Relatório de Resiliência Cibernética 2023
Esta é a parte 4 de 16 neste relatório.
October 11, 2023 / 3 minutos de leitura
As ameaças internas cibernéticas são um risco empresarial crescente
Até 2025, espera-se que metade de todos os eventos cibernéticos sejam resultado de erros humanos ou ações maliciosas.
Principais conclusões
- Os clientes fizeram a transição de um perfil de risco interno global de "básico" para "gerenciado" em 2022.
- Duas em cada cinco empresas relataram a falta de controles do centro de operações de segurança (SOC).
- Quase metade de todas as empresas não segregaram o software obsoleto dos sistemas de aplicação.
O risco interno é uma preocupação constante para as empresas. Isso ocorre porque os seres humanos, por sua própria natureza, podem cometer erros, e os atores de ameaças frequentemente aproveitam essa vulnerabilidade. Até 2025, espera-se que metade de todos os eventos cibernéticos sejam resultado de erros humanos ou ações maliciosas. Essa é uma realidade para a qual as empresas precisam se preparar.1 Novos modelos de negócios digitais trazem desafios adicionais. Entre eles, os trabalhadores contingentes podem introduzir vulnerabilidades, e a maior acessibilidade das redes a terceiros pode comprometer a segurança.
O phishing continua sendo o vetor mais comum para acesso inicial à rede, colocando o insider – ou o funcionário – na linha de frente. Avanços na sofisticação social, fadiga do usuário e phishing direcionado baseado em contexto contribuem para a centralidade desse risco.2 Os criminosos cibernéticos continuam a mudar seus métodos, aproveitando os eventos atuais. Hoje, e-mails de phishing que exploram o conflito Ucrânia-Rússia para solicitar uma resposta emocional à guerra levam as pessoas a clicarem antes de pensar. Uma nova tendência está surgindo, o phishing inovador, ou phishing baseado no consentimento, em que os atacantes enganam os usuários para conceder permissões a aplicativos maliciosos na nuvem. Uma vez clicados, esses aplicativos maliciosos podem acessar serviços legítimos na nuvem e os dados dos usuários. Treinamento e simulações de exercícios de phishing continuam sendo as áreas em que menos investimentos são feitos no campo da mitigação de riscos cibernéticos, apesar de serem a contramedida mais significativa para retardar ataques de ransomware.3 Embora certos atos de crime cibernético tenham diminuído em 2022, os corretores de acesso a dados nunca pararam de obter acesso não autorizado às redes e infraestruturas dos clientes. Uma tendência a ser observada é a busca de dados por corretores e atores de ransomware que buscam oportunisticamente comprar dados e acesso de funcionários da empresa, onde a exploração de vulnerabilidades é um dos principais métodos utilizados.4 Essa tendência cria um novo risco de ameaça interna, onde os criminosos cibernéticos procuram abertamente por funcionários dispostos a vender os dados da empresa para ganho pessoal. Esse risco em evolução pode incluir roubo de dados, informações proprietárias, propriedade intelectual e segredos comerciais.
À medida que a integração de sistemas e a dependência organizacional de terceiros continuam a aumentar, crescerá também a necessidade de um maior monitoramento do risco interno. As organizações darão mais importância à necessidade de detecção e resposta de endpoints (EDR), centro de operações de segurança (SOC) e segurança de rede. Da mesma forma, o foco nas práticas de trabalho seguras e na proteção contra perda de dados permanecerá se o modelo de trabalho híbrido continuar em vigor.
Descobertas de dados suplementares sobre controles de bandeiras vermelhas para ransomware: Relatório dos clientes da Aon
A pesquisa da Aon com as principais seguradoras indica que a segurança de dados está entre os cinco principais riscos de domínio.4 No entanto, uma tendência preocupante emerge ao analisar as indústrias de maneira geral: a maioria relata lacunas substanciais em seus controles de segurança de dados, destacando a necessidade de medidas aprimoradas de segurança cibernética. De acordo com os dados do CyQu, as pontuações foram ligeiramente maiores em governança e proteção de dados à medida que os clientes fizeram a transição de um perfil de risco “básico” para “gerenciado” em 2022. Curiosamente, a conscientização e treinamento do usuário apresentaram a maior melhoria em todas as categorias de segurança de dados. Essa tendência sugere que o investimento contínuo em treinamento de riscos cibernéticos não apenas é benéfico, mas crucial para empresas que buscam mitigar a crescente ameaça do risco interno.
Pontuações do CyQu para Segurança de Dados
| segurança de dados | 2021 | 2022 | mudança |
|---|---|---|---|
| classificação de dados | 2.0 | 2.2 | +.2 |
| Conscientização e Treinamento do Usuário | 2.6 | 3.1 | +.5 |
| proteção de dados | 2.3 | 2.6 | +.3 |
| Governança | 2.3 | 2.6 | +.3 |
| gestão do risco | 2.0 | 2.4 | +.4 |
Pontuação de Maturidade de Risco do CyQu
Inicial: 1.0 - 1.9
Basico: 2.0 - 2.5
gerido: 2.6 - 3.4
avançado: 3.5 - 4.0
Quase metade de todas as empresas (49 por cento) não segregaram seu software obsoleto dos sistemas de aplicação, potencialmente aumentando sua vulnerabilidade a ameaças cibernéticas. Além disso, 40 por cento das empresas não possuem os controles necessários do SOC, intensificando sua exposição ao risco interno. Esses dados destacam a importância de medidas robustas de cibersegurança na mitigação das ameaças internas. No que diz respeito aos controles EDR, os dados do CyQu pintaram um quadro mais robusto, com 70 por cento dos clientes relatando que a EDR de suas organizações cobria todas as estações de trabalho.
47%
relatam que o software obsoleto não é segregado dos sistemas de aplicativos.
40%
elatam a falta de centro de operações de segurança (SOC).
70%
relatam que a EDR de sua organização cobria 100% das estações de trabalho totais.
Referências
1 1 “Prevê 2023: A indústria de segurança cibernética concentra-se no negócio humano.” Gartner. Relatório. 25 de janeiro de 2023. https://www.gartner.com
2 ENISA Paisagem de Ameaças 2022.” Relatório. União Europeia. Novembro de 2022. Paisagem de Ameaças 2022 da ENISA – ENISA (europa.eu)
3 Danos globais causados por ransomware previstos para alcançar US$ 20 bilhões até 2021.” Artigo. Cybersecurity Ventures. Obtido em https://www.cybersecurityventures.com. Cyber Awareness Training: Success Starts with Meaningful Engagement of People | Aon
4 Tendências a Observar: Insights Globais do Mercado Cibernético do 4º Trimestre de 2022.” Aon. Relatório. Janeiro de 2023. Cover – Q4 2022 Global Market Insights (aon.com)
Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.
As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.
Gerenciando a segurança cibernética através de seis temas de risco destacados.
Este relatório deste ano é um guia para líderes compararem a maturidade de risco de suas organizações em relação a empresas similares e para auxiliar na tomada de decisões mais assertivas sobre a gestão de riscos cibernéticos em seis temas de risco destacados: cibernético, operacional, da cadeia de suprimentos, interno, reputacional e sistêmico.
