Relatório de Resiliência Cibernética 2023

Esta é a parte 6 de 16 neste relatório.

October 11, 2023 / 5 minutos de leitura

Siga estes passos para mitigar os riscos operacionais.

Siga estes passos para mitigar os riscos operacionais.

Os controles críticos percebidos como redutores da probabilidade ou gravidade de um evento de ransomware com potencial para interromper as operações são o foco das seguradoras.

Principais conclusões

  1. Os clientes relataram uma melhoria agregada na implementação de controles críticos em 2022 em relação a 2021, em relação a esses controles priorizados pelas seguradoras.
  2. As violações de dados por ransomware diminuíram 16% do terceiro trimestre de 2022 para o quarto trimestre de 2022, mas os dados do mercado de seguros cibernéticos e de erros e omissões (E&O) mostram um aumento no primeiro trimestre de 2023.
  3. Em todas as regiões, o nível de gerenciamento de continuidade dos negócios (BCM) dos clientes permaneceu estável entre 2020 e 2022 e está em um nível básico.

O risco operacional, definido como o risco de perdas causadas por interrupção das operações de uma organização ou falhas em pessoas, processos ou tecnologia, é uma preocupação fundamental para equipes de segurança global e seguradoras. Ransomware e esquemas de phishing continuam apresentando riscos significativos. Embora as violações de dados por ransomware tenham diminuído 16% do terceiro trimestre de 2022 para o quarto trimestre de 2021, dados do mercado de seguros cibernéticos e de erros e omissões (E&O) mostram que no primeiro trimestre de 2023 houve um aumento no ransomware e a frequência de eventos aumentou em 49%. O phishing e o spear phishing também aumentaram significativamente no início de 2023, de acordo com a equipe de segurança cibernética da Aon. A sofisticação dessas técnicas torna mais fácil para os atacantes se disfarçarem e mais desafiador para as vítimas distinguirem o que é legítimo do que é ilegítimo.

As organizações devem planejar para o pior cenário de ataque. Por exemplo, o que acontece se a rede da empresa ficar completamente inativa? Como o negócio será apoiado e sustentado? A empresa possui um modelo de resiliência capaz de gerenciar esse processo? Como a empresa manterá os clientes em segurança, mesmo que isso represente custos em oportunidades de negócio? Essas perguntas são componentes críticos do planejamento de continuidade dos negócios (BCP) e da gestão de continuidade dos negócios (BCM). Os dados do CyQu da Aon revelaram que, em todas as regiões, o nível de BCM dos clientes permaneceu estável entre 2020 e 2022 e está em um nível básico. É necessário mais foco no planejamento de cenários de interrupções operacionais. Embora seja fundamental implementar controles técnicos na empresa para evitar ransomware, igualmente importante é a preparação para interrupções em todas as operações comerciais.

As organizações devem planejar para o pior cenário de ataque. Por exemplo, o que acontece se a rede da empresa ficar completamente inativa? Como o negócio será apoiado e sustentado? A empresa possui um modelo de resiliência capaz de gerenciar esse processo? Como a empresa manterá os clientes em segurança, mesmo que isso represente custos em oportunidades de negócio? Essas perguntas são componentes críticos do planejamento de continuidade dos negócios (BCP) e da gestão de continuidade dos negócios (BCM). Os dados do CyQu da Aon revelaram que, em todas as regiões, o nível de BCM dos clientes permaneceu estável entre 2020 e 2022 e está em um nível básico. É necessário mais foco no planejamento de cenários de interrupções operacionais. Embora seja fundamental implementar controles técnicos na empresa para evitar ransomware, igualmente importante é a preparação para interrupções em todas as operações comerciais.

Resultados de dados sobre os Controles de Bandeira Vermelha Suplementares para Ransomware: Relatório dos Clientes da Aon.

