Relatório de Resiliência Cibernética 2023
Esta é a parte 6 de 16 neste relatório.
October 11, 2023 / 5 minutos de leitura
Siga estes passos para mitigar os riscos operacionais.
Os controles críticos percebidos como redutores da probabilidade ou gravidade de um evento de ransomware com potencial para interromper as operações são o foco das seguradoras.
Principais conclusões
- Os clientes relataram uma melhoria agregada na implementação de controles críticos em 2022 em relação a 2021, em relação a esses controles priorizados pelas seguradoras.
- As violações de dados por ransomware diminuíram 16% do terceiro trimestre de 2022 para o quarto trimestre de 2022, mas os dados do mercado de seguros cibernéticos e de erros e omissões (E&O) mostram um aumento no primeiro trimestre de 2023.
- Em todas as regiões, o nível de gerenciamento de continuidade dos negócios (BCM) dos clientes permaneceu estável entre 2020 e 2022 e está em um nível básico.
O risco operacional, definido como o risco de perdas causadas por interrupção das operações de uma organização ou falhas em pessoas, processos ou tecnologia, é uma preocupação fundamental para equipes de segurança global e seguradoras. Ransomware e esquemas de phishing continuam apresentando riscos significativos. Embora as violações de dados por ransomware tenham diminuído 16% do terceiro trimestre de 2022 para o quarto trimestre de 2021, dados do mercado de seguros cibernéticos e de erros e omissões (E&O) mostram que no primeiro trimestre de 2023 houve um aumento no ransomware e a frequência de eventos aumentou em 49%. O phishing e o spear phishing também aumentaram significativamente no início de 2023, de acordo com a equipe de segurança cibernética da Aon. A sofisticação dessas técnicas torna mais fácil para os atacantes se disfarçarem e mais desafiador para as vítimas distinguirem o que é legítimo do que é ilegítimo.
As organizações devem planejar para o pior cenário de ataque. Por exemplo, o que acontece se a rede da empresa ficar completamente inativa? Como o negócio será apoiado e sustentado? A empresa possui um modelo de resiliência capaz de gerenciar esse processo? Como a empresa manterá os clientes em segurança, mesmo que isso represente custos em oportunidades de negócio? Essas perguntas são componentes críticos do planejamento de continuidade dos negócios (BCP) e da gestão de continuidade dos negócios (BCM). Os dados do CyQu da Aon revelaram que, em todas as regiões, o nível de BCM dos clientes permaneceu estável entre 2020 e 2022 e está em um nível básico. É necessário mais foco no planejamento de cenários de interrupções operacionais. Embora seja fundamental implementar controles técnicos na empresa para evitar ransomware, igualmente importante é a preparação para interrupções em todas as operações comerciais.
As organizações devem planejar para o pior cenário de ataque. Por exemplo, o que acontece se a rede da empresa ficar completamente inativa? Como o negócio será apoiado e sustentado? A empresa possui um modelo de resiliência capaz de gerenciar esse processo? Como a empresa manterá os clientes em segurança, mesmo que isso represente custos em oportunidades de negócio? Essas perguntas são componentes críticos do planejamento de continuidade dos negócios (BCP) e da gestão de continuidade dos negócios (BCM). Os dados do CyQu da Aon revelaram que, em todas as regiões, o nível de BCM dos clientes permaneceu estável entre 2020 e 2022 e está em um nível básico. É necessário mais foco no planejamento de cenários de interrupções operacionais. Embora seja fundamental implementar controles técnicos na empresa para evitar ransomware, igualmente importante é a preparação para interrupções em todas as operações comerciais.
Resultados de dados sobre os Controles de Bandeira Vermelha Suplementares para Ransomware: Relatório dos Clientes da Aon.
