Relatório de Resiliência Cibernética 2023

Esta é a parte 1 de 16 neste relatório.

October 11, 2023 / 4 minutos de leitura

Como o risco cibernético afeta quase todos os aspectos do risco empresarial.

O aumento do rigor na subscrição no mercado de seguros cibernéticos e de responsabilidade civil profissional em 2021 e no primeiro semestre de 2022 provavelmente influenciou o progresso dos clientes em relação à maturidade cibernética.

Principais conclusões

  1. Em média, organizações de diferentes setores e faixas de receita melhoraram sua maturidade cibernética de "básica" para "gerenciada
  2. Cinco áreas - segurança de dados, segurança de aplicativos, trabalho remoto, controle de acesso e segurança de endpoints e sistemas - apresentaram a maior melhoria.
  3. As equipes devem constantemente avaliar a prontidão da organização para ameaças em constante evolução e fornecer evidências quantificáveis da eficácia dos controles atuais.

De acordo com a Pesquisa Global de Gerenciamento de Riscos de 2021 da Aon, a ameaça cibernética foi prevista para continuar sendo o principal risco global até 2024, superando a COVID-19 e as cadeias de suprimentos quebradas.1 A importância do trabalho híbrido de longo prazo, ataques relacionados à cadeia de suprimentos, instabilidade geopolítica e conectividade digital continuaram a impulsionar um aumento significativo no foco em torno do risco cibernético para empresas ao redor do mundo.2 Além disso, requisitos mais rigorosos por parte das seguradoras de 2020 a 2022 tornaram mais desafiador obter uma apólice de seguro cibernético e aumentaram a necessidade de as empresas demonstrarem controles de segurança adequados e sua eficácia resultante. Nesse contexto de ameaças mais elevadas e subscrição mais rigorosa, as organizações não podiam mais esperar ter capital de seguro cibernético prontamente disponível para se proteger contra a volatilidade financeira decorrente do risco cibernético.

O risco cibernético pode ser definido como o risco de perda financeira, interrupção dos negócios ou danos a uma organização decorrentes de alguma falha relacionada aos seus sistemas de tecnologia da informação ou tecnologia operacional. No entanto, o risco cibernético vai muito além da tecnologia. O ciberespaço é, entre outros, um risco holístico e empresarial que representa uma ameaça financeira, operacional, de pessoas, regulatória e até mesmo catastrófica para todas as organizações, independentemente do tamanho ou setor. Como tal, compreender os impulsionadores de negócios de uma organização e as decisões diárias relacionadas a eles muitas vezes se revela o elo crítico para gerenciar a jornada rumo à obtenção de uma resiliência cibernética holística e sustentável.

Resultados do CyQu: Relato de Clientes da Aon

Os dados de clientes do CyQu de 2022 nos mostram que, em média, organizações de diferentes setores e faixas de receita melhoraram sua maturidade cibernética de “básica” para “gerenciada”. A média global dos escores de risco do CyQu, que aumentou em 2022 em relação a 2020, reflete esse crescimento. O aumento do rigor na subscrição no mercado de seguros cibernéticos e de responsabilidade civil profissional em 2021 e no primeiro semestre de 2022 levou a uma maior análise dos controles de segurança, diretrizes mais rígidas, reavaliação de riscos e subsequente redução da capacidade do mercado, o que provavelmente influenciou esse progresso na maturidade cibernética.

Clientes de diversos setores e faixas de receita relataram que o orçamento para segurança cibernética aumentou entre 2020 e 2022, sendo que em média 10 por cento do orçamento de tecnologia da informação foi supostamente gasto em segurança.

Pontuações de Domínio CyQu

Pontuações de Domínio CyQu 2020 2022 mudança
Segurança de Pontos Finais e Sistemas
2.5
2.9
+0.4
trabalho remoto
2.5
2.8
+0.4
Segurança de Aplicativos
1.9
2.3
+0.4
Segurança de Rede
2.7
3.0
+0.3
Controle de Acesso
2.5
2.8
+0.3
segurança de dados
2.3
2.6
+0.3
Resiliência Empresarial
2.2
2.5
+0.3
segurança física
2.6
2.8
+0.2
terceira parte
2.0
2.2
+0.2

Pontuação de Maturidade de Risco do CyQu

Inicial: 1.0 - 1.9

Basico: 2.0 - 2.5

gerido: 2.6 - 3.4

avançado: 3.5 - 4.0

Do ponto de vista dos controles, cinco áreas demonstraram as melhorias mais significativas nas pontuações e, a partir disso, inferiu-se aumentos no orçamento: segurança de dados, segurança de aplicativos, trabalho remoto, controle de acesso e segurança de endpoints e sistemas.

