Sentimos muito mas seu browser não é suportado pela Marsh.com

Para uma melhor experiência, por favor faça o upgrade para um dos seguintes browsers:

X
Brasil BR
Americas
Asia Pacific
Europe
Middle East & Africa
Português PORT
Skyline lights landscape building

Estudo de Percepção do Risco Cibernético na América Latina 2019

Nosso Estudo de Percepção do Risco Cibernético na América Latina 2019, realizada em associação com a Microsoft , investiga o estado atual da percepção que as empresas da região têm com relação ao risco cibernético e sua gestão, especialmente no contexto de um ambiente de negócios em rápida evolução.

Introdução

A tecnologia está transformando drasticamente os ambientes de negócios a nível global, com avanços contínuos em áreas que vão desde inteligência artificial e Internet das Coisas (IoT) até a disponibilidade sobre dados e blockchain.

A velocidade com que as tecnologias digitais evoluem e rompem com os modelos tradicionais de negócios segue aumentando. Enquanto isso, os riscos cibernéticos parecem evoluir ainda mais rápido.

O risco cibernético passou de preocupação com roubo de dados e privacidade a esquemas mais sofisticados que podem interromper operações nas empresas, indústrias, cadeias de suprimento e nações, custando bilhões de dólares à economia nos mais diversos setores.

O Estudo de Percepção do Risco Cibernético para América Latina revela sinais animadores de uma melhora na percepção e gestão de riscos cibernéticos nas organizações.

O ciberrisco é, agora, uma prioridade na pauta de riscos corporativos e podemos ver uma mudança positiva em direção à adoção de uma gestão mais rigorosa e abrangente em diferentes áreas.

Destaques do estudo

A seguir, apresentamos um resumo com algumas informações destacadas:

As organizações assumem o risco cibernético como uma prioridade e a confiança na resiliência aumentou em relação a 2017

Cyber risk became even more firmly entrenched as an organizational priority in the past two years. Yet at the same time, organizations’ confidence in their ability to manage the risk declined.

  • 73% dos respondentes na América Latina classificaram o risco cibernético como uma das cinco principais preocupações para sua empresa, contra 47% em 2017.
  • O nível de confiança das empresas latino-americanas em sua própria capacidade para enfrentar o risco cibernético também aumentou em comparação com 2017, em cada uma das três áreas críticas de ciberresiliência.
    • De 16% para 22%, para compreender, avaliar e quantificar ciberameaças.
    • De 12% para 20%, para prevenir e mitigar ataques cibernéticos.
    • De 7% para 18%, para responder e recuperar-se de ciberataques.
As novas tecnologias aumentam a exposição cibernética

A inovação tecnológica é vital para a maioria das empresas. Mas isso inclui ainda mais complexidade ao ambiente tecnológico de uma organização, como o ciberrisco.

  • 79% das empresas pesquisadas disseram ter adotado ou estão pensando em usar uma nova tecnologia.
  • 49% mencionaram que o risco cibernético quase nunca é um empecilho para a adoção de novas tecnologias.
  • 28% consideram que os benefícios das novas tecnologias superam os potenciais riscos para o negócio.
  • 75% avaliam os riscos cibernéticos antes de adotar novas tecnologias, enquanto 25% dizem que avaliam riscos após sofrer um ataque cibernético.
O aumento da interdependência digital da cadeia de suprimentos traz novos riscos cibernéticos

A crescente interdependência e digitalização das cadeias de suprimentos resultam em um maior risco cibernético para todas as partes. Porém, muitas empresas não se percebem como ameaças à cadeia de suprimentos e, muitas vezes, pensam estarem expostas aos riscos por causa de seus fornecedores.

  •  37% das empresas brasileiras percebem os riscos de sua cadeia de suprimentos.
  • Apenas 21% pensam que sua própria organização representa risco à sua cadeia de suprimentos, no Brasil.
  • Os entrevistados foram mais propensos a estabelecer padrões mais altos em suas organizações do que para com seus fornecedores.
% of organizations reporting different levels of confidence. Base: All answering n=878 (2019); Results for this option only show for businesses with US$1 billion+ revenues (n=215). Technology Suppliers 15% highly confident: 62% Fairly confident, 13% Not at all confident, 10% Don't know Suppliers of Outsourced Business processes: 8% highly confident, 55% Fairly confident, 23% Not at all confident, 23% Don't know Other Services or Product Suppliers: 6% highly confident, 55% Fairly confident, 22% Not at all confident, 17% Don't know Freelancers and Consultants: 6% highly confident, 47% Fairly confident, 30% Not at all confident, 18% Don't know Acquisition Targets or Recent Integrations*: 5% highly confident, 46% Fairly confident, 21% Not at all confident, 28% Don't know
 
Opiniões divididas sobre o papel do governo

As empresas brasileiras acreditam que a regulamentação do governo e os padrões do setor têm eficácia limitada para ajudar a gerenciar o risco cibernético, com a exceção notável de ataques gerados pelo governo.

