Portugal

 

Risco

Cyber Loop: a resposta circular ao risco cibernético

Entre os 10 principais riscos identificados no Global Risk Management Survey 2019, da Aon, a cibersegurança está no sexto lugar.

Segundo o mais recente Relatório do Eurostat, cerca de 12% das empresas europeias inquiridas indica ter tido problemas como falhas em serviços informáticos, corrupção ou acesso indevido a dados. O mesmo estudo revela que somente 10% das empresas portuguesas estão seguradas contra ciberataques, enquanto que a média de empresas protegidas por apólices na União Europeia é de 24%.

Apesar de os riscos serem conhecidos, a resposta das empresas para lidar com questões de cibersegurança geralmente acontece no pior momento: em pleno ataque. Além dos custos imediatos resultantes da falha de segurança, o impacto a longo prazo na reputação de uma marca e a perda de confiança do consumidor podem ser irreparáveis.

Quando inquiridos, muitos gestores de topo revelam que o risco cibernético é uma das suas maiores preocupações, no entanto, a natureza complexa e pouco imediata da resiliência cibernética acaba por levar à inação.

A gestão de riscos cibernéticos requer não uma estratégia linear, mas antes uma estratégia repetitiva e circular, dividida em quatro etapas: avaliação de risco, quantificação de risco, seguro cibernético e resposta a incidentes. A essa estratégia dá-se o nome de Cyber Loop.

AS QUATRO FASES DO CYBER LOOP

1 – Avaliação de risco

Muitas vezes os procedimentos de cibersegurança das empresas são falíveis, e mesmo quando são mais avançados, avaliações técnicas de risco costumam revelar que os funcionários não os seguem.

Como a fase de avaliação de risco se concentra nas pessoas, nos processos e na tecnologia, esta pode dar à empresa uma imagem do seu atual estado de resiliência cibernética para, a partir daí, poderem tomar medidas para reduzir riscos.

A avaliação não pode ser baseada em informações hipotéticas, antes em dados credíveis apurados por avaliações técnicas profissionais, como as prestados pela Aon.

A Aon conta com várias ferramentas para avaliação de risco, entre elas o CyQu (Aon Cyber Quotient Evaluation), que faz um diagnóstico à maturidade e ao risco das empresas, para depois ser desenvolvida uma estratégia de mitigação personalizada e baseada em dados concretos.

Em resumo, nesta fase, as empresas precisam de determinar:

• O atual estado dos seus níveis de cibersegurança
• Os ativos que precisam de proteger
• As ameaças mais prováveis
• As estratégias relacionadas com ativos críticos ou ameaças potenciais
• Como equilibrar as necessidades de negócio com o risco cibernético

2 - Quantificação de risco

Dados oriundos do processo de avaliação formam a base para quantificar os riscos cibernéticos. As empresas devem analisar o cenário como um todo, para depois estudarem o modelo financeiro de exposição a riscos cibernéticos (incluindo de terceiros) e, de seguida, fazerem testes de stress ao modelo de cibersegurança que têm implementado.

Em resumo, nesta fase, as empresas precisam de determinar:

• Que tipo de perdas podem sofrer em caso de ataque cibernético
• Como estão a investir e a tomar decisões relacionadas com cibersegurança
• Se fornecem aos gestores de topo informações inteligíveis sobre a importância do risco cibernético

3 – Seguro cibernético

O relatório Ponemon Intangible Assets de 2019 revela uma desconexão na forma como as empresas protegem ativos físicos versus ativos de informação: 60% das perdas potenciais em ativos físicos foram cobertas por seguros, enquanto apenas 16% das perdas potenciais em ativos de informação foram cobertas.

Muitas empresas que não lidam com dados pessoais e de cartão de crédito de clientes julgam que não é necessário seguro cibernético. Sucede que existem outras ameaças, como o ransomware ou o phishing, que tornam imprescindível esta tipologia de seguro.

Nesta fase, as empresas precisam de:

• Compreender a sua exposição ao risco
• Garantir que têm uma estratégia eficaz para mitigar as perdas
• Transferir uma parte do seu risco para o mercado de seguros

4 - Resposta a incidentes

As empresas que compreenderem os anteriores estágios do Cyber Loop terão maior probabilidade de responder de forma adequada a ataques cibernéticos. A resposta deve ser direta, prática e, mais relevante ainda, ter ajuda profissional e especializada, para quem sejam apresentadas soluções adequadas a cada empresa.

Graças à avaliação de risco inicial, as diferentes equipas da empresa estarão treinadas para atuar em conformidade, agindo com confiança em caso de ataque.

Nesta fase, as empresas precisam de:

• Criar e pôr em prática um plano apropriado de resposta a incidentes
• Garantir que a empresa possui as pessoas e as ferramentas necessárias para responder a ataques cibernéticos
• Garantir que essas pessoas
são qualificadas, que estão adequadamente treinadas e que as ferramentas estão corretamente configuradas

CYBER LOOP, SINÓNIMO DE MAIOR RESILIÊNCIA A CIBERATAQUES

Muitas empresas entram apenas no Cyber Loop no mais crítico dos momentos: na resposta ao incidente. Não é o ponto de entrada ideal, mas infelizmente e frequentemente são forçadas a isso. Depois, quando conseguem ultrapassar o ataque (com os custos que isso implica), perguntam-se como impedir que tal aconteça novamente.

O risco cibernético, sendo uma ameaça complexa e em constante evolução, não é estático, portanto, a abordagem para o combater também não o pode ser. A construção desta resiliência tem de ser integrada num processo contínuo, que reconheça a natureza cíclica do risco. Apenas completando o Cyber Loop continuamente poderá levar aos melhores resultados.

A cada ciclo completo, mais dados são extraídos e reinvestidos novamente no Loop. À medida que uma empresa circula pelo Cyber Loop, fortalece sua capacidade de detetar, responder e recuperar rapidamente de um ataque cibernético.

E daí nascem as grandes vantagens do Cyber Loop: ganha-se não só resiliência a ciberataques, como solidez financeira e a salvaguarda das marcas ao evitarem-se próximos ataques.

Ler mais artigos do