Relatório de Resiliência Cibernética 2023
Esta é a parte 7 de 16 neste relatório.
October 11, 2023 / 7 minutos de leitura
Ações para Melhorar a Resiliência Cibernética no Setor Financeiro e de Seguros
As ameaças cibernéticas estão em constante evolução e são uma área crítica de foco para reguladores, clientes, acionistas e conselho de administração na indústria financeira e de seguros.
Principais conclusões
- Os clientes relataram uma melhoria geral na pontuação de risco em 2022, aproximando-se do nível "gerenciado
- A segurança de backup continua sendo uma área de vulnerabilidade, e as empresas dos EUA relataram deficiências em quase 40% dos controles críticos de TI.
- As reclamações de seguro estão aumentando, com um aumento de 38% nas reclamações de ransomware do quarto trimestre de 2022 para o primeiro trimestre de 2023.
Governos, empresas e clientes veem as instituições financeiras como a espinha dorsal da economia global.1 Devido ao papel vital que desempenham, a segurança dessa indústria é altamente regulamentada e fiscalizada. Enfatizando a necessidade de resiliência cibernética, a Comissão de Valores Mobiliários e Câmbio dos Estados Unidos recentemente introduziu uma proposta para abordar o risco de segurança cibernética. Isso exigiria que todas as entidades de mercado implementassem políticas e procedimentos destinados a lidar com seus riscos de segurança cibernética. Além disso, as organizações financeiras e de seguros precisarão revisar e avaliar, pelo menos anualmente, o design e a eficácia de suas políticas e procedimentos de segurança cibernética – incluindo se refletem as mudanças no risco de segurança cibernética durante o período coberto pela revisão.2 Na União Europeia, as instituições financeiras têm dois anos para gerenciar a resiliência operacional e cumprir a Digital Operation Resilience Act (DORA).3
Novos riscos e vulnerabilidades são detectados diariamente, e os líderes da indústria financeira e de seguros classificaram a ameaça de um ataque cibernético ou violação de dados como o principal risco na pesquisa mais recente de Gerenciamento Global de Riscos da Aon.
O setor enfrenta um cenário de risco complexo e globalmente interconectado, e os líderes devem tomar decisões que exigem análise e execução rápidas. Tecnologias emergentes e novos modelos de negócios continuamente alteram o panorama. Por exemplo, as carteiras móveis são um desenvolvimento fundamental. Pagamentos offline ou online realizados com um dispositivo móvel, smartphone ou dispositivo vestível são comuns, e as fintechs estão em ascensão. Esse novo setor, Fintech, expande exponencialmente a superfície de ataque e introduz ainda mais vulnerabilidades de terceiros para as maiores instituições financeiras que se conectam a essas empresas menores e menos sofisticadas. Embora a Ásia lidere em destaque de empresas de fintech em termos de receita, a América do Norte possui o maior número de startups de fintech, com estatísticas apontando para 8.775 operando atualmente. A Europa, Oriente Médio e África contam com 7.385 startups de fintech4 e 4.765 na região da Ásia-Pacífico.5
As mudanças no seguro de responsabilidade cibernética também foram significativas nos últimos dois anos. Incidentes como o ataque de ransomware em 2021 em um sistema de dutos nos Estados Unidos alteraram o mercado, e as seguradoras perceberam o tremendo risco de interrupção dos negócios e interconectividade. As seguradoras agora exigem que as Instituições Financeiras demonstrem resiliência cibernética para garantir uma apólice acessível – ou qualquer apólice. Durante as discussões de renovação, algumas seguradoras trazem profissionais de tecnologia independentes para questionar o diretor de segurança da informação da instituição financeira.
Isso demonstra a oportunidade de usar o processo de renovação do seguro como um meio de demonstrar os controles e sistemas que têm em vigor. Essa abordagem ajuda a garantir que o processo se torne um complemento ao processo de gestão de riscos.
Relatório de Clientes da Aon: Indústria Financeira e de Seguros e Risco Cibernético
Os resultados de dados agregados do Cyber Quotient (CyQu) da Aon mostram que os clientes relataram uma melhoria geral na pontuação de risco de 2.7 para 2.9 (aproximando-se de “gerenciado”) em 2022 em todas as empresas de finanças e seguros. As pequenas e médias entidades afirmaram que seu perfil de risco melhorou de “básico” para “gerenciado”, e 64% relataram pontuações de risco acima de 2.5. Esse crescimento sólido na maturidade provavelmente continuará à medida que as seguradoras mantenham o foco nessas organizações emergentes que são fundamentais para o ecossistema de serviços financeiros.