Os clientes relataram uma melhoria agregada na implementação de controles críticos em 2022 em relação a 2021, em relação a esses controles priorizados pelas seguradoras. Nos Estados Unidos, as indústrias que relataram o progresso mais significativo nos controles críticos de TI foram a construção (+10%), manufatura (+9%) e finanças e seguros (+7%). Para se manterem competitivas globalmente, as empresas de manufatura estão migrando para processos mais digitalizados e integrados de Internet das Coisas (IoT), tanto dentro das fábricas quanto em suas cadeias de suprimentos, o que está relacionado com esse compromisso com a maturidade do risco operacional. A indústria da construção é semelhante. Muitas empresas começaram a usar tecnologias IoT para aprimorar a segurança no local de trabalho e gerenciar o progresso. Essa digitalização amplia a superfície de ataque. As equipes de construção também migraram dos fluxos de trabalho em papel para a nuvem, introduzindo novas vulnerabilidades e oferecendo uma excelente oportunidade para ransomware e esquemas de phishing. Na região EMEA e no Reino Unido, os dados de 2022 mostraram que as indústrias de manufatura e construção têm menor sofisticação na maturidade dos controles críticos de TI, sendo que a construção relatou deficiências em mais da metade desses controles.

Porcentagem de Falta de Controles Críticos de TI para uma Indústria Específica nos EUA (red flags)

* A categoria “Outras Indústrias” representa respostas de clientes nos seguintes setores: Alojamento e Serviços de Alimentação, Agricultura, Artes, Entretenimento e Recreação, Gestão de Empresas e Empreendimentos, Administração Pública, Utilidades, Serviços de Gerenciamento de Resíduos e Remediação, e Administração e Suporte, Comércio Atacadista.

** A categoria “Outros Serviços” é selecionada pelo próprio cliente.

Porcentagem de Falta de Controles Críticos de TI para uma Indústria Específica na EMEA e Reino Unido (red flags)

* A categoria “Outras Indústrias” representa respostas de clientes nos seguintes setores: Alojamento e Serviços de Alimentação, Agricultura, Artes, Serviços Educacionais, Entretenimento e Recreação, Gestão de Empresas e Empreendimentos, Administração Pública, Serviços de Utilidade Pública, Gerenciamento de Resíduos e Serviços de Remediação, e Administração e Suporte.

** A categoria “Outros Serviços” é selecionada pelo próprio cliente.

As organizações concentraram seus esforços em reforçar os controles críticos de backup em 2022, com 61% dos controles implementados em 2022 em comparação com 55% em 2021. No entanto, ao analisar os dados de forma mais detalhada, revela-se uma lacuna. Quase 90% das empresas nos Estados Unidos relataram não armazenar backups na nuvem, e 70% não armazenam backups fora do local ou não têm backups imutáveis. A segurança dos backups continua sendo uma preocupação prioritária, e com razão. O ransomware evoluiu para atacar os próprios backups, aumentando o risco dos dados. Backups imutáveis são essenciais para empresas que dependem da segurança e integridade dos dados pelos quais são responsáveis. Somente os backups imutáveis fornecem uma cópia limpa e recente dos dados, que permite uma recuperação rápida e uma proteção eficiente.

A resiliência dos negócios continuou sendo uma preocupação prioritária para os clientes em 2022. As seguradoras passaram de perguntas simplistas de caixa de seleção, como perguntar se a organização possui backups, para perguntar como é a sua resiliência. As empresas devem comprovar que seus processos de negócios podem suportar o impacto de uma violação cibernética. Os clientes das indústrias de manufatura (67% vs. 59% em 2021) e construção (66% vs. 55% em 2021) relataram a melhoria mais significativa nos controles críticos relacionados à resiliência. Ao examinar as diferenças entre o tamanho das empresas, as empresas de médio porte e as pequenas e médias empresas relataram mais frequentemente a falta de controles de resiliência dos negócios em comparação com as empresas de grande porte e multinacionais. No entanto, essa tendência se reverteu para a segurança de endpoints, onde as ferramentas de detecção e resposta de endpoints não cobrem todos os pontos de extremidade de tecnologia da empresa e das empresas multinacionais. De forma alarmante, mais da metade das organizações clientes relataram a falta de exercícios de simulação como parte do planejamento de continuidade dos negócios, e mais de um terço relatou a falta de planejamento de resposta a incidentes.

