“Gestão de riscos cibernéticos deverá estar no centro das preocupações dos gestores de risco”

Cibersegurança e InfoSec Entrevistas Notícias

A Marsh lançou recentemente o seu estudo nacional sobre a visão das empresas portuguesas sobre riscos. A cibersegurança surge no topo da lista como um dos principais riscos a enfrentar pelas empresas em 2021. Em entrevista à Security Magazine,  Luís Sousa, Cyber Risk Specialist da Marsh Portugal, explica que “o cibercrime/ciberataque é uma ocorrência de oportunidade que, cada vez mais, vem adoptando características de diversificação e adaptação à realidade dos atacados”. O especialista alerta que “um ciberataque pode, para muitas empresas, ditar o fim da única forma que estas têm de gerar receita”.

Security MagazineA cibersegurança está na ordem do dia. Para 57% das 152 empresas portuguesas que participaram no estudo “a Visão das Empresas Portuguesas sobre Riscos”, os ataques cibernéticos surgem no topo da lista, como um dos principais riscos a enfrentar em 2021. Quais os sectores potencialmente mais expostos a esse risco cibernético em Portugal e porquê?

Luís Sousa – O estudo nacional “A Visão das Empresas Portuguesas sobre os Riscos”, realizado pela Marsh Portugal desde 2015, tem como objectivo fazer a ponte com o “Global RisksReport” do WorldEconomicForum, do qual a MarshMcLennan é parceira e colabora desde a sua primeira edição. O risco de ataques cibernéticos, percepcionado pelas empresas portuguesas, tem, à semelhança do que se verifica noutras regiões do globo e pelo quarto ano consecutivo, um lugar de destaque no topo das preocupações dos responsáveis das nossas empresas.

Apesar de notarmos, claramente, uma maior consciencialização das empresas para o tema da cibersegurança e existir um contínuo progresso e investimento na gestão dos riscos que lhe estão associados, 57% dos respondentes neste estudo continua a identificar o risco de ataques cibernéticos como o principal risco que as suas empresas irão enfrentar em 2021. É, por isso, legítimo alertar que o insuficiente tratamento das ameaças associadas a estes riscos justifique uma perceção mais profunda dos seus líderes.

O cibercrime/ciberataque é uma ocorrência de oportunidade que, cada vez mais, vem adoptando características de diversificação e adaptação à realidade dos atacados. Existem grupos empresariais mais atractivos para determinada tipologia de ataques, seja pela indústria/sector na qual se inserem, seja pela capacidade financeira de que dispõem para satisfazer as exigências dos atacantes. Todos os sectores têm o seu risco e verificamos que há interesse em provocar disrupção no negócio em praticamente todos eles.

Existindo esse receio das empresas, como tem evoluído a percepção do ciber risco em Portugal nos últimos dois anos VS a aposta em métodos de protecção, detecção e combate a ciberameaças? Como classifica o empenho das empresas nessa matéria?

O tema da cibersegurança, ou do risco cyber como refere, está cada vez mais no centro das principais procupações dos responsáveis da empresas, quer seja no sector privado quer seja no sector público (afecto ao Estado).

É verdade que existe um aumento geral de tomada de consciência por parte dos seus responsáveis face aos riscos a que as organizações estão expostas e, em larga medida, este awareness foi acelerado pela dependência sobre os canais digitais para a continuidade da sua actividade. Um ciberataque pode, para muitas empresas, ditar o fim da única forma que estas têm de gerar receita.

O tema da cibersegurança e percepção dos riscos que lhe são inerentes ganhou um espaço permanente no quotidiano, mas o receio de uma crise económica e social, aliado aos impactos da pandemia da COVID-19, veio impedir muitos dos investimentos que as empresas teriam agendados a médio e longo prazo relacionados com este tipo de riscos.

Por outro lado, é verdade que a pandemia acelerou certos aspectos da transição digital e, portanto, alguma reflexão sobre os meios necessários para essa transição nos quais se incluem as medidas preventivas e de segurança.

Alguns sectores, por falta de meios ou receio do que possa vir a acontecer, continuam a ter investimentos muito reduzidos face aos riscos a que estão expostos. Mas é uma questão de maturidade da percepção do risco: a partir do momento em que uma organização compreende o que tem a perder, torna-se bastante óbvia a necessidade de investir para se proteger.

