Relatório de Resiliência Cibernética 2023

Esta é a parte 16 de 16 neste relatório.

informação anterior Próxima informação

October 11, 2023 / 5 minutos de leitura

Por trás dos Dados: Metodologia de Pesquisa

Este relatório é baseado nas pontuações de avaliação do Aon Cyber Quotient (CyQu) coletadas de 2.946 organizações únicas de clientes da Aon em toda a Austrália, Canadá, América Latina, Estados Unidos, EMEA e Reino Unido, complementadas por dados de avaliações suplementares coletadas de 1.933 organizações únicas de clientes da Aon nos Estados Unidos e Reino Unido.

Principais conclusões

As pontuações de autoavaliação do CyQu da Aon avaliam o risco em 35 controles críticos em nove domínios de segurança.
A Aplicação Suplementar de Ransomware identifica 33 possíveis lacunas nos controles críticos de segurança que podem limitar a cobertura de seguro cibernético ou acionar um sinal de alerta.
A Aplicação Suplementar de Tecnologia Operacional fornece uma visibilidade expandida em 22 controles de segurança de tecnologia operacional priorizados pelas seguradoras.

O Relatório de Resiliência Cibernética 2023 é baseado em dados proprietários de clientes coletados a partir da Avaliação do Quociente Cibernético (CyQu) da Aon, da Aplicação Suplementar de Ransomware da Aon e da Aplicação Suplementar de Tecnologia Operacional.

CyQu é uma plataforma global de envio eletrônico e avaliação de riscos que auxilia as organizações a gerenciar melhor o risco cibernético, fornecendo visibilidade das exposições cibernéticas e dos fatores de segurabilidade. O CyQu possui uma metodologia de análise pendente de patente e é baseado em padrões ISO e no framework do Instituto Nacional de Padrões e Tecnologia. O framework é regularmente ajustado para contemplar o feedback da comunidade de subscrição de seguros cibernéticos. Aceito por todos os principais mercados dos Estados Unidos, o CyQu e seus Suplementos ajudam a alinhar mais de 65 seguradoras cibernéticas em torno de um único processo de envio de seguros para o cliente

A avaliação autodeclarada do CyQu pontua o risco em 35 controles críticos em nove domínios de segurança, oferecendo uma visão mais ampla sobre os riscos mais significativos de uma organização e a eficácia dos controles.

Este relatório é baseado nas pontuações de avaliação do CyQu coletadas de 2.946 organizações únicas de clientes da Aon em toda a Austrália, Canadá, América Latina, Estados Unidos, EMEA e Reino Unido. Há representação em diversos setores e faixas de receita. As respostas autodeclaradas dos clientes são pontuadas em uma escala de 1 a 4 (sendo 4 o melhor). As informações de tendência neste relatório foram derivadas da comparação das mudanças entre os dados do CyQu de 2020 e 2022.

Distribuição Global da Indústria CyQu

manufatura
outras indústrias
outros serviços
Informação, Software e Tecnologia
Finanças e Seguros
Cuidados de Saúde e Assistência Social
Serviços Profissionais, Científicos e Técnicos
Comércio Varejista
Transporte e Armazenamento
Construção
Serviços Educacionais
Imóveis, Locação e Arrendamento

* A categoria “Outras Indústrias” representa respostas de clientes nos seguintes setores: Alojamento e Serviços de Alimentação, Agricultura, Artes, Entretenimento e Recreação, Gestão de Empresas e Empreendimentos, Administração Pública, Serviços de Utilidade Pública, Gerenciamento de Resíduos e Serviços de Remediação, e Administração e Suporte, Comércio Atacadista.

** A categoria “Outros Serviços” é selecionada pelo próprio cliente.

Distribuição do segmento de clientes globais da CyQu

global
corporativo
Mercado Médio
Pequenas e Médias Empresas (PME)

Segmentos de Receita do Cliente:
Global: >US$ 5 bilhões
Empresa: US$ 5 bilhões a US$ 2 bilhões
Mercado intermediário: US$ 100 milhões a US$ 2 bilhões
PME: <$100 milhões

distribuição regional

América do Norte
Reino Unido e EMEA (Europa, Oriente Médio e África)
América latina
Ásia Pacífico

América, Estados Unidos e Canadá

Reino Unido e EMEA: Áustria, Bélgica, Dinamarca, Finlândia, França, Alemanha, Irlanda, Itália, Luxemburgo, Países Baixos, Noruega, Polônia, Portugal, Espanha, Suécia, Suíça, Turquia, Reino Unido.