A mediana percentual do orçamento de TI gasto em segurança também aumentou globalmente, com empresas financeiras e de seguros relatando que 8 por cento do orçamento de TI é dedicado à segurança em 2022.
Pontuações de Risco CyQu para os Segmentos de Clientes de Finanças e Seguros.
| Receita anual (grupo) | 2020 | 2022 | mudança |
|---|---|---|---|
| global | 3.4 | 3.0 | -0.4 |
| corporativo | 2.9 | 3.2 | +0.3 |
| mercado médio | 2.8 | 3.0 | +0.2 |
| SME | 2.5 | 2.7 | +0.2 |
Pontuação de Maturidade de Risco do CyQu
Inicial: 1.0 - 1.9
Basico: 2.0 - 2.5
gerido: 2.6 - 3.4
avançado: 3.5 - 4.0
Atualmente, estamos testemunhando um ressurgimento de grupos agressivos de atores ameaçadores direcionados a empresas de serviços financeiros. E esses ataques estão tendo sucesso na maioria dos casos. As reclamações de seguro estão aumentando, com um aumento de 38 por cento nas reclamações de ransomware do quarto trimestre de 2022 para o primeiro trimestre de 2023, mesmo que as empresas relatem uma melhoria constante no perfil geral de risco cibernético. Empresas financeiras e de seguros melhoraram a implementação de controles de tecnologia da informação entre 2021 e 2022 e enfatizaram o fortalecimento dos controles de autenticação multifator (MFA). As empresas dos Estados Unidos relataram uma melhoria significativa nos controles críticos de MFA, com 80 por cento de implantação em comparação com 65 por cento em 2021. No entanto, mesmo com essa melhoria, a Aon observa que muitas empresas ainda não implementaram essas soluções de forma abrangente, o que pode contribuir para o aumento que estamos experimentando atualmente.
Olhando para os Estados Unidos, empresas financeiras e de seguros relataram uma melhoria constante na prontidão dos controles de TI entre 2021 e 2022. Os dados de controle de bandeira vermelha do Suplemento de Aplicações de Ransomware da Aon mostram que a melhoria mais significativa foi na autenticação multifator (MFA), com um aumento de 15 por cento, e na resiliência empresarial, com um aumento de 8 por cento na implementação de controles essenciais de subscrição. Em comparação com os setores de saúde e manufatura, a indústria de serviços financeiros parece ser muito mais madura em relação à resiliência empresarial. No entanto, a segurança de backup continua sendo considerada uma área de vulnerabilidade, com organizações ainda relatando a necessidade de quase 40 por cento dos controles de TI. Esse domínio de controle deve ser uma área de foco ao longo de 2023, à medida que as ameaças de ransomware voltarem a aumentar.
Embora os dados de tendência ainda não estejam disponíveis para o Reino Unido, em 2022, as organizações financeiras e de seguros do país relataram a maior maturidade em gestão de acesso, segurança de e-mail e gestão de patches, registrando 20 por cento ou menos de lacunas em cada área de controle. Os clientes relataram lacunas significativas na gestão de software e nos controles de segurança de rede e dados. Assim como seus colegas nos Estados Unidos, a proteção de backup também parece precisar de atenção.
E agora? Ação para Organizações Financeiras e de Seguros
Referências
1 Como as Instituições Financeiras Moldam a Agenda em um Ambiente Volátil.” Guia da Indústria Financeira e de Seguros da Aon. Aon 2023.
2 A SEC Introduz Novos Requisitos para Abordar os Riscos de Cibersegurança no Mercado de Valores Mobiliários dos Estados Unidos.” Comunicado de Imprensa. Securities and Exchange Commission (SEC). 15 de março de 2023
3 Digital Operation Resilience Act (DORA) – Regulação (UE) 2022/2054. Obtido em https://www.digital-operational-resilience-act.com
4 A Importância de uma Melhor Tomada de Decisão em Meio ao Aumento da Volatilidade.” Pesquisa Global de Gestão de Riscos da Aon 2021. Relatório. 2021. Capa – Pesquisa Global de Gestão de Riscos 2021 (aon.com)
5 “Estatísticas sobre FinTech.” Artigo. Balancing Everything. 03 de março de 2023.
Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.
As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.
Publicações relacionadas
Gerenciando a segurança cibernética através de seis temas de risco destacados.
Este relatório deste ano é um guia para líderes compararem a maturidade de risco de suas organizações em relação a empresas similares e para auxiliar na tomada de decisões mais assertivas sobre a gestão de riscos cibernéticos em seis temas de risco destacados: cibernético, operacional, da cadeia de suprimentos, interno, reputacional e sistêmico.
