Postado em: 25 de fevereiro de 2018
EMPRESAS REALIZARÃO GRANDES MUDANÇAS ORGANIZACIONAIS PARA PREVENIR O RISCO CIBERNÉTICO

Na medida em que os ataques cibernéticos ameaçam cada aspecto dos negócios e crescem em volume e escala, as empresas serão forçadas a tomar novas medidas para abordar o risco de segurança cibernética de forma holística, integrando-o intensivamente no gerenciamento de risco corporativo. Essa é a conclusão do relatório Previsões de Segurança Cibernética 2018, elaborado pelos especialistas em Soluções Cibernéticas da consultoria e corretora de seguros Aon. O estudo destaca uma série de ações específicas que as empresas terão que tomar durante este ano para lidar com as ameaças cibernéticas e antecipar tendências de riscos cibernéticos.

“Em 2017, os hackers utilizaram uma variedade de táticas para causar estragos: enquanto ataques de phishing influenciavam campanhas políticas, cryptoworms desenvolvidos para ataques de ransomware se infiltravam em sistemas operacionais em escala global. Com o crescimento da Internet das Coisas (IoT), houve também uma propagação de ataques de Negação de Serviço Distribuídos (DDoS), que incapacitaram as funcionalidades de dispositivos conectados à rede”, explica Jason J. Hogg , CEO da Aon Cyber Solutions.

“Em 2018, nós prevemos uma exposição ainda maior ao risco cibernético, graças à convergência de três tendências: a dependência crescente da tecnologia nas empresas; o foco intensificado das agências reguladoras em proteger dados dos consumidores; e o valor crescente de ativos intangíveis. Essa grande exposição ao risco cibernético exigirá uma abordagem integrada de segurança cibernética, tanto à cultura organizacional, quanto ao gerenciamento de riscos das empresas. Os executivos C-level (CEOs, CFOs, COOs, CIOs e CROs) e todos abaixo deles na cadeia de comando (diretores, gerentes e analistas), precisarão ter essa compreensão para que a companhia seja capaz de avaliar e mitigar riscos em todas as suas operações”, detalha Jason Hogg.

De acordo com o relatório, a escala e o impacto crescentes dos ataques cibernéticos, aliados ao aumento da responsabilidade e à necessidade de prestação de contas das empresas, levarão a mudanças significativas no ambiente corporativo. O estudo aborda a ampliação do papel doChief Risk Officers (CRO), a importância de implementar a autenticação multi-fator, o aumento das ameaças feitas por insiders (funcionários infiltrados) e a expansão de programas de recompensa para avisos de bugs (bug bounty programs) em novos setores.

Os destaques do relatório incluem:

– As empresas adotarão apólices de seguros específicas para o risco cibernético. Na medida em que os conselheiros das empresas vivenciam os impactos dos ataques hackers, incluindo redução nos lucros, interrupção das operações e reclamações legais contra executivos, as companhias buscarão cada vez mais apólices de seguros específicas para o risco cibernético, ao invés de contar com coberturas para esse risco em outras apólices. A contratação dessas apólices se expandirá para além dos compradores tradicionais (varejo, mercado financeiro e saúde), alcançando outras indústrias também vulneráveis à interrupção de negócios, como manufaturados, transportes, utilidades, petróleo e gás, entre outras.

– Com a colisão entre o mundo físico e o cibernético, CROs (Chief Risk Officers) ocupam o centro da gestão das vulnerabilidades cibernéticas como um risco empresarial. Enquanto ataques cibernéticos sofisticados geram consequências no mundo real que impactam as operações e os negócios em uma escala crescente, os executivos C-level deverão despertar para a natureza empresarial do risco cibernético. Em 2018, CROs devem se aproximar de CIOs (Chief Information Officers) auxiliando as organizações a compreender o impacto holístico do risco cibernético para os negócios.

– O ambiente regulatório aumentará e se tornará mais complexo. A União Europeia responsabilizará as empresas por violações à Regulamentação Geral de Proteção de Dados (GDPR); fornecedores de big data estarão sob análise nos Estados Unidos. Em 2018, agências reguladoras nos níveis internacional, nacional e local reforçarão mais rigorosamente as regulações de segurança cibernética existentes e aumentarão a pressão em ações de compliance, introduzindo novas regulações. Espera-se que a União Europeia responsabilize empresas americanas e globais em caso de violações ao GDPR. A maneira como organizações de big data (fornecedores e revendedores) coletam, utilizam e asseguram os dados, estará sob análise. Sob o ônus de pressões regulatórias significativas, as indústrias deverão pressionar os reguladores nacionais e locais, exigindo alinhamentos nas regulações cibernéticas.