América Latina: Argentina, Brasil, Chile, Colômbia, Equador, México, Peru, Porto Rico.

Ásia Pacífico Austrália

Além desses dados, também estão incluídos insights proprietários da Aplicação Suplementar de Ransomware e da Aplicação Suplementar de Tecnologia Operacional da Aon. A Aplicação Suplementar de Ransomware da Aon identifica 33 possíveis lacunas nos controles críticos de segurança que podem limitar a cobertura de seguro cibernético ou acionar um sinal de alerta. A Aplicação Suplementar de Tecnologia Operacional oferece uma visão ampliada de 22 controles de segurança de tecnologia operacional priorizados pelas seguradoras. Este relatório é baseado em dados de avaliações suplementares coletados de 1.933 organizações únicas de clientes da Aon nos Estados Unidos e no Reino Unido, abrangendo diversos setores e faixas de receita. Guiado pelos controles de subscrição-chave da Aon e sua análise de sinais de alerta desenvolvida com a contribuição de corretores e seguradoras, este relatório demonstra como os clientes podem usar os dados para ajudar a priorizar seus investimentos em segurança. As informações de tendência neste relatório foram derivadas da comparação das mudanças entre 2021 e 2022 para a Aplicação Suplementar de Ransomware e para 2022 para a Aplicação Suplementar de Tecnologia Operacional.

Distribuição da Indústria na Aplicação Suplementar de Ransomware nos EUA

manufatura
outras indústrias*
outros serviços**
Informação, Software e Tecnologia
Finanças e Seguros
Cuidados de Saúde e Assistência Social
Serviços Profissionais, Científicos e Técnicos
Transporte e Armazenamento
construção
serviços educacionais
comeércio varejista
Imóveis, Locação e Arrendamento

* A categoria “Outras Indústrias” representa as respostas de clientes nos seguintes setores: Alojamento e Serviços de Alimentação, Agricultura, Artes, Entretenimento e Recreação, Gestão de Empresas e Empreendimentos, Administração Pública, Serviços de Utilidade Pública, Gerenciamento de Resíduos e Serviços de Remediação, Administração e Suporte e Comércio Atacadista.

** A categoria “Outros Serviços” é selecionada pelo próprio cliente.

Distribuição de Segmento de Cliente na Aplicação Suplementar de Ransomware nos EUA

global
corporativo
Mercado Médio
SME

Distribuição da Indústria na Aplicação Suplementar de Tecnologia Operacional nos EUA

manufatura
outras indústrias

Distribuição de Segmento de Cliente na Aplicação Suplementar de Ransomware na EMEA e Reino Unido

global
corporativo
Mercado Médio
SME

Distribuição da Indústria na Aplicação Suplementar de Ransomware na EMEA e Reino Unido

manufatura
outras indústrias*
outros serviços**
Cuidados de Saúde e Assistência Social
Imóveis, Aluguel e Arrendamento
Finanças e Seguros
Informação, Software e Serviços Técnicos
Serviços Profissionais, Científicos e Técnicos
construção
Comércio Atacadista

* A categoria “Outras Indústrias” representa respostas de clientes nos seguintes setores: Alojamento e Serviços de Alimentação, Agricultura, Artes, Entretenimento e Recreação, Gestão de Empresas e Empreendimentos, Administração Pública, Utilidades, Gerenciamento de Resíduos e Serviços de Remediação, e Administração e Suporte, Comércio Atacadista.

** A categoria “Outros Serviços” é selecionada pelo próprio cliente.

Equipe de Metodologia de Dados

Arshi Ahmed
Líder de Dados e Análises, Soluções Cibernéticas

Nancy Eaves
Vice-presidente sênior, líder de produtos, Soluções Cibernéticas

Annie Fishbain
Vice-presidente, gerenciamento de produtos, Soluções Cibernéticas.

glosário

Temas de Risco e Definições de Controles

risco cibernético

O risco cibernético é o risco de perda financeira, interrupção dos negócios ou danos a uma organização decorrentes de alguma falha relacionada aos seus sistemas de tecnologia da informação ou tecnologia operacional. No entanto, o risco cibernético vai além da tecnologia. O ciberespaço é, entre outros, um risco holístico e empresarial que representa uma ameaça financeira, operacional, pessoal, regulatória e até mesmo catastrófica para todas as organizações, independentemente do tamanho ou setor. Como tal, compreender os impulsionadores de negócios de uma organização e as decisões diárias relacionadas a eles muitas vezes se mostra o elo crítico para gerenciar a jornada rumo à resiliência cibernética holística e sustentável.

