Relatório de Resiliência Cibernética 2023
Esta é a parte 2 de 16 neste relatório.
October 11, 2023 / 5 minutos de leitura
Elabore um plano para lidar com os perigos do risco reputacional.
A pesquisa de reputação da Aon demonstra que um ataque importante pode ter um impacto de longo prazo no preço das ações de uma empresa - seja negativo ou positivo.
Principais conclusões
- Em média, um incidente cibernético importante resultou em uma diminuição de 9 por cento no valor das ações dos acionistas* no ano seguinte ao evento.
- As empresas que tiveram um desempenho pior registraram um impacto médio no valor de -21 por cento*.
- 17 empresas conseguiram lidar com sucesso com um ataque cibernético, obtendo um aumento médio no valor de 18 por cento acima do mercado.
*Acima do mercado.
A natureza intangível do risco reputacional significa que é um dos riscos mais desafiadores de avaliar e quantificar. De acordo com a Pesquisa Semestral de Gerenciamento de Riscos Globais da Aon, a reputação tem sido consistentemente classificada como uma das cinco principais preocupações há mais de dez anos.1
As organizações podem abordar o risco reputacional de duas maneiras: podem gerenciá-lo proativamente ou reagir a um evento reputacional quando ocorrer. O gerenciamento reativo potencialmente leva à perda de controle sobre a narrativa do evento, expondo uma organização – e sua avaliação – a opiniões globais por meio de canais de mídia.
As crises de reputação muitas vezes levam os mercados financeiros a reavaliar suas projeções de fluxos de caixa futuros, levando a um ajuste na avaliação de uma empresa. O mercado recebe novas informações sobre a empresa e sua gestão nos momentos de crise e geralmente forma um consenso sobre se o impacto nos fluxos de caixa futuros de longo prazo será positivo ou negativo. Central para essa avaliação está o prêmio de reputação, que é o excedente da capitalização de mercado sobre o valor contábil e de marca da empresa. Reflete o poder de ganho da empresa que é valorizado pelos investidores, mas não capturado nem pela marca nem pelos ativos líquidos.2
Uma vez que o valor das ações dos acionistas é afetado, a fiscalização se intensifica e os riscos regulatórios e de responsabilidade pessoal para diretores e executivos podem surgir. O ex-diretor de segurança da informação (CISO) de uma conhecida empresa de mobilidade de transporte foi condenado por acusações federais por encobrir pagamentos relacionados a uma violação de dados em 2016, na qual as informações pessoais de 57 milhões de usuários foram roubadas3, e mais recentemente a Autoridade Reguladora Prudential do Reino Unido multou um ex-diretor de informações (CIO) de uma empresa de tecnologia financeira por violação das regras de conduta de gerentes seniores.4
Conforme essa espiral de impacto causado por uma violação mal administrada se aprofunda, a confiança em uma empresa pode e irá diminuir. A confiança, ou o estado emocional do cérebro que indica que uma organização é confiável e transmite uma sensação de confiança e segurança, é fundamental para o prêmio de reputação. Um ataque cibernético significativo, se bem-sucedido, pode rapidamente corroer a confiança, impactar negativamente o sentimento dos clientes, depreciar o valor da marca e afetar o prêmio de reputação de uma empresa. Embora o próprio evento possa ser limitado no tempo, os efeitos de longo prazo podem afetar uma empresa por muito mais tempo. As organizações devem gerenciar a reputação de uma empresa como qualquer outro ativo central. Empresas proativas que planejam eventos adversos e se comunicam de maneira genuína podem descobrir que o mercado não apenas pode perdoar, mas também recompensar aqueles que abraçam e respondem de forma eficaz.
Resultados da Aon: Risco Reputacional
A pesquisa de reputação da Aon2 destaca a gravidade crescente dos ataques cibernéticos atualmente. Notavelmente, um grande ataque cibernético pode ter um impacto de longo prazo no preço das ações de uma empresa. Uma análise de 47 eventos cibernéticos importantes revela que, em média, esses incidentes resultaram em uma diminuição de 9 por cento no valor das ações dos acionistas, além dos efeitos de mercado, no ano seguinte ao evento. Isso se traduz em um impacto total de valor negativo de $225 bilhões. As empresas que tiveram um desempenho pior (30) experimentaram um impacto médio de valor de -21 por cento, acima do mercado, resultando em uma perda total de valor de $670 bilhões.
