Empresas admitem falta de know-how para gerir risco cibernético
A maioria dos líderes empresariais não confia na capacidade de suas organizações de gerenciar o risco cibernético. Esta é a conclusão de um novo estudo elaborado pela Marsh, consultoria de riscos e corretagem de seguros, em parceria com a Microsoft. Intitulado Relatório do Estado da Resiliência Cibernética, o estudo teve como objetivo analisar como o risco cibernético é visto por diversas organizações líderes em seus segmentos, inclusive em segurança digital, TI, gestão de riscos e seguros, finanças e liderança executiva. Para tal, foram ouvidos 660 tomadores de decisão sobre riscos cibernéticos no mundo, 162 deles na América Latina.
De acordo com o relatório, a confiança dos líderes nos recursos de gerenciamento de riscos cibernéticos, incluindo a capacidade de entender e avaliar ameaças, mitigar e prevenir, bem como gerenciar e responder a ciberataques, permaneceu praticamente inalterada desde 2019. Naquele ano, 22% dos entrevistados na América Latina disseram estar muito confiantes em sua capacidade de entender e avaliar ameaças cibernéticas e 18% em suas habilidades de gerenciar e responder a incidentes cibernéticos; enquanto em 2022 os valores variaram ligeiramente, com 19% e 16%, respectivamente. No entanto, ainda em 2019, 20% tinham muita confiança em suas capacidades de mitigação ou prevenção de ataques cibernéticos, enquanto em 2022 o número caiu para 12%.
Olhar além da segurança
O estudo aponta também que muitas organizações ainda lutam para entender, como parte de suas estratégias de cibersegurança, os riscos colocados por seus fornecedores e cadeias de suprimentos digitais. Tanto é que apenas 43% dos entrevistados afirmaram ter avaliado o risco dos seus fornecedores ou cadeias de suprimentos. Além disso, somente 41% das organizações olham além da segurança cibernética e do seguro para incluir suas funções legais, de planejamento corporativo, financeiro, operações ou gerenciamento da cadeia de suprimentos na elaboração de planos de risco cibernético.
Apesar desse quadro, quatro em cada dez entrevistados na região (41%) disseram que sua organização utiliza métodos quantitativos para medir sua exposição ao risco cibernético, o que é um passo fundamental para entender como ataques cibernéticos e outros eventos podem gerar volatilidade. Trata-se de uma melhora em relação à pesquisa de 2019, quando apenas três em cada dez entrevistados (30%) afirmaram que sua organização utilizava métodos quantitativos.
O levantamento constatou ainda que as taxas de seguro cibernético continuaram a subir, impulsionadas em grande parte pelo aumento contínuo da frequência e gravidade dos sinistros de ransomware, embora muitas seguradoras tenham tornado mais rígidos os termos e condições de cobertura, especialmente em decorrência da guerra na Ucrânia.
Exposição
Outro ponto é que, embora 63% das empresas na América Latina e no Caribe considerem que o home office as tornam mais expostas ao risco de um ataque cibernético, seguido pelo uso de dispositivos móveis pessoais de funcionários (59%), metade das organizações consultadas (50%) menciona que não consegue medir sua exposição ao risco cibernético devido à falta de talento dentro da organização.
“Dada a contínua ascensão do ransomware e o crescente cenário de ameaças de hoje, não é surpresa que muitas organizações não se sintam mais confiantes em sua capacidade de responder a riscos cibernéticos agora do que em 2019”, observa Edson Villar, líder de consultoria em cyber risk da Marsh para a América Latina. “Os riscos cibernéticos são onipresentes na maioria das organizações. Combater com sucesso as ameaças deve ser um objetivo em toda a empresa, destinado a construir resiliência cibernética em toda a organização, em vez de investimentos independentes em prevenção de ataques ou defesa cibernética”, afirma. “Uma maior comunicação entre as empresas pode ajudá-las a fechar as lacunas existentes atualmente, aumentar a confiança e informar melhor a tomada de decisões estratégicas de modo geral em torno de ameaças cibernéticas”, acrescenta Villar.
Diante desse panorama, a Marsh e a Microsoft ressaltam que as empresas devem apostar em uma estratégia de prevenção abrangente e bem definida para o risco cibernético. “As empresas devem estruturar estratégias de cibersegurança com senso de urgência, levando em conta que um ataque cibernético é iminente, independentemente do ramo ou da indústria, incluindo não apenas iniciativas relacionadas à mitigação, mas também à transferência de risco através de seguros de risco cibernético”, complementa Villar.
Comentários estão fechados.