voltar
Risco cibernético: o negócio não o pode ignorar
17.10.2023
O risco cibernético tornou-se, nos últimos anos, uma das maiores ameaças para as organizações em todo o mundo e, obviamente, Portugal, não foge à regra.
O mundo hiperconectado em que vivemos, fortemente suportado e dependente da tecnologia, expandiu, de forma extraordinária, as fronteiras da humanidade, permitindo no ciberespaço a conexão e interação de todos com todos, a partilha de informações, assim como a celebração de negócios sem obstáculos inultrapassáveis de idiomas e/ou geografias.
Esta revolução digital gera, inevitavelmente, dependências e vulnerabilidades, trazendo preocupações com a privacidade e a segurança cibernética propriamente dita.
O resultado tem sido o aumento, de forma consistente e persistente, do número de incidentes e quase-incidentes cibernéticos em todo o mundo. Até porque os agentes maliciosos também eles aproveitam este novo mundo digital, agora com superfícies de ataque altamente amplificadas.
Importa sublinhar que a dimensão do risco não é proporcional à cobertura mediática deste tema, que normalmente incide sobre organizações com grande relevo social ou económico; mas este constitui, apenas, a "ponta do iceberg”, pois, na verdade, por cada ataque noticiado, muitos outros ocorreram sem cobertura noticiosa, mas atingiram, com violência, pequenas e médias organizações.
Na realidade, os ataques cibernéticos afetam de forma transversal e impactante todo tipo de organizações, sejam públicas ou privadas, tenham pequena, média ou grande dimensão.
Um incidente cibernético gera uma multiplicidade de problemas, tais como interrupção do negócio e paralisação da atividade operacional; violação de dados de clientes, fornecedores, colaboradores; danos à reputação e responsabilidades civis perante terceiros.
É a atividade das organizações - o "negócio” - que é particularmente impactada.
É, assim, fundamental que as organizações encarem e tratem o risco cibernético não como um simples risco tecnológico, da esfera de IT, mas sim do negócio – ou melhor, da sua continuidade – e lhes atribuam um cariz estratégico, da responsabilidade dos conselhos de administração das empresas.
Importa destacar que o impacto financeiro, legal, reputacional e estratégico de um incidente pode ser tão grave que pode colocar em causa, e de forma irreversível, a própria sobrevivência da empresa.
É, por isso, absolutamente crítico que as organizações atuem e adotem uma gestão proativa do risco cibernético, que inclua, obrigatoriamente, a sua mitigação através do investimento em segurança e da sua transferência para o mercado segurador. Sublinho a expressão proativa, na medida em que a inação pode acarretar um custo inevitavelmente superior, colocando em causa a sobrevivência, a confiança e os direitos de todos os stakeholders da organização.
Torna-se fundamental o investimento em segurança com o objetivo de fortalecer as defesas e mitigar os riscos cibernéticos, reduzindo a probabilidade de um ataque bem-sucedido, graças à implementação de medidas técnicas, políticas e processos para proteger sistemas, redes e dados contra ataques cibernéticos. Isso pode incluir: firewalls, antivírus, sistemas de detecção de intrusões, criptografia, controle de acessos com autenticação multifator, backups regulares e recuperação de dados; monitorização de rede; monitorização de log; segmentação de rede; testes de penetração; gestão de identidade e acesso; gestão de dispositivos móveis; formação de colaboradores; testes de vulnerabilidade e penetração; política de segurança da informação; classificação de dados; conformidade com regulamentações; auditorias de segurança; plano de continuidade de negócio; recuperação de desastres resposta a incidentes, entre outros.
Contudo, mesmo com o nível máximo de segurança cibernética, nenhum sistema é inviolável e invulnerável. Até porque, os sistemas interagem com pessoas, que erram e são ludibriadas. Os dados demonstram que muitos ataques resultam de erros e descuidos humanos e não propriamente de vulnerabilidades da tecnologia.
Neste contexto, o seguro cibernético desempenha um papel fundamental na proteção das empresas contra o impacto financeiro que um ataque cibernético pode provocar.
Esta solução de proteção, em complemento com o investimento em segurança, contribui para garantir a continuidade das operações, permitindo que as empresas voltem a funcionar mais rapidamente após um incidente, protege os ativos financeiros e reputacionais da empresa contra ameaças cibernéticas e é um poderoso instrumento para assegurar o cumprimento das obrigações legais relacionadas com proteção de dados, num contexto de incidente.
Simultaneamente, permite que os responsáveis das empresas se concentrem nos seus negócios sabendo que têm um parceiro que partilha o seu risco e que lhes dará suporte técnico e financeiro em caso de ataque.
Além disso, ao investir na contratação de um seguro, as empresas demonstram o seu compromisso com a segurança dos dados e a proteção dos interesses dos clientes, o que pode ser uma vantagem competitiva no momento de ganhar um negócio.
Num mundo em que o risco cibernético é uma ameaça crescente e incontornável para as empresas e o seu potencial danoso é tremendo, é fundamental que todos nós e, em especial os líderes executivos das organizações, não ignoremos esta realidade. Convém não esquecer que o perigo está sempre ali ao lado.
Por Pedro Pinhal, Diretor Técnico e Sinistros da MDS Portugal
Publicado no Vida Económica