Gestão de riscos cibernéticos, prioridade em um mundo cada vez mais digitalizado

É o que alerta Marsh, segundo o qual as organizações enfrentam ameaças cibernéticas que estão a aumentar em sofisticação e frequência, e que colocam em risco a segurança da informação, a continuidade dos negócios e a confiança dos clientes.

por InsurMarket Latam

Um estudo elaborado pela Marsh sobre a Gestão de riscos cibernéticos no setor financeiro latino-americano em 2023 destaca que a gestão desse tipo de risco tornou-se uma prioridade crítica para o setor financeiro em um mundo cada vez mais digitalizado. As organizações enfrentam ameaças cibernéticas que aumentam em sofisticação e frequência, colocando em risco a segurança da informação, a continuidade dos negócios e a confiança dos clientes.

Diante dessa realidade, é fundamental adotar abordagens que permitam gerenciar os riscos de segurança da informação e cibersegurança de maneira eficaz. A boa notícia é que as empresas compreenderam que, para que esse gerenciamento seja efetivo, é necessário ter uma visão mais clara da exposição ao risco, permitindo decisões informadas sobre investimentos em segurança e priorização de medidas de proteção.

Para alcançar esse objetivo, os resultados da pesquisa permitiram à Marsh identificar como as empresas, por meio da implementação de diferentes metodologias de gestão de riscos, conseguiram entender sua exposição ao risco. No entanto, no caminho, alguns desafios destacaram a importância de melhorar e amadurecer esses processos.

A seguir, a Marsh menciona os principais achados:

Panorama do risco cibernético no setor financeiro

Quanto à avaliação do risco de segurança da informação e cibersegurança, a empresa autora do documento confirma um aumento na sofisticação e frequência dos ataques cibernéticos no setor financeiro. Os ataques de engenharia social continuam sendo uma das ameaças mais comuns e eficazes, afetando significativamente as organizações pesquisadas.

Entre os entrevistados, percebe-se que, além dos ataques de engenharia social, os ataques de malware e, especialmente, ransomware, fraudes eletrônicas e ataques por meio de fornecedores e terceiros continuarão a aumentar nos próximos anos, destaca a Marsh.

 

Avaliação do risco de segurança da informação e cibersegurança

De acordo com o que explica a Marsh, o uso de metodologias de análise qualitativa e semiquantitativa para a análise e avaliação de riscos de segurança da informação e cibersegurança ainda são as mais utilizadas pelas organizações. Apenas 28% dos entrevistados relatam o uso de metodologias quantitativas.

Além disso, 64% das empresas que utilizam metodologias qualitativas e 44% das que utilizam metodologias semiquantitativas consideraram mudá-las devido a:

 

  1. Incapacidade de determinar o valor da perda esperada para os riscos avaliados.
  2. As escalas usadas na metodologia de análise de riscos são subjetivas.
  3. Os resultados das análises de riscos são insuficientes para a tomada de decisões.

 

Por outro lado, a Marsh aponta que 71% das organizações que possuem metodologias quantitativas indicam que os resultados obtidos por esse tipo de metodologia lhes permitiram:

  1. Aprovação de grandes iniciativas e projetos em segurança da informação e cibersegurança.
  2. Priorização de recursos de mitigação de riscos de acordo com o impacto nos negócios dos riscos avaliados.
  3. 78% dos entrevistados indicaram que permitiu a contratação de pessoal adicional.

 

Além disso, 57% das organizações que possuem metodologias quantitativas indicaram que, com base nos resultados obtidos pela execução dessa metodologia, o orçamento destinado à cibersegurança foi modificado; e 43% contrataram um seguro contra riscos cibernéticos. 

Entre os principais desafios na gestão de riscos, a Marsh destaca três: falta de conhecimento das pessoas sobre gestão de riscos, desconhecimento, por parte dos funcionários, da metodologia de análise de riscos da organização e desconhecimento dos valores estimados dos ativos críticos da organização.

Quanto aos desafios da quantificação de riscos, a Marsh destaca que 57% dos entrevistados confirmaram a falta de informações históricas, seja porque os riscos analisados não ocorreram na empresa ou porque há poucos dados sobre os incidentes analisados globalmente. 36% indicaram a ausência de dados para definir os intervalos de quantificação.

Por fim, a Marsh refere que, embora os benefícios de quantificar os riscos e conhecer a exposição ao risco nas empresas sejam consideráveis, as organizações enfrentaram alguns desafios ao decidir implementar metodologias de quantificação de riscos, como:

  • Capacidade e experiência em análise quantitativa: as organizações podem enfrentar desafios para adquirir e desenvolver internamente habilidades em análise quantitativa, estatísticas e modelagem de riscos.
  • Os resultados obtidos por meio de metodologias quantitativas podem ser complexos e exigir uma interpretação e comunicação adequadas. 36% dos entrevistados confirmaram que os resultados são difíceis de interpretar pelos interessados, e que os valores associados à perda esperada dos riscos avaliados são considerados muito altos para a organização.
  • Interpretação e comunicação de resultados: A adoção de metodologias de quantificação de riscos pode exigir investimentos em termos de recursos financeiros, tecnológicos e humanos.

Você pode gostar também