Previsões de Segurança Cibernética da Aon para 2018: empresas realizarão grandes mudanças organizacionais para prevenir o risco cibernético

Na medida em que os ataques cibernéticos ameaçam cada aspecto dos negócios e crescem em volume e escala, as empresas serão forçadas a tomar novas medidas para abordar o risco de segurança cibernética de forma holística, integrando-o intensivamente no gerenciamento de risco corporativo. Essa é a conclusão do Relatório de Previsões de Segurança Cibernética 2018 – AON, elaborado pelos especialistas em Soluções Cibernéticas da consultoria e corretora de seguros Aon. O estudo destaca uma série de ações específicas que as empresas terão que tomar durante este ano para lidar com as ameaças cibernéticas e antecipar tendências de riscos cibernéticos.

“Em 2017, os hackers utilizaram uma variedade de táticas para causar estragos: enquanto ataques de phishing influenciavam campanhas políticas, cryptoworms desenvolvidos para ataques de ransomware se infiltravam em sistemas operacionais em escala global. Com o crescimento da Internet das Coisas (IoT), houve também uma propagação de ataques de Negação de Serviço Distribuídos (DDoS), que incapacitaram as funcionalidades de dispositivos conectados à rede”, explica Jason J. Hogg, CEO da Aon Cyber Solutions.

“Em 2018, nós prevemos uma exposição ainda maior ao risco cibernético, graças à convergência de três tendências: a dependência crescente da tecnologia nas empresas; o foco intensificado das agências reguladoras em proteger dados dos consumidores; e o valor crescente de ativos intangíveis. Essa grande exposição ao risco cibernético exigirá uma abordagem integrada de segurança cibernética, tanto à cultura organizacional, quanto ao gerenciamento de riscos das empresas. Os executivos C-level (CEOs, CFOs, COOs, CIOs e CROs) e todos abaixo deles na cadeia de comando (diretores, gerentes e analistas), precisarão ter essa compreensão para que a companhia seja capaz de avaliar e mitigar riscos em todas as suas operações”, detalha Jason Hogg.

De acordo com o relatório, a escala e o impacto crescentes dos ataques cibernéticos, aliados ao aumento da responsabilidade e à necessidade de prestação de contas das empresas, levarão a mudanças significativas no ambiente corporativo. O estudo aborda a ampliação do papel do Chief Risk Officers (CRO), a importância de implementar a autenticação multi-fator, o aumento das ameaças feitas por insiders (funcionários infiltrados) e a expansão de programas de recompensa para avisos de bugs (bug bounty programs) em novos setores.

Os destaques do relatório incluem:

As empresas adotarão apólices de seguros específicas para o risco cibernético. Na medida em que os conselheiros das empresas vivenciam os impactos dos ataques hackers, incluindo redução nos lucros, interrupção das operações e reclamações legais contra executivos, as companhias buscarão cada vez mais apólices de seguros específicas para o risco cibernético, ao invés de contar com coberturas para esse risco em outras apólices. A contratação dessas apólices se expandirá para além dos compradores tradicionais (varejo, mercado financeiro e saúde), alcançando outras indústrias também vulneráveis à interrupção de negócios, como manufaturados, transportes, utilidades, petróleo e gás, entre outras.

Com a colisão entre o mundo físico e o cibernético, CROs (Chief Risk Officers) ocupam o centro da gestão das vulnerabilidades cibernéticas como um risco empresarial. Enquanto ataques cibernéticos sofisticados geram consequências no mundo real que impactam as operações e os negócios em uma escala crescente, os executivos C-level deverão despertar para a natureza empresarial do risco cibernético. Em 2018, CROs devem se aproximar de CIOs (Chief Information Officers) auxiliando as organizações a compreender o impacto holístico do risco cibernético para os negócios.

O ambiente regulatório aumentará e se tornará mais complexo. A União Europeia responsabilizará as empresas por violações à Regulamentação Geral de Proteção de Dados (GDPR); fornecedores de big data estarão sob análise nos Estados Unidos. Em 2018, agências reguladoras nos níveis internacional, nacional e local reforçarão mais rigorosamente as regulações de segurança cibernética existentes e aumentarão a pressão em ações de compliance, introduzindo novas regulações. Espera-se que a União Europeia responsabilize empresas americanas e globais em caso de violações ao GDPR. A maneira como organizações de big data (fornecedores e revendedores) coletam, utilizam e asseguram os dados, estará sob análise. Sob o ônus de pressões regulatórias significativas, as indústrias deverão pressionar os reguladores nacionais e locais, exigindo alinhamentos nas regulações cibernéticas.

