Estudo de Percepcao de Riscos Ciberneticos 2019 Brasil

INSIGHTS SETEMBRO
Estudo de Percepção
do Risco Cibernético
na América Latina 2019
INSIGHTS SETEMBRO
Estudo de
Percepção do Risco
Cibernético na
América Latina 2019
CONTEÚDO
01 Introdução
02 Destaques do estudo
Risco Cibernético: prioridade vs.

04 confiança
Novas tecnologias aumentam a

08 exposição cibernética
Risco no supply chain: rumo a uma

14 responsabilidade social tecnológica
Opiniões divididas sobre o papel do

17 governo
Cultura de segurança e resiliência

19 cibernética
25 Seguro cibernético
28 Conclusão
Introdução
A tecnologia está transformando drasticamente os ambientes de negócios a nível
global, com avanços contínuos em áreas que vão desde inteligência artificial
e Internet das Coisas (IoT) até a disponibilidade sobre dados e blockchain. A
velocidade com que as tecnologias digitais evoluem e rompem com os modelos
tradicionais de negócios segue aumentando. Enquanto isso, os riscos cibernéticos
parecem evoluir ainda mais rápido.
O risco cibernético passou de preocupação com roubo de 4. A digitalização das cadeias de suprimentos traz benefícios,
dados e privacidade a esquemas mais sofisticados que podem mas muitas empresas não dão a devida importância à
interromper operações nas empresas, indústrias, cadeias de interdependência de responsabilidades dentro da cadeia de
suprimento e nações, custando bilhões de dólares à economia suprimentos, principalmente as grandes corporações.
nos mais diversos setores. A dura realidade que as organizações
devem enfrentar é que o ciberrisco não pode ser eliminado. 5. Existe uma incerteza sobre o valor tanto da legislação
Portanto, ele deve ser gerenciado por meio de algumas ações, governamental como das normas da própria indústria acerca
como identificação, mitigação e transferência. de cibersegurança. A maioria das empresas considera que
ambas têm uma eficácia limitada. Ainda assim, as empresas
demandam maior envolvimento e apoio do governo para
O Global Cyber Risk Perception Survey Marsh-Microsoft 2019
combater as ciberameaças nacionais (internas e externas).
investiga as percepções de ciberriscos e gestão de riscos em
empresas de todo o mundo. A análise sobre a América Latina
O Estudo de Percepção do Risco Cibernético na América Latina
e o Brasil (partes da pesquisa global) reflete o status das
2019 revela sinais animadores de uma melhora na percepção
percepções sobre o risco cibernético e seu gerenciamento nas
e gestão de riscos cibernéticos nas organizações. O ciberrisco
organizações de nossa região, especialmente nesse contexto
é, agora, uma prioridade na pauta de riscos corporativos e
de um ambiente de negócios em rápida transformação. Nossas
podemos ver uma mudança positiva em direção à adoção de
descobertas se concentram em cinco conceitos importantes que
uma gestão mais rigorosa e abrangente em diferentes áreas. No
destacam o estado do risco cibernético no cenário empresarial
entanto, várias organizações continuam empenhando-se, como
atual:
podem, para articular, abordar e agir sobre o risco cibernético
dentro de sua estrutura geral de riscos corporativos, mesmo
1. Na América Latina e no Caribe (LAC), a preocupação das
quando a maré de mudanças tecnológicas traz preocupações
empresas com os ciberriscos e a confiança em suas próprias
novas e imprevistas.
capacidades de geri-los aumentaram, em comparação com
2017.
Esperamos que este estudo ajude sua empresa a visualizar
2. Tanto a nível mundial quanto na América Latina, as empresas um panorama em constante evolução do risco cibernético.
dão maior prioridade a tecnologia e prevenção que dedicar Incentivamos a todas as empresas a desenvolver estratégias de
tempo, recursos e atividades necessárias para construir uma ciberresilência, abordando esse risco como uma ameaça crítica
ciberresiliência. que, com monitoramento e aplicação das melhores práticas,
pode ser gerida com confiança. Finalmente, agradecemos aos
3. Apesar de pouco mais de 1/3 dos respondentes afirmarem nossos clientes e, em geral, àqueles que compartilharam seus
que o ciberrisco quase nunca seja um empecilho para a pontos de vista sobre este tema de grande importância.
adoção de novas tecnologias, 29% responderam que seu nível
de percepção de risco associado a essas tecnologias é muito
alto.
Marsh • 1
Destaques do estudo
O Estudo de Percepção do Risco Cibernético na América Latina 2019 analisa como as
empresas lidam com a ameaça crescente do ciberrisco, dentro de um ambiente de
negócios altamente dinâmico, com transformações nos âmbitos de inovação tecnológica e
interdependência. Os resultados mostram uma melhora, em comparação com 2017, em várias
áreas relacionadas com a sensibilidade e as táticas para abordar os riscos cibernéticos.
Prioridade vs. confiança •• 49% mencionaram que o risco cibernético quase nunca é um
empecilho para a adoção de novas tecnologias.
O risco cibernético se fortaleceu como uma prioridade das
•• 28% consideram que os benefícios das novas tecnologias
empresas da América Latina, com 73% das organizações colocando
superam os potenciais riscos para o negócio.
essa ameaça entre as 5 principais preocupações. Além disso, a
confiança das empresas em sua resiliência ao ciberrisco aumentou •• 75% avaliam os riscos cibernéticos antes de adotar novas
desde 2017. No entanto, um terço das organizações diz que não tecnologias, enquanto 25% dizem que avaliam riscos após sofrer
confia na sua resiliência cibernética. um ataque cibernético.
•• 73% dos respondentes na América Latina classificaram o risco

cibernético como uma das cinco principais preocupações para
sua empresa, contra 47% em 2017.
Cadeia de suprimentos
A crescente interdependência e digitalização das cadeias de
•• O nível de confiança das empresas latino-americanas em sua suprimentos resultam em um maior risco cibernético para todas as
própria capacidade para enfrentar o risco cibernético também partes. Porém, muitas empresas não se percebem como ameaças à
aumentou em comparação com 2017, em cada uma das três cadeia de suprimentos e, muitas vezes, pensam estarem expostas
áreas críticas de ciberresiliência. aos riscos por causa de seus fornecedores.
–– De 16% para 22%, para compreender, avaliar e quantificar
•• 37% das empresas brasileiras percebem os riscos de sua cadeia
ciberameaças.
de suprimentos.
–– De 12% para 20%, para prevenir e mitigar ataques
•• Apenas 21% pensam que sua própria organização representa
cibernéticos.
risco à sua cadeia de suprimentos, no Brasil.
–– De 7% para 18%, para responder e recuperar-se de
•• Os entrevistados foram mais propensos a estabelecer padrões
ciberataques.
mais altos em suas organizações do que para com seus
•• No entanto, 30% das empresas disseram não confiar na fornecedores.
resiliência em nenhuma das três áreas.
•• No Brasil, 40% dos respondentes disseram confiar amplamente

em sua capacidade de gerir seus riscos cibernéticos.
Papel do governo
As empresas brasileiras acreditam que a regulamentação do
governo e os padrões do setor têm eficácia limitada para ajudar a
Novas tecnologias gerenciar o risco cibernético, com a exceção notável de ataques
gerados pelo governo.
A inovação tecnológica é vital para a maioria das empresas. Mas
isso inclui ainda mais complexidade ao ambiente tecnológico de •• 35% acreditam que leis e regulamentações ajudam a melhorar o
uma organização, como o ciberrisco. posicionamento da empresa em cibersegurança.
•• 79% das empresas pesquisadas disseram ter adotado ou estão •• 44% se dizem muito preocupadas com ciberataques do estado.
pensando em usar uma nova tecnologia.
•• 44% defendem que o governo deve fazer mais para proteger as
empresas de ciberataques.
2 • Estudo de Percepção do Risco Cibernético na América Latina 2019

cibernética
Muitas empresas estão concentrando seus investimentos em cibersegurança
em ferramentas de proteção, deixando outras áreas de gerenciamento de
riscos que criam resiliência cibernética desprotegidas, como a avaliação e
transferência de riscos, assim como os planos de resposta a incidentes.
•• Na América Latina:
–– 88% dos respondentes dizem que a área de TI/segurança da informação é

a principal responsável pelo gerenciamento de riscos cibernéticos.
–– A figura do gerente de riscos, como peça-chave na gestão de ciberriscos,

passou de 17% em 2017 para 46% em 2019.
–– 33% das empresas disseram usar métodos quantitativos para avaliar sua
exposição ao risco, um aumento considerável em relação a 8% em 2017.
•• No Brasil:
–– 70% dos respondentes pretendem investir em tecnologia de

cibersegurança nos próximos 3 anos.
–– 68% disseram que um ataque cibernético em sua empresa seria o

principal propulsor para aumentar investimentos na gestão de ciberriscos.
–– 41% das organizações dizem que a adoção de novas tecnologias ajudará a

gerar um maior investimento em segurança cibernética.
–– 65% esperam investir mais nos próximos anos em capacitação de pessoal

para lidar com riscos cibernéticos.
Seguro Cyber
A cobertura do seguro cyber está em expansão para enfrentar as ameaças em
evolução e a percepção das empresas sobre ela.
•• 29% das empresas latinas, possuem seguro cyber, enquanto a média global
é de 47%.
•• Na América Latina, a distribuição entre as empresas que compram seguro

cibernético é a seguinte:
–– 40% possuem renda superior a US$ 1 bilhão
–– 37% com renda entre US$ 100 milhões e menos de US$ 1 bilhão
–– 22% com renda inferior a US$ 100 milhões
•• 52% acreditam que o seguro cibernético cobre a totalidade ou grande parte

das necessidades da empresa. Entretanto, 39% dizem não saber se o seguro
é uma ferramenta de proteção eficaz.
•• 75% das empresas que possuem seguro cyber confiam que suas apólices
cobrirão o custo de um eventual incidente cibernético.
Marsh • 3
Riesgo cibernético: Prioridad vs
Risco
Confianza cibernético:
prioridade
En Latinoamérica cada vez vs. confiança
más compañías asumen el riesgo cibernético como una prioridad,
y la confianza en su resiliencia cibernética aumentó. Sin embargo, una de cada tres empresas
Mais e mais empresas assumem o risco cibernético como prioridade. Tanto na América Latina
todavía no confía en absoluto en su capacidad de resiliencia.
como no Brasil, a confiança na ciberresiliência aumentou, mas, ainda assim, uma em cada três
empresas não confia na resiliência.
Aumenta la percepción del riesgo cibernético
Aumenta a consciência sobre o risco cibernético
Impulsados por la frecuencia y la gravedad de los incidentes de alto impacto, como el caso de WannaCry o NotPetya de 2017, los riesgos
cibernéticos aumentaron significativamente su posicioamiento entre las principales prioridades de las organizaciones encuestadas en
2019 (ver gráfica
Impulsionados 1).frequência
pela En Latinoamérica, 73% de incidentes,
e gravidade las empresas clasificó
como el riesgo
WannaCry cibernético
e NotPetya emcomo
2017,una de lasecinco
os riscos principales
ameaças cibernéticos
preocupaciones
aumentaram para su organización,
significativamente frente
entre as al 42%prioridades
principais en 2017. El das
número de empresas
organizações que cita elem
pesquisadas riesgo
2019cibernético
(gráfico 1).como su 57% das
No Brasil,
preocupación
empresas número 1oserisco
classificaram cuadruplicó en dos
cibernético comoaños,
umapasando delprincipais
das cinco 5% al 21%. preocupações de sua organização. O número de empresas latino-
-americanas que citam o risco cibernético como sua preocupação número 1 quadruplicou em dois anos, de 5% a 21%.
GRÁFICO O risco cibernético aumentou consideravelmente entre as prioridades de riscos das

