Risco Cibernético - uma prioridade para os empresários

A atenção mediática e a consequente e necessária discussão que se tem gerado em redor da recente vaga de ataques em Portugal têm contribuído para uma crescente sensibilização da sociedade civil e das empresas para o risco cibernético.  

O número de incidentes cibernéticos em Portugal e no mundo tem aumentado exponencialmente nos últimos anos e, se esta tendência já era preocupante num mundo cada vez mais digital, a ameaça do cibercrime assume contornos cada vez mais alarmantes. De referir que Portugal está entre os 30 países com maior número de ataques cibernéticos a nível mundial, E o Brasil é o 5.º maior alvo de cibercrimes, atrás apenas dos Estados Unidos, Reino Unido, Alemanha e África do Sul.   

Apesar de o risco cibernético estar há vários anos no top das preocupações dos gestores de risco e empresas, e da sua atual dimensão e impacto, a gestão destes riscos ainda não é vista como uma prioridade estratégica. Os seguros cibernéticos são uma excelente ferramenta para a gestão de risco, mas as empresas ainda não estão a aproveitar esta ferramenta para reforçar a sua proteção e garantir a continuidade e sustentabilidade dos seus negócios.  

Uma das principais obrigações dos gestores é garantir a continuidade do negócio e proteger atividades, informação e dados (seus e dos seus clientes), agravada, no enquadramento atual, por uma dependência digital crescente e incontornável. 

A pandemia constituiu uma prova de fogo para todas as organizações forçando-as a reagir e a readaptarem-se. No final, conseguiram reagir e readaptar-se melhor as que tinham implementado práticas de gestão de risco e planos de continuidade de negócio robustos. Foi uma vez mais demonstrado – e em circunstâncias extremas a uma escala global – que é crítico para o sucesso e continuidade dos negócios que todos os riscos suscetíveis de afetar as organizações (incluindo-se obviamente os riscos cibernéticos) sejam objeto de uma cuidada análise e gestão. 

Numa primeira fase é essencial compreender e avaliar cada risco, quer na sua ocorrência, quer nos seus impactos, e, numa segunda fase, promover e implementar estratégias de prevenção, de resposta e de recuperação que diminuam a probabilidade de ocorrência. Por fim, através do seguro minimizar o impacto de um incidente de cibersegurança e garantir a continuidade do negócio. 

 

A atividade de gestão de risco cyber das empresas abrange, forçosamente, a sua transferência para o mercado segurador, através do cyber seguro, de forma a aumentarem a sua resiliência e garantirem a continuidade das suas operações e atividades. É de salientar que o seguro cibernético não substitui nem exclui os mecanismos de segurança e os planos eficazes de resposta a incidentes; como também estes, não tornam o seguro desnecessário ou redundante. Estas realidades complementam-se. Aliás, é já um facto indiscutível que a maioria dos incidentes resulta, por variadíssimas razões e formas, do erro humano (por exemplo, a simples perda de um portátil ou de um telemóvel; descarregar, por descuido, um ficheiro malicioso anexo a um email de phishing, etc.) e não, unicamente, de problemas na infraestrutura de segurança. 

O próprio seguro tem acompanhado a alteração das necessidades do mercado e evoluído para responder, eficazmente, às necessidades dos segurados, sendo capaz de reduzir, com significado, o impacto económico e operacional dos incidentes. 

Uma solução de seguro atual e bem construída ultrapassa os limites e modelos de atuação das apólices tradicionais, disponibilizando uma oferta integrada de serviços e coberturas. Inclui serviços de prevenção e monitorização de ataques, resposta urgente em caso de sinistro, bem como acesso a redes de especialistas informáticos e peritos forenses com experiência comprovada no tratamento de sinistros.   

Simultaneamente, estes seguros garantem os custos relacionados com os danos e prejuízos sofridos pela própria empresa, perdas de lucros resultantes de interrupção do negócio, e responsabilidades perante terceiros. 

Em suma, o risco cibernético deixou de ser apenas emergente para passar a ser, definitivamente, presente. De facto, pode-se afirmar que, para todos nós, um incidente cibernético é certo – apenas é incerto o momento da sua ocorrência. Já não é uma realidade longínqua, abstrata, que só afeta os outros ou só as grandes organizações. Não! Afeta de forma transversal e com grande impacto, toda a sociedade, isto é, cidadãos, famílias e organizações, sejam elas de pequena, média ou grande dimensão.