Os criminosos buscarão utilizar a Internet das Coisas para atacar empresas de pequeno e médio porte, que prestam serviços para organizações globais. Em 2018, organizações globais deverão considerar o aumento das complexidades sobre como seus fornecedores estão utilizando a Internet das Coisas. No entanto, o relatório prevê que isso não acontecerá e, como consequência, espera que grandes empresas sofram os impactos de ataques contra fornecedores de serviços ou produtos, usando a conexão na Internet das Coisas como uma porta de entrada em suas redes. Essas ocorrências deverão servir como alertas para empresas grandes atualizarem sua gestão de risco com fornecedores e para empresas pequenas e médias implementarem melhores medidas de segurança, sob pena de perder clientes.

Na medida em que senhas continuam sendo hackeadas e criminosos burlam a biometria física, a autenticação multi-fator ganha uma importância maior do que nunca. Além das senhas, empresas estão implementando novos métodos de autenticação – de reconhecimento facial a impressão digital. No entanto, essas tecnologias ainda são vulneráveis e, dessa maneira, o relatório antecipa que uma nova leva de companhias adotarão a autenticação multi-fator para combater os ataques que visam roubar senhas e burlar validações biométricas. Isso exigirá que os indivíduos apresentem diversas evidências de identidade para os instrumentos de autenticação. Com a necessidade emergente de autenticação multi-fator e a exigência dos consumidores por níveis de segurança, o estudo espera a introdução de biometrias comportamentais.

Criminosos visarão as transações que utilizam pontos como moeda, estimulando a adoção de programas de recompensa para avisos de bugs. Organizações além dos setores de tecnologia, governo, automotivo e financeiro, incorporarão plataformas de recompensa para avisos de bugs em seus programas de segurança. Empresas com programas de fidelidade e recompensas, como companhias aéreas, varejistas e hotéis, estarão na próxima leva das indústrias que irão aderir a esses programas, na medida em que criminosos passam a mirar transações que utilizam pontos como moedas de troca. As empresas precisarão de apoio de consultores externos para evitar a inclusão de novos riscos em programas configurados inadequadamente.

Invasores de ransomware se tornam alvos; criptomoedas ajudam a indústria de ransomware a prosperar. Em 2018, as táticas dos criminosos que utilizam ransomware irão evoluir. O relatório prevê que os hackers que utilizam formas de malwares benignos – comosoftwares desenvolvidos para causar ataques de Negação de Serviço Distribuídos (DDoS) ou disparar displays de propaganda em milhares de sistemas – serão utilizadas para espalhar gigantescos ataques de ransomware. Enquanto os criminosos continuam a propagar ataques dispersos para afetar o maior número possível de sistemas, o relatório prevê também um aumento em ataques mirando companhias específicas e exigindo pagamentos de ransomware proporcionais aos valores dos ativos criptografados. As criptomoedas continuarão a auxiliar o crescimento da indústria de ransomware, apesar do avanço na capacidade das agências policiais em rastrear as origens dos ataques, por exemplo, por meio de carteiras de bitcoins.

Riscos ocasionados por insiders (funcionários infiltrados) ameaçam as organizações, uma vez que continuam a subestimar sua vulnerabilidade a ataques que passam desapercebidos. Em 2017, as empresas investiram pouco em estratégias para mitigar o risco cibernético relacionado a funcionários e 2018 não será diferente. De acordo com o relatório, com as companhias tomando poucas medidas para treinamentos de segurança e controles técnicos, e com a transformação da dinâmica da força de trabalho moderna, a extensão total de ataques cibernéticos e outros incidentes causados por insiders não se tornará pública. Muitas empresas continuarão a responder a esses incidentes de forma reativa, atrás de portas fechadas, e permanecerão inconscientes do real custo e impacto do risco do insider na sua organização.

Para baixar o relatório completo, clique aqui: https://content.strozfriedberg.com/2018-cybersecurity-trends-predictions-report