Porcentagem de Falta de Controles Críticos de TI para um Determinado Segmento de Cliente nos EUA (red flags)

Porcentagem de Falta de Controles Críticos de TI para um Determinado Segmento de Cliente na EMEA e Reino Unido (red flags)

90

%

Empresas nos Estados Unidos relataram não armazenar backups na nuvem.

Referências

1  Análise do Mercado de E&O e Cibernético do 4º trimestre de 2022″. Análise do Mercado de E&O e Cibernético | 2022 (aon.com)

2 Mercados favoráveis ao comprador de seguros cibernéticos e de E&O: Como aproveitar a oportunidade” Mercados favoráveis ao comprador de seguros cibernéticos e de E&O: Como aproveitar | Aon

Tendências por linha de negócios – Insights do mercado global do 4º trimestre de 2022 (aon.com)

4 Análise do Mercado de E&O e Cibernético do 4º trimestre de 2022″. Análise do Mercado de E&O e Cibernético | 2022 (aon.com)

5  Cibersegurança na Indústria Manufatureira. Palo Alto Networks. Relatório. 2023. https://www.paloaltonetworks.com/industry/unit42-manufacturing

6  Compreendendo o Risco Cibernético na Indústria da Construção. IT Chronicles. Artigo. 21 de março de 2022.  https://itchronicles.com/information-security/understanding-cyber-risk-in-the-construction-industry/

Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.

As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.

90

%

Empresas nos Estados Unidos relataram não armazenar backups na nuvem.

Gerenciando a segurança cibernética através de seis temas de risco destacados.

Este relatório deste ano é um guia para líderes compararem a maturidade de risco de suas organizações em relação a empresas similares e para auxiliar na tomada de decisões mais assertivas sobre a gestão de riscos cibernéticos em seis temas de risco destacados: cibernético, operacional, da cadeia de suprimentos, interno, reputacional e sistêmico.

Passos para minimizar o impacto do ciber-risco no risco sistêmico.

A tarefa de gerenciar o risco sistêmico saltou para o topo da lista de prioridades para a indústria de seguros, pois eventos cibernéticos significativos soaram o alarme de que o risco sistêmico é considerável e pode causar um impacto generalizado.

saiba mais
Os ataques cibernéticos às cadeias de suprimentos estão causando um impacto generalizado.

As ameaças cibernéticas adicionam uma camada de complexidade ao risco da cadeia de suprimentos. A gestão de riscos de terceiros, fundamental para proteger a organização, recebeu a pontuação mais baixa no CyQu entre todos os nove domínios avaliados

saiba mais
Elabore um plano para lidar com os perigos do risco reputacional.

Os ataques cibernéticos podem ser prejudiciais ao valor dos acionistas. No entanto, nem todas as empresas perdem valor devido a um ataque. Pesquisas revelaram que 17 empresas tiveram um impacto médio no valor, acima do mercado, de +18 por cento após o evento, ou um impacto total no valor de $445 bilhões após um incidente

saiba mais
As ameaças internas cibernéticas são um risco empresarial crescente

Os atores maliciosos sabem que os seres humanos são falíveis. Em 2022, duas em cada cinco empresas relataram a falta de controles do centro de operações de segurança (SOC), intensificando o risco interno.

saiba mais
Como o risco cibernético afeta quase todos os aspectos do risco empresarial.

O aumento do rigor na subscrição no mercado de seguros cibernéticos e de responsabilidade civil profissional ajudou a impulsionar o crescimento na maturidade do risco cibernético em diferentes setores e faixas de receita em 2022.

saiba mais