Entre as faixas de receita, os clientes de médio porte relataram as melhorias mais significativas na maturidade cibernética geral. Em contraste, as organizações no segmento global e empresarial relataram melhorias, mas permaneceram em maturidade “gerenciada”. Melhorias no planejamento de resposta a incidentes (IR), proteção de dados, registro e monitoramento de endpoints e vulnerabilidade e monitoramento de trabalho remoto impulsionaram a melhoria do perfil de segurança para o mercado de médio porte. Esses controles passaram de “básicos” para “gerenciados” em 2022. Os dados dos clientes refletem que os controles de acesso, dados e segurança, e resiliência dos negócios foram áreas de melhoria focadas para a maioria das faixas de receita. Ao mesmo tempo, as pontuações de risco relacionadas à diligência contratual de terceiros e ao gerenciamento de inventário permaneceram estáveis.

Mudanças no Escore do Segmento de Clientes CyQu.

Receita Anual (grupo) 2020 2022 mudança
global
2.8
2.9
+0.1
corporativo
2.6
2.9
+0.3
mercado médio
2.4
2.7
+0.3
SME
2.2
2.5
+0.3

Pontuação de Maturidade de Risco do CyQu

Inicial: 1.0 - 1.9

Basico: 2.0 - 2.5

gerido: 2.6 - 3.4

avançado: 3.5 - 4.0

Do ponto de vista da indústria, todas as indústrias relataram melhorias nas pontuações de risco do CyQu. As indústrias de saúde e assistência social, comércio varejista e imobiliária relataram melhorias substanciais ao passar de perfis de risco de segurança “básica” para “gerenciada”.

Pontuações do CyQu para Segurança de Dados

indústria 2020 2022 mudança
manufatura
2.2
2.5
+0.3
outras indústrias*
2.3
2.5
+0.2
outros serviços**
2.3
2.7
+0.4
Informação, Software e Tecnologia
2.6
2.9
+0.3
Finanças e Seguros
2.7
2.9
+0.2
Cuidados de Saúde e Assistência Social
2.4
2.7
+0.3
Serviços Profissionais, Científicos e Técnicos
2.6
2.9
+0.3
Comércio Varejista
2.3
2.6
+0.3
Transporte e Armazenagem
2.2
2.5
+0.3
construção
2.1
2.4
+0.3
seviços educacionais
2.4
2.5
+0.1
Imobiliário, Aluguel e Arrendamento
2.3
2.7
+0.4

Pontuação de Maturidade de Risco do CyQu

Inicial: 1.0 - 1.9

Basico: 2.0 - 2.5

gerido: 2.6 - 3.4

avançado: 3.5 - 4.0

* A categoria “Outras Indústrias” representa as respostas de clientes nos seguintes setores: Acomodação e Serviços de Alimentação, Agricultura, Artes, Entretenimento e Recreação, Gestão de Empresas e Empreendimentos, Administração Pública, Serviços Públicos, Gerenciamento de Resíduos e Remediação, e Administração e Suporte, Comércio Atacadista.

** A categoria “Outros Serviços” é selecionada pelo próprio cliente.

A indústria de saúde relatou o maior ganho nas pontuações de risco do CyQu em autenticação multifator (MFA) (1,9 em 2020 para 2,6 em 2022) e proteção de dados (2,4 em 2020 para 3,0). No entanto, a indústria continuou a relatar movimentos marginais nos perfis de risco de terceiros, gerenciamento de software e segurança de aplicativos. No setor varejista, 74% das empresas relataram pontuações superiores a 2,5 para treinamento de conscientização do usuário, e mais da metade relatou pontuações semelhantes para capacidades de registro e monitoramento, ajudando a melhorar o perfil de risco geral do setor.

o setor imobiliário, as mudanças nas pontuações foram observadas em desenvolvimento de segurança de aplicativos (1,8 em 2021 para 2,5 em 2022), gerenciamento de software (1,9 em 2021 para 2,3 em 2022), gerenciamento de riscos (1,9 em 2021 para 2,4 em 2022) e treinamento de conscientização do usuário (2,5 em 2021 para 3,2 em 2022), impulsionando a melhoria geral do perfil.

Em resumo

Navegar neste cenário de risco, enquanto se tenta compreender a correlação entre o risco cibernético e o risco empresarial, sempre foi desafiador. A pressão está em não apenas bloquear e resolver continuamente, corrigir sistemas vulneráveis e entender os pontos de conexão em pilhas de tecnologia altamente integradas, mas também estar atento ao impacto potencial das ameaças emergentes e das mudanças regulatórias. O resultado é que as equipes de segurança e tecnologia devem constantemente avaliar a preparação da organização para ameaças em constante evolução e fornecer evidências quantificáveis da eficácia dos controles atuais para seguradoras e o mercado. O alinhamento com padrões de controle das melhores práticas, como os especificados pelo National Institute of Standards and Technology (NIST) ou o Center for Internet Security (CIS), é prudente. As equipes de segurança devem avaliar regularmente os controles para determinar sua eficácia em relação à maturidade cibernética preventiva e de resposta.


Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.

As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.

Gerenciando a segurança cibernética através de seis temas de risco destacados.

Este relatório deste ano é um guia para líderes compararem a maturidade de risco de suas organizações em relação a empresas similares e para auxiliar na tomada de decisões mais assertivas sobre a gestão de riscos cibernéticos em seis temas de risco destacados: cibernético, operacional, da cadeia de suprimentos, interno, reputacional e sistêmico.