Nestes tempos de incerteza, as empresas querem segurança. Isso fica claro quando vemos que 41% dos executivos brasileiros e 43% dos globais afirmam que planejam aumentar os testes de resiliência para garantir que, caso ocorra um evento cibernético de alto impacto e baixa probabilidade, suas funções essenciais de negócio continuem funcionando.
A probabilidade de um ataque cibernético em 2020 nunca foi tão alta. O ano trouxe uma onda de invasões, ransomware e violações de dados, além de um aumento nas tentativas de phishing.
Pedimos aos executivos que classificassem a probabilidade de ameaças cibernéticas em seu setor e os impactos em suas organizações no próximo ano. Provedores de serviços de IoT e nuvem encabeçam a lista de vetores de ameaças “prováveis ou muito prováveis” no Brasil e mundo, enquanto criminosos cibernéticos e hackers/hacktivistas encabeçam a lista de ameaças que terão “impacto negativo ou muito negativo”.
(Os entrevistados que selecionaram "Não sei" para probabilidade OU "Impacto desconhecido no momento" para impacto foram excluídos desta análise para garantir o uso da mesma base em ambas as escalas.)
Fonte: PwC, Global Digital Trust Insights 2021, outubro/2020. Base: 3.249 (Global)/ 109 (Brasil)
P: Em sua opinião, qual é: (a) a probabilidade de que esses vetores de ameaça afetem seu setor nos próximos 12 meses e (b) a extensão do impacto, se isso acontecer, em sua organização?
P: Em sua opinião, qual é: (a) a probabilidade de que esses eventos afetem seu setor nos próximos 12 meses e (b) a extensão do impacto, se isso acontecer, em sua organização?
P: Em sua opinião, qual é: (a) a probabilidade de um ataque grande e bem-sucedido desses agentes no seu setor nos próximos 12 meses e (b) a extensão do impacto, se isso acontecer, em sua organização?
A digitização cada vez maior e mais rápida leva a um aumento na superfície de ataque digital e no potencial de danos aos negócios. Segundo todos os entrevistados, ataques a serviços em nuvem, disruptionware capazes de afetar serviços essenciais para os negócios (tecnologia operacional) e ransomware tendem mais a ocorrer no próximo ano e serem potencialmente mais prejudiciais. Seus investimentos estão considerando essas ameaças?
Ao todo, 67% dos brasileiros (64% no mundo) dizem que é provável ou muito provável que seu provedor de serviços em nuvem seja ameaçado no próximo ano, 28% (45% no mundo) dizem que o impacto seria negativo ou muito negativo. Além disso, quase 60% consideram provável ou muito provável um ataque aos serviços em nuvem e 59% dizem que o impacto seria negativo ou muito negativo. Um percentual semelhante (53% no Brasil e 57% no mundo) avalia um ataque de ransomware provável ou muito provável no próximo ano e quase 60% dizem que as consequências seriam negativas ou muito negativas.
As empresas de tecnologia estão atentas às ameaças aos serviços em nuvem: mais executivos da indústria de tecnologia, mídia e telecomunicações (TMT) atribuem probabilidade “muito alta” a tais ameaças.
Fonte: PwC, Global Digital Trust Insights 2021, outubro/2020. Base: 3.249 (Global)/ 109 (Brasil)
Em seguida, chegamos a um grupo de ameaças consideradas de baixa probabilidade e alto impacto. Os líderes empresariais já se enganaram antes, no entanto: no Relatório de Risco Global 2020 do Fórum Econômico Mundial, a ameaça “doenças infecciosas” foi considerada improvável. Não podemos prever o futuro; só podemos nos planejar para ele. Você testou planos de resiliência para uma ampla gama de ameaças?
Nesta categoria estão os ataques de desinformação (63%de probabilidade e 61% impacto negativo no Brasil x 54% no mundo) e ameaças patrocinadas por nações (no Brasil, 51% de probabilidade, 50% de impacto negativo; no mundo, 50% de probabilidade, 53% de impacto negativo) e concorrentes (no Brasil, 63% de probabilidade, 56% de impacto negativo; no mundo, 53% de probabilidade, 56% de impacto negativo). Executivos do setor de produção industrial, serviços financeiros (FS) e TMT estão especialmente atentos a ameaças perpetradas por nações.
De acordo com nosso estudo de resiliência do ano passado e com uma pesquisa feita em setembro de 2020 com executivos de risco, as organizações têm muito a fazer para desenvolver resiliência empresarial. No futuro, um fator-chave para a maioria das organizações será a orquestração de funções separadas de continuidade de negócios, recuperação de desastres e gerenciamento de crises.
Fonte: PwC, Global Digital Trust Insights 2021, outubro/2020. Base: 3.249 (Global)/ 109 (Brasil)
Ameaças com probabilidade relativamente alta, mas impacto menor estão sempre presentes. Nesse grupo estão os ataques via IoT (no Brasil, 68% de probabilidade, 31% de impacto negativo; no mundo, 65% de probabilidade, 44% de impacto negativo) e provedores de nuvem, assim como aqueles oriundos de terceiros (no Brasil, 60% de probabilidade, 41% de impacto negativo; no mundo, 59% de probabilidade, 51% negativos) e engenharia social (no Brasil, 63% de probabilidade, 56% de impacto negativo; no mundo,63% provável, mas impacto negativo para apenas 49%). Executivos do setor de Saúde estão especialmente preocupados com o impacto dos ataques via terceiros.
Uma boa higiene cibernética é fundamental para evitar essas ameaças. Talentos e ferramentas que exploram dados em tempo real para detectar ameaças e responder a elas estão avançando rapidamente.
Fonte: PwC, Global Digital Trust Insights 2021, outubro/2020. Base: 3.249 (Global)/ 109 (Brasil)
Mais executivos nos segmentos de Serviços Financeiros, TMT e Saúde acreditam que desinformação e ransomware muito provavelmente ocorrerão no próximo ano. Os executivos das indústrias de energia, serviços públicos e recursos naturais são os que tendem mais a prever um impacto negativo alto de quase todas as ameaças.
Se você fosse desenhar uma grade de probabilidade de impacto contendo as ameaças cibernéticas, os atores e os eventos que sua organização enfrenta, como ela seria? Como seus gastos cibernéticos são alocados para resolver isso?
E como os riscos cibernéticos se comparam às outras ameaças que sua organização enfrenta? “Agregar o risco de segurança da informação e compará-lo com todos os vários outros riscos existentes na organização é eficaz, e é assim que as organizações devem encarar o risco corporativo”, afirma Adam Mishler, CISO, Best Buy.
Em nossa pesquisa, 83% dos executivos brasileiros e 76% dos globais dizem que avaliações e testes, feitos da maneira certa, podem ajudá-los a direcionar seus investimentos em segurança cibernética.
“Agregar o risco de segurança da informação e compará-lo com todos os vários outros riscos existentes na organização é eficaz, e é assim que as organizações devem encarar o risco corporativo.”