Skip to main content
Opens in a new tab External site

November 2023 / 5 Min Read

Ataque cibernético ou violação de dados

 

O ataque cibernético ou violação de dados é o principal risco que as organizações têm enfrentado globalmente e deve permanecer nessa posição até 2026.

 

O que é um ataque cibernético ou violação de dados?

As ameaças cibernéticas, os ataques cibernéticos e as violações de dados são riscos distintos, mas estreitamente relacionados:

  1. Uma ameaça cibernética é uma possibilidade de que um tipo específico de ataque, dano ou prejuízo possa ocorrer.
  2. Um ataque cibernético (ou evento cibernético) é uma tentativa de comprometer um sistema.
  3. Uma violação de dados pode resultar de um ataque cibernético bem-sucedido que expõe informações confidenciais, sensíveis ou proprietárias a uma pessoa não autorizada. Os arquivos e outras informações envolvidas em uma violação de dados podem ser acessados, visualizados e compartilhados sem permissão.

Por que um ataque cibernético ou violação de dados é um dos principais riscos para as organizações atualmente?

As ameaças cibernéticas e os ataques de ransomware tornaram-se mais frequentes, sofisticados e graves nos últimos quatro anos, com impactos que vão desde danos financeiros e à reputação até o comprometimento de operações críticas.

Após o pico em 2021, o número de ataques de ransomware diminuiu em 2022 em meio a um período de redução de financiamento e atividade entre os atores de ameaças, juntamente com uma melhor mitigação de riscos (incluindo uma subscrição de seguros cibernéticos mais rigorosa). Infelizmente, os ataques de ransomware aumentaram 176% no primeiro semestre de 2023, sinalizando a necessidade de permanecer vigilantes no gerenciamento dessa ameaça por meio de estratégias como avaliações de risco focadas, investimento em controles apropriados e seguros.

A abordagem e a recuperação de eventos cibernéticos tornaram-se cada vez mais complexos e continuarão sendo. Os eventos cibernéticos podem ter um impacto em todas as áreas de uma organização, e os órgãos regulatórios estão reforçando os requisitos de segurança cibernética; consequentemente, a resiliência cibernética é um tópico-chave de discussão em salas de reuniões em todo o mundo.

É papel das organizações bloquear e responder continuamente a ameaças, corrigir sistemas vulneráveis e avaliar pontos de conexão em pilhas de tecnologia altamente integradas — tudo isso enquanto mantém insights de minuto a minuto sobre os impactos potenciais de ameaças emergentes e mudanças nos requisitos regulatórios, que podem impor diretrizes rígidas. O uso de inteligência artificial (IA) para ataques cibernéticos e criação de malware constitui uma área de preocupação particularmente importante e crescente.

Além do aumento das ameaças emergentes, a conexão entre colaboradores individuais e riscos de segurança cibernética organizacional não deve ser subestimada. Metade das questões forenses digitais e de resposta a incidentes (DFIR) tratadas pela Aon em 2022 estavam relacionadas à engenharia social e ao phishing. De acordo com o Relatório de Resiliência Cibernética de 2023 da Aon, mais da metade dos eventos cibernéticos serão causados por fatores humanos até 2025. Outro relatório de 2023 observou um elemento humano em 74% de todas as violações – desde um simples erro humano e de engenharia social ao uso indevido de privilégios e credenciais roubadas.1 Essas ações expõem os empregadores a uma série de outros riscos potenciais, incluindo perda de propriedade intelectual, ação regulatória punitiva e danos à reputação.

O custo de uma única violação de dados corporativos subiu para uma alta histórica de quase US$ 4,5 milhões entre as empresas que sofreram violações de março de 2022 a março de 2023. O custo por violação foi ainda maior (aproximadamente US$ 5,4 milhões) para empresas que relataram que não usaram IA e automação como parte de seus esforços de segurança. E 67% das violações de dados entre as empresas pesquisadas foram descobertas por terceiros externos ou divulgadas pelo invasor.2 Os resultados da nossa própria pesquisa refletem essa realidade sombria: um em cada cinco entrevistados relatou que suas organizações perderam receita com ataques cibernéticos e violações de dados nos últimos 12 meses.

Explorar resultados globais

As empresas estão lidando com os riscos tradicionais de novas formas, tanto em termos de risco como de capital humano. Como os líderes empresariais podem priorizar e responder melhor a eles?

Ver relatório global

Perdas e preparação

Pouco menos de um quinto dos entrevistados sofreu uma perda devido a um ataque cibernético ou violação de dados, e nove em cada dez indicaram que têm planos para responder ao risco.

18%

dos entrevistados indicaram que esse risco contribuiu para uma perda para sua organização nos 12 meses anteriores à pesquisa.

89%

dos entrevistados afirmaram que suas organizações haviam estabelecido um plano para responder ao risco.

Como as organizações podem mitigar o impacto de um ataque cibernético ou de violação de dados?

Navegar pelo caminho da resiliência cibernética — e, em última análise, da resiliência operacional — é um desafio. Entretanto, estratégias de resiliência prospectivas são essenciais para ajudar a minimizar os riscos financeiros, operacionais e de reputação. Toda jornada de resiliência cibernética requer uma abordagem holística e proativa que combine identificação e avaliação de riscos, mitigação de riscos, preparação e recuperação de respostas e mecanismos de transferência de riscos.