1 empresas.
P. Entre as seguintes ameaças comerciais, classifique como o cyber aparece entre as 5 principais que mais
preocupam a sua empresa.
5% 8%
21%
27%
46%
42% 2017 2019
52%
Risco no Top Risco no Top
5 para 47% 5 para 73%
Risco #1 Risco Top 5 (mas não #1) Fora do Top 5 Não sei
Base: All answering; n=1312 (2017); n=1512 (2019)
Em 2019,más
En 2019, maisencuestados
entrevistados classificaram
clasificaron o riscocibernético
el riesgo cibernéticocomo
comounauma
dede
sussuas principais
principales preocupaçõesen
preocupaciones emcomparación
comparaçãocon
comotros
outroriesgos
importante risco comercial (gráfico 2). A incerteza econômica ficou em segundo lugar no Top 5, com 59%, 14 pontos percentuais abaixo
importantes del negocio (ver gráfica 2). La incertidumbre económica ocupó el segundo lugar del Top 5, con un 59%, 14 puntos porcentuales
dos ataques e ameaças cibernéticos..
por debajo de los ataques y amenazas cibernéticas.
Esses resultadossugieren
Estos resultados sugeremun umfuerte
aumento evidente
aumento en lada importânciadel
prominencia doriesgo
risco cibernético
cibernético,eyse
secorrelacionam
correlacionan fortemente
fuertementecom
conoutros estudos
otros estudios
recientes.Por
recentes. Porexemplo,
ejemplo, el Informe Global
o Relatório de Riesgos
de Riscos 2019
Globais de 2019deldoForo Económico
Fórum EconômicoMundial
Mundial(WEF)
(WEF)clasificó el robo
classificou de datos
o roubo y los ataques
de dados e os ataques
cibernéticos entre los cincoriscos
os cinco riesgos másfrequentes
mais frecuentesaanível
nivelglobal.
global.
4 • Encuesta de Percepción del Riesgo Cibernético en Latinoamérica 2019

GRÁFICO O risco cibernético supera a outros riscos por uma ampla margem.
2 Entre as seguintes ameaças de negócio, classifique as 5 principais preocupações para sua
organização.
Total
Ciberataques/Ciberameaça 21% 52% 73%
Incerteza econômica 15% 44% 59%
Dano à marca/Reputação 8% 44% 52%
Regulamentações 8% 43% 51%
Perda de pessoa chave 7% 43% 50%
Atividade criminal (Roubo, fraude) 9% 31% 40%
Alteração da cadeia de produção 10% 30% 40%
Crédito/Risco de liquidez 9% 28% 37%
Desastres nat./Mudanças climáticas 4% 32% 36%
Acidentes industriais 6% 19% 25%
Instabilidade política/Guerra 3% 18% 21%
Espionagem industrial 1% 10% 11%
Terrorismo 1% 6% 7%
59%
Risco #1 Risco Top 5 (mas não #1) % acumulado que classifica
57% cada elemento como um risco
Top 5 (incluído o #1)
55%
Base: All answering; n=1512 (2019)
Marsh • 5
Marsh • 5
La confianza en la resiliencia En 2019, la proporción de empresas que informaron sentirse
confiadas o muy confiadas en su resiliencia cibernética fue del
cibernética
A confiança aumenta
cibernética de cibersegurança
73%. El incremento más
(NIST) para
do Instituto
detectar,
Nacional
significativo
impedir,
de Padrões
con respecto
responder e
e Tecnologia
a 2017
recuperar.
relacionado con la confianza en la gestión, respuesta y
fue el
aumentou
La encuesta de este año encontró un aumento en la confianza de recuperación de un incidente cibernético, pasando del 7 al 18%.
las empresas en su capacidad para gestionar cada área crítica de Em 2019, 40% disseram confiar amplamente na sua capacidade
A pesquisa deste ano encontrou um aumento na confiança das
resiliencia cibernética:
empresas em cada área crítica da resiliência cibernética: Sinatual de gerir
embargo, os de
una próprios riscos
cada tres cibernéticos
empresas noconfiar
dijo no Brasil. Jáennaabsoluto
en su capacidad de resiliencia en cada una de las relacionado
América Latina, o aumento mais significativo foi à
tres áreas críticas.
1. Comprender, evaluar y medir el posible riesgo cibernético. confiança no gerenciamento, resposta e recuperação de um
1. Entender, avaliar e medir osypossíveis Esto refleja la necesidad de seguir trabajando en la detección,
Identificar el tipo, probabilidad potencialciberriscos
impacto económico incidente cibernético, de 7% para 18%, em relação a 2017.
prevención, respuesta y recuperación de las amenazas/eventos
de las amenazas a las que se exponen pore el
Identificando o tipo, a probabilidade o impacto econômicoy
uso de tecnología
potencial das ameaças às quais elas estão suscetíveis pelo uso de cibernéticos.
datos en sus operaciones. No entanto, uma em cada três empresas disse que não confiava
dados e tecnologias em suas operações.
na resiliência em todas as três áreas críticas. Isso reflete a
2. Ser capaz de reducir la probabilidad de que ocurran ataques Esta falta total de confianza puede deberse, en parte, a que las
2. Ser capaz de reduzir a probabilidade de ciberataques ou necessidade de continuar trabalhando na detecção, prevenção,
cibernéticos o prevenir posibles daños. Esto comprende una organizaciones todavía no consiguen tangibilizar el resultado de
prevenir danos resposta e recuperação de ameaças ou ciberataques.
combinación de protecciones técnicas y no técnicas. sus inversiones cada vez mayores en tecnología de seguridad
Compreende uma combinação de proteções técnicas e não-
cibernética: productos y servicios destinados a prevenir o mitigar
técnicas.
3. Gestión, respuesta y recuperación de ataques cibernéticos. Essa total falta de confiança pode ser devida, em parte, ao fato
los ciberataques. Se pronostica que el mercado de seguridad
Planes de contingencia claros y bien ensayados, y recursos de as organizações ainda não serem capazes de tornar tangível
3. Administrar, recuperar e responder a incidentes cibernéticos cibernética global superará los US$124 mil millones en 2019,
fácilmente disponibles para minimizar las consecuencias o resultado de seus crescentes investimentos em tecnologia de
Planos de contingência claros e bem ensaiados e recursos pero a pesar del aumento del gasto en seguridad cibernética,
negativas y el tiempo para recuperarse de un incidente. cibersegurança: produtos e serviços destinados a prevenir ou
disponíveis facilmente para minimizar as consequências el costo anual del delito cibernético en 2019 se estima en
mitigar ataques cibernéticos. Prevê-se que o mercado global de
negativas e o tempo para recuperação de um incidente. US$1,000 millones de millones.
En conjunto, estas áreas proporcionan una medida general de segurança cibernética ultrapasse US$ 124 bilhões em 2019, mas,
la resiliencia cibernética de una organización, es decir, de su apesar do aumento nos gastos com segurança cibernética, o
Em conjunto, estas áreas apresentam uma média geral da
capacidad para navegar con éxito un ataque cibernético; aplicar custo anual de crimes cibernéticos é estimado em US$ 1 trilhão.
capacidade de recuperação de uma empresa: para superar um
programas y actividades
ciberataque, de planificación,
aplicar uma variedade de evaluación,
recursos de prevención,
planejamento,
mitigación y respuesta para su correcta gestión;
avaliação, prevenção, mitigação e resposta para y volver a operar
gerenciá-lo, além
con normalidad,
do retorno aocon un tiempo
normal de inactividad
das operações o pérdidas
com tempo mínimas.e
de inatividade
Estaperdas
clasificación se alinea
mínimos. Eles secon el Marco
alinham de Ciberseguridad
à amplamente utilizada del
estrutura
Instituto Nacional de Estándares y Tecnología (NIST) para detectar,
prevenir, responder y recuperarse.
GRÁFICO A confiança nas medidas de resiliência cibernética melhorou em geral de 2017 a 2019.
3
2019 22% 51% 27%
Entender/Avaliar/Quantificar ameaças cibernéticas
2017 16% 63% 21%
2019 20% 53% 27%

Prevenir/Mitigar ataques cibernéticos
2017 12% 56% 32%
2019 18% 52% 30%

Gerenciar/Recuperar-se de ataques cibernéticos
2017 7% 62% 31%
Muito segura Um tanto segura Nada segura
6 • Encuesta dede
6 • Estudo Percepción
Percepçãodel
do Riesgo Cibernéticonaen
Risco Cibernético Latinoamérica
América 2019
Latina 2019
La responsabilidad cibernética aún se delega en gran medida
A governança
al cibernéticade
área de TI y Seguridad ainda é delegada
la Información
à área de TI e segurança da informação
A responsabilidade
La responsabilidad de pelo gerenciamento
la gestión docibernético
del riesgo risco cibernético
recae está principalmente
principalmente en elna área
área dede
TI TI e segurança
y Seguridad deda
la informação
Información,e yaumentou
ha
aumentado significativamente (28%) en los dos últimos años: 9 de cada 10 empresas identificaron esa área comoresponsável
significativamente (28%) nos últimos dois anos: 9 em cada 10 empresas identificaram essa área como o principal el principal pelo
risco cibernético
responsable em 2019
del riesgo (gráfico 4).
cibernético en Outro dos gráfica
2019 (ver papéis 4).
queOtro
também
de lostiveram umtambién
roles que aumentotuvo
em unseuincremento
nível de responsabilidade dentro
en cuanto a su nivel deda
organização foi o de gestor de riscos, que passou de 17% (2017) para 46% (2019). Esse aumento indica uma tendência
responsabilidad dentro de la organización fue el gerente de riesgos, que pasó de un 17% en 2017 a un 46% en 2019. Este incremento clara e positiva
sobre um
indica unamaior
clara yposicionamento
positiva tendenciadoshacia
gestores demás
un rol riscos. No entanto,
destacado de losé surpreendente que, ao
gerentes de riesgos. Sininvés de aumentar
embargo, sorprendea responsabilidade
que lejos de dos
conselhos administrativos, tenha diminuído 4% desde 2017.
aumentar la responsabilidad de las Juntas Directivas, ésta haya disminuido un 4% desde 2017.
GRÁFICO A equipe de TI segue como principal responsável da gestão de risco cibernético na

4 maioria das empresas.
P: Classifique as três áreas que sejam os principais responsáveis pela gestão do risco cibernético.
TI/Segurança da 88%
Informação 60%
Board Diretivo 53%

