Relatório de Resiliência Cibernética 2023
Esta é a parte 3 de 16 neste relatório.
October 11, 2023 / 3 minutos de leitura
Os ataques cibernéticos às cadeias de suprimentos estão causando um impacto generalizado.
Um dos maiores desafios ao lidar com ataques cibernéticos em toda a cadeia de suprimentos atualmente é compreender o perfil de ameaças e os controles básicos da empresa estendida.
Principais conclusões
- No geral, os clientes relataram apenas uma melhoria marginal na gestão de riscos de terceiros.
- Nenhuma indústria ainda alcançou uma abordagem madura e sistemática para gerenciar o risco de terceiros.
- Apenas 46% dos clientes relataram autenticação de múltiplos fatores (MFA) para acesso remoto de terceiros à tecnologia operacional.
A transformação digital após a pandemia envolveu um processo de digitalização em toda a cadeia de suprimentos, tanto na parte upstream quanto na parte downstream, de todas as organizações. A combinação de problemas na cadeia de suprimentos de microchips e o surgimento de inúmeros malwares parece ter criado uma tempestade perfeita.1
As cadeias de suprimentos globais em várias indústrias enfrentam o desafio de um ambiente dinâmico e imprevisível. Incertezas geopolíticas persistentes, combinadas com regulamentações e sanções internacionais emergentes, aumentam o risco de penalidades e interrupções na cadeia de suprimentos.2 O risco cibernético, principalmente o risco de terceiros e quartos, acrescenta dramaticamente a essa complexidade. Embora a visibilidade e a confiabilidade das cadeias de suprimentos sejam amplamente fortalecidas pela conectividade digital, os atores mal-intencionados também se fortalecem pela superfície expandida de ataques resultante. Um dos maiores desafios ao gerenciar ataques cibernéticos em cadeias de suprimentos atualmente é entender o perfil de ameaças da empresa estendida e os controles básicos.
O impacto de um ataque à cadeia de suprimentos pode ser amplo. Com potencialmente milhares de fornecedores, um evento na cadeia de suprimentos pode resultar em consequências variadas além da interrupção dos negócios. Os riscos para a segurança das pessoas são uma preocupação chave. Por exemplo, um fabricante de equipamentos originais (OEM) automotivos que depende de dispositivos de outros OEMs pode produzir carros conectados em risco. Além disso, existem os riscos políticos introduzidos por fornecedores sediados em locais geopoliticamente voláteis, ou novos riscos introduzidos por fornecedores que operam em um ambiente regulatório mais desafiador. As complexidades e os impactos potenciais desses ataques à cadeia de suprimentos destacam a necessidade de uma gestão eficaz de riscos, deixando uma coisa inegavelmente clara: a supervisão abrangente e o entendimento dos riscos de terceiros são cruciais.
As descobertas do CyQu da Aon fornecem uma visão essencial sobre esse problema. Aqui está o que os clientes da Aon relataram.
Descobertas do CyQu da Aon: Relatório dos Clientes da Aon
Ao examinar as descobertas do CyQu, os clientes em diversas indústrias relataram apenas uma melhoria marginal na gestão de riscos de terceiros, com uma pontuação média global de 2.2 em 2022. Para contextualizar, uma pontuação de 2.2 representa um nível baixo de maturidade na gestão de riscos de terceiros, sugerindo que a maioria das organizações ainda está nos estágios iniciais do estabelecimento de práticas robustas de gestão de riscos. Isso é destacado pelo fato de que o domínio de terceiros recebeu a pontuação mais baixa no CyQu entre os nove domínios avaliados. É importante ressaltar que nenhuma indústria alcançou até o momento uma abordagem madura e sistemática para gerenciar riscos de terceiros. Essas descobertas destacam os desafios significativos que as empresas enfrentam na gestão do risco da cadeia de suprimentos e a necessidade urgente de estratégias de gestão de riscos mais abrangentes e eficazes. Esse resultado não é surpreendente. Compreender o risco que todos os fornecedores representam é uma verdadeira dificuldade, e a conexão cada vez maior em toda a infraestrutura tecnológica de uma empresa aumenta exponencialmente o risco de terceiros.
Ao analisar por setor, as indústrias da construção e manufatura melhoraram seu perfil geral de risco de terceiros de “inicial” para “básico”. No entanto, a construção relatou maturidade de risco “inicial” apenas em diligência de terceiros, “básica” em gerenciamento de contratos e “gerenciada” em gerenciamento de inventário de terceiros.
Pontuações de Risco do CyQu para Domínios de Terceiros
| indústria | 2020 | 2022 | mudança |
|---|---|---|---|
| manufatura | 1.8 | 2.0 | +0.2 |
| outras indústrias* | 1.9 | 2.1 | +0.2 |
| outros serviços** | 2.0 | 2.2 | +0.2 |
| Informação, Software e Tecnologia | 2.3 | 2.5 | +0.2 |
| Finanças e seguros | 2.3 | 2.5 | +0.2 |
| Cuidados de Saúde e Assistência Social | 2.1 | 2.3 | +0.2 |
| Serviços Profissionais, Científicos e Técnicos | 2.1 | 2.5 | +0.4 |
| comércio de varejo | 2.0 | 2.2 | +0.2 |
| Transporte e armazenamento | 1.8 | 1.9 | +0.1 |
| construção | 1.7 | 2.0 | +0.3 |
| serviços educacionais | 2.1 | 2.1 | +0.0 |
| Imóveis, Locação e Arrendamento | 2.1 | 2.3 | +0.2 |
Pontuação de Maturidade de Risco do CyQu
Inicial: 1.0 - 1.9
Basico: 2.0 - 2.5
gerido: 2.6 - 3.4
avançado: 3.5 - 4.0
* Outra categoria de indústrias” representa as respostas dos clientes nas seguintes áreas: Acomodação e Serviços Alimentares, Agricultura, Artes, Entretenimento e Recreação, Administração de Empresas, Administração Pública, Serviços Públicos, Gerenciamento de Resíduos e Serviços de Remediação, e Administração e Suporte, Comércio Atacadista.
** A categoria “Outros Serviços” é selecionada pelo próprio cliente.
As empresas de serviços profissionais viram uma melhoria no perfil de risco nessas mesmas categorias. A pontuação nas empresas de serviços profissionais (2.5) alinhou o setor com as indústrias de finanças e seguros e software de informação e tecnologia – historicamente os melhores desempenhos em risco de terceiros, parcialmente devido ao ambiente regulatório que molda suas decisões de segurança.
De acordo com os dados suplementares de Tecnologia Operacional, 54% dos clientes não possuíam autenticação de múltiplos fatores (MFA) para acesso remoto de terceiros à tecnologia operacional, aumentando assim o risco de violações de rede.
Referências
1 Condições estão propícias para um ataque cibernético como nunca antes visto.” Aon. Artigo. Outubro de 2022. Condições estão propícias para um ataque cibernético como nunca antes visto | Aon
2 Três regulamentações internacionais que impactarão as cadeias de suprimentos dos EUA em 2023.” Lamba, John. Artigo. Forbes. 9 de março de 2023. Obtido em https://www.forbes.com
Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.
As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.
Gerenciando a segurança cibernética através de seis temas de risco destacados.
Este relatório deste ano é um guia para líderes compararem a maturidade de risco de suas organizações em relação a empresas similares e para auxiliar na tomada de decisões mais assertivas sobre a gestão de riscos cibernéticos em seis temas de risco destacados: cibernético, operacional, da cadeia de suprimentos, interno, reputacional e sistêmico.
