Portugal

 

RISCO

Estratégia proativa é essencial para reduzir riscos cibernéticos

Todos os dias surgem novos riscos cibernéticos. Realidades como a Inteligência Artificial, as formas de pagamentos alternativas ou as cadeias de fornecimento de tecnologia são alguns dos exemplos dos novos desafios. Num mundo tecnológico em permanente evolução, estão as organizações preparadas para enfrentar as mais recentes ameaças?

Na atualidade, o ransomware - software malicioso que retira informação dos sistemas informáticos das empresas e dos utilizadores – converteu-se num dos riscos cibernéticos de primeira linha, tanto para as seguradoras como para os segurados. No espaço de mais de dois anos, entre o primeiro trimestre de 2018 e o quarto trimestre de 2020, o risco de ransomware aumentou em 400% nas empresas de todo o mundo, de acordo com o “2021 Cyber Security Risk Report”, da Aon. Este é um dos principais riscos cibernéticos identificados no relatório, que analisa também a forma como as organizações estão a gerir estas ameaças e as ajuda a tomar as melhores decisões para aumentar a segurança.

Mas os alertas não ficam por aqui. A rápida evolução digital, o risco proveniente de terceiros e a regulamentação são os outros três riscos cibernéticos igualmente preocupantes reconhecidos no “2021 Cyber Security Risk Report”, e que exigem um olhar atento.

Para evitar uma gestão ad hoc e reativa, o documento agora publicado pela Aon sugere um conjunto de estratégias de identificação e antecipação dos principais riscos cibernéticos, mostra como as empresas estão a geri-los e aponta caminhos para melhorar a segurança:

1. Explorar novas formas de exposição – A rápida evolução digital

Segundo o CyberQuotient Evaluation (CyQu) da Aon – uma métrica que avalia a maturidade do risco cibernético em diferentes domínios das empresas – apenas 40 por cento das organizações relatam ter estratégias adequadas de trabalho remoto para gerir a exposição às ameaças e somente 17% confirmou dispor de medidas de segurança adaptadas.

Num processo de constante evolução digital, torna-se assim essencial analisar as vantagens e desvantagens relativas à adoção de novas tecnologias ou modelos de negócio, bem como mapear os principais sistemas de controlo. Feito o diagnóstico, está na hora de decidir as ações a desenvolver para reduzir as possíveis lacunas em termos de segurança cibernética.

2. Conhecer os parceiros – O risco de terceiros

Em geral, as organizações não estão preparadas para avaliar e gerir os riscos de terceiros, o que se confirma pelos modestos 21% que referem ter medidas em vigor para supervisionar fornecedores e outras partes interessadas. Para inverter o cenário, comece por fazer uma ampla avaliação das medidas de controlo da sua empresa, combinada com uma quantificação de risco e, por fim, um planeamento que garanta a segurança.

Mas uma verdadeira gestão de riscos em relação a terceiros não se esgota numa única iniciativa ou num determinado momento. Ela exige um modelo de garantia contínua e uma avaliação permanente das ameaças, o que pressupõe a capacidade de resposta das partes em qualquer altura.

3. Concentrar-se no controlo – Ransomware

De acordo com as organizações inquiridas no relatório da Aon, apenas 31% das empresas afirma ter medidas de resiliência de negócio adequadas ao risco de ransomware.

Numa lógica de prevenção, tome medidas para reduzir a exposição da sua organização ao risco e minimizar o impacto do acesso indevido a informação ou bloqueio de dados. Por exemplo, para evitar surpresas, contrate apenas profissionais de segurança cibernética qualificados para identificar vulnerabilidades, estabelecer planos de continuidade de negócios e auxiliar na resposta sempre que existe uma falha de segurança.

Não esquecer ainda que a mudança para o trabalho remoto acarreta vulnerabilidades imprevistas, pelo que é também importante rever os procedimentos e adotar políticas de gestão deste novo risco.

4. Aperfeiçoar a base – Regulação

Para garantir o sucesso futuro, é hora de corrigir os erros do passado e aperfeiçoar os fundamentos, uma peça central de qualquer plano de segurança cibernética. No que toca à regulação, o risco prende-se, sobretudo, com a proteção de dados sensíveis, fator de grande relevo desde a entrada em vigor do Regulamento Geral de Proteção de Dados.

Novas leis e diretrizes mais restritivas de proteção de dados e de segurança colocam desafios acrescidos às organizações, ainda que o cumprimento normativo não seja sinónimo de tranquilidade. Sabendo que as normas ajudam a estabelecer os fundamentos, as melhores práticas de segurança exigirão, no entanto, soluções personalizadas com base nas necessidades e atividades comerciais específicas de cada entidade.

De acordo com o CyQu, também muito há a fazer nesta área: menos de duas em cinco organizações (36%) relatam ter níveis adequados de preparação para a segurança de dados.

Tomar as melhores decisões com base na informação

Seja na avaliação dos riscos cibernéticos ou de outras ameaças com potencial para impactar os negócios, é essencial medir para gerir. Identificar, quantificar, mitigar, preparar e transferir são alguns dos verbos a ter em conta no processo: identificar os riscos e ameaças cibernéticas; mitigá-los de acordo com as melhores práticas de segurança cibernética; preparar-se e estar pronto para novos incidentes; considerar qual a parte do risco a transferir do balanço patrimonial através dos seguros, e, por fim, garantir que novos riscos são cobertos.

Só assim será possível tomar as melhores decisões num mundo em permanente mudança, com a certeza de que estamos protegidos e a proteger.