57%
46%
Gerente de riscos
17%
23%
Legal/Compliance
6%
22%
Finanças/contratações
15%
Outros níveis (Estratégia e Planejamento 57%

corporativo, Operações, RH, Gestão da
cadeia de suprimentos) 16%
2019 2017
% que identifica cada função como um dos principais responsáveis
responsables / impulsores de la gestión del riesgo cibernético
Base: All answering in 2017 and 2019; n=1514 (2019); n=1312 (2017)
Marsh • 7
Marsh • 7
Novas tecnologias
Las nuevas aumentam
tecnologías a
aumentan
la exposición
exposição aoscibernética
cyber risks
Lasempresas
As empresasestão
estánabraçando
adoptandoalainovação
innovación tecnológica,
tecnológica y la mayoría
e a maioria no considera
não considera queque
oelrisco
riesgo cibernético
cibernético seauma
seja unabarreira.
barrera. Sin
Masembargo,
a avaliaçãola evaluación del novas
do risco e das riesgotecnologias
cibernético
asociado
não é tão arigorosa
las nuevas tecnologíascomo
e consistente no esdeveria
tan rigurosa
ser. y consistente como debería ser.
Se estima que
Estima-se quepara 2025alaquantidade
até 2025 cantidad dede
dispositivos conectados
dispositivos conectadosa internet a nivel
à internet mundial
em todo sea deseja
o mundo 75 mil
de millones. A medida
75 bilhões. A medidaqueque o
el mundo se acerca a un "Internet de todo", aumenta la cantidad y variedad de activos digitales que las empresas
mundo se aproxima de uma "internet de tudo", aumenta a quantidade e variedade de dados digitais armazenados, processados almacenan,
eprocesan y comparten.
compartilhados pelasIncluso industrias
empresas. Setorestradicionales
tradicionaiscomo la manufacturera
da indústria, esperan que casi
como a manufatureira, el 50%que
esperam de los productos
cerca de 50%quedos
produtos desenvolvidos sejam "inteligentes" ou "conectados" de alguma maneira até 2020, o que resultaria em en
desarrollan sean "inteligentes" o" conectados" de alguna manera para 2020, abriendo nuevas fuentes de ingresos servicios
novas fontes de
basados en datos.
receita em serviços baseados em dados.
Casi el 80% de los encuestados en 2019 aseguran que han implementado al menos una tecnología emergente (como Cloud, productos
Quase 80% dos entrevistados em 2019 citaram pelo menos uma tecnologia emergente (como nuvem, produtos digitais e
digitales y dispositivos conectados/IoT), o están considerando hacerlo (ver gráfica 5).
dispositivos conectados/IoT) que eles adotaram ou estão considerando adotar (gráfico 5).
GRÁFICO Uma boa parte das empresas usam ou estão considerando usar novas tecnologias.
5 P: Para cada uma das seguintes tecnologias, indique em que cenário considera o uso se aplica
melhor a sua organização.
Blockchain
Inteligência
artificial/
Machine Learning
31% 79%
Adotaram ou estão
considerando usar
48% 93% ao menos uma
destas tecnologias
Cloud
Computing
62%
Robótica/
59%
usam atualmente ao
Automatização 68% menos uma destas
de processos tecnologias
Internet das
77% coisas (IoT)
Produtos digitais e
desenvolvimento de
aplicações próprias
% de empresas que tem adotado ou estão provando/considerando cada tecnologia.
Marsh • 8
Losdesafios
Os desafíos para
de seguridad pueden
a segurança podemmanifestarse cada vez
ser percebidos quevez
cada unaque
nueva
umatecnología se integra
nova tecnologia en laa infraestructura
passa empresarial, locorporativa,
fazer parte da infraestrutura que
representa una nueva y adicional preocupación para la huella tecnológica de la organización. Los riesgos y exposiciones que presentan las
representando uma nova e adicional preocupação ao marco tecnológico. Riscos e exposições oferecidos pelas novas tecnologias devem
nuevas tecnologías deben valorarse frente a los posibles beneficios para el negocio, y la tolerancia al riesgo varía según la industria y la
ser pesados diante dos possíveis benefícios para o negócio e a tolerância ao risco varia de acordo com a indústria e a própria empresa. A
empresa. A la pregunta de si los riesgos de adopción de nuevas tecnologías superan o no los potenciales beneficios, la mitad de los
metade dos entrevistados (49%) respondeu que o ciberrisco quase nunca é um empecilho à adoção de novas tecnologias (gráfico 6).
encuestados (49%) afirmó que el riesgo cibernético casi nunca es una barrera para la adopción de nuevas tecnologías (ver gráfica 6).
Sin embargo,
Apesar un tercio
disso, 29% de las empresas
dos entrevistados (28%) mencionaron
mencionaram que la mayoría
que a maioria de tecnologias
das novas las nuevas tecnologías
apresentapresentan
riscos queriesgos queossuperan
superam los
possíveis
posibles beneficios y oportunidades. Esta tendencia es mayor entre las empresas de menor tamaño (aquellas con ingresos anuales
benefícios e oportunidades. Essa tendência ocorreu principalmente em pequenas empresas (aquelas com faturamento anual inferior a US$
inferiores
100 a US$100
milhões), millones), independientemente
independentemente do setor. del sector.
GRÁFICO Em geral, se considera que os possíveis benefícios das novas tecnologias superam os
6 potenciais riscos.
P: Indique qual das seguintes declarações reflete melhor a atitude de sua organização.
Para a maioria das novas

tecnologias e produtos, o Os benefícios e oportunidades
risco supera o benefício / potenciais que oferecem as
oportunidade para nosso novas tecnologias e produtos
negócio. digitais são tão convincentes
que o risco quase nunca é uma
28% barreira para a adoção.
23% 49%
% de organizações que estão de acordo com alguma das declarações.
Base: All answering; n=852 (2019)
Marsh • 9
Apesar da predisposição para novas e emergentes tecnologias, há incerteza sobre o nível de risco associado a essas tecnologias (gráfico 7).
A pesar de la inclinación por tecnologías nuevas y emergentes, existe incertidumbre sobre el nivel de riesgo asociado con estas tecnologías
Com relação ao nível de risco cibernético associado, a computação em nuvem teve a menor quantidade de respostas relacionadas à opção
(ver gráfica 7). A la pregunta sobre el nivel de riesgo cibernético asociado con estas nuevas tecnologías, la nube informática obtuvo la
"não sei" (10%), enquanto que blockchain obteve a maior (34%). No caso de novos produtos ou aplicativos digitais em desenvolvimento, as
menor cantidad de respuestas relacionadas a la opción "no sé" (10%), en tanto que el blockchain obtuvo la más alta (34%). En el caso de
opiniões foram divididas igualmente: aqueles que perceberam um alto nível de risco e aqueles que viram um nível mais baixo. O nível mais
nuevos productos digitales o aplicaciones digitales en desarrollo, las opiniones se dividieron en partes iguales: aquellos que percibieron
alto de incerteza foi relacionado às novas tecnologias blockchain (34%) e inteligência artificial (20%).
un alto nivel de riesgo y aquellos que vieron un nivel menor. El más alto nivel de incertidumbre se relacionó con las nuevas tecnologías
blockchain (34%) e inteligencia artificial (20%).
GRÁFICO Muitos responsáveis pela tomada de decisões nas empresas não estão seguros do grau
7 de risco que representam as novas tecnologias.
P: Qualifique o nível de ciberrisco associado com cada tecnologia, em uma escala de 5 pontos.
Cloud 4% 9% 23% 25% 29% 10%
Internet das coisas (IoT) 9% 10% 19% 22% 21% 19%
Produtos Digitais e desenvolvimento 10% 12% 23% 25% 16% 14%

de aplicações próprias
Inteligência Artificial
(AI)/ Machine learning 18% 12% 22% 17% 10% 21%
Robótica / Automatização 18% 17% 18% 16% 11% 20%

de processos
Blockchain 19% 12% 17% 10% 8% 34%
1 (Mínimo a nenhum) 2 3 4 5 (Extremamente alto) Não sei
Base: All answering for each technology: varies from n= 892 to n=900 (2019)

Marsh • 10
A maioria das empresas (75%) realiza avaliações de risco cibernético nos estágios iniciais de exploração e teste das novas tecnologias que
serão implementadas em sua organização ou no final da compra dessa tecnologia. 60% realizam essa avaliação após a implementação da
La mayoría
nova de lasou
tecnologia empresas
quando (75%)
ocorrerealizan evaluaciones del
um ataque/incidente riesgo cibernético,
cibernético bien en
(25%) (gráfico 8). las etapas de exploración inicial y pruebas de las
nuevas tecnologías que van a implementar en su organización, o al finalizar la compra de dicha tecnología. Un 60% llevan a cabo esta
evaluación después de haber implementado la nueva tecnología, o cuando ocurre un evento/ataque cibernético (25%) (ver gráfico 8).
Quase metade das empresas da América Latina (42%) examina os riscos potenciais de uma nova tecnologia antes e depois de sua
implementação. No empresas
Casi la mitad de las entanto, apenas 2% avaliam(42%)
en Latinoamérica o ciberrisco
examinanao longo do ciclo
los riesgos de vida dadetecnologia,
potenciales una nueva otecnología
que incluiantes
revisões periódicas
y después além
de su
do estágio de adoção.
implementación. É preocupante
Sin embargo, solo unque
2%12% garantam
evalúa que
el riesgo eles não realizem
cibernético a lo largonenhum
de todo tipo de avaliação
el ciclo de vida dede
la risco cibernético,
tecnología, lo queantes,
incluye
durante ouperiódicas
revisiones após a implementação
más allá de sudeetapa
uma de
nova tecnologia.
adopción. Resulta precoupante que un 12% asegure que no realiza ningún tipo de
evaluación del ciber riesgo, antes, durante o después de implementar una nueva tecnología.
GRÁFICO O risco cibernético se avalia mais durante as etapas de exploração ou provas

8 da nova tecnologia.
P: Quando adota e implementa novas tecnologias, como as que acaba de identificar, em qual das
seguintes etapas avalia o risco cibernético?
75 % AVALIAM RISCOS ANTES

DA ADOÇÃO DA NOVA
TECNOLOGIA 60 % AVALIAM OS RISCOS
POSTERIORMENTE A ADOÇÃO
DE NOVA TECNOLOGIA
69% 75 % EVALÚAN RIESGOS

PREVIO A LA ADOPCIÓN
DE ALGUNA FORMA 60 % EVALÚAN RIESGOS
POSTERIOR A LA ADOPCIÓN
DE ALGUNA FORMA
69% 45%
14% 31% 25%
45%
14% 31% 25%
Durante a Ao finalizar a Durante Posterior a Quando um
exploração/ compra/ a incorporação/ implementação/ ciberataque
etapa de contrato implementação durante uso /incidente
Durante Posterior a la Cuando un ataque
prova Durante la cibernético ocorre
Al finalizar la
exploración/ compra/ la incorporación/ implementación/
implementación durante uso /incidente
etapa de Ciclo de vida de adoção de tecnologia
contrato
ocurre
prueba
Ciclo de vida de adopción de tecnología
Solo Solo
Apenas42% Apenas
2% 12%12%
42%evalúan los riesgos
antes y después de la
2%
evalúan los riegos en
todas las etapas del
no evalúan en
não
absoluto en avaliam em
ninguna
avaliam os riscos
adopción
avaliam
ciclo deos riscos
vida etapa
em todas as etapas absoluto nenhuma
antes e depois da etapa
do ciclo de vida
adoção
Marsh • 11
Base: All answering, excluding don’t know: n=696 (2019)
El selecto grupo de empresas que evalúan el riesgo cibernético de forma continua a lo largo de todo el proceso de implementación de
O seleto grupo de empresas que avaliam riscos cibernéticos continuamente ao longo da implementação de novas tecnologias confiam mais
nuevas
em seus tecnologías confíanpara
próprios recursos másgerenciar
en sus capacidades paraa gestionar
ou responder o responder(gráfico
ataques cibernéticos a ataques
9). cibernéticos (ver gráfica 9).
GRÁFICO As organizações que avaliam continuamente o risco cibernético das novas

9 tecnologias temem mais confiança em sua cibersegurança geral.
Aqueles que avaliam os riscos cibernéticos

em todas as etapas do ciclo de vida da 20%
adoção de uma nova tecnologia.
Aqueles que não avaliam 14%
% dos que reportaram muita confiança em sua capacidade de gerenciar ou responder a um ataque cibernético
Base: All answering both Q9 & Q24: n=696 (2019)

