Marsh define área de cibersegurança como prioridade

Consultora quer desenvolver negócio com serviços de avaliação de impacto de incidentes e contratação de seguros contra ciber-riscos, por exemplo.

Rodrigo Simões de Almeida_director-geral da Marsh

Rodrigo Simões de Almeida, director-geral da Marsh

Rodrigo Simões de Almeida, director-geral da Marsh para Portugal, define a área de cibersegurança como uma das cinco principais prioridades de negócio da consultora nos próximos anos. O objectivo da aposta da consultora para a gestão de seguros e de riscos é, nos próximos “dois a três anos”, ter todos os seus clientes com cobertura contratada para ciber-riscos.

Actualmente, a empresa tem 3.400 clientes, sobretudo grandes e médias empresas, e “muito poucas” com esse tipo de garantias. Por isso, o executivo em funções na empresa desde Julho tem a expectativa de que a área, hoje “residual” em termos de negócio, cresça e represente um negócio significativo.

A aposta justifica-se porque, segundo o mesmo responsável, já existem tecnologias de mitigação de ameaças e soluções de transferência de risco para seguradoras, que há alguns anos não eram possíveis. Além disso, a ciber-segurança é “um tema extremamente grave” nas empresas.

A sensibilidade das empresas portuguesas para a ciber-segurança até pode ajudar, apesar de algumas barreiras. De acordo com um estudo europeu da Marsh, 75 % das empresas portuguesas considera já os perigos da ciber-segurança como um risco.

Cerca de 25% coloca-os entre as cinco principais ameaças, de acordo com o inquérito ao qual responderam 700 empresas europeias. A Marsh não revelou quantas são portuguesas, apenas que foram o segundo maior grupo a responder.

Contudo, grande parte não tem consciência das consequências de um incidente, por falta de avaliação do impacto financeiro de um desses casos.

Marsh tem a expectativa de que, percebendo o potencial impacto de um incidente de ciber-segurança, as organizações sejam mais estimuladas à contratação de uma protecção.

Na visão da empresa, baseada no estudo, isso deve-se ao facto de que em  75% das organizações inquiridas a gestão de ciber-riscos é da responsabilidade do departamento de TI.

Na apresentação da análise, que decorreu esta quinta-feira, Ana Marques, gestora de desenvolvimento de negócio da Marsh, sugeriu que uma maior intervenção da administração e da equipa de gestão de risco ajudariam a quantificar o potencial de um incidente.

A consultora enfatizou o aspecto da medição, até como caminho para suplantar uma das principais barreiras ao seu objectivo, que é a fraca cultura de transferência de risco, sobretudo na ciber-segurança. Perto de 87% das empresas inquiridas no estudo não planeia recorrer a um seguro para esse tipo de riscos.

A Marsh tem a expectativa de que, percebendo o potencial impacto pela quantificação e com a análise de risco, as organizações sejam mais estimuladas à contratação de uma protecção daquele tipo. Aferir os riscos permitirá perceber qual ou quais podem ser transferidos para uma seguradora.

Por isso, explica Rodrigo Simões de Almeida, a Marsh posiciona-se como consultora para a avaliação do impacto financeiro de incidentes, optimização da protecção, quantificação do impacto e análise do que pode ser transferido para a seguradora.

Pretende, no processo, recorrer a um conjunto de parcerias com fornecedores de soluções tecnológicas, como a BitSight e a Integrity. A primeira tem um sistema de classificação do grau de risco e de protecção das empresa, particularmente minucioso na monitorização: chega a saber que aplicações e ficheiros potencialmente nocivos são descarregados para os sistemas das empresas, sem recorrer a elementos privados ou confidenciais das organizações.

A segunda tem um serviço persistente de testes de intrusão aos sistemas empresariais, com o qual procura responder ao ritmo de transformação das ciberameaças.

Seguros limitados na cobertura de valores de extorsão

Rodrigo Simões de Almeida ressalvou que a consultora não está vinculada com exclusividade à oferta de qualquer seguradora. Não obstante, a AIG esteve na apresentação do estudo a explicar determinados aspectos da sua oferta.

Segundo Daniel Marques, da AIG, para definir a cotação na apólice, as seguradoras procuram saber várias informações sobre o cliente:

‒ quais são os sistemas mais importantes da organização;
‒ as suas práticas de gestão de risco;
‒ elementos da análise financeira à empresa;
‒ o tipo de clientes;
‒ o tipo de dados e informação dos seus sistemas.

Os seguros não cobrem os valores de extorsão, nesse tipo de caso, nem os de multas, exceptuando situações nas quais os dados estão alojados em centro de dados localizados em países onde isso é legal. Em Portugal, não é.




Deixe um comentário

O seu email não será publicado