As seguintes perguntas foram feitas aos
entrevistados:
Se eles tinha encontrado uma violao de dados ou no uma auditoria
de conformidade no ltimo ano

Os entrevistados do
Brasil registraram
o maior nvel de
no vulnervel a
ameaas internas
de todas as
organizaes a nvel
mundial (31%),
mas isso ainda
mostrou 69% das
organizaes como
sentindo um pouco
ou mais vulnerveis.

Se eles estavam protegendo dados por causa de uma violao a um

parceiro ou concorrente
Se eles estavam protegendo os dados, porque eles j haviam
encontrado uma violao de dados
ndices de insucesso em proteger dados sensveis
Mxico
Brasil
Japo
ASEAN
Alemanha
Reino Unido
EUA
Global
20%

30%

40%

50%

Figura 2: Taxas para encontrar uma violao de dados ou na ausncia de uma

auditoria de conformidade nos ltimos 12 meses

Mxico e Brasil esto em extremos opostos do espectro

quando se trata da percentagem de entrevistados que
informaram que suas organizaes tinham encontrado uma
violao. O Brasil foi um dos pases com a taxa mais baixa
de violaes ou insucesso de conformidade; apenas 26%
dos entrevistados informaram que tinha experimentado
esta forma de violao ou insucesso. Por outro lado, o
Mxico foi classificado entre os mais altos, com 48%
dos entrevistados relatando que tinham encontrado uma
violao ou reprovao em auditoria.

Em particular, a falta de conformidade representa um

problema maior do que pode parecer. A conformidade
obriga prosseguir em um ritmo gradual, com padres
novos ou atualizados que, muitas vezes, so publicados a
a cada dois anos. Por outro lado, as ameaas segurana
continuam a evoluir diariamente e, at mesmo, a cada
hora, base. Regras de conformidade da indstria podem
ter representado um padro ouro para melhores prticas
de segurana no passado, mas no mais o caso.
Continuar em conformidade um requisito fundamental,
porm este esforo hoje realmente apenas um ponto
de partida sobre o qual estruturas de segurana eficazes
precisam.

RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC / EDIO MXICO E BRASIL

Razes para proteger dados

Violao de dados em parceiro ou concorrente

Violao de dados anterior (tempo indeterminado)

EUA
RU
Alemanha
ASEAN
Japo

As respostas do Mxico e
do Brasil mostraram que
eles estavam em extremos
opostos do espectro para
encontrar uma violao dados
no passado o Brasil foi o
menor com 26% e no Mxico,
o mais alto com 48%.

Mxico
Brasil
0%

10%

20%

30%

40%

Figura 3: Proteger os dados por causa de uma violao de dados anterior ou uma violao
de dados em um parceiro ou concorrente

ndices de compromisso
Em todo o mundo em geral e no Mxico e no Brasil em
particular, as taxas de comprometimento so elevadas. Os
entrevistados foram questionados sobre se as violaes
ocorreram em sua organizao em algum momento no
passado e se um parceiro ou concorrente tinha encontrado
uma violao. No Mxico, apenas cerca de metade dos
entrevistados responderam sim a uma dessas perguntas, e
quase 40% dos entrevistados do Brasil responderam sim a
pelo menos uma.
Talvez o mais preocupante a seguinte estatstica:
apesar da frequncia das violaes, em grande parte,

os entrevistados mencionaram a conformidade como

sendo eficaz. Mais da metade dos entrevistados disseram
que viam a conformidade como muito ou extremamente
eficaz: 52% dos entrevistados mexicanos e 59% dos
entrevistados brasileiros se enquadraram em uma dessas
categorias. Estes nmeros suscitam preocupaes sobre
uma sensao de segurana irreal que est sendo criada
pela conformidade. Se a liderana de segurana v sua
organizao como em conformidade, eles no devem ser
complacentes particularmente medida que ameaas
continuam a evoluir e ser mais sofisticadas.

Pontuaes para eficcia percebida da conformidade

Extremamente eficaz

Um pouco eficaz

Muito eficaz

Pouco eficaz

Global
Mxico
Brasil
0%

20%

40%

60%

80%

100%

Figura 4: As pontuaes dos entrevistados para a eficcia percebida de conformidade em matria de proteo de dados

Resumo
De maneira semelhante ao resto do mundo, esses
nmeros para o Mxico e o Brasil pintam um quadro
sombrio quando visto de forma agregada. Os entrevistados
esto se sentindo cada vez mais vulnerveis aps as
violaes e auditorias fracassadas. Apesar destas
realidades, no entanto, muitos esto colocando uma f um
pouco equivocada na conformidade como uma via eficaz

para a segurana, mesmo como as provas em contrrio

que continuam a surgir. As violaes de dados em todo
o mundo deixam claro que conformidade no equivale
a segurana, e os analistas expressam abertamente a
opinio de que no uma questo de se voc vai sofrer
uma invaso, mas quando.