Las empresasque
As empresas quetestam
pruebanoslos riesgos
riscos de la tecnología
da tecnologia en múltiples
em vários etapas
estágios de de implementación
implementação podem se pueden
sentir sentirse mejor informadas
melhor informadas porqueporque
a
la evaluación continua de riesgos proporciona visibilidad en tiempo real de riesgos y vulnerabilidades emergentes. Preparadas con un
avaliação contínua dos riscos fornece visibilidade em tempo real dos riscos e vulnerabilidades emergentes. Preparadas com o conhecimento
conocimiento oportunofraquezas
oportuno de possíveis de posibles
ou debilidades o exposiciones
exposições de de seguridad,
segurança, elas están
estão prontas bien
para posicionadas
implementar para implementar
melhorias mejoras
rapidamente en tiempo
e desenvolver
real y desarrollar planes de contingencia para gestionar los riesgos que
planos de contingência para gerenciar os riscos envolvidos nesses sistemas. involucran estos sistemas.
La evaluación del riesgo cibernético de nuevas tecnologías está muy asociada con la confianza que las organizaciones tienen, o carecen,
A avaliação de riscos cibernéticos de novas tecnologias está intimamente associada à confiança que as organizações têm, ou não, nos
de los proveedores que suministran estas tecnologías. Las tecnologías innovadoras no necesariamente deben representan una mayor
fornecedores que fornecem as tecnologias. Elas não devem representar necessariamente maior exposição se gerenciadas adequadamente.
exposición si son gestionadas adecuadamente. Algunas tecnologías pueden añadir nuevos riesgos si no se han implementado de acuerdo
Algumas tecnologias podem adicionar novos riscos se não forem implementadas de acordo com os padrões de segurança ideais, mas em
con estándares de seguridad óptimos, pero en muchos casos, la seguridad está integrada desde un inicio.
muitos casos, a segurança é integrada desde o início.
Un 45% de empresas en Latinoamérica asumen que sus proveedores tecnológicos han considerado todos los riesgos cibernéticos relevantes,
45% das empresas na América Latina assumem que seus fornecedores de tecnologia consideraram todos os riscos cibernéticos relevantes
y que no es necesario realizar más verificaciones. Por el contrario, tan solo un 27% asegura que "siempre realizan un procedimiento propio"
e que nenhuma verificação adicional é necessária. Apenas 27% asseguram que "sempre realizam seu próprio procedimento" para verificar
para verificar las necesidades de seguridad y los controles que los proveedores implementan con respecto a las nuevas tecnologías (ver
se as necessidades de segurança e as proteções integradas que os fornecedores de novas tecnologias estão completas (gráfico 10).
gráfica 10).
Marsh • 12
GRÁFICO Quase a metade das empresas assume que os provedores de tecnologia tem
10 considerado todos os riscos cibernéticos relevantes.
P: Indique qual das seguintes afirmações reflete melhor a atitude de sua organização.
Nunca acreditamos que as

novas tecnologias contam
We trust that technology com os controles de
and digital product vendors segurança necessários. Acreditamos que os
have considered all relevant − Sempre realizamos provedores de tecnologia
cybersecurity risks and nossos processos de e serviços digitais tem
embedded adequate validação. considerado todos os
security protections. riscos de cibersegurança
27% 28%
relevante e incorporaram
proteções adequadas
45%
% de empresas que estão de acordo com alguma das afirmações.
Cada empresa deposita um certo nível de confiança em seus Base:relacionamentos

All answering: n=830com
(2019)
fornecedores e contratados. No entanto, dada a
Cada empresa
importância de deposita un cierto
plataformas nivel tecnológicos
e serviços de confianza para
en sus relaciones
ativos con suscentrais,
e operações proveedores y contratistas.
uma posição rigorosaSindeembargo,
confiançadada la
e verificação deve
ser assumida para ajudar a garantir a validade e adequação das proteções prometidas por terceiros. Essa maior vigilância
importancia de las plataformas y servicios tecnológicos para los activos y operaciones centrales, debe asumirse una postura rigurosa deé especialmente
importante
confianza yquando novos
verificación processos
que digitais sãolainerentes
ayude a garantizar aos modelosdedelas
validez y adecuación negócios das empresas.
protecciones prometidas por terceros. Esta mayor vigilancia
es especialmente importante cuando los nuevos procesos digitales son inherentes a los modelos de negocio de las empresas.
13 • Encuesta de Percepción del Riesgo Cibernético en Latinoamérica 2019 Marsh • 13

Riesgo en la cadena
Risco no supply hacia
de suministro:
1/3 de los chain: rumo a uma
una responsabilidad
37%
encuestados
mencionó que
responsabilidade
social tecnológicasocial
su cadena de
das empresas tecnológica
Con cadenas de suministro digitales cada vez más
suministro interdependientes, el riesgo cibernético debe
brasileiras Nas cadeias deen
convertirse suprimentos digitais cada
una responsabilidad vez mais
colectiva
representa un interdependentes, o risco cibernético deve ser uma
percebem os
riesgo alto o responsabilidade coletiva.
En un mundo en el que las cadenas de suministro están híper conectadas, existe una
riscos de sua necesidad crítica de confianza entre socios, ya que la falta de confianza pone en serio riesgo
considerable Em umdesempeño
el empresarial y la innovación. Toda organización necesita comprender, confiar
cadeia de y
mundo de cadeias
desempeñar un papel
de suprimentos
en la integridad
hiperconectadas,
y seguridad de
há uma
los
necessidade
componentes y
crítica de
software de sus
para su confiança entre parceiros, já que a falta de confiança pode levar ao prejuízo do desempenho
cadenas de suministro digital. El concepto de “responsabilidad social tecnológica” (el
suprimentos e da inovação dos negócios. Toda organização precisa entender, confiar e desempenhar um
organización. conocimiento
papel
seguridad
y reconocimiento
de igual importância
cibernética dentro de
por parte
na segurança
la cadena
de cada organización
dos componentes
de suministro) está
de su
e softwares
ya en
derol
la
y obligaciones
suas
agenda
cadeias de de
suprimentos digitais. O conceito de “responsabilidade social tecnológica” (o conhecimento de muchos eo
líderes de la industria.
reconhecimento de cada organização de seu papel e obrigações de segurança cibernética na
cadeia de suprimentos) está na agenda de muitos líderes do setor.
Sin embargo, aunque muchas organizaciones reconocen los riesgos potenciales que sus
socios de la cadena de suministro pueden representar para su propia seguridad cibernética,
No entanto, embora muitas organizações reconheçam os riscos potenciais que seus parceiros
la mayoría no visualiza el riesgo a la inversa. Hubo una notable discrepancia en la visión de
da cadeia de suprimentos podem representar para si, a maioria não vê. Há uma discrepância
muchas organizaciones con respecto al riesgo cibernético que enfrentan por los socios de la
notável na visão de muitas organizações em relação ao risco cibernético: maior para os parceiros
cadena de suministro, en comparación con el nivel de riesgo que su organización representa
em comparação com o nível de risco que sua organização representa para eles.
para sus contrapartes.
Cerca
Unodede
1 em
cadacada
tres3encuestados
entrevistados (34%)
(34%) considera
piensa que
que su a cadeia
cadena de suprimentos
de suministro representa
representa un
um risco
riesgoalto
altopara
parasua
su organização
organización(gráfico 11). Enquanto
(ver gráfica11). quetiempo,
Al mismo eles acreditam que há duas vezes
los encuestados
maismencionaron
chances de estarem vulneráveis
que existe aosprobabilidad
el doble de riscos de seus
deparceiros do que em
que se materialice unsuas próprias
riesgo en la
cadeias de suprimentos.
cadena de suministro por culpa de terceros que por ellos mismos.
GRÁFICO Muitas organizações estão mais preocupadas de que

11 se materialize um risco na cadeia de suprimentos por
terceiros que por eles mesmos.
P: Que nível de risco cibernético representa para sua organização
terceiros na cadeia de suprimentos? E ao contrário: que nível de
risco representa sua organização para a cadeia de suprimentos?
Nível de risco
cibernético que nossa
cadeia de suprimento
supõe para nossa
Nível de risco
cibernético que nossa
34 %
organização.
organização supõe a
cadeia de suprimentos 18
%
% com respeito a cada risco como "alto" ou "muito alto"
Marsh • 14

EnEm geral,
general A desconexão
para prevenir
pode
La desconexión
ou
ser gerada
puede
mitigar os
pela baixa
ser generada
riscos
porconfiança
cibernéticos
das organizações
la baja confianza
derivados de
em suas habilidades
de las organizaciones
seus stakeholders.
sus habilidades para prevenir o mitigar el riesgo cibernético derivado de sus socios A
en
25%
25%
porcentagem
comerciales.deEl organizações
porcentaje deque disseram terque
organizaciones "altadijeron
confiança"
tenerna mitigação
una das ameaças
"alta confianza" en
cibernéticas de seus parceiros da cadeia de suprimentos variou entre 8% e
mitigar las amenazas cibernéticas de sus socios de la cadena de suministro varió 19%, dependendo
entre el
do8%
tipo de19%,
y el fornecedor (gráficodel
dependiendo 12). Node
tipo geral, 25% disseram
proveedor que "não
(ver gráfica12). Enconfiavam
general, elem
25%nada"
dijo em
sua capacidade de impedir ameaças cibernéticas de pelo menos um dos fornecedores.
"no confiar en absoluto" en su capacidad para prevenir las amenazas cibernéticas de al
menos uno de sus proveedores.
das"no
dijo empresas
confiar
ennaabsoluto"
América en
Poucas empresas confiam muito em sua capacidade
suLatina
GRÁFICO
capacidad 12 para gerenciar o risco cibernético de terceiros.
disseram
para prevenir P: O quão seguro está da capacidade de sua organização para
prevenir/mitigar o risco cibernético dos seguintes:
não
las confiar
amenazas
nem um de
cibernéticas Provedores de tecnologia 19% 58% 15% 8%
alpouco
menosemunosua Provedores de processos de negócios
decapacidade terceirizados 11% 50% 30% 9%

sus socios
de impedir
externos. Outros provedores de serviços ou produtos 8% 47% 30% 15%
ameaças Freelancers e consultores 7% 48% 31% 14%
cibernéticas Objetivos de aquisição

ou integrações recentes 9% 42% 18% 31%
de pelo menos
um de seus Demais seguro Um tanto seguro Inseguro Não sei
parceiros % de empresas que reportam diferentes níveis de confiança
Base: All answering; n=878 (2019); *Results for this option only
shown for businesses with US$1bn+ revenues (n=215)
También hubo una disparidad entre las medidas y estándares de seguridad cibernética
Háque las organizaciones
também se aplican
uma disparidade a sí mismas,
entre medidas en comparación
e padrões con las que
de cibersegurança esperan
que de
as organizações
sus proveedores (ver gráfica13). En general, los encuestados tenían más probabilidades
aplicam a si mesmas, em comparação com o que elas esperam dos seus fornecedores (gráfico de
establecer medidas de gestión de riesgos cibernéticos más exigentes en su propia
13). No geral, os entrevistados foram mais propensos a estabelecer medidas mais exigentes de
organización que
gerenciamento para sus
de riscos proveedores.
cibernéticos em sua própria organização do que em seus fornecedores.
Por
Por ejemplo,56%
exemplo, el 56%
das de las organizaciones
organizações disseram dijeron que
esperar esperan
que que los proveedores
os fornecedores en susde
de suas cadeias
cadenas dedigitais
suprimentos suministro digital implementen
implementem medidas de medidas de concientización
conscientização para seus para sus empleados.
funcionários. Por
Por lado,
outro su parte,
66%eldos
66% de los encuestados
entrevistados disseram dijo
queque suorganização
sua organizaciónimplementou
sí ha implementado tal
esse requisito
requisito de manera
internamente. interna. Dichas
Tais disparidades podem disparidades podrían llevar
levar as organizações a las organizaciones
a pensar a pensar
que seus fornecedores
quemenos
estão sus proveedores
preparados están
paramenos preparados
gerenciar para gestionar
riscos cibernéticos el riesgo
do que eles, ocibernético
que diminuique ellos
a confiança
damismos,
empresaloemquesua
disminuye
cadeia delasuprimentos.
confianza de la organización en su cadena de suministro.
15 15 • Estudode
• Encuesta dePercepción
Percepção del
do Risco
RiesgoCibernético
CibernéticonaenAmérica Latina 2019
Latinoamérica 2019
GRÁFICO Existe uma disparidade entre as medidas que as organizações esperam de si mesmas e
13 as esperadas de terceiros.
P: Que medidas de cibersegurança espera que seus sócios tomem / terceiros da cadeia de suprimentos?
Indique se sua organização tem tomado as ações específicas que se enumeram a seguir.
Avaliar o risco cibernético e os 80%