– Os criminosos buscarão utilizar a Internet das Coisas para atacar empresas de pequeno e médio porte, que prestam serviços para organizações globais. Em 2018, organizações globais deverão considerar o aumento das complexidades sobre como seus fornecedores estão utilizando a Internet das Coisas. No entanto, o relatório prevê que isso não acontecerá e, como consequência, espera que grandes empresas sofram os impactos de ataques contra fornecedores de serviços ou produtos, usando a conexão na Internet das Coisas como uma porta de entrada em suas redes. Essas ocorrências deverão servir como alertas para empresas grandes atualizarem sua gestão de risco com fornecedores e para empresas pequenas e médias implementarem melhores medidas de segurança, sob pena de perder clientes.

– Na medida em que senhas continuam sendo hackeadas e criminosos burlam a biometria física, a autenticação multi-fator ganha uma importância maior do que nunca. Além das senhas, empresas estão implementando novos métodos de autenticação – de reconhecimento facial a impressão digital. No entanto, essas tecnologias ainda são vulneráveis e, dessa maneira, o relatório antecipa que uma nova leva de companhias adotarão a autenticação multi-fator para combater os ataques que visam roubar senhas e burlar validações biométricas. Isso exigirá que os indivíduos apresentem diversas evidências de identidade para os instrumentos de autenticação. Com a necessidade emergente de autenticação multi-fator e a exigência dos consumidores por níveis de segurança, o estudo espera a introdução de biometrias comportamentais.

– Criminosos visarão as transações que utilizam pontos como moeda, estimulando a adoção de programas de recompensa para avisos de bugs. Organizações além dos setores de tecnologia, governo, automotivo e financeiro, incorporarão plataformas de recompensa para avisos de bugs em seus programas de segurança. Empresas com programas de fidelidade e recompensas, como companhias aéreas, varejistas e hotéis, estarão na próxima leva das indústrias que irão aderir a esses programas, na medida em que criminosos passam a mirar transações que utilizam pontos como moedas de troca. As empresas precisarão de apoio de consultores externos para evitar a inclusão de novos riscos em programas configurados inadequadamente.

– Invasores de ransomware se tornam alvos; criptomoedas ajudam a indústria de ransomware a prosperar. Em 2018, as táticas dos criminosos que utilizam ransomware irão evoluir. O relatório prevê que os hackers que utilizam formas de malwares benignos – comosoftwares desenvolvidos para causar ataques de Negação de Serviço Distribuídos (DDoS) ou disparar displays de propaganda em milhares de sistemas – serão utilizadas para espalhar gigantescos ataques de ransomware. Enquanto os criminosos continuam a propagar ataques dispersos para afetar o maior número possível de sistemas, o relatório prevê também um aumento em ataques mirando companhias específicas e exigindo pagamentos de ransomware proporcionais aos valores dos ativos criptografados. As criptomoedas continuarão a auxiliar o crescimento da indústria de ransomware, apesar do avanço na capacidade das agências policiais em rastrear as origens dos ataques, por exemplo, por meio de carteiras de bitcoins.

– Riscos ocasionados por insiders (funcionários infiltrados) ameaçam as organizações, uma vez que continuam a subestimar sua vulnerabilidade a ataques que passam desapercebidos. Em 2017, as empresas investiram pouco em estratégias para mitigar o risco cibernético relacionado a funcionários e 2018 não será diferente. De acordo com o relatório, com as companhias tomando poucas medidas para treinamentos de segurança e controles técnicos, e com a transformação da dinâmica da força de trabalho moderna, a extensão total de ataques cibernéticos e outros incidentes causados por insiders não se tornará pública. Muitas empresas continuarão a responder a esses incidentes de forma reativa, atrás de portas fechadas, e permanecerão inconscientes do real custo e impacto do risco do insider na sua organização.

Ilustração: Pixabay

DEIXE UM COMENTÁRIO