A Avaliação do Quociente Cibernético (CyQu) da Aon fornece insights sobre a maturidade cibernética de uma organização em relação a 35 controles críticos em nove domínios de segurança.

domínio	definição
segurança de dados	Gerencia salvaguardas para proteger a confidencialidade, integridade e disponibilidade das informações.
Controle de Acesso.	Concede aos usuários autorizados o direito de usar um serviço enquanto impede o acesso de usuários não autorizados.
Segurança de Pontos de Extremidade e Sistemas.	Entrega e administração de serviços de infraestrutura, monitoramento de sistemas, proteção de pontos de extremidade, gerenciamento de configuração, gerenciamento de armazenamento, operações de infraestrutura.
Segurança de Rede.	Fornece serviços de infraestrutura, incluindo defesa corporativa para rede, computador, presença física, nuvem, gerenciamento de armazenamento e operações.
Segurança Física.	Protege instalações, equipamentos, recursos e pessoal contra acesso não autorizado, danos ou prejuízos.
Segurança de Aplicativos.	Protege os aplicativos contra ameaças, exigindo medidas ou verificações durante cada estágio do ciclo de vida de desenvolvimento do aplicativo.
Terceiros.	Monitora os relacionamentos com terceiros para garantir que os serviços fornecidos estejam em conformidade com as políticas de segurança definidas.
Resiliência Empresarial.	Planos para a continuidade pronta e efetiva dos serviços essenciais para os negócios em caso de interrupção.
trabalho remoto	Permite que os usuários acessem com segurança os sistemas e dados corporativos para desempenharem suas funções e responsabilidades quando estão fora do ambiente de trabalho corporativo

A Aplicação Suplementar de Ransomware da Aon fornece visibilidade sobre os controles de Tecnologia da Informação (TI) de uma organização para avaliar a vulnerabilidade a um ataque de ransomware.

As bandeiras vermelhas de ransomware focam nas lacunas de controle com base em preocupações-chave de subscrição técnica

À medida que os riscos continuam a evoluir, também evoluem os principais controles de subscrição e as ponderações de risco da Aon. A lista abaixo reflete uma comparação de controles ano a ano, mas é um subconjunto das categorias de subscrição e bandeiras vermelhas prioritárias que a Aon auxilia os clientes a priorizar hoje.

Tecnologia da Informação (TI).	definição
Segurança de Backup.	Capacidades de backup dos clientes em relação à sua robustez, frequência, localização de armazenamento e recuperação.
Resiliência Empresarial.	Planos para a continuidade pronta e efetiva dos serviços críticos para o negócio em caso de interrupção.
Segurança de Rede e Dados.	Medidas tomadas para proteger a integridade e privacidade da rede e dos dados contra ataques e infiltrações.
Autenticação de Múltiplos Fatores (AMF).	Controles em torno da autenticação para acesso remoto, redes críticas e contas de acesso privilegiado antes de acessar os dados organizacionais.
Controle de Acesso.	Concede aos usuários autorizados o direito de usar um serviço enquanto impede o acesso de usuários não autorizados.
Segurança de Pontos de Extremidade.	Entrega e administração de serviços de infraestrutura, monitoramento de sistemas, detecção de pontos de extremidade, gerenciamento de configuração, gerenciamento de armazenamento e operações de infraestrutura.
Segurança de e-mails empresariais que protege contra ataques de phishing e impede a exfiltração de dados.	Segurança de e-mails empresariais que protege contra ataques de phishing e impede a exfiltração de dados.
Gestão de Patches.	Gestão de vulnerabilidades por meio da melhoria, correção e atualização de sistemas de aplicativos.
Gestão de Software.	Otimização de licenças de software, ativos de hardware e plataforma em nuvem.
Tecnologia Operacional (TO).	Hardware e software que detectam ou causam uma mudança em processos físicos ou eventos por meio do monitoramento direto e/ou controle de dispositivos físicos (por exemplo, equipamentos industriais) na empresa.