os controles contra padrões
de segurança 61%
Desproporção
no que se espera
de terceiros
Ter referência do risco 44%
cibernético de outros e/ou da
indústria 26%
70%
Melhorar a segurança dos
computadores, dispositivos e sistemas
91%
71%
Melhorar as capacidades
de proteção de dados
80% Implementou mais
internamente do
esperado de
56% terceiros
Implementar conscientização
para funcionários
66%
Identificar serviços externos, recursos e 36%

especialistas para garantir durante um
incidente cibernético 47%
Mede o que as empresas esperam que façam seus sócios da cadeia de suprimentos
Mede o que as próprias empresas implementam
Marsh • 16
Marsh • 16
El deseo por
Opiniões el rol del
divididas Gobierno
sobre
ogenera
papel opiniones
do governoencontradas
Las empresas ven una efectividad limitada de la regulación gubernamental para ayudar
As empresaselveem
a gestionar uma
riesgo eficácia limitada
cibernético, da regulamentação
pero están governamental
ansiosas por recibir para
ayuda con los ajudar
desafíos
acibernéticos
gerenciar o que
riscono
cibernético, mas desejam
pueden abordar receber
de manera ajuda
efectiva com
por desafios cibernéticos que
sí solas.
não podem resolver sozinhas.
En los últimos años, los reguladores a nivel mundial han promulgado numerosas medidas para hacer que las corporaciones y los
ejecutivos
Nos últimossean
anos,más directamente
os reguladores responsables
globais adotaram deinúmeras
garantizarmedidas
una seguridad cibernética
para tornar efectiva,
as empresas e osyexecutivos
de mantener seguros
mais los datos de
diretamente
los clientes. Muchas
responsáveis por umade estas regulaciones
segurança cibernéticay eficaz
marcose legales
manter requieren un mayor
os dados dos grado
clientes de transparencia
em segurança. Muitospor parte
desses de las organizaciones
regulamentos e
en todos los
estruturas niveles
legais de sus
exigem umactividades
maior grau dede manejo de datos
transparência dasy en su preparación
organizações para la
em todos osgestión delsuas
níveis de riesgo cibernético.
atividades El crecimientode
de gerenciamento
de tales
dados leyes
e na y regulaciones
preparação para o complementa
gerenciamentoundeconjunto de estándares
riscos cibernéticos. bien establecidos
O aumento de seguridadcomplementa
de tais regulamentos informática y um
cibernética
conjuntodedelas
autoridades
padrões para de la industria, como
computadores el NIST y la Organización
e cibersegurança, estabelecidosInternacional de Normalización
por órgãos internacionais (ISO).
reconhecidos, como o NIST e a Organização
Internacional para Padronização (ISO).
La mayoría de los encuestados dijeron que las leyes y regulaciones gubernamentales son menos efectivas para ayudarlos a mejorar
su estrategia
Em de ciberseguridad
geral, as organizações latinas que los estándares
consideram que osypadrões
lineamientos de la industria
internacionais que pueden
da indústria, implementar
que podem de manera voluntaria (ver
ser implementadas
gráfica 14). Aun así,
voluntariamente, sãopocos respondieron
mais eficazes do queque tanto la regulación
os regulamentos como los lineamientos
governamentais de la
para ajudá-los industria son
a melhorar suas"muy efectivos"
estratégias para ayudar a
de segurança
mejorar la estrategia
cibernética: de ciberseguridad
43% vs. 30% (gráfico 14). de su organización.
GRÁFICO Menos da metade das empresas na América Latina consideram que as leis
14 governamentais ou as orientações da indústria são eficazes para melhorar a segurança
cibernética.
P: Para cada uma das seguintes declarações, selecione uma ou mais opções que refletem na opinião
de sua empresa.
43% 30%
“Normas e orientações “A regulação e leis

como a NIST e a ISO, são governamentais são muito
muito eficazes para nos eficazes para nos ajudar a
ajudar a melhorar nossa melhorar nossa postura
postura em segurança de segurança cibernética”
cibernética”
Base: All answering: n=822 (2019) Base: All answering: n=828 (2019)

A principal diferença na atitude em relação à regulamentação cibernética está relacionada a ataques cibernéticos originados pelos
El área principal
próprios governos,desejam
diferencia en la ou
nacionais actitud hacia la regulación
internacionais cibernética
(gráfico 15). se relacionó
Nesse contexto, con los
a maioria dosataques cibernéticos
entrevistados (61%)por parte
disse demuito
estar
gobiernos (ver gráfica15). En este contexto, una mayoría
preocupada com o impacto desse tipo de ataques cibernéticos. de los encuestados (61%) dijo estar muy preocupado por el impacto de los
ciberataques por parte de gobiernos.
De acordo com o exposto, 55% das organizações disseram que é necessário que os governos façam mais para proteger empresas
De acuerdo
privadas a loataques
contra anterior,cibernéticos
el 55% de las organizaciones
originados dijoagentes,
por esses que es necesario
algo que que los gobiernos
acontece hagan
não apenas más paraLatina,
na América proteger
masa élauma
empresa
privada de ciberataques originados por estos actores, algo que ocurre no solo en Latinoamérica, sino que es una constante
constante no mundo inteiro. Esses resultados mostram que, embora as empresas geralmente prefiram uma abordagem independente a nivel
mundial. Estos resultados muestran que, si bien las empresas generalmente prefieren un enfoque independiente para administrar
para gerenciar seus problemas de segurança cibernética e de risco cibernético, em relação aos ataques governamentais, há uma clara sus
asuntos
exceção. de seguridad cibernética y riesgo cibernético, en lo relacionado a los ataques gubernamentales es una clara excepción.
GRÁFICO Empresas que buscam ajuda governamental para enfrentar ataques de outros governos.
15 P: Para cada uma das seguintes declarações, selecione uma ou mais opções que refletem na opinião de
sua empresa.
61% 55%
"Estamos muito "O governo precisa

preocupados com potencial fazer mais para ajudar a
dano que ciberataques de proteger ao setor privado
outros governos podem de ciberataques de
causar a nossa empresa". outros governos".
Base: All answering: n=825 (2019) Base: All answering: n=821 (2019)
Marsh • 18
Marsh • 18
cibernética
O gerenciamento eficaz de riscos cibernéticos requer uma avaliação quantitativa de
risco. Embora cada vez mais empresas latino-americanas meçam seus riscos cibernéticos
economicamente, ainda há um longo caminho para todas as organizações adotarem essa
prática e aplicarem essa quantificação para tomar decisões sólidas de investimento em
ciberriscos.
Os investimentos em tecnologia de cibersegurança estão aumentando e as necessidades de uma organização, aproveite as funções
rapidamente e excedendo em muito os gastos com seguros cyber. complementares de tecnologia e seguro para impedir ataques
Estima-se que o mercado global de seguros cibernéticos, medido pelo cibernéticos sempre que possível e transferir riscos que não podem
volume de prêmios emitidos, seja de aproximadamente US$ 8 bilhões ser evitados. No entanto, a ênfase nos gastos em tecnologia de
em 2020, em comparação com um mercado global de segurança cibersegurança em detrimento de outras medidas revela que muitas
cibernética de US$ 124 bilhões. empresas ainda não aceitaram essa verdade.
Muitas organizações concentram sua estratégia de gerenciamento Por exemplo, a maioria dos entrevistados assegurou ter implementado
de ciberriscos na prevenção, investindo em defesa cibernética com uma ou mais melhorias técnicas nos últimos 12 ou 24 meses (gráfico
tecnologia de ponta. Enquanto isso, os gastos com outras ferramentas 16). No entanto, foram tomadas menos iniciativas relacionadas a
e recursos para gerenciamento de riscos cibernéticos, como seguro ou treinamento/conscientização dos funcionários ou a planos de resposta a
treinamento em resposta a incidentes, continuam sendo uma fração do incidentes cibernéticos.
orçamento destinado à tecnologia. Isso sugere que muitas organizações
continuam acreditando que podem eliminar ou mitigar seus riscos Em geral, algumas das ações relatadas com menos frequência foram as
cibernéticos por meio da tecnologia e não mediante uma ampla gama que estão relacionadas à avaliação e modelagem de riscos cibernéticos.
de medidas de planejamento, transferência e resposta. É preocupante que o fato de apenas 28% terem declarado ter
trabalhado na modelagem de cenários de possíveis perdas antes de um
As melhores práticas não exigem a igualdade de gastos, mas ataque cibernético ou incidente ou no treinamento de seus líderes.
uma estratégia de investimento que, refletindo o perfil de risco

Por lo general, las acciones que menos realizaron las empresas en el último año fueron aquellas estrechamente relacionadas con la evaluación y
modelado del riesgo cibernético. Resulta preocupante el hecho de que sólo un 28% declare haber trabajado en el modelaje de escenarios de
pérdidas potenciales antes un ataque o siniestro cibernético, o en la capacitación de sus líderes.
GRÁFICO As ações de resiliência cibernética costumam focar em medidas técnicas.

16 P: Indique se sua organização realizou algumas das seguintes ações nos últimos 12/24 meses.
Técnicas
Melhorar a segurança de nossos
computadores, dispositivos e sistemas 81%
Melhorar a capacidade de proteção dos dados 73%
Realizar testes de intrusão (por

exemplo simulação de ataques) 47%
Políticas e procedimentos
Conscientização dos funcionários 61%
Fortalecer as políticas e procedimentos de

segurança cibernética 64%
Revisar/atualizar nosso plano de resposta a

incidentes cibernéticos 47%
Avaliação de riscos e preparação
Avaliar os riscos cibernéticos/regras de controle em

relação a segurança cibernética 56%
Identificar serviços externos,

recursos e especialista para suporte 42%
Avaliação de riscos de nossos

fornecedores /cadeia de suprimentos 31%
Simulados ou treinamentos para gerência 28%
Criar possíveis cenários de falhas cibernéticas 28%
Referências de riscos cibernéticos de pares/

23%
outras organizações
Sim, temos tomado ações específicas
Marsh • 20
Marsh • 20
Mirando hacia el futuro, todo indica que estas tendencias continuarán. Entre las áreas en las que las empresas planean aumentar el gasto en
gestión de
Olhando
Mirando riesgos
para
hacia en los
oelfuturo,
futuro, próximos
tudo
todoindica tres
indicaque años,
queessas más de la mitad
estastendências
tendencias citó la tecnología/mitigación
continuarão.
continuarán. Entre
Entreaslasáreas
áreasem lasdeque
enque asseguridad
empresas cibernética,
planejam
las empresas planean mucho
aumentarmás que
os gastos
aumentar encom
el gastotodas
en las
demás áreas
gerenciamento (ver gráfica
de en
riscos 17). Sin embargo,
nos próximos resulta alentador que la capacitación sea una de las áreas en las que se planea mayor inversión.
gestión de riesgos los próximos tres três
años,anos,
másmais
de lada metade
mitad citó lacitou a tecnologia / mitigação
tecnología/mitigación de segurança
de seguridad cibernética,
cibernética, muchomuito
más quemaisendotodas
que em
las
demásasáreas
todas (ver
outras gráfica
áreas 17). Sin
(gráfico 17).embargo,
No entanto,resulta alentador que olatreinamento
é encorajador capacitaciónsejasea uma
una de
daslas áreas
áreas emenque
las se
que se planea
planeja mayorinvestimento.
um maior inversión.
GRÁFICO Os investimentos em gestão de riscos estão centrados em tecnologias de