Os clientes relataram uma melhoria agregada na implementação de controles críticos em 2022 em relação a 2021, em relação a esses controles priorizados pelas seguradoras. Nos Estados Unidos, as indústrias que relataram o progresso mais significativo nos controles críticos de TI foram a construção (+10%), manufatura (+9%) e finanças e seguros (+7%). Para se manterem competitivas globalmente, as empresas de manufatura estão migrando para processos mais digitalizados e integrados de Internet das Coisas (IoT), tanto dentro das fábricas quanto em suas cadeias de suprimentos, o que está relacionado com esse compromisso com a maturidade do risco operacional. A indústria da construção é semelhante. Muitas empresas começaram a usar tecnologias IoT para aprimorar a segurança no local de trabalho e gerenciar o progresso. Essa digitalização amplia a superfície de ataque. As equipes de construção também migraram dos fluxos de trabalho em papel para a nuvem, introduzindo novas vulnerabilidades e oferecendo uma excelente oportunidade para ransomware e esquemas de phishing. Na região EMEA e no Reino Unido, os dados de 2022 mostraram que as indústrias de manufatura e construção têm menor sofisticação na maturidade dos controles críticos de TI, sendo que a construção relatou deficiências em mais da metade desses controles.
As organizações concentraram seus esforços em reforçar os controles críticos de backup em 2022, com 61% dos controles implementados em 2022 em comparação com 55% em 2021. No entanto, ao analisar os dados de forma mais detalhada, revela-se uma lacuna. Quase 90% das empresas nos Estados Unidos relataram não armazenar backups na nuvem, e 70% não armazenam backups fora do local ou não têm backups imutáveis. A segurança dos backups continua sendo uma preocupação prioritária, e com razão. O ransomware evoluiu para atacar os próprios backups, aumentando o risco dos dados. Backups imutáveis são essenciais para empresas que dependem da segurança e integridade dos dados pelos quais são responsáveis. Somente os backups imutáveis fornecem uma cópia limpa e recente dos dados, que permite uma recuperação rápida e uma proteção eficiente.
A resiliência dos negócios continuou sendo uma preocupação prioritária para os clientes em 2022. As seguradoras passaram de perguntas simplistas de caixa de seleção, como perguntar se a organização possui backups, para perguntar como é a sua resiliência. As empresas devem comprovar que seus processos de negócios podem suportar o impacto de uma violação cibernética. Os clientes das indústrias de manufatura (67% vs. 59% em 2021) e construção (66% vs. 55% em 2021) relataram a melhoria mais significativa nos controles críticos relacionados à resiliência. Ao examinar as diferenças entre o tamanho das empresas, as empresas de médio porte e as pequenas e médias empresas relataram mais frequentemente a falta de controles de resiliência dos negócios em comparação com as empresas de grande porte e multinacionais. No entanto, essa tendência se reverteu para a segurança de endpoints, onde as ferramentas de detecção e resposta de endpoints não cobrem todos os pontos de extremidade de tecnologia da empresa e das empresas multinacionais. De forma alarmante, mais da metade das organizações clientes relataram a falta de exercícios de simulação como parte do planejamento de continuidade dos negócios, e mais de um terço relatou a falta de planejamento de resposta a incidentes.
Referências
1 Análise do Mercado de E&O e Cibernético do 4º trimestre de 2022″. Análise do Mercado de E&O e Cibernético | 2022 (aon.com)”
2 Mercados favoráveis ao comprador de seguros cibernéticos e de E&O: Como aproveitar a oportunidade” Mercados favoráveis ao comprador de seguros cibernéticos e de E&O: Como aproveitar | Aon
3 Tendências por linha de negócios – Insights do mercado global do 4º trimestre de 2022 (aon.com)
4 Análise do Mercado de E&O e Cibernético do 4º trimestre de 2022″. Análise do Mercado de E&O e Cibernético | 2022 (aon.com)
5 Cibersegurança na Indústria Manufatureira. Palo Alto Networks. Relatório. 2023. https://www.paloaltonetworks.com/industry/unit42-manufacturing
6 Compreendendo o Risco Cibernético na Indústria da Construção. IT Chronicles. Artigo. 21 de março de 2022. https://itchronicles.com/information-security/understanding-cyber-risk-in-the-construction-industry/
Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.
As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.
Gerenciando a segurança cibernética através de seis temas de risco destacados.
Este relatório deste ano é um guia para líderes compararem a maturidade de risco de suas organizações em relação a empresas similares e para auxiliar na tomada de decisões mais assertivas sobre a gestão de riscos cibernéticos em seis temas de risco destacados: cibernético, operacional, da cadeia de suprimentos, interno, reputacional e sistêmico.