Fonte de Pesquisa: esta definição é derivada da publicação da Gartner sobre ‘Guia de Mercado para Soluções de Gerenciamento de Riscos Internos’.

Risco interno identifica ameaças às contas confiáveis dentro da organização, sejam maliciosas ou não intencionais. Esse risco também é intensificado por ataques de estado nacional e espionagem corporativa. O gerenciamento de risco interno concentra-se em controles relacionados à detecção e resposta de endpoint, monitoramento do SOC, segurança de dados e treinamento de conscientização do usuário.
O risco na cadeia de suprimentos avalia o risco e a vulnerabilidade contínuos de uma organização em relação aos ecossistemas físicos e digitais de parceiros e da cadeia de suprimentos. As organizações avaliam controles relacionados à diligência de terceiros, alinhamento e revisão de contratos de terceiros (SLA) e gerenciamento de inventário de sistemas de aplicativos de terceiros.

Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.

As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.

Equipe de Metodologia de Dados

Arshi Ahmed
Líder de Dados e Análises, Soluções Cibernéticas

Nancy Eaves
Vice-presidente sênior, líder de produtos, Soluções Cibernéticas

Annie Fishbain
Vice-presidente, gerenciamento de produtos, Soluções Cibernéticas.

Gerenciando a segurança cibernética através de seis temas de risco destacados.

Este relatório deste ano é um guia para líderes compararem a maturidade de risco de suas organizações em relação a empresas similares e para auxiliar na tomada de decisões mais assertivas sobre a gestão de riscos cibernéticos em seis temas de risco destacados: cibernético, operacional, da cadeia de suprimentos, interno, reputacional e sistêmico.

Passos para minimizar o impacto do ciber-risco no risco sistêmico.

A tarefa de gerenciar o risco sistêmico saltou para o topo da lista de prioridades para a indústria de seguros, pois eventos cibernéticos significativos soaram o alarme de que o risco sistêmico é considerável e pode causar um impacto generalizado.

saiba mais

Os ataques cibernéticos às cadeias de suprimentos estão causando um impacto generalizado.

As ameaças cibernéticas adicionam uma camada de complexidade ao risco da cadeia de suprimentos. A gestão de riscos de terceiros, fundamental para proteger a organização, recebeu a pontuação mais baixa no CyQu entre todos os nove domínios avaliados

saiba mais

Elabore um plano para lidar com os perigos do risco reputacional.

Os ataques cibernéticos podem ser prejudiciais ao valor dos acionistas. No entanto, nem todas as empresas perdem valor devido a um ataque. Pesquisas revelaram que 17 empresas tiveram um impacto médio no valor, acima do mercado, de +18 por cento após o evento, ou um impacto total no valor de $445 bilhões após um incidente

saiba mais

Siga estes passos para mitigar os riscos operacionais.

As seguradoras priorizaram os controles relacionados ao risco operacional em 2022, e os clientes responderam. Embora as violações de dados por ransomware tenham diminuído por um curto período, houve um aumento no primeiro trimestre de 2023 e os esquemas de phishing e spear phishing representam um grande risco.

saiba mais

As ameaças internas cibernéticas são um risco empresarial crescente

Os atores maliciosos sabem que os seres humanos são falíveis. Em 2022, duas em cada cinco empresas relataram a falta de controles do centro de operações de segurança (SOC), intensificando o risco interno.

saiba mais

Como o risco cibernético afeta quase todos os aspectos do risco empresarial.

O aumento do rigor na subscrição no mercado de seguros cibernéticos e de responsabilidade civil profissional ajudou a impulsionar o crescimento na maturidade do risco cibernético em diferentes setores e faixas de receita em 2022.

saiba mais

Por trás dos Dados: Metodologia de Pesquisa

Equipe de Metodologia de Dados

glosário

Temas de Risco e Definições de Controles

Equipe de Metodologia de Dados

Gerenciando a segurança cibernética através de seis temas de risco destacados.

Passos para minimizar o impacto do ciber-risco no risco sistêmico.

Os ataques cibernéticos às cadeias de suprimentos estão causando um impacto generalizado.

Elabore um plano para lidar com os perigos do risco reputacional.

Siga estes passos para mitigar os riscos operacionais.

As ameaças internas cibernéticas são um risco empresarial crescente

Como o risco cibernético afeta quase todos os aspectos do risco empresarial.

Fale com nossa equipe