Relatório de Resiliência Cibernética 2023
Esta é a parte 10 de 16 neste relatório.
October 11, 2023 / 7 minutos de leitura
América Latina: Três áreas críticas em risco
De modo geral, a maturidade cibernética das empresas latino-americanas é semelhante à das empresas da EMEA e do Reino Unido, mas foram revelados três problemas significativos: gerenciamento de terceiros, resiliência empresarial e segurança dos aplicativos.
Principais conclusões
- A maturidade cibernética em geral das empresas da LATAM é semelhante à das organizações da EMEA e do Reino Unido. Em contrapartida, elas estão bem atrás das americanas.
- O gerenciamento de terceiros é o domínio com o desempenho mais baixo. As organizações deveriam calcular melhor o impacto comercial dos riscos cibernéticos que esses provedores apresentam.
- A segurança dos aplicativos precisa melhorar. Os líderes das empresas devem exigir de todos os desenvolvedores uma capacitação em segurança com atualizações periódicas para acompanhar mais de perto as novas ameaças.
Embora todos os países do mundo estejam praticamente no mesmo nível em relação à ameaça de um ataque cibernético, alguns apresentam diferenças quanto à prontidão. A América Latina é uma das regiões em que nossos dados mostraram um progresso inconsistente na abordagem do risco cibernético.1 Ainda assim, de acordo com os relatos de clientes no Cyber Quotient (CyQu) da Aon2, a maturidade cibernética em geral das empresas da LATAM é semelhante à das organizações da EMEA e do Reino Unido. Em contrapartida, os dados mostram que elas estão bem atrás das americanas em algumas áreas críticas.
Ao considerar a maturidade cibernética em geral, as empresas latino-americanas enfrentam problemas em três controles críticos: gerenciamento de terceiros (TPM), resiliência empresarial e segurança dos aplicativos. Nesses três domínios, o nível de maturidade é “básico”.
Ao realizar a due diligence de terceiros, os dados da CyQu mostram que apenas 15% das empresas apresentam uma maturidade de risco superior a “básica” e, quando se trata de gerenciar o risco de terceiros por meio de acordo legal, apenas 17% apresentam uma pontuação de risco superior a 2,5 em uma escala de 4,0. Os dados mostram que, em relação a terceiros, as empresas não alinham os contratos de nível de serviço, não têm uma política formal para determinar estratégias de segurança cibernética, não os integram à auditoria de recuperação de desastres e continuidade dos negócios e não avaliam o impacto comercial associado ao risco.
Quanto à resiliência empresarial, apenas um quarto das empresas apresentou um perfil de risco superior a “básico” em relação à continuidade dos negócios ou ter um plano de recuperação de desastres focado na recuperação e quantificação do impacto financeiro. Apenas 35% das empresas tiveram um perfil de risco superior ao “básico” para planejamento de resposta a incidentes e exercícios de simulação.
Os clientes também relataram deficiências em outra área importante de controle: a segurança dos aplicativos. Menos de 35% das empresas apresentaram um perfil de risco superior ao “básico”. Além disso, elas não estão gerenciando adequadamente o processo de autorização dos aplicativos, treinando os desenvolvedores de software em segurança nem realizando análises dinâmicas e testes de penetração nos aplicativos.
Setores em foco
Neste ano, analisamos três setores do mercado mundial em mais detalhe: finanças e seguros, saúde e manufatura. Segundo dados da CyQu informados pelos próprios clientes, as empresas latino-americanas dos três setores tiveram um desempenho relativamente bom em comparação com seus pares da EMEA, do Reino Unido e dos EUA. Elas apresentaram uma postura de segurança cibernética “gerenciada” em 2022.
As empresas latino-americanas do setor financeiro e de seguros tiveram em média uma pontuação média geral de 2,7, ou gerenciada, o que indica definiram tecnologias e práticas de gerenciamento de risco em toda a organização. Esse nível de gerenciamento de risco reflete o ambiente regulatório no qual o setor opera. Nesse setor, as práticas recomendadas e os indicadores preditivos definem as práticas de segurança cibernética da maioria das empresas, assim como as políticas, os processos e os procedimentos, que são implementados conforme o planejado e revisados. Há métodos consistentes para responder de forma eficaz às mudanças nos riscos. Para atingir o nível de segurança de seus pares nos EUA, as empresas do setor financeiro e de seguros da América Latina são incentivadas a se concentrar em domínios em que tiveram um desempenho inferior, como controle de acesso, resiliência empresarial, segurança de sistemas e endpoints e gerenciamento de terceiros.
A maioria das empresas do setor financeiro e de seguros têm ambientes de rede mais maduros, o que significa que, apesar do volume notoriamente alto de aplicativos legados, existe uma arquitetura robusta, fortes mecanismos de defesa contra violações de perímetro e um cuidado vital em relação à segurança da rede. No entanto, muitas instituições financeiras ainda precisam contar com um processo completo de due diligence para terceiros, que é fundamental considerando os eventos recentes que tiveram grande repercussão no cenário de terceiros.