No entanto, nem todas as empresas perderam valor após um ataque. Algumas viram seu capital de reputação aumentar ao longo do evento. Nossa pesquisa identificou 17 empresas que navegaram com sucesso por esses desafios, obtendo um aumento médio de valor de 18 por cento acima das tendências de mercado, resultando em um ganho de valor combinado de $445 bilhões. Esses vencedores responderam rapidamente e de forma eficaz para minimizar os danos causados pelo evento e aproveitaram a oportunidade existente para controlar a narrativa de reputação e minimizar os danos à sua marca geral.
eventos cibernéticos
cibernético | quantidade | Valos de impacto final | valor final |
---|---|---|---|
agregado | 47 | -228B | -6 |
ganhadores | 17 | 437B | 19 |
perdedores | 30 | -666B | -20 |
Ransomware, normalmente discutido como uma ameaça operacional, também pode prejudicar significativamente o capital de reputação e afetar o valor das ações. Ao compararmos o impacto de violações de dados com ataques de ransomware, nosso estudo de longo prazo sobre 12 eventos significativos de ransomware mostra que, em média, os ataques de ransomware tiveram um impacto 12 por cento menor do que as violações de dados.
Anos Cibernéticos
vazamento de dados | quantidade | valor final ($) | valor final (%) |
---|---|---|---|
2010-2015 | 16 | -147B | -0.74 |
2016-2021 | 31 | -81B | -8.54 |
No geral, os ataques cibernéticos são mais prejudiciais hoje em dia e nossa pesquisa mostra um aumento discernível no impacto de valor. O impacto médio de valor de 31 ataques cibernéticos ocorridos entre 2016 e 2021 foi de 8 por cento menor em comparação com o impacto médio de 16 ataques cibernéticos que ocorreram entre 2010 e 2015.
Tipos de Eventos Cibernéticos
vaszamento de dados | quantidade | valor final ($) | valor final (%) |
---|---|---|---|
vazamento de dados | 31 | -356B | -5.73 |
ransonware | 12 | -93B | -12.32 |
A gestão do risco cibernético e a aquisição de seguro cibernético geralmente são vistos de forma favorável pelos stakeholders. Isso pode proporcionar proteção contra volatilidade financeira e erosão do valor acionário (EPS), além de ajudar a proteger funcionários, clientes e parceiros. Cinco características distintas para a recuperação do valor reputacional podem ajudar as empresas a mitigar o risco de repercussões reputacionais após uma violação: preparação, liderança, comunicação, ação e mudança. As empresas devem estar profundamente comprometidas com a prevenção e mitigação de perdas cibernéticas, contando com um plano de recuperação ou resposta a incidentes sólido. Uma liderança forte e visível do CEO e divulgações precisas e bem coordenadas fazem parte do plano de resposta crítico. A ação deve ser instantânea e global. E acima de tudo, é necessária uma genuína demonstração de remorso e um compromisso honesto com mudanças significativas.
Referências
Nota de pesquisa: O percentual de impacto e os valores monetários são números modelados que excluem os movimentos de mercado em geral.
1 Relatório de Gerenciamento de Riscos Globais de 2021.” Aon. Relatório. 2021.
3 “Ex-chefe de Segurança da Uber Condenado por Acusações Federais por Encobrir Violacão de Dados Envolvendo Milhões de Registros de Usuários da Uber.” Escritório do Procurador dos Estados Unidos. Comunicado de Imprensa. 5 de outubro de 2022.
4 “Ex-CIO do TSB Bank Multado em £81 mil pelo PRA por Interrupção de TI em 2018.” FinTech Futures. Artigo. 18 de abril de 2023.
Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.
As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.
Gerenciando a segurança cibernética através de seis temas de risco destacados.
Este relatório deste ano é um guia para líderes compararem a maturidade de risco de suas organizações em relação a empresas similares e para auxiliar na tomada de decisões mais assertivas sobre a gestão de riscos cibernéticos em seis temas de risco destacados: cibernético, operacional, da cadeia de suprimentos, interno, reputacional e sistêmico.