MAIORES PREOCUPAES DOS ENTREVISTADOS

Pessoal interno que apresenta o maior risco
interessante analisar as perspectivas dos entrevistados em termos de
quem so os usurios internos mais perigosos e tambm para ver como
essas perspectivas mudaram. Nas ltimas dcadas, arquiteturas de
computao, abordagens de segurana e ameaas segurana mudaram
radicalmente. Nesse perodo, um nico grupo interno tem surgido como o mais
potencialmente prejudicial: usurios com privilgios.
Para cumprir suas responsabilidades, estes administradores precisam das
permisses necessrias para executar tarefas como instalao de software,
configurao do sistema, gerenciamento de permisses de usurio, alocao
de recursos e muito mais. Atravs deste acesso, na maioria das organizaes,
os administradores quase tm acesso aos dados e servios que so executados
nos sistemas que administram.

As pessoas internas mais

perigosas usurios
privilegiados. Assim como
vistas em outras respostas, os
entrevistados do Mxico e do
Brasil informaram que usurios
com privilgios eram os seus
empregados de maior risco,
com 54% para o Brasil e 68%
para o Mxico.

Do outro lado do conjunto

global dos entrevistados, bases
Embora esta lacuna de segurana representada por estes usurios com
de dados (50%), servidores
privilgios no nada nova, ela est se tornando cada vez mais difcil de
solucionar. Nos ltimos anos, so os usurios com privilgios que tm estado
de arquivos (38%) e a nuvem
por trs de alguns dos comprometimentos de maior destaque, incluindo Edward (36%) so as reas em
Snowden, responsvel pelos amplamente divulgados vazamentos da NSA, e o
posies mais altas onde os
denunciante no HSBC, Herve Falciani. Com a adoo crescente de virtualizao, dados esto em risco.
servios em nuvem e implementaes de big data, ocorre a adio de novas
camadas de administrao e de privilgios administrativos que, potencialmente
expandiram o risco.

Muitos entrevistados nesta pesquisa mais recente parece estar bem conscientes dos riscos decorrentes de funcionrios
com privilgios. No relatrio de 2015, usurios com privilgios eram a categoria em posio mais elevada para pessoas
internas perigosas; globalmente, a resposta foi de 57% e no Mxico, 68% no Mxico. importante ver como este grupo
tem aumentando em importncia nos ltimos anos. Por exemplo, em nosso Relatrio sobre ameaas internas de 2013
da Vormetric, usurios com privilgios foram selecionados por apenas 34% dos entrevistados, em terceiro lugar na
categoria, bem atrs de funcionrios comuns, que foram selecionado por 51% dos entrevistados (para mais detalhes,
ver a descrio do relatrio de 2013, no final do presente documento).
Ameaa percebida do grupo de usurios
Global

Todos os EUA

Mxico

Brasil

Terceirizados e prestadores de servios

Diretoria executiva
Empregados comuns
Outros funcionrios de TI
Parceiros com acesso interno
Usurios com privilgios
0%

10%

20%

30%

40%

50%

60%

70%

Figura 5: O pessoal interno mais perigos

so usurios com privilgios

RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC / EDIO MXICO E BRASIL

Onde esto os dados sensveis e onde esto em risco

Do outro lado do conjunto global dos entrevistados, bases
de dados (50%), servidores de arquivos (38%) e a nuvem
(36%) so os trs locais que apresentam o maior risco
em relao quantidade de dados sensveis hospedados.
O Mxico segue um padro semelhante de respostas:
bancos de dados, 54%; servidores de arquivos, 39%; e
da nuvem, 41%. No entanto, no Mxico, computadores
e estaes de trabalho esto um prximo quarto lugar,
com uma resposta de 36%. No Brasil, computadores e
estaes de trabalho esto empatados em segundo lugar
com servidores de arquivos (35%); apenas bancos de
dados (53%) esto em posio mais alta.

