Facto: A cibersegurança deverá ser encarada cada vez mais como um fator de risco com impacto competitivo profundo nas empresas, que não poderão mais deixar de ter um plano de continuidade de negócio com base numa análise de ciber-risco.
Outubro, que agora começa, é o Mês Europeu da Cibersegurança. Ao longo deste período procura-se incentivar à sensibilização para esta temática e facultar informações atualizadas sobre segurança digital através da educação e da partilha de boas práticas, não só ao nível das empresas como também dos particulares.
Ao nível das pequenas e médias empresas, é seguro afirmar que os agentes económicos não têm real consciência do valor e conteúdo das suas bases de dados e do potencial risco - e de igual forma o manancial de oportunidades - que estas encerram. Embora assistamos, hoje em dia, a uma maior consciencialização por parte dos responsáveis das empresas sobre os riscos digitais e cibernéticos nas suas organizações, falta alguma sensibilidade e maturidade para perceberem o verdadeiro impacto que um ataque cibernético poderá significar para as mesmas.
A realidade é que nenhuma empresa, seja qual for a sua dimensão e/ou setor de atuação, está protegida de eventuais ataques cibernéticos, que conforme temos assistido e acompanhado ao longo dos últimos meses, vêm sendo revestidos de uma cada vez maior complexidade, diversificação e adaptação às vulnerabilidades das respetivas organizações.
Independentemente da sua dimensão, as empresas deverão ter os seus planos de continuidade de negócio/planos de resiliência assentes numa estratégia de cibersegurança bem definida, com investimentos a médio e longo prazo e com recurso a mecanismos de transferência de risco por forma a aumentarem a probabilidade de serem bem-sucedidas na resposta aos possíveis impactos de um incidente cibernético. Não se trata, hoje, de um nice-to-have, mas antes de uma necessidade que exige respostas obrigatórias.
O relatório "The Changing Face of Cyber Claims 2021" da Marsh, aborda as principais tendências de resposta do setor segurador ao crescente protagonismo do risco cyber e analisa a crescente frequência e severidade dos ataques cibernéticos - com especial incidência nos eventos relacionados com ransomware. As oportunidades que a transformação digital e as tecnologias emergentes possibilitam às empresas crescem a um ritmo acelerado em todo o mundo. Essas oportunidades, no entanto, andam de mãos dadas com o aumento do risco cibernético fruto da exposição às constantes, e cada vez mais, inovadoras ferramentas tecnológicas.
Dito isto, importa reforçar a ideia de que a estratégia de cibersegurança das empresas deverá passar pela garantia de existência de capacidade tecnológica e humana para lidar com potenciais riscos de segurança. A formação contínua dos colaboradores é absolutamente essencial, dotando-os dos conhecimentos necessários para prevenção e resposta contra possíveis ataques, sem esquecer os processos robustos de documentação e atualização das medidas de segurança em vigor. A reação e principais medidas a adotar quando se está perante um incidente de cibersegurança varia consoante o tipo de evento (acidental vs intencional, interno vs externo) e complexidade do mesmo. No entanto, será sempre necessária uma visão agregada e ação coordenada entre várias entidades que, entre outros, passam por uma equipa de IT Forensics, equipa de serviços jurídicos, serviços externos para reposição das bases de dados afetadas e, eventualmente, uma equipa de assessoria de comunicação.
Uma vez mais e dependendo da origem do incidente de cibersegurança em causa, as equipas internas de IT (quando existam) deverão estar preparadas para a necessidade de um shutdown total ou parcial do sistema como resposta imediata.
Todos estes serviços, assim com o acompanhamento na resolução de um incidente de cibersegurança e custos de paralisação (perda de receita), poderá, mediante um processo de análise e quantificação do risco, ser transferido para o mercado segurador e, com isso, possibilitar a redução dos impactos - financeiros e reputacionais - associados a um evento desta natureza. É, por isso, essencial sensibilizar as empresas para os impactos que um eventual incidente cibernético possa ter no seu modelo de negócio e, aconselhando no investimento contínuo em recursos e no desenvolvimento de métodos de quantificação deste tipo de risco, é possível ajudar à sua mitigação.
No último ano e meio, temos assistido e acompanhado importantes desafios que a dependência, quase exclusiva, das tecnologias e do digital impôs às organizações. Daqui para a frente, a segurança e resiliência cibernéticas serão fatores preponderantes para a sobrevivência das empresas e das suas operações. Mais do que nunca, a questão não é "se" uma organização está sujeita a um incidente cibernético, mas tão-somente "quando" irá ele ocorrer.
Luís Sousa, Cyber Risk Specialist da Marsh Portugal