  • 35% acreditam que leis e regulamentações ajudam a melhorar o posicionamento da empresa em cibersegurança.
  • 44% se dizem muito preocupadas com ciberataques do estado.
  • 44% defendem que o governo deve fazer mais para proteger as empresas de ciberataques.
Os investimentos cibernéticos se concentram na prevenção, não na resiliência

Muitas empresas estão concentrando seus investimentos em cibersegurança em ferramentas de proteção, deixando outras áreas de gerenciamento de riscos que criam resiliência cibernética desprotegidas, como a avaliação e transferência de riscos, assim como os planos de resposta a incidentes.

Na América Latina:

  • 88% dos respondentes dizem que a área de TI/segurança da informação é a principal responsável pelo gerenciamento de riscos cibernéticos.
  • A figura do gerente de riscos, como peça-chave na gestão de ciberriscos, passou de 17% em 2017 para 46% em 2019.
  • 33% das empresas disseram usar métodos quantitativos para avaliar sua exposição ao risco, um aumento considerável em relação a 8% em 2017.

No Brasil:

  • 70% dos respondentes pretendem investir em tecnologia de cibersegurança nos próximos 3 anos. 
  • 68% disseram que um ataque cibernético em sua empresa seria o principal propulsor para aumentar investimentos na gestão de ciberriscos.
  • 41% das organizações dizem que a adoção de novas tecnologias ajudará a gerar um maior investimento em segurança cibernética.
  • 65% esperam investir mais nos próximos anos em capacitação de pessoal para lidar com riscos cibernéticos.
A cyber incident/attack on our organization 64%, News of cyber incident/attack on another organization 46%, Adoption of new or emerging technologies 43%, New or changing Regulations (such as the EU GDPR) 38%, Change in leadership in our organization 19%, Required by a key customer 12%, Experiencing a merger or acquisition 7%, Legend % selecting as a driver for any area of increased cyber risk investment. Base: All answers $ stating they plan to invest more, excluding don't know responses: n=615 (2019)
Seguro Cyber

A cobertura do seguro cyber está em expansão para enfrentar as ameaças em evolução e a percepção das empresas sobre ela.

  • 29% das empresas latinas, possuem seguro cyber, enquanto a média global é de 47%.
  • Na América Latina, a distribuição entre as empresas que compram seguro cibernético é a seguinte:
    • 40% possuem renda superior a US$ 1 bilhão
    • 37% com renda entre US$ 100 milhões e menos de US$ 1 bilhão
    • 22% com renda inferior a US$ 100 milhões
  • 52% acreditam que o seguro cibernético cobre a totalidade ou grande parte das necessidades da empresa. Entretanto, 39% dizem não saber se o seguro é uma ferramenta de proteção eficaz.
  • 75% das empresas que possuem seguro cyber confiam que suas apólices cobrirão o custo de um eventual incidente cibernético.
Confidence lowest among: C-Suite/Board and IT / Information Security at 7% (Not all Confident) Confidence highest among: Finance, Risk Management, and Legal /Compliance at 32% (Highly Confident) Fairly Confident at 57% Don’t know at 5% Base: All with cyber insurance n=526 (2019)

 

Contribuições-chave

Na prática, o estudo deste ano aponta para uma série de melhores práticas empregadas pelas empresas com maior resiliência cibernética e que todas as empresas devem considerar a adoção de:

  • Criação de uma cultura de segurança cibernética organizacional forte, com padrões claros e compartilhados de governança, responsabilidade, recursos e açõe.
  • Quantificação do risco cibernético para tomar decisões de alocação de capital melhor embasadas, permitindo a medição do desempenho e enquadramento do risco nos mesmos termos econômicos que outros riscos comerciais.
  • Avaliação das implicações do ciberrisco trazido pelas novas tecnologias como um processo contínuo e prospectivo ao longo de seu ciclo de vida.
  • Gerenciamento do risco da cadeia de suprimentos como um problema coletivo, reconhecendo a necessidade de padrões de confiança e segurança compartilhados em toda a rede, incluindo o impacto cibernético da organização em seus parceiros.
  • Procura e apoio a parcerias público-privadas em torno de problemas críticos de risco cibernético que possam fornecer proteções mais fortes e padrões básicos de boas práticas para todos.

Conclusão

Com o aumento da confiança organizacional na capacidade de gerenciar riscos cibernéticos, mais empresas reconhecem claramente a natureza crítica da ameaça e começam a buscar e adotar as melhores práticas.

O gerenciamento eficaz de riscos cibernéticos requer uma abordagem abrangente que utilize avaliação, medição, mitigação, transferência e planejamento de riscos, e o programa ideal dependerá do perfil de risco exclusivo e da tolerância de cada empresa.

Mesmo assim, essas recomendações abordam muitos dos aspectos comuns e mais urgentes do risco cibernético que as organizações enfrentam atualmente e devem ser vistas como sinais no caminho para a construção da verdadeira resiliência cibernética.