Para dispositivos mveis, parece claro que, embora

os riscos reais atualmente sejam baixos, existem
preocupaes significativas sobre a forma como os
dados sensveis esto seguros nesses dispositivos. Em
termos de risco real por volume de dados, os dispositivos
mveis receberam apenas uma resposta de 21% em nvel
mundial, 20% entre os entrevistados do Mxico e 23%
no Brasil. No entanto, quando se trata da percepo de
risco, os dispositivos mveis esto em posio mais alta,
recebendo a terceira resposta mais alta de 37% em nvel
mundial e 31% no Mxico.

Riscos para dados sensveis percebidos e por volume

Percepo do risco no Brasil

Percepo do risco no Mxico

Percepo do risco global

Risco real no Brasil, por volume

Risco real no Mxico por volume

Risco global real por volume

SaaS

Computadores e estaes de trabalho

Dispositivos mveis

Servidores de arquivos

No Brasil, 63%
dos entrevistados
relataram
hospedar dados
em ambientes de
nuvem IaaS, em
comparao com
43% no Mxico.

Bancos de dados

Nuvem

Big data
0%

10%

20%

30%

40%

50%

60%

Figura 6: Percepo dos entrevistados de risco para dados sensveis por categoria, e os
volumes de dados sensveis dentro desses ambientes

RISCOS EMERGENTES E PREOCUPAES APRESENTADOS POR QUESTES DE NUVEM E BIG DATA

Servios em nuvem
Esta e muitas outras pesquisas mostram que a dependncia
da empresa em servios de nuvem continua a ser mais
difundida e que esses servios so hospedando dados
mais sensveis. No Brasil, 63% dos entrevistados esto
hospedando dados confidenciais em um servio de
ambientes de infraestrutura como servio (IaaS); neste
quesito, o pas est em posio mais alta. Por outro lado, o
Mxico, com 43%, foi o pas com a taxa de resposta mais
baixa nesta categoria.

Embora seja claro que a nuvem est hospedando dados

sensveis, est claro tambm que os dados sensveis nesses
ambientes esto sujeitos a riscos que no existem para
os ativos hospedados em um data center tradicional da
empresa. Por exemplo, os dados podem ser expostos a
outros inquilinos nestes ambientes multi-inquilinos. Alm
disso, se um administrador que trabalha para o prestador
de servios em nuvem tem suas credenciais comprometida,
os dados sensveis podem ser expostos. E mais ainda,
muitos provedores de servios continuam a ser objeto de
intimaes do governo nas quais os dados do cliente est
sendo exigidos pelas autoridades governamentais.
9

Ambientes de Infraestrutura como Servio (IaaS)

Global
EUA
ASEAN
Alemanha
Reino Unido
Japo
Mxico
Brasil
30%

40%

50%

60%

70%

Figura 7: ndices relatados de hospedagem de dados sensveis em ambientes IaaS

Todos os ambientes segurana como servio (SaaS)

cobertos na pesquisa tiveram uma alta percepo de
risco. Alm dos riscos para outros servios em nuvem,
as equipes de segurana tm de lidar com visibilidade e
controle em ambientes SaaS ainda mais limitados. Por
exemplo, em ambientes IaaS, os administradores podem
monitorar recursos em nvel de sistema operacional,
armazenamento e aplicativo, enquanto nos ambientes
SaaS eles no tm esse nvel de visibilidade. As
categorias SaaS receberam nveis relativamente altos de
preocupao, tanto em nvel mundial como no Mxico
e no Brasil, porm o backup on-line e armazenamento
em nuvem foram classificados como nmero um e dois,
respectivamente.
Para lidar com os riscos decorrentes da administrao de
dados sensveis em ambientes IaaS, os controles centrados
em dados sero cada vez mais vitais. Ao otimizar recursos
como criptografia e controle de acesso e manter a posse
das chaves usadas para criptografar e decriptografar

os dados, as equipes de segurana podem estabelecer

controles persistentes auditveis sobre o acesso a ativos
sensveis. Dependendo de suas necessidades e objetivos
tcnicos, as equipes de segurana frequentemente podem
escolher se querem manter as chaves armazenados nas
instalaes da empresa ou na nuvem, mantendo o controle
necessrio.
As equipes de segurana tambm podem mitigar os
riscos de hospedar dados confidenciais em ambientes
de armazenamento em nuvem baseados em SaaS. Neste
caso, podem aproveitar gateways de criptografia em
nuvem que permitem que os arquivos sejam criptografados
antes de serem enviados para a nuvem. Como resultado,
ao manter o controle sobre as chaves de criptografia,
as equipes de segurana podem tambm estabelecer e
manter controles robustos sobre quem pode acessar os
dados, mesmo quando eles esto armazenados nesses
ambientes de nuvem externos.