  • Identificação e avaliação do risco cibernético. As organizações devem coletar e examinar dados e percepções para entender toda a gama de impactos da segurança cibernética e das exposições, inclusive como os controles de segurança afetam a exposição do balanço patrimonial. Essas descobertas podem indicar as decisões estratégicas dos líderes sobre como evitar, mitigar ou transferir riscos cibernéticos em alinhamento com a missão e os objetivos gerais da organização.
  • Mitigação do risco cibernético. Um aspecto crítico de qualquer jornada de resiliência cibernética é testar e atualizar planos de continuidade de negócios e recuperação de desastres com base em mudanças nas ferramentas, tecnologias e procedimentos, bem como nas operações comerciais atuais.

Para ajudar a mitigar ameaças cibernéticas e se preparar para uma subscrição de seguros mais rigorosa, as equipes de segurança e tecnologia das organizações devem avaliar continuamente as ameaças em evolução e fornecer evidências quantificáveis da eficácia dos controles atuais para as seguradoras e o mercado. As equipes devem se concentrar nos controles de segurança que mitigam os ataques de ransomware, particularmente os controles que são uma parte crítica do processo de subscrição de seguros.

O alinhamento com os padrões de controle de melhores práticas, como os do Instituto Nacional de Padrões e Tecnologia (NIST) ou do Centro de Segurança da Internet (CIS) pode ajudar ainda mais as organizações a reforçar a segurança cibernética, apoiando a conformidade com os requisitos regulamentares em evolução. A quantificação periódica do risco e o seu devido mapeamento térmico são outras maneiras de ajudar a garantir que qualquer aquisição de seguro retenha seu valor como parte da estratégia geral da empresa para mitigar o risco cibernético. Adicionalmente, as análises de cenário e dos possíveis caminhos de ataque ajudam a identificar os domínios de segurança e os controles principais com a maior capacidade para mitigar os danos de um incidente cibernético.

O treinamento em defesa cibernética em toda a organização é um componente crítico na mitigação de riscos. A importância de cumprir as medidas de segurança cibernética deve ser claramente comunicada a partir dos níveis superiores de uma organização e reforçada com mensagens regulares, treinamento e suporte. Estabelecer uma cultura cibernética robusta pode ser uma das melhores maneiras de ajudar a mitigar os riscos cibernéticos. Ela depende da conscientização a nível do funcionário individual para que todos entendam as políticas e estratégias da organização e o papel que cada pessoa desempenha na defesa e no avanço delas.

Por fim, embora seja imperativo dotar os funcionários com as melhores práticas para se protegerem de atos fraudulentos, apoiar o bem-estar dos funcionários também é vital. Os funcionários estressados e desengajados são frequentemente mais propensos a cometer erros ou a contornar deliberadamente medidas de segurança cibernética. E o estresse dos funcionários continua alto. Por exemplo, um terço dos entrevistados da Pesquisa de Bem-Estar no Local de Trabalho da American Psychological Association em 2023 expressou medo de que a IA tornasse seus deveres ou funções obsoletos. Além disso, metade dos entrevistados que expressaram medo sobre a IA relataram sintomas de burnout, como irritabilidade e falta de motivação.

  • Preparação de resposta e recuperação de incidentes cibernéticos. A recuperação de um incidente cibernético é muitas vezes um processo complexo e prolongado. A preparação antecipada pode permitir que as organizações iniciem esse processo muito mais rapidamente e com maior sucesso. Os esforços de resposta a incidentes, contenção e investigação devem ser realizados juntamente com uma avaliação dos impactos financeiros e operacionais, incluindo reivindicações de terceiros e de seguros. Com o planejamento antecipado, esses esforços podem ser medidos e alinhados aos objetivos de negócios, ajudando a acelerar o processamento de reivindicações e trabalhando para alcançar a neutralidade do fluxo de caixa.
  • Transferência de risco cibernético. Uma vez que uma organização tenha quantificado seu máximo possível de perdas cibernéticas, ela pode avaliar e adaptar regularmente suas estratégias de aceitação e transferência de riscos cibernéticos com informações de todas as partes interessadas. A transferência de riscos é importante para proporcionar resiliência financeira e as opções de transferência não se limitam à colocação de seguros tradicionais – o seguro cativo e o capital alternativo também são abordagens viáveis para apoiar a proteção do balanço.

 

=
O ataque cibernético ou violação de dados continua sendo o principal risco que as organizações enfrentam hoje, a mesma classificação mantida em nossa pesquisa anterior.

Fonte: Pesquisa Global de Gestão de Riscos da Aon 2023

 
 

1 2023 Data Breach Investigation Report, Verizon, 2023.
2 Custo de um relatório de violação de dados 2023, IBM Security, julho de 2023.

Disclaimer
As informações aqui contidas e as declarações expressas são de caráter geral e não pretendem abordar as circunstâncias de qualquer indivíduo ou entidade em particular. Embora nos esforcemos em fornecer informações exatas e oportunas e utilizemos fontes que consideramos confiáveis, não podemos garantir que essas informações sejam exatas na data em que são recebidas ou que continuem a sê-lo no futuro. Ninguém deve atuar com base nessas informações sem aconselhamento profissional adequado após uma análise minuciosa da situação específica.

Condições de utilização
O conteúdo deste documento não pode ser reproduzido, reutilizado, reimpresso ou redistribuído sem o consentimento expresso por escrito da Aon, salvo autorização em contrário por parte da Aon. Para utilizar as informações aqui contidas, contate a nossa equipe.

General Disclaimer
The information contained herein and the statements expressed are of a general nature and are not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information and use sources we consider reliable, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.

Terms of Use
The contents herein may not be reproduced, reused, reprinted or redistributed without the expressed written consent of Aon, unless otherwise authorized by Aon. To use information contained herein, please write to our team.