17
GRÁFICO cibersegurança
Os investimentose em
mitigação.
gestão de riscos estão centrados em tecnologias de
17 cibersegurança e mitigação.
P: Como espera que seja a evolução dos investimentos nas seguintes áreas de gestão de riscos nos
próximos três anos?
P: Como espera que seja a evolução dos investimentos nas seguintes áreas de gestão de riscos nos
próximos três anos?
Tecnologia em Cibersegurança/Mitigação 54%

Tecnologia em Cibersegurança/Mitigação 54%
Capacitação de colaboradores 50%
Capacitação de colaboradores 50%
Preparo e planejamento para ataques 37%
Preparo e planejamento parade

Contratatação ataques
pessoal 37%
28%
de segurança cibernética
Contratatação de pessoal
28%
de segurança
Seguro cibernética
cibernético 26%
Alternativas de transferência de riscos
Seguro cibernético 26%
cibernéticos (como cativas e grupos de 16%
Alternativas de transferência deriscos)
retenção de riscos
cibernéticos (como cativas e grupos de 16%
retenção de riscos) % que espera investir ou ampliar investimentos em cada área
% que espera investir ou ampliar investimentos em cada área
Si bien el incremento de la inversión en tecnología es una Base:buena

All answering:
noticia,n=885 (2019)
es preocupante el hecho de que este gasto no vaya acompañado
de un
Embora aumento
Si bien eloincremento correspondiente
aumento dode en
la inversión em
investimento el uso de
en tecnologíamarcos
tecnologiaes económicos
Base:
una
seja uma Allboa
buena (como
answering: n=885
noticia,
notícia, esla cuantificación
(2019)
preocupante
é preocupante eldel
que riesgo
hecho
essa cibernético)
de que
despesa este
nãogasto
sejaque
nopermitan unapor
mejora
vaya acompañado
acompanhada um
en la toma
de un aumento
aumento de decisiones informadas
correspondiente
correspondente no uso de para la
en estruturas inversión.
el uso de marcos Es absolutamente
económicos
econômicas (como(como crucial para las
la cuantificación
a quantificação organizaciones
do riscodel poder
riesgo cibernético)
cibernético) medir la efectividad
que permitan
que permitem de la
una mejora
uma melhoria na
reducción
en la toma del riesgo o permitir la comparación con otras inversiones corporativas de riesgo. De hecho, muchas organizaciones parecen
tomada de de decisiones
decisões sobreinformadas
investimento. paraÉlaabsolutamente
inversión. Es absolutamente crucial para laspossam
crucial que as organizações organizaciones poder medir
medir a eficácia la efectividad
da redução deou
de riscos la
tener una postura
reducción reactiva hacialaelcomparación
riesgo cibernético, ya inversiones
que el factorcorporativas
más citado para aumentar la inversión fueorganizaciones
que ocurra un incidente
permitam adel riesgo
comparação o permitir
com outros investimentoscon otras
em riscos corporativos. De fato, demuitas
riesgo. De hecho,
organizações muchas
parecem parecen
ter uma postura reativa
cibernético
tener (ver gráfica 18).hacia
una postura Mucho menoscibernético,
común fue ya que losellíderes empresariales iniciaran proactivamente unque
nuevo enfoque en la
em relação ao riscoreactiva
cibernético, uma el riesgo
vez que o fator mais que
citado factor más citado
no aumento para aumentar
do investimento foilaum
inversión fue
incidente ocurra
cibernético un incidente
(gráfico 18).
inversión
cibernético en riesgo cibernético.
Muito menos(ver gráfica
comum de18). Mucho são
acontecer menos comúndas
os líderes fueempresas
que los líderes empresariales
proativamente iniciaran
investirem proactivamente un nuevo enfoque en la
nisso.
inversión en riesgo cibernético.
GRÁFICO Os incidentes cibernéticos são o principal estímulo para o aumento do investimento

18
GRÁFICO na gestão
Os de risco
incidentes cibernético.
cibernéticos são o principal estímulo para o aumento do investimento
18 na gestão
P: Que
gestão
P:
fator de
terárisco
do risco
Que fator
maiorcibernético.
impacto para que se amplie o orçamento dedicado às seguintes áreas de
terácibernético?
maior impacto para que se amplie o orçamento dedicado às seguintes áreas de
gestão do risco cibernético?
Incidente cibernético/ataque a nossa empresa

62%
Incidente
Adoçãocibernético/ataque a nossa
de tecnologías novas empresa
ou emergentes 62%
56%
Adoção de tecnologías novas ou emergentes
Notícias de un ciberincidente/ataque a outra organização 56%
39%
Notícias de unnovas
Regulações ciberincidente/ataque a outra
ou em mudança (como organização
o GDPR da UE) 39%
39%
Regulações novas ou em mudança (como o GDPR da UE) 39%
22%
Mudança de liderança em nossa organização
Mudança de liderança empor

Pedido nossa organização
um cliente chave 22%
10%
Pedido por umou
Fusão cliente chave
aquisição 10%
8%
Fusão ou aquisição 8%qualquer área de maior investimento em risco cibernético
% selecionado como propulsor para
% selecionado como propulsor para qualquer área de maior investimento em risco cibernético
Base: All answering & stating they plan to invest more, excluding don’t know responses: n=615 (2019)
Base: All answering & stating they plan to invest more, excluding don’t know responses: n=615 (2019)
21
21 •• Estudo dede
Encuesta Percepção do del
Percepción Risco Cibernético
Riesgo na América
Cibernético Latina 20192019
en Latinoamérica
É animador comprovar o aumento no uso de métodos quantitativos para expressar exposições a riscos cibernéticos em nossa região
Resulta alentador comprobar que está avanzando el uso de métodos cuantitativos para expresar las exposiciones al riesgo cibernético en
(gráfico 19). A proporção de organizações latino-americanas que utilizaram esses métodos quadruplicou desde 2017, de 8% para 33%.
nuestra región (ver gráfica 19). La proporción de organizaciones de Latinoamérica que utilizaron dichos métodos se cuadriplicó desde 2017,
No entanto, duas em cada três empresas (67%) não os utilizam. Por outro lado, a proporção de entrevistados que disseram não ter uma
del 8% al 33%. Sin embargo, todavía dos de cada tres empresas (67%) no los usa. Por otro lado, disminuyó la proporción de encuestados que
abordagem para avaliar formal ou sistematicamente sua exposição ao risco cibernético diminuiu: de 43% em 2017 para 29% 2019.
dijeron no tener un enfoque para evaluar formal o sistemáticamente su exposición al riesgo cibernético: del 43% en 2017, al 29%. en 2019
GRÁFICO
A medição quantitativa da exposição ao risco cibernético aumentou consideravelmente
19 desde 2017, mas continuam baixas no geral.

P: A medição quantitativa da exposição ao risco cibernético aumentou consideravelmente desde 2017, mas
continuam baixas no geral
Usando qualquer método quantitativo, 33%

como a quantificação econômica, por
exemplo, do valor em risco
8%
Usando qualquer método qualitativo, 46%

por exemplo, categorias tipo
semáforo: verde / amarela / vermelha
35%
29%
Sem foco
43%
14%
Não sabe
20%
2019 2017
Base: All answering: n=1303 (2019); n=1312 (2017)
Marsh • 22
Marsh • 22
AAun
maioria
así, lados entrevistados
mayoría em 2019 (67%)
de los encuestados não(67%)
en 2019 expressou quantitativamente
no expresan sua exposição
sus exposiciones al riesgoacibernético
riscos cibernéticos ou usou dados
cuantitativamente ni tampoco usan
quantitativos para orientar
datos cuantitativos as decisões
para impulsar de investimento.
las decisiones Isso pode
de inversión. Esto ser
puededevido à falta
deberse defalta
a la experiência organizacional
de experiencia em relação
organizativa a essasa la
con respecto
metodologias, à falta
cuantificación del de recursos
riesgo (tempo
cibernético, e dinheiro)
la falta ou ao(tiempo
de recursos fato deymuitas
dinero)empresas continuarem
o la probabilidad de quea considerar as ameaças
muchas compañías cibernéticas
sigan considerando
como um problema
las amenazas tecnológico
cibernéticas comomais que um risco
un problema econômico.
tecnológico Essaun
más que última posição
riesgo é apoiada
económico. Estapelo fatoposición
última de que está
maisrespaldada
do dobro das por el hecho
organizações
de que más del avaliam
doble odeciberrisco contando
organizaciones as vulnerabilidades
evalúan dos sistemas
el riesgo cibernético contandoemlascomparação com asde
vulnerabilidades que avaliam
TI en custos, multas
comparación con laseque
perdas
em potencial
evalúan (gráfico
los costos 20).
potenciales, multas y pérdidas (ver gráfica 20).
Además
Além de cómo
de como se expresan
o risco el riesgo
cibernético cibernético,
é expresso, lasconsideradas
as áreas áreas consideradas al realizar
ao realizar evaluaciones
avaliações também también
variaramvariaron
bastante.ampliamente. Las que
As organizações
organizaciones que realizan alguna forma de evaluación del riesgo cibernético tienden a centrarse en contar las vulnerabilidades
realizam alguma forma de avaliação de riscos cibernéticos tendem a se concentrar na contagem de vulnerabilidades técnicas, em vez de técnicas,
en lugar
focar emde en los
custos decostos de remedio
reparação o recuperación,
ou recuperação, multasmultas u otras
ou outras responsabilidades.
responsabilidades.
GRÁFICO Os métodos de avaliação de riscos se concentram nas fraquezas técnicas, mas não
20 consideram adequadas os aspectos econômicos da exposição cibernética.
P: Sua empresa considera quais das seguintes opções na avaliação/medição do risco cibernético
Quantidade e tipo de fraquezas internas do TI 86%
Quantidade e tipo de fraquezas externas do TI 65%

Conscientização dos colaboradores/
cumprimento das políticas de cibersegurança 56%
Probabilidade que nossas medidas de