Preocupaes com SaaS

Global

Mxico

Brasil

Back-up on-line
Armazenamento na nuvem
Ferramentas de colaborao
Gesto de Relacionamento com Cliente
Enterprise Resource Planning
Contabilidade on-line
Sutes on-line do Office
Gesto de Projetos e Tarefas
0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

Figura 8: ndices de preocupao relatadas com a proteo de dados por tipo de ambiente SaaS
10

RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC / EDIO MXICO E BRASIL

Como os provedores de servios na nuvem devem reagir?

Para a pergunta sobre as preocupaes com a nuvem, os entrevistados
efetivamente disseram, todas as respostas acima. Tanto no Mxico e no
Brasil, cada categoria de preocupaes rendeu uma resposta de 70% ou
mais.
O que os provedores de servios em nuvem, incluindo fornecedores de
SaaS, devem fazer para compensar esse problema? Ser vital investir em
tecnologias que ofeream aos clientes a visibilidade e os controles que
precisam. Cada vez mais, sero os fornecedores de nuvem que oferecem
esses recursos que vero a expanso de suas fatias de mercado e listas de
clientes.
Preocupaes com ambientes SaaS e em nuvem
Mxico

Brasil

Abuso por usurio com privilgios na nuvem ou

Fornecedor de SaaS1
Cumprir os requisitos de conformidade2
Falta de visibilidade em medidas de segurana
Falta de controle sobre a localizao de dados/infraes
envolvendo dados atravs de fronteiras
Falta de poltica de privacidade de dados ou
compromisso com nvel de servio de privacidade
Penetraes persistentes de pessoa interna ou
avanada (APT) no provedor de servios
Vulnerabilidades aumentadas de infraestrutura
compartilhada
Custdia de suas chaves de criptografia
60%
1
2

65%

70%

75%

80%

85%

90%

Inclui administradores de sistemas, administradores de nuvem, administradores de armazenamento, administradores de virtualizao

Exemplos : PCIDSS, leis nacionais de proteo de dados

Figura 9: Nveis de preocupao com as questes de segurana de dados em

ambientes SaaS

Big data: taxas de adoo e preocupaes

Com base nas respostas relativas, parece que taxas de adoo grande de
dados no Mxico e no Brasil no so to elevadas como em outros pases. As
porcentagens, tanto em termos de risco real quanto a percepo de risco, so
relativamente baixas em ambas as regies.
Ao examinar as preocupaes especficas relacionadas com big data, a maior
percentagem de entrevistados no Mxico e no Brasil citaram violaes de
privacidade de dados provenientes de outros pases. Em contraste, enquanto
49% dos entrevistados no Brasil e 50% dos entrevistados no Mxico
selecionaram essa preocupao, em mdia, esta foi uma preocupao para
apenas 32% dos entrevistados a nvel mundial.

11

DEFESAS DE DATA-AT-REST FORAM CONSIDERADAS

EFICAZES NA PREVENO DE AMEAAS INTERNAS POR 69%
DOS ENTREVISTADOS NO BRASIL E 74% NO MXICO.
12

RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC / EDIO MXICO E BRASIL

Mxico e Brasil: preocupaes com big data

Mxico

Brasil

Global

Informaes confidenciais podem residir

qualquer lugar dentro do ambiente
Segurana de relatrios que podem
conter dados sensveis
Acesso de usurio com privilgios a
dados protegidos na implementao
Violaes de privacidade de dados
originria de diversos pases
Falta de estruturas de segurana e
controles dentro do ambiente
0%