Segundo o relato de clientes na CyQuA, o nível de maturidade do risco cibernético das empresas de saúde da LATAM é equivalente ao das americanas. Entretanto, as práticas e tecnologias de gerenciamento de risco de segurança cibernética organizacional nesse setor ainda precisam ser melhor formalizadas. O risco parece ser gerenciado de forma pontual e, às vezes, reativa, e as técnicas e tecnologias precisam ser estabelecidas de forma mais clara em toda a organização.
Para alcançar uma maturidade maior, as empresas de saúde da região precisam melhorar a segurança dos aplicativos, a resiliência empresarial, a segurança física e o gerenciamento de terceiros. Para a maioria das empresas do setor de saúde, o pior cenário possível seria um agente de ameaça no ambiente de tecnologia operacional (TO). É fundamental implementar uma forte autenticação multifator nas redes de tecnologia da informação, já que o comprometimento das senhas pode resultar no comprometimento de dados confidenciais ou no acesso de intrusos.
Avaliações robustas de due diligence de terceiros que ajudem a prevenir e detectar os riscos para dados confidenciais, sistemas da cadeia de suprimentos e infraestrutura crítica de TO são essenciais, pois podem reduzir a exposição dos sistemas de farmacovigilância, dos sistemas de distribuição e dos processos operacionais de produção.
As empresas latino-americanas de manufatura apresentam índices semelhantes na maioria das áreas em comparação com as americanas no que se refere ao gerenciamento do risco cibernético. No entanto, assim como suas contrapartes do setor de saúde, as práticas e tecnologias de gerenciamento de risco de segurança cibernética organizacional, em geral, não são formalizadas, têm um escopo limitado e o risco é gerenciado de forma pontual e, às vezes, reativa.
Os problemas mais críticos para as empresas de manufatura da América Latina são o gerenciamento de terceiros, a segurança dos aplicativos e a resiliência empresarial. É provável que os fabricantes precisem de muitos terceiros para manter sua cadeia de valor. Ainda assim, grande parte deles continua a realizar implementações pontuais e, aparentemente, precisa de uma abordagem de due diligence mais consistente em toda a empresa.
Os dados dos clientes na CyQu mostram que a autenticação e a criptografia ainda são pouco utilizadas pelas empresas de manufatura da LATAM. As organizações precisam de ajuda no registro e monitoramento de endpoints, que prejudicam a transparência dos sistemas de controle industrial e das redes operacionais críticas. Os planos de resposta a incidentes e de continuidade de negócios também precisam ser mais robustos em todo o setor.
Próximo passos: sugestão de medidas para os líderes da América Latina
Gerenciamento de terceiros. Realize a due diligence em provedores terceirizados para que se alinhem melhor às políticas de sua empresa e às práticas recomendadas do setor, incluindo avaliações e reavaliações quando os contratos de serviço forem alterados. Realize auditorias de recuperação de desastres e continuidade dos negócios em provedores terceirizados, especialmente após mudanças organizacionais. Faça a previsão do impacto comercial do risco cibernético associado a provedores terceirizados usando uma análise formal que modele os possíveis resultados financeiros. Implemente e defina limiares e processos de escalonamento que ajudem a determinar a aplicação das estratégias de segurança cibernética para provedores terceirizados identificados. Use várias métricas e estratégias de gerenciamento consistentes, e envolva a alta gerência.
Resiliência empresarial. Garanta que os planos de continuidade dos negócios e de recuperação técnica de desastres (BCP/DR) sejam implementados e executados pelo menos uma vez por ano ou com maior frequência, conforme necessário. Inclua todo o pessoal-chave, inclua todas as operações necessárias para retomar os negócios e considere gerar relatórios após os exercícios com recomendações de melhoria. Garanta que o plano de BCP/DR da sua organização possibilite a recuperação em caso de falha crítica de tecnologia ou de software, falha crítica de fornecedor de tecnologia ou de serviços públicos, perda ou corrupção de informações vitais e divulgação de informações altamente confidenciais. Inclua em seu plano de BCP/DR o impacto financeiro do custo de oportunidade, o aumento do custo de trabalho e das despesas, a redução do valor da receita ou do rendimento equivalente, a ineficiência e a lucratividade, a substituição de ativos não segurados, o valor do capital e a viabilidade financeira.
Segurança dos aplicativos. Garanta que todos os desenvolvedores façam um curso de capacitação em segurança regularmente ou pelo menos uma vez por ano e inclua atualizações regulares para que se inteirem das ameaças emergentes. Mantenha um inventário de aplicativos, remova imediatamente todos os softwares não autorizados e garanta que a lista de permissões de aplicativos inclua executáveis, bibliotecas de código e scripts, por exemplo, macros e .ps1.
Referências
1 “Raising the Political Priority of Cybersecurity in Latin America.” Hurel, Louise Marie and Devanny, Joe. Council on Foreign Relations. Blog Post. March 16, 2023.
2 Aon’s Cyber Quotient (CyQu). Patent-pending technology.
Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.
As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.
Maturidade cibernética por região
A maturidade cibernética geral das empresas pode variar de acordo com a região. Saiba mais sobre as lacunas, os desafios e as oportunidades, incluindo sugestões de medidas que os líderes podem tomar para desenvolver a resiliência cibernética e empresarial.