51%
controle sejam eficazes
Impacto da regulamentação e multas
por não conformidade 45%
Custo de controle ou mitigação de riscos
41%
cibernéticos específicos
Custo de responsabilidade ou dano econômico
de um evento cibernético específico 40%
Quantidade/valor de substituição de dados 33%

confidenciais armazenados internamente
Quantidade/valor de substiuição de dados
confidenciais em posse de terceiros 24%
Base: Those with some form of cyber risk assessment method: n=660 (2019)
23 • Estudo dede
Encuesta Percepção do del
Percepción Risco Cibernético
Riesgo na América
Cibernético Latina 20192019
en Latinoamérica
Las organizaciones
As organizações que
que expresan esurelatam
expressam riesgo cibernético en términos
financeiramente os riscoseconómicos tienden
cibernéticos tendema implementar una
a implementar mayor
uma gama
relação de actividades
maior de
de evaluación, planificación y capacitación que complementan las medidas técnicas, y que son esenciales para desarrollar
atividades de avaliação, planejamento e treinamento que complementam medidas técnicas e são essenciais para o desenvolvimento la resilienciade
cibernética (ver gráfica(gráfico
resiliência cibernética 21). Esto21).
implican transferencia
Isso envolve de riesgos,
a transferência medidas
de riscos deopolíticas
para seguro, oy procedimientos,
estabelecimento yde
unprocedimentos
enfoque integral para la e
e políticas
evaluación de riesgos, incluida la evaluación de proveedores y cadenas de suministro.
uma abordagem abrangente da avaliação desses riscos, incluindo de fornecedores e cadeias de suprimentos.
GRÁFICO As empresas que realizam a quantificação econômica do risco cibernético tem mais
21 probabilidade chances de equilibrar as ações técnicas e não técnicas.
P: Informe se sua empresa teve ações específicas nos últimos 12 a 24 meses, nas seguintes situações.
Técnicas
Melhorar a segurança de nossos computadores, 92%
dispositivos e sistemas
79%
Melhorar a capacidade de 86%

proteção dos dados
70%
Realizar testes de intrusão (por 62%

exemplo simulação de ataques)
42%
Políticas e procedimentos
71%
Conscientização dos colaboradores
58%
Fortalecer as políticas e procedimentos de 74%

segurança cibernética
61%
Revisar/atualizar nosso plano de resposta a 70%

incidentes cibernéticos
41%
Avaliação de riscos e preparação
Avaliar os riscos cibernéticos/regras de 78%

controle em relação a segurança cibernética 50%
Identificar serviços externos, recursos 64%

e especialista para suporte 36%
Avaliação de riscos de nossos 50%

fornecedores/cadeia de suprimentos 25%
Simulados ou treinamentos 47%

para gerência 23%
Criar possíveis cenários de 49%

falhas cibernéticas
22%
Benchmarks de riscos 37%

cibernéticos/outras organizações 19%
Expressa seus riscos cibernéticos em termos econômicos

Não expressa seus riscos cibernéticos em termos econômicos
Marsh
Marsh••24
24
Seguro cibernético
Nem todos os riscos cibernéticos podem ser mitigados por meio de políticas corporativas
ou tecnologia. Perdas de baixa frequência e alta intensidade podem impactar
criticamente as finanças e operações de uma organização. Nesses casos, a transferência
de risco por meio de seguro é essencial.
Na América Latina, 29% das empresas afirmam ter cobertura de seguro cyber (gráfico 22), em comparação com 47% da média global. No
entanto,
Pero esse percentual
no todos los riesgos varia de acordo
cibernéticos com omitigarse
pueden tamanhoada empresa:
través enquanto mais
de la tecnología, de um terço
las políticas o el das organizações
proceso, médiaslas
especialmente (37%) e grandes
pérdidas de
(40%)frecuencia
baja possui esse seguro,
pero de altaapenas 22%que
gravedad daspueden
pequenas empresas
causar dañosofinancieros
compram.yDa mesma forma,
operativos se compararmos
significativos. En estos esses
casos,números com os del
la transferencia
globais,a nossa
riesgo través região ainda está
de un seguro longe
u otros dos níveis
métodos ideais de garantia.
es esencial.
Os Latinoamérica,
En investimentos em tecnologia
el 29% de cibersegurança
de las empresas dicen queestão
ahoraaumentando
tienen dicharapidamente
cobertura deeseguro
superando o gasto22).
(ver gráfica em En
seguro
este cyber.
sentidoOexisten
mercado
global desses
tendencias seguros (medido
divergentes a partir em
del prêmios
tamaño deemitidos) é estimado
la empresa: emque
mientras US$más
8 bilhões
de unaem 2020,parte
tercera em comparação
de medianascom um mercado
y grandes global
empresas de
cuentan
cibersegurança
con no valor desolo
un seguro cibernético, US$un 12422%
bilhões.
de las pequeñas lo tienen.
GRÁFICO As médias e grandes empresas tem mais chances de possuir um ciberseguro

22 P: Como sua empresa se posiciona em relação ao seguro cibernético?
40%
29% 37%
22%
Em geral Menos de US$100 mi De US$100 mi a Mais de US$1 bi

de receita anual US$1 bi de receita anual de receita anual
Desde 2017, la incertidumbre ha disminuido en torno a la capacidad del seguro cibernético para proteger contra pérdidas. Las
organizaciones que afirman que "no saben" si el seguro cibernético está disponible bajó de un 42% en 2017 a 39% en 2019 (ver gráfica 23).
La proporción de las compañías que dicen que el seguro cibernético satisface algunas necesidades organizacionales se incrementó del
29% en 2017 al 40% en 2019. El desafío para las aseguradoras en el futuro es aumentar la percepción de que el seguro cibernético puede
satisfacer adecuadamente las necesidades organizacionales, ya que esa cifra se mantuvo constante al 12%.
GRÁFICO A incerteza na capacidade de ciberseguro para satisfazer as necessidades de uma empresa

23 diminuiu significativamente nos últimos anos.
P: Complete a sentença com uma das seguintes opções: O seguro cibernético disponível no mercado atual...
2019 12% 40% 9% 39%
2017 22% 29% 8% 42%

Satisfaz todas as necessidades da minha empresa Satisfaz algumas das necessidades da minha empresa
Não satisfaz as necessidades da minha empresa Não sei

Em geral Menos de US$100 mi De US$100 mi a Mais de US$1 bi
de receita anual US$1 bi de receita anual de receita anual
Desde
Desde 2017, a confiança
2017, la das empresas
incertidumbre na capacidade
ha disminuido en torno ado
la seguro cibernético
capacidad de cibernético
del seguro protegê-las para
de alguma forma
proteger contra
contra perdasLas
pérdidas. de acidentes
aumentou
organizaciones que afirman que "no saben" si el seguro cibernético está disponible bajó de un 42% en 2017 a 39% en 2019 (veragráfica
(40% vs. 29% em 2017). No entanto, se tomarmos o conjunto de empresas que garantem que sua cobertura atenda todas ou
23).
algumas de suas necessidades de proteção cibernética, a confiança permanecerá estável (gráfico 23). O desafio para as
La proporción de las compañías que dicen que el seguro cibernético satisface algunas necesidades organizacionales se incrementó delseguradoras no
futuro
29% ené 2017
aumentar
al 40%a confiança
en 2019. Eldedesafío
que o ciberseguro pode atender
para las aseguradoras en eladequadamente todas
futuro es aumentar la as suas necessidades
percepción organizacionais,
de que el seguro uma
cibernético vez
puede
que esse percentual diminuiu em comparação com 2017 (12% vs. 22%).
satisfacer adecuadamente las necesidades organizacionales, ya que esa cifra se mantuvo constante al 12%.
GRÁFICO A incerteza na capacidade de ciberseguro para satisfazer as necessidades de uma empresa

23 diminuiu significativamente nos últimos anos.
P: Complete a sentença com uma das seguintes opções: O seguro cibernético disponível no mercado atual...
2019 12% 40% 9% 39%
2017 22% 29% 8% 42%
Satisfaz todas as necessidades da minha empresa Satisfaz algumas das necessidades da minha empresa
Não satisfaz as necessidades da minha empresa Não sei
Este nivel moderado de certeza se refleja en las percepciones sobre la capacidad de respuesta de políticas cibernéticas organizacionales
Uma em cada
específicas. cinco
Una empresas
quinta (21%)
parte de diz estar muito
las empresas confiante
encuestadas na capacidade
expresó una gran de respostaendeque
confianza suas
suapólices de seguro
seguro cubriría los cibernético, o que,con
costos asociados
somado
un eventoàscibernético,
que se sentem razoavelmente
y más de la mitad tenía Base: All
confiantes
bastante answering;
(54%), n=1307
significa
confianza (2019);
(verque n=1120
podemos
gráfica (2017) que a maioria das organizações na América
24). garantir
Latina se sente bem protegida com suas políticas atuais. No entanto, 17% disseram não confiar nessa capacidade de seguro (gráfico 24).

GRÁFICO 75% das empresas apresentam grande ou considerável confiança em que suas apólices
24 de seguro cobririam todos os custos de um incidente cibernético.
P: Quão seguro está de que as coberturas do programa de seguros de sua empresa (apólices de riscos
cibernéticos ou outras) cobrirão os custos em caso de um incidente cibernético?
21%
9%
17%
54%
Bastante confíante Confiante Nada confiante Não sei
Base: All with cyber insurance: n=526 (2019)
Marsh • 26
As empresas que usam métodos quantitativos de avaliação de riscos cibernéticos tendem
a comprar mais seguro cibernético do que aquelas que usam apenas métodos qualitativos
ou nenhum: 52% vs. 26% (gráfico 25). Isso acontece porque as primeiras estão mais
Las organizaciones que usan métodos cuantitativos económicos de evaluación del
informadas e dispostas a capitalizar o valor do seguro. Além disso, essas empresas
riesgo cibernético tienden más a comprar un seguro cibernético que aquellas que usan
garantem que planejam renovar (28%) ou expandir (20%) sua cobertura e/ou limites.
solo métodos cualitativos o ningún método para evaluar las exposiciones a los riesgos
cibernéticos (ver gráfica 25).
É preocupante que, em ambos os cenários, uma grande porcentagem de empresas ainda
não tenha ou planeje comprar seguro: 25% entre as que quantificam economicamente o
Las empresas que cuantifican económicamente sus exposiciones al riesgo cibernético
risco e 44% entre aquelas que utilizam outros métodos de avaliação.
estarían mejor informadas y dispuestas a capitalizar el valor del seguro cibernético.
En consecuencia, casi el triple de la proporción de empresas que expresan riesgo
económicamente planea expandir la cobertura, en comparación con las que no lo hacen.
GRÁFICO As empresas que utilizam métodos econômicos de

25 avaliação de riscos cibernéticos têm mais
probabilidade de comprar seguro cyber e
aumentar as coberturas atuais.
P: Como sua empresa se posiciona em relação ao seguro
cibernético?
7%
20%
26%
52% 18%
Possuem seguro
cibernético
Possuem seguro
cibernético 28%
1%
30%
4%
23%
44%
25%
Expressam o Ciberrisco Todos os demais

Economicamente Métodos
Método para expressar a exposição ao ciberrisco
Atualmente tem uma apólice de Não tem seguro cibernético,

seguro cibernético e planeja ampliar mas planeja adquirir nos
as coberturas ou os limites, ou ambos próximos 12 meses
Atualmente tem uma apólice de
seguro cibernético e planeja renovar Não tem seguro cibernético e
não planeja adquirir nos
as coberturas atuais
próximos 12 meses
Atualmente tem uma apólice de
seguro cibernético, mas não planeja
renovar-la
Base: All answering, excluding dont know responses: n = 1120 (2019)