10%

20%

30%

40%

50%

60%

Figura 10: Maiores preocupaes para

segurana de dados com big data

Como as organizaes esto respondendo s ameaas

Em todo o mundo em geral, e no Mxico e no Brasil,
muitos entrevistados parecem estar aumentando seus
gastos com segurana de TI para conter as ameaas
crescentes.
Quase um quarto, 24%, dos entrevistados no Brasil
informaram que os nveis de gastos sero muito maiores,
uma percentagem que ultrapassa todas as outras regies.
Quando voc considera que um total de 72% dos
entrevistados informaram que gastos sero um pouco ou
muito mais altos, est claro que os decisores no Brasil
consideram as ameaas de segurana como srias. No
Mxico, uma porcentagem menor, mas ainda uma maioria
slida (55%), informou que gastos sero um pouco ou
muito mais altos.
Onde esto os entrevistados que fazem investimentos em
segurana e o quanto eles acreditam que estes sejam
eficazes? Assim como em outras regies do mundo, os
entrevistados no Mxico e Brasil pareciam no ter certeza
sobre quais os investimentos traro os maiores dividendos.
Estes resultados tambm parecem estar em desacordo
com as notcias sobre violaes nos ltimos anos. Por
exemplo, defesas de rede e terminal esto provando ser
vulnerveis, mas os entrevistados viam estes mecanismos
como altamente eficazes, recebendo respostas de 77% e
70% dos participantes globais, respectivamente.
Tecnologias de data-at-rest tambm foram consideradas
eficazes por uma porcentagem substancial, recebendo
uma taxa de resposta global de trs quartos, 69% no
Brasil e 74% no Mxico. Tambm interessante notar uma
discrepncia aparente em percepes e investimentos no
Mxico. Enquanto 74% viram defesas para data-at-rest
como as mais eficazes, menos de metade tm investido
nestas solues.
13

Em um nvel alto, parece que muitos entrevistados esto usando uma

abordagem de todas as respostas acima ao investir em segurana. Estes
nmeros indicam que as organizaes dos entrevistados continuam a buscar
muitas estratgias que j empregam h algum tempo. As defesas baseadas
em permetro tradicional e s foram suficientes em anos anteriores, mas esses
dias acabaram.
Para lidar com a evoluo e ciberataques e cada vez mais avanados, e para
se alinhar com as novas realidades criadas por servios em nuvem, big data e
outras tendncias, as equipes de TI e tm um poder claro para adaptar suas
abordagens. Empregar uma estratgia de defesa detalhada que usa vrias
tecnologias continuar a ser essencial, mas est cada vez mais claro que ser
necessrio um enfoque maior defesa de em data-at-rest.

Planos de gastos com segurana

Muito mais alto

Aproximadamente o mesmo

Um pouco maior

Um pouco menor

Muito mais baixo

EUA
RU
Alemanha
ASEAN
Japo
Mxico
Brasil
0%

20%

40%

60%

80%

Figura 11: Taxas de alteraes de gastos para compensar as ameaas a dados ao

longo dos prximos 12 meses informadas pelos entrevistados

14

100%

RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC / EDIO MXICO E BRASIL

Como esto mudando as prioridades de gastos de segurana? Nos ltimos

anos, houve uma clara mudana de prioridades. Em nosso relatrio de 2013,
discutimos como a conformidade direcionou os gastos com segurana de TI
(para mais detalhes, consulte a descrio do relatrio de 2013 ao final deste
documento). Em nvel mundial, e no Mxico e no Brasil, houve uma mudana
para se concentrar diretamente na preveno de uma violao de dados,
que foi a categoria em posio nestas regies. A proteo da propriedade
intelectual essencial e a proteo de ativos financeiros e outros foram
classificadas segundo e terceiro, tanto globalmente quanto no Mxico e no
Brasil. Globalmente, cumprir os requisitos de conformidade caiu para o quarto
lugar entre cinco categorias.

Muitos entrevistados esto

adotando uma abordagem
todas as respostas acima
ao fazer investimentos em
segurana ...
Nos anos anteriores, as
defesas baseadas em
permetro, terminal e rede
eram suficiente, mas esses
dias acabaram.

Prioridades de gastos com segurana de TI

Global

Mxico

Brasil

20%

30%

Cumprir os requisitos de conformidade

e aprovao em auditorias
Atender os requisitos de cientes,
parceiros ou potenciais
Prevenir um incidente de violao
de dados
Proteo de propriedade
intelectual essencial
Proteo de ativos financeiros e outros
0%

