Agora, mais do que nunca, os líderes globais de TI/SI estão sob crescente pressão. As receitas podem estar comprometidas, os orçamentos estão mais restritos restritos e a urgência em se adaptarfaz com que as organizaçõesencontrem verdadeiros desafios ao tentar se manter em dia com a segurança cibernética. Isso acaba resultando emdecisões mais difíceis precisam ser tomadas em ambientes cada vez mais complexos. Em todos os setores, a velocidade da transformação digital superou a da segurança em 2020, em meio a organizações abrindo caminho para “não fechar as portas” e manter o ritmo. A maioria das ameaças cibernéticas que as organizações enfrentam hoje não são novas – dispositivos conectados, malwares (como o ransomware) e risco interno estarão sempre presentes, por exemplo. Mas a novidade aqui é que o COVID-19 trouxe uma mudança de 360° na natureza dos negócios e intensificou exponencialmente o risco cibernético. Isso foi percebido por um aumento acentuado no número e gravidade de casos de ransomware, juntamente com vulnerabilidades da cadeia de suprimentos e de fornecedores de suporte, que se apresentaram em função dessa nova dinâmica digital trazida pelos negócios. Os ataques cibernéticos bem-sucedidos que surgiram no final de 2020 e início de 2021, incluindo Mimecast, SolarWinds, Accellion e Microsoft Exchange, destacaram vulnerabilidades associadas ao trabalho com terceiros. O ransomware tornou-se um risco relevante para seguradoras e segurados, à medida que a atividade cresceu drasticamente — um aumento de 400% do primeiro trimestre de 2018 ao quarto trimestre de 2020. Os subscritores, que viram seus portfólios de seguros cibernéticos funcionando com uma perda predominantemente devido ao ransomware, reconheceram a necessidade crítica de avaliar melhor e colocar um preço mais alto no seguro cibernético. Os desafios são profundos e estão arraigados. Organizações globais não estão em um estado de transformação digital — este termo implica um começo, um meio e um fim. O que as organizações estão vivenciando é a evolução digital, e novos riscos estão surgindo diariamente. Isso é mais bem ilustrado pelo Cyber Loop da Aon, que estimula o trabalho contínuo em avaliação de risco cibernético, quantificação, seguro e prontidão para resposta a incidentes. Trata-se de equilíbrio entre risco e oportunidade, e os clientes estão constantemente se perguntando: “Como podemos tomar as melhores decisões para nosso orçamento de segurança cibernética para apoiar modelos de negócios em transformação, enquanto protegemos nossos funcionários, clientes, parceiros e nosso balanço patrimonial?” Nesse cenário, oferecemos o Relatório de Risco de Segurança Cibernética de 2021 da Aon: Equilibrando risco e oportunidade por meio de melhores decisões, nossa análise anual do estado do risco cibernético. Este relatório concentra-se em quatro riscos principais que hoje são críticos, chamados: Navegue por novas exposições, Conheça seus parceiros, Concentre-se nos controles e Aperfeiçoe os princípios básicos, e termina com uma discussão sobre riscos emergentes. Usando nossos dados, análises e percepções de especialistas de ponta, o relatório visa ajudar as organizações a avaliar sua maturidade de risco cibernético e a tomar melhores decisões de risco empresarial. A novidade deste ano é a percepção derivada da avaliação de quociente cibernético (Cyber Quotient Evaluation, CyQu) da Aon, uma avaliação abrangente de risco cibernético que avalia a maturidade do risco cibernético em nove domínios críticos. A CyQu ajuda organizações a entender as ameaças cibernéticas em uma perspectiva de segurança da informação e comercial. Os dados de 2020 nos informam que as organizações, em várias regiões, setores e faixas de receita estão, em média, com desempenho abaixo da linha de base – e apenas mantendo um nível básico de maturidade e prontidão cibernética. Um bom exemplo disso é que apenas duas em cada cinco organizações relatam que estão preparadas para navegar em novas exposições decorrentes da rápida evolução digital. E o mais alarmante é que apenas 17% das organizações relatam ter medidas de segurança de aplicações adequadas. Passando para o risco de terceiros, apenas 21% das organizações relatam ter medidas de base para supervisionar fornecedores críticos. Em geral, os dados da CyQu nos dizem que as práticas e tecnologias de gestão de riscos de segurança cibernética não são formalizadas e que o risco está sendo gerenciado de maneira ad hoc e reativa. A partir de 2021, as organizações terão muito trabalho pela frente para passar pelo escrutínio de órgãos reguladores, seguradoras, parceiros e clientes. Este relatório ajudará a fortalecer o posicionamento e orientar as organizações conforme se desenvolvem em direção às melhores práticas em gestão do risco cibernético como um risco empresarial.

1. “2021 Errors and Omissions and Cyber Insurance Snapshot: A focused view of 2021 risk and insurance challenges,” Aon, https://www.aon.com/cyber-solutions/thinking/aons-errors-omission-cyber-insurance-snapshot-a-focused-view-of-2021-risk-insurance-challenges/.

Metodologia:

Dados sobre tendências de desempenho de segurança foram extraídos da avaliação do quociente cibernético (Cyber Quotient Evaluation, CyQu) da Aon, uma plataforma de autoavaliação de risco cibernético on-line. Novecentas e noventa e seis organizações representando 20 grupos do setor e abrangendo a América do Norte, Europa, Oriente Médio e África e Ásia-Pacífico forneceram dados. Foram registrados mais de 111.552 pontos de dados e as tendências de desempenho de segurança foram estruturadas usando os nove domínios de segurança e 35 áreas de controle críticas que compõem a metodologia CyQu.