Conclusão
À medida que os riscos cibernéticos se tornam cada Na prática, o estudo deste ano aponta para uma série
vez mais complexos e desafiadores, percebe-se de melhores práticas empregadas pelas empresas
que as empresas, lenta mas seguramente, estão com maior resiliência cibernética e que todas as
começando a implementar as melhores práticas empresas devem considerar a adoção de:
de gerenciamento ciberrisco. Quase todas as
organizações pesquisadas reconhecem a magnitude •• Criação de uma cultura de segurança cibernética
do risco cibernético: muitas estão mudando aspectos organizacional forte, com padrões claros e
de sua abordagem para enfrentar a ameaça e a compartilhados de governança, responsabilidade,
maioria está fazendo um bom trabalho na segurança recursos e ações.
cibernética tradicional.
•• Quantificação do risco cibernético para
tomar decisões de alocação de capital
As organizações mais experientes estão
melhor embasadas, permitindo a medição do
desenvolvendo resiliência cibernética por meio de
desempenho e enquadramento do risco nos
estratégias mais abrangentes e equilibradas para
mesmos termos econômicos que outros riscos
gerenciar os riscos, em vez de se concentrarem
comerciais.
apenas na prevenção. Essas abordagens mais
complexas explicam a necessidade de desenvolver •• Avaliação das implicações do ciberrisco trazido
recursos para entender, avaliar e quantificar os riscos pelas novas tecnologias como um processo
cibernéticos em primeiro lugar, além de adicionar contínuo e prospectivo ao longo de seu ciclo de
as ferramentas e os recursos para responder e se vida.
recuperar de incidentes cibernéticos quando eles
ocorrem. •• Gerenciamento do risco da cadeia de suprimentos
como um problema coletivo, reconhecendo a
No entanto, a pesquisa deste ano mostra que necessidade de padrões de confiança e segurança
permanece uma lacuna considerável entre compartilhados em toda a rede, incluindo o
a localização do risco cibernético na agenda impacto cibernético da organização em seus
corporativa e o nível geral de maturidade parceiros.
organizacional no gerenciamento de riscos. Muitas
•• Procura e apoio a parcerias público-privadas em
empresas em todo o mundo poderiam se beneficiar
torno de problemas críticos de risco cibernético
se aplicassem os princípios do gerenciamento
que possam fornecer proteções mais fortes e
estratégico de riscos à sua abordagem de
padrões básicos de boas práticas para todos.
ciberrisco, apoiadas por mais experiência, recursos
e atenção dos membros da gerência à medida que
Com o aumento da confiança organizacional na
desenvolvem resiliência cibernética.
capacidade de gerenciar riscos cibernéticos, mais
empresas reconhecem claramente a natureza
Na era da Internet das Coisas (IoT), com cadeias de crítica da ameaça e começam a buscar e adotar
suprimentos digitalmente dependentes e tecnologia as melhores práticas. O gerenciamento eficaz
inovadora, as práticas e mentalidades de ontem não de riscos cibernéticos requer uma abordagem
são suficientes e podem realmente inibir a inovação. abrangente que utilize avaliação, medição, mitigação,
Otimizar a segurança do "castelo" (a organização de transferência e planejamento de riscos, e o programa
mente fechada) para a comunidade em geral é mais ideal dependerá do perfil de risco exclusivo e da
difícil, mas inevitável. É fundamental uma mudança tolerância de cada empresa. Mesmo assim, essas
do foco exclusivo na segurança comercial para recomendações abordam muitos dos aspectos
assumir a responsabilidade pela segurança em toda a comuns e mais urgentes do risco cibernético que
cadeia de suprimentos. as organizações enfrentam atualmente e devem ser
vistas como sinais no caminho para a construção da
verdadeira resiliência cibernética.
Marsh • 28
Metodologia
Este relatório é baseado em descobertas do Estudo de Percepção do Risco Cibernético na
América Latina 2019 (como parte de um estudo global), realizada entre fevereiro e março
de 2019.
No geral, 531 líderes de empresas latinas participaram da pesquisa, representando uma

série de funções-chave, incluindo gerenciamento de riscos, tecnologia / segurança
da informação, finanças, jurídico / compliance, diretores executivos e conselhos de
administração.
Dados demográficos da pesquisa

Geografia
Onde os participantes da pesquisa estão

Colômbia 34%
Brasil 18%
México 16%
Peru 12%
Argentina 8%
Outros 12%
Indústrias
Setores da indústria nos quais as empresas operam

Manufatura/Automotiva 16%
Varejo/Atacado 11%
Instituições Financeiras 9%
Energy/Power 8%
Health Care/Life Science 7%
Transportes/Ferrovias/Marine 6%
Comunicações, Mídia and Tecnologia 5%
Professional Services 5%
Real Estate 4%
Química 4%
Infraestrutura 4%
Educação 4%
Entidades Públicas/Sem fins lucrativos 4%
Mineração/Metais/Minerais 2%
Aviação/Aerospacial 1%
29 • 2019 Global Cyber Risk Perception Survey

SOBRE A MARSH
Marsh é a principal corretora de seguros e consultora de riscos
do mundo. Com mais de 35.000 colaboradores operando
em mais de 130 países, a Marsh atende clientes comerciais
e individuais com soluções de risco orientadas a dados e
serviços de consultoria. A Marsh é uma subsidiária integral da
Marsh & McLennan Companies (NYSE: MMC), empresa líder
global de serviços profissionais nas áreas de risco, estratégia e
pessoas. Com receita anual superior a US$ 15 bilhões e 75.000
colaboradores em todo o mundo, a MMC ajuda os clientes a
navegar em um ambiente cada vez mais dinâmico e complexo
por meio de quatro empresas líderes de mercado: Marsh, Guy
Carpenter, Mercer e Oliver Wyman. Siga a Marsh no Twitter @
MarshGlobal, LinkedIn, Facebook e YouTube, ou assine BRINK.
SOBRE A MICROSOFT
A Microsoft (Nasdaq “MSFT” @microsoft) permite a
transformação digital para a era de nuvem com vantagem
inteligente. Sua missão é capacitar todas as pessoas e
organizações do planeta para alcançar mais. A equipe de
Diplomacia Digital da Microsoft, que fez parceria com Marsh
neste estudo, combina conhecimento técnico e perspicácia
em políticas públicas para desenvolver políticas que melhoram
a segurança e a estabilidade do ciberespaço e possibilitam a
transformação digital das sociedades em todo o mundo.
RECONHECIMENTOS
Marsh e Microsoft agradecem à B2B International por sua ajuda
na criação, análise e relatório dos resultados desta pesquisa.
A B2B International é a principal empresa de pesquisa de
mercado business-to-business do mundo. É especializada no
desenvolvimento de pesquisas de mercado personalizadas
e programas de insight para algumas das principais marcas
da indústria, financeiras e de tecnologia do mundo. A B2B
International conta com 600 das 1.500 maiores empresas entre
seus clientes. A B2B International faz parte da gyro, a agência
criativa b2b dedicada à Dentsu Aegis Network.
Marsh • 30
Para mais informações sobre as soluções de
gerenciamento de riscos cibernéticos da Marsh,
acesse marsh.com.br ou entre em contato com seu
representante Marsh Brasil:
Marta Helena Schuh (Líder de Riscos Cibernéticos)

+55 11 998 857 118
marta_schuh@jltbrasil.com
Para saber mais sobre as ofertas de segurança da

Microsoft, visite www.microsoft.com/security.
Marsh é uma das empresas Marsh & McLennan, juntamente com Guy Carpenter, Mercer e Oliver Wyman.
Este documento e todas as recomendações ou análises fornecidas pela Marsh (coletivamente, a “Análise da Marsh”) não devem ser tomadas como conselhos em relação a qualquer situação individual e não
devem ser consideradas como tal. As informações aqui contidas são baseadas em fontes que acreditamos ser confiáveis, mas não oferecemos representação ou garantia quanto à sua precisão. A Marsh não
terá nenhuma obrigação de atualizar esta análise e não terá nenhuma responsabilidade perante você ou qualquer outra parte decorrente desta publicação ou de qualquer assunto aqui contido. Quaisquer
declarações relativas a assuntos atuariais, tributários, contábeis ou legais são baseadas apenas em nossa experiência como corretores de seguros e consultores de riscos e não devem ser consideradas
assessoria atuarial, tributária, contábil ou jurídica, para as quais você deve consultar seu próprio profissional. Qualquer modelagem, análise ou projeção está sujeita a incerteza inerente e a análise da Marsh
pode ser materialmente afetada se quaisquer suposições, condições, informações ou fatores subjacentes forem imprecisos ou incompletos ou se mudarem. A Marsh não faz representação ou garantia sobre
a aplicação da formulação da política ou a condição financeira ou solvência das seguradoras ou resseguradoras. Marsh não garante a disponibilidade, o custo ou os termos da cobertura do seguro. Embora
a Marsh possa fornecer conselhos e recomendações, todas as decisões relativas à quantidade, tipo ou termos de cobertura são de responsabilidade final do comprador do seguro, que deve decidir sobre a
cobertura específica adequada às suas circunstâncias e posição financeira.
Copyright © 2019 Marsh LLC. Todos os direitos reservados. 280497

Estudo de Percepcao de Riscos Ciberneticos 2019 Brasil

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Estudo de Percepcao de Riscos Ciberneticos 2019 Brasil

Enviado por

Direitos autorais:

Formatos disponíveis

INSIGHTS SETEMBRO

Risco Cibernético: prioridade vs.

Novas tecnologias aumentam a

Risco no supply chain: rumo a uma

Opiniões divididas sobre o papel do

Cultura de segurança e resiliência

•• 73% dos respondentes na América Latina classificaram o risco

•• No Brasil, 40% dos respondentes disseram confiar amplamente

2 • Estudo de Percepção do Risco Cibernético na América Latina 2019

–– 88% dos respondentes dizem que a área de TI/segurança da informação é

–– A figura do gerente de riscos, como peça-chave na gestão de ciberriscos,

–– 70% dos respondentes pretendem investir em tecnologia de

–– 68% disseram que um ataque cibernético em sua empresa seria o

–– 41% das organizações dizem que a adoção de novas tecnologias ajudará a

–– 65% esperam investir mais nos próximos anos em capacitação de pessoal

•• Na América Latina, a distribuição entre as empresas que compram seguro

–– 40% possuem renda superior a US$ 1 bilhão

–– 22% com renda inferior a US$ 100 milhões

•• 52% acreditam que o seguro cibernético cobre a totalidade ou grande parte

GRÁFICO O risco cibernético aumentou consideravelmente entre as prioridades de riscos das

42% 2017 2019

Base: All answering; n=1312 (2017); n=1512 (2019)

4 • Encuesta de Percepción del Riesgo Cibernético en Latinoamérica 2019

4 • Estudo de Percepção do Risco Cibernético na América Latina 2019

Incerteza econômica 15% 44% 59%

Dano à marca/Reputação 8% 44% 52%

Regulamentações 8% 43% 51%

Perda de pessoa chave 7% 43% 50%

Atividade criminal (Roubo, fraude) 9% 31% 40%

Alteração da cadeia de produção 10% 30% 40%

Crédito/Risco de liquidez 9% 28% 37%

Desastres nat./Mudanças climáticas 4% 32% 36%

Acidentes industriais 6% 19% 25%

Instabilidade política/Guerra 3% 18% 21%

Espionagem industrial 1% 10% 11%

Base: All answering; n=1512 (2019)

2019 20% 53% 27%

2019 18% 52% 30%

2017 7% 62% 31%

Muito segura Um tanto segura Nada segura

GRÁFICO A equipe de TI segue como principal responsável da gestão de risco cibernético na

Board Diretivo 53%

Outros níveis (Estratégia e Planejamento 57%

responsables / impulsores de la gestión del riesgo cibernético

% de empresas que tem adotado ou estão provando/considerando cada tecnologia.

Para a maioria das novas

% de organizações que estão de acordo com alguma das declarações.

Base: All answering; n=852 (2019)

9 • Encuesta de Percepción del Riesgo Cibernético en Latinoamérica 2019

Cloud 4% 9% 23% 25% 29% 10%

Internet das coisas (IoT) 9% 10% 19% 22% 21% 19%

Produtos Digitais e desenvolvimento 10% 12% 23% 25% 16% 14%

Robótica / Automatização 18% 17% 18% 16% 11% 20%

Blockchain 19% 12% 17% 10% 8% 34%

1 (Mínimo a nenhum) 2 3 4 5 (Extremamente alto) Não sei

10 • Estudo de Percepção do Risco Cibernético na América Latina 2019

GRÁFICO O risco cibernético se avalia mais durante as etapas de exploração ou provas

75 % AVALIAM RISCOS ANTES

69% 75 % EVALÚAN RIESGOS

GRÁFICO As organizações que avaliam continuamente o risco cibernético das novas

Aqueles que avaliam os riscos cibernéticos

Aqueles que não avaliam 14%

Base: All answering both Q9 & Q24: n=696 (2019)

Nunca acreditamos que as