10%

40%

50%

60%

Figura 12: Principais prioridades de TI ou de segurana de segundo

nvel de gastos para organizaes dos entrevistados

FOCO NO MXICO
Representantes das organizaes entrevistadas no Mxico mostraram
respostas bem prximas das de entrevistados em outras partes do mundo. As
empresas esto se sentindo vulnerveis a ameaas de pessoal interno e do
comprometimento de suas credenciais por ameaas externas (87% sentiram
um tanto ou mais vulnerveis). Eles parecem ter uma boa razo para se sentir
vulnerveis:
48% relataram que suas organizaes tinham encontrado uma violao
de dados ou reprovao em uma auditoria de conformidade no ano
anterior (o nvel mais alto medido na pesquisa).
16% estavam protegendo os dados por causa de uma violao de
dados anterior em sua organizao em algum momento no passado.
33% estavam protegendo os dados por causa de uma violao em um
parceiro ou concorrente.
O nvel destas respostas representa um fracasso sistemtico em proteger
os dados da organizao afetada. Alm disso, como a conformidade no
representa uma melhor prtica para a proteo de dados, a taxa de resposta
do Mxico citando conformidade como muito a extremamente eficaz (52%)
15

48% relataram que

suas organizaes tinham
encontrado uma violao de
dados ou reprovao em uma
auditoria de conformidade no
ano anterior o nvel mais
alto medido na pesquisa.

representa ainda uma outra preocupao. Os requisitos

de conformidade esto rapidamente ficando para trs
em relao aos ltimos ciberataque, e, hoje, representam
muito menos do que at mesmo uma linha de base
para a proteo de dados eles representam a melhor
prtica para proteger contra os ataques de ontem. Como
resultado, os regimes de conformidade esto se tornando
ineficazes rapidamente, ao mesmo tempo que sugam
recursos de segurana de TI de uma organizao para
atender o que, muitas vezes, so requisitos obsoletos.
H bons sinais que indicam que as organizaes dos
entrevistados no Mxico esto levando a srio as ameaas
aos dados:
O reconhecimento de que usurios com privilgios
representam a maior ameaa para os dados sensveis
forte; os entrevistados os selecionando como
pessoal internas que representam o maior risco. Em
68%, as respostas foram 28% maiores do que a
categoria seguinte parceiros com acesso interno,
em 40%.
55% dos entrevistados disseram que seus gastos em
segurana de TI seriam um pouco a muito maiores
para compensar essas ameaas.
No entanto, as respostas identificaram os mesmos padres
que foram encontrados em todo o mundo na forma como
estas despesas sero aplicadas. Com pequenas variaes,
existem planos para aumentar todas as categorias de
gastos com segurana em aproximadamente o mesmo
nvel (50% a 70%). Isso representa no entender onde
aumentar o investimento para melhor prevenir a perda de
dados.

16

Os entrevistados tambm relataram o uso de dados

sensveis na nuvem (41%) e ambientes SaaS (18%)
comparveis com as mdias globais, mas tambm
relataram menor uso de dados sensveis em ambientes de
big data do que outras regies (15% no Mxico contra a
mdia global de 27%). Quando se trata de ambientes IaaS,
no entanto, o Mxico teve o menor nvel de uso de dados
sensveis dentro deste ambiente de nuvem (43%).
No geral, as respostas do Mxico indicam que os
entrevistados sentem que suas empresas esto sob
alto risco de ataques de pessoas internas seja do
comprometimento de credenciais de uma pessoal interna
ou de uma pessoa interna, terceirizado ou parceiro malintencionado. Muitas organizaes tambm parecem estar
adotando medidas com o aumento de gastos, mas esto
encontrando a mesma confuso que outras organizaes
em todo o mundo sobre quais necessidades devem ser
priorizadas.
Neste ponto, as melhores adies ao conjunto de camadas
de defesa de TI da maioria das organizaes so melhorias
que podem proteger data-at-rest de comprometimento, e
manter os dados disponveis para o uso comercial seguro.
Os controles mais eficazes para isso so a criptografia com
controles de acesso, monitoramento de acesso a dados
e acesso a dados de perfis no nvel do sistema e nos
aplicativos. Essa combinao reduz superfcies de ataque,
limitando o acesso apenas a usurios e aplicativos que
precisam dele, e, em seguida, permitindo que o uso seja
monitorado para indicar quando um comprometimento
est acontecendo.

RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC / EDIO MXICO E BRASIL

FOCO NO BRASIL
As respostas dos decisores de TI no Brasil indicaram
que as organizaes esto se sentindo um pouco menos
vulnerveis do que suas contrapartes globais. Relatos de
proteo de dados por causa de uma violao de dados
anterior (prpria ou de um parceiro ou concorrente) ou
por encontrar uma violao de dados nos ltimos 12
meses estiveram entre os mais baixos nveis relatados
globalmente.
69% dos entrevistados se sentiram vulnerveis a
ameaas internas, o menor nvel medido de todos os
pesquisados.
26% dos entrevistados disseram que j tinham
encontrado uma violao de dados; isto une o Brasil
com a Alemanha no nvel mais baixo.
39% disseram que estavam protegendo dados por
causa de sua prpria violao de dados ou uma
violao a um parceiro ou concorrente, a taxa mais
baixa, exceto a do Japo.
Mesmo assim, estes so nmeros bastante elevados,
indicando que o Brasil est sendo exposto aos mesmos
tipos de ataques e presses sentidas no resto do mundo,

Os entrevistados do Brasil tambm tiveram taxas de

resposta comparveis s da mdia mundial quanto
eficcia percebida de conformidade (taxa de conformidade
como muito ou extremamente eficaz na proteo de
dados: Brasil, 59%; global, 58%). Como observado
anteriormente, e com o aumento de provas em contrrio,
isto representa uma f mal orientada na conformidade
como uma via eficaz para a segurana.
Ao mesmo tempo, os entrevistados brasileiros relataram
que suas organizaes vo gastando muito mais no
prximo ano para compensar essas ameaas; esta foi a
taxa mais elevada que medimos globalmente (24%). Eles
tambm esto aumentando os gastos gerais nos ndices
mais altos de qualquer regio que medimos (72%). Estes
investimentos, no entanto, esto espalhados por todas as
reas de investimento de forma bastante equilibrada (rede,
terminal/mveis, dados em movimento, dados em repouso
e ferramentas de anlise/correlao), assim como em
todas as regies que medimos.
Este conjunto de dados claramente mostra que os
entrevistados do Brasil entendem que suas organizaes
esto sob ameaa, mas assim como com organizaes
em outros lugares, eles ainda no absorveram que sua

OS ENTREVISTADOS NO BRASIL RESPONDERAM QUE

ESTO AUMENTANDO OS GASTOS PARA COMPENSAR AS
AMEAAS TAXA MAIS ALTA MEDIDA 72%.
embora a um ritmo um pouco menor do que em muitas
outras regies.
Uso de dados sensveis em novos ambientes de
tecnologia, como a nuvem, big data e SaaS no parece
ser a razo para essa percepo de menor risco, pois os
entrevistados relataram o uso de informaes sensveis
nesses ambientes semelhantes s mdias globais:
Nuvem: 41%, Brasil; 36%, global
SaaS: 18%, Brasil; 21%, global
Big data: 17%, Brasil; 27%, global

primeira prioridade deve ser proteger dados sensveis.

Durante anos, muitas organizaes de TI se concentraram
na proteo de redes, terminais e operaes como a
melhor forma de proteger suas organizaes, porm, os
analistas apontam consistentemente hoje que as defesas
de perifricos, rede e terminais no so mais eficazes
em impedir a entrada de atacantes ou parar pessoas
internas mal-intencionadas. A crena de que os padres
de conformidade so um bom caminho para alcanar a
segurana provavelmente um fator aqui tambm. Assim
como com seus pares globais, as empresas no Brasil
precisam de uma nfase maior na proteo de dados
como primeiro passo, para proteger os ativos de dados
sensveis, mesmo quando as contas foram comprometidos
e os sistemas e redes penetrados.

