Um estudo elaborado pela Marsh sobre a Gestão de riscos cibernéticos no setor financeiro latino-americano em 2023 destaca que a gestão desse tipo de risco tornou-se uma prioridade crítica para o setor financeiro em um mundo cada vez mais digitalizado. As organizações enfrentam ameaças cibernéticas que aumentam em sofisticação e frequência, colocando em risco a segurança da informação, a continuidade dos negócios e a confiança dos clientes.
Diante dessa realidade, é fundamental adotar abordagens que permitam gerenciar os riscos de segurança da informação e cibersegurança de maneira eficaz. A boa notícia é que as empresas compreenderam que, para que esse gerenciamento seja efetivo, é necessário ter uma visão mais clara da exposição ao risco, permitindo decisões informadas sobre investimentos em segurança e priorização de medidas de proteção.
Para alcançar esse objetivo, os resultados da pesquisa permitiram à Marsh identificar como as empresas, por meio da implementação de diferentes metodologias de gestão de riscos, conseguiram entender sua exposição ao risco. No entanto, no caminho, alguns desafios destacaram a importância de melhorar e amadurecer esses processos.
A seguir, a Marsh menciona os principais achados:
Panorama do risco cibernético no setor financeiro
Quanto à avaliação do risco de segurança da informação e cibersegurança, a empresa autora do documento confirma um aumento na sofisticação e frequência dos ataques cibernéticos no setor financeiro. Os ataques de engenharia social continuam sendo uma das ameaças mais comuns e eficazes, afetando significativamente as organizações pesquisadas.
Entre os entrevistados, percebe-se que, além dos ataques de engenharia social, os ataques de malware e, especialmente, ransomware, fraudes eletrônicas e ataques por meio de fornecedores e terceiros continuarão a aumentar nos próximos anos, destaca a Marsh.
Avaliação do risco de segurança da informação e cibersegurança
De acordo com o que explica a Marsh, o uso de metodologias de análise qualitativa e semiquantitativa para a análise e avaliação de riscos de segurança da informação e cibersegurança ainda são as mais utilizadas pelas organizações. Apenas 28% dos entrevistados relatam o uso de metodologias quantitativas.
Além disso, 64% das empresas que utilizam metodologias qualitativas e 44% das que utilizam metodologias semiquantitativas consideraram mudá-las devido a:
- Incapacidade de determinar o valor da perda esperada para os riscos avaliados.
- As escalas usadas na metodologia de análise de riscos são subjetivas.
- Os resultados das análises de riscos são insuficientes para a tomada de decisões.
Por outro lado, a Marsh aponta que 71% das organizações que possuem metodologias quantitativas indicam que os resultados obtidos por esse tipo de metodologia lhes permitiram:
- Aprovação de grandes iniciativas e projetos em segurança da informação e cibersegurança.
- Priorização de recursos de mitigação de riscos de acordo com o impacto nos negócios dos riscos avaliados.
- 78% dos entrevistados indicaram que permitiu a contratação de pessoal adicional.
Além disso, 57% das organizações que possuem metodologias quantitativas indicaram que, com base nos resultados obtidos pela execução dessa metodologia, o orçamento destinado à cibersegurança foi modificado; e 43% contrataram um seguro contra riscos cibernéticos.
Entre os principais desafios na gestão de riscos, a Marsh destaca três: falta de conhecimento das pessoas sobre gestão de riscos, desconhecimento, por parte dos funcionários, da metodologia de análise de riscos da organização e desconhecimento dos valores estimados dos ativos críticos da organização.
Quanto aos desafios da quantificação de riscos, a Marsh destaca que 57% dos entrevistados confirmaram a falta de informações históricas, seja porque os riscos analisados não ocorreram na empresa ou porque há poucos dados sobre os incidentes analisados globalmente. 36% indicaram a ausência de dados para definir os intervalos de quantificação.
Por fim, a Marsh refere que, embora os benefícios de quantificar os riscos e conhecer a exposição ao risco nas empresas sejam consideráveis, as organizações enfrentaram alguns desafios ao decidir implementar metodologias de quantificação de riscos, como:
- Capacidade e experiência em análise quantitativa: as organizações podem enfrentar desafios para adquirir e desenvolver internamente habilidades em análise quantitativa, estatísticas e modelagem de riscos.
- Os resultados obtidos por meio de metodologias quantitativas podem ser complexos e exigir uma interpretação e comunicação adequadas. 36% dos entrevistados confirmaram que os resultados são difíceis de interpretar pelos interessados, e que os valores associados à perda esperada dos riscos avaliados são considerados muito altos para a organização.
- Interpretação e comunicação de resultados: A adoção de metodologias de quantificação de riscos pode exigir investimentos em termos de recursos financeiros, tecnológicos e humanos.