Claro que as empresas que tenham uma estratégia de cibersegurança bem definida, com investimentos a médio e longo prazo e recurso a mecanismos de transferência de risco, aumentarão a probabilidade de serem bem sucedidas na resposta aos impactos de um ciberataque.

Em que medida a gestão de riscos é importante para a ciber resiliência das empresas?

A razão do investimento das empresas num produto de ciberisco é a mesma que leva as empresas a recorrerem aos mecanismos de transferência de risco noutros sectores da sua actividade. Por exemplo, no caso dos negócios business-to-consumer (B2C), numa altura em que as empresas, quase na sua maioria, ficaram reféns dos canais digitais para continuarem a manter a sua operação egerar receita é urgente falar sobre resiliência e continuidade de negócio.

A gestão de riscos cibernéticos deverá estar no centro das preocupações dos gestores de risco das empresas e, na Marsh, enquanto RiskAdvisor, procuramos colocar ao dispor destes responsáveis um conjunto muito alargado de serviços e valências para a análise e mitigação dos impactos que poderão ser gerados no seguimento de um ciberataque. Procuramos sensibilizar as empresas para os impactos que um evento desta natureza poderá ter no seu negócio e ser um apoio importante no momento de transferir estes riscos para o mercado segurador.

Os ataques cibernéticos, pela sua constante diversificação e complexidade, geram danos que vão muito além da perda de facturação ou custos com a reposição dos sistemas e resposta às vulnerabilidades registadas. O dano reputacional, sem recurso a mecanismos de transferência de risco, poderá ser muito difícil de recuperar, não só porque afecta a confiança de clientes e fornecedores, como poderá pôr em causa a preservação da reputação da imagem das organizações no acesso a financiamento, por exemplo.

A ciber resiliência, como refere, é uma salvaguarda da competitividade, produtividade e continuidade de negócio das organizações.

Percentualmente, qual o valor que deverá ser orçamentado pelas empresas afecto à gestão de riscos cibernéticos?

Esta é uma questão muito discutida e, de facto, não é possível definir, em abstracto, o valor a ser orçamentado pelas empresas para a gestão deste tipo de riscos.

Estudos recentes e mais alargados estimam que, em média, cerca de 15% do orçamento de IT é gasto em medidas de segurança. E este valor varia substancialmente tendo em conta o sector e dimensão da organização mas, sobretudo, tendo em conta o risco concretamente definido da própria organização.

Se, por exemplo e fruto da pandemia da COVID-19, o meu negócio opera 90% ou 100% assente em canais digitais, então o risco para o meu negócio justifica uma maior alocação de recursos do que uma organização que utiliza tecnologias de informação para a gestão corrente.

Em termos de projectos recentes que envolvam a cibersegurança, gostaria de destacar algum desenvolvido pela Marsh para o mercado nacional?

O tema da cibersegurança é tratado de forma muito especial pela Marsh e, por isso, temos investido recursos no desenvolvimento de métodos de quantificação do risco cyber, que permitirão às organizações uma tomada de decisão mais informada relativamente à digitalização dos negócios e operações.

Contamos com uma equipa de consultores especializados que apoiam os nossos clientes na avaliação, quantificação e transferência dos riscos digitais dos seus negócios. Estes serviços podem desenvolver-se em articulação com o mercado segurador, na procura de soluções de transferência do risco identificado, ou em exclusivo com os clientes, nos projetos de consultoria que desenvolvemos.

Por onde passa o crescimento da Marsh Portugal, em termos de investimentos?

A equipa da Marsh Portugal tem vindo a crescer gradualmente, ano após ano. Em 2021, contamos já com mais de 90 colaboradores e ainda agora fechámos o primeiro trimestre.

Parte da nossa estratégia de Recursos Humanos passa pela atracção e, principalmente, pela retenção do talento. Em Agosto de 2019 mudámos a localização da nossa sede em Lisboa, para um edifício partilhado com as duas outras empresas da MarshMcLennan presentes em Portugal, a Mercer e a Guy Carpenter, pelo que, no imediato, não temos perspectiva de expandiar as nossas infra-estruturas.

No que respeita às novas tecnologias, estamos permanentemente atentos às necessidades dos nossos clientes, sem nunca esquecer a garantia dos níveis de serviço e de padrões segurança.

Já o desenvolvimento de novas áreas de negócio, acompanha igualmente as necessidades dos nossos clientes, assim como as exigências da evolução constante do panorama de risco.

Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.

pub


Entrevista realizada por escrito