17

PRINCIPAIS RECOMENDAES PARA ABORDAR AS AMEAAS

INTERNAS
A seguir esto alguns dos principais princpios orientadores que a segurana
e de liderana de TI devem considerar enquanto procuram reforar suas
defesas para se proteger contra ameaas internas:
Estabelecer defesas multicamadas. Solues de segurana de
terminal e rede no impediram nem mesmo detectaram de forma
sistemtica ataques por pessoas internas ou ataques avanados que
exploram credenciais de usurio comprometidas. Como resultado,
prosseguindo, as equipes segurana devem criar uma defesa em
camadas que combina as abordagens tradicionais, bem como tcnicas
avanadas de proteo de dados, como banco de dados ou criptografia
de arquivos com controles de acesso, tokenizao, mascaramento de
dados, criptografia de camada de aplicativo e gateways de criptografia
em nuvem.
Dados seguros na fonte. Cada vez mais, as equipes de segurana de TI
precisaro de uma arquitetura de segurana de TI em camadas com foco
em proteger os dados na fonte onde quer que estejam. Para a maioria
das organizaes, isso exigir a criao de controles em servidores e
bancos de dados no local, bem como em aplicaes de grande de dados
e ambientes de nuvem remotos. A criptografia com controles de acesso
baseados em polticas um ponto de partida fundamental para esta
abordagem.
Otimizar plataformas. Para responder s exigncias de segurana,
maximizar a eficincia de custos e pessoal, as organizaes de
segurana e TI estaro melhores se afastando de ferramentas de ponto
e comeando a otimizar plataformas de segurana que oferecem
capacidades unificadas e completas lidem com todas as empresas
demandas de proteo de dados essenciais.
Instituir monitoramento eficaz de acesso a dados. Para maximizar a
segurana, vital implementar monitoramento de dados e tecnologias,
como sistemas de gesto de eventos e de informaes de segurana
(SIEM) . Isso representa um meio fundamental para acompanhar
efetivamente o uso de dados e identificar padres de acesso incomuns e
mal-intencionados.
Ir alm da conformidade. Para manter toda a organizao segura,
as empresas devem perceber que os poderes de conformidade
representam protees para os ataques de ontem e, ir alm regimes
de conformidade para desenvolver uma estratgia integrada e holstica
de segurana de dados, que inclui monitoramento, controles de
acesso relevantes e altos nveis de proteo de dados. Atravs desta
abordagem, a segurana pode ser deixada a cargo da equipe do
diretor de segurana da informao no nas reunies do conselho de
administrao.

18

RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC / EDIO MXICO E BRASIL

SOBRE O RELATRIO AMEAAS INTERNAS 2013

DA VORMETRIC
O Relatrio sobre ameaas internas de 2013 da Vormetric foi um projeto
de pesquisa colaborativa pela Vormetric e o Enterprise Strategy Group
(ESG). O relatrio se baseou em uma pesquisa com 707 profissionais de TI
responsveis por avaliar, comprar ou administrar tecnologias e servios de
segurana da informao para suas organizaes. Os entrevistados vieram
de empresas representativas de vrios segmentos da indstria e governo. O
tamanho das empresas foi amplamente variado, com receitas entre menos
de US$ 250 milhes a mais de US$ 20 bilhes. A pesquisa foi concluda em
julho de 2013 e o relatrio foi publicado em setembro de 2013.

SOBRE A VORMETRIC
Vormetric (@Vormetric) a lder em solues de segurana de dados que
protegem data-at-rest em ambientes fsicos, big data e em nuvem. Mais de
1.500 clientes, inclusive 17 entre os classificados na Fortune 30, contam com a
Vormetric para cumprir os requisitos de conformidade e proteger o que importa,
seus dados sensveis, de ameaas internas e externas. A Data Security Platform
expansvel da Vormetric protege qualquer arquivo, base de dados e dados de
aplicativo, independente de sua localizao com um conjunto de solues de alto
desempenho e lder de mercado.

HARRIS POLL FONTE/METODOLOGIA

O Relatrio de ameaa interna 2015 da Vormetric foi realizado on-line pela Harris
Poll em nome da Vormetric entre 22 setembro de e 16 de outubro de 2014,
entre 808 adultos, com idades de 18 anos ou mais, que trabalham em tempo integral como profissionais de TI e tm, pelo menos, uma influncia significativa na
tomada de deciso em suas empresas. Nos Estados Unidos, foram pesquisados
408 IDTMs entre as empresas com receitas de pelo menos US$ 200 milhes;
102 no setor de cuidados com a sade, 102 no setor financeiro, 102 varejistas
e 102 em outros setores. No Reino Unido, foram entrevistados aproximadamente
100 IDTMs. (103), Alemanha (102), Japo (102) e ASEAN (103), com 102 do
Brasil e 102 do Mxico entre 20 de marco e 2 de abril de 2015. Fora dos EUA,
as empresas tinham receita de pelo menos US$ 100 milhes. Os pases da
ASEAN foram definidos como Singapura, Malsia, Indonsia, Tailndia e Filipinas.
A pesquisa on-line no se baseou em uma amostra de probabilidade e, portanto,
no pode ser calculada uma estimativa de erro de amostragem terico.

LEITURA COMPLEMENTAR
Para ler o Relatrio sobre ameaa interna 2015 da Vormetric Edio global,
visite www.vormetric.com/InsiderThreat/2015.

19

RELATRIO SOBRE AMEAAS INTERNAS 2015 DA VORMETRIC

EDIO MXICO E BRASIL
Vormetric.com/InsiderThreat/2015

20

2015 Vormetric, Inc. Todos os direitos reservados.