Riscos de ciber-segurança preocupam empresas, mas liderança dá-lhe pouca prioridade

Empresas colocam as ameaças cibernéticas no topo das suas preocupações, mas ainda dedicam pouco tempo a avaliar estes riscos. Carlos Figueiredo da Marsh Portugal comenta os resultados de um estudo recente

Carlos Figueiredo, Senior Manager de Specialties & Especialista em Risco Cibernético da Marsh Portugal.
Carlos Figueiredo, Senior Manager de Specialties & Especialista em Risco Cibernético da Marsh Portugal

A Marsh e a Microsoft publicaram recentemente os resultados do estudo Global Cyber Perception Survey, relativa a 2018, que evidencia uma dissonância entre a preocupação das empresas com os riscos cibernéticos e a sua abordagem a estas ameaças.

O estudo revela que o tempo despendido nas empresas com questões de gestão de risco cibernético é pouco: “a maioria dos conselhos de administração e/ou liderança executiva responsável pela gestão do risco cibernético das suas organizações focaram-se menos de um dia nesta temática”, em 2018, avança a Marsh.

Carlos Figueiredo, senior manager de specialties & especialista em risco cibernético da Marsh Portugal, em entrevista ao Computerworld, considera que há um melhor conhecimento e sensibilidade das organizações para o risco cibernético. Mas que existe “uma dissonância entre a preocupação manifestada com este tipo de risco e a prioridade dada pela liderança das organizações para a tomada de medidas estratégicas para a sua gestão”.

Computerworld: Quais são as principais conclusões do Global Cyber Risk Perception Survey 2019?

Carlos Figueiredo: Diria que as principais conclusões deste survey, face ao estudo de 2017, são uma melhoria do conhecimento e sensibilidade das organizações para o risco cibernético e para a implementação de algumas táticas para lidar com o mesmo. Contudo, revela, também, uma dissonância entre a preocupação manifestada com este tipo de risco e a prioridade dada pela liderança das organizações para a tomada de medidas estratégicas para a sua gestão.

CW: Pode afirmar-se que o ciber-risco passou a estar no topo das preocupações de risco das organizações?

CF: Efectivamente o estudo global revela-nos uma muito maior preocupação das empresas e uma maior importância dada a este risco. Neste estudo, 22% das entidades respondentes consideram que o risco cibernético é o risco #1, quando no mesmo estudo em 2017, apenas 6% classificavam este risco no primeiro lugar do ranking.

Esta tendência também se verifica no que se refere a Portugal, ou seja, 11% dos respondentes nacionais consideravam em 2017 o risco cibernético como risco #1, passando esta percentagem para 33% em 2019.

CW: O que vos leva a referir que se sentem “sinais encorajadores de melhoria no modo como as organizações olham e gerem o ciber-risco”?

CF: Como já referi, os resultados apontam para uma crescente atenção dispensada pelos decisores, quer local, quer globalmente a este risco. Em Portugal, comparando os 85% das organizações respondentes que neste estudo colocam o risco cibernético no top 5 com os 59% de 2017, fica à evidência uma evolução encorajadora da atenção dada ao tema. Mas, mais do que awareness por si só, também no plano das acções se verifica uma evolução. De acordo com o estudo, hoje, 19% das empresas recorre a métodos quantitativos de medição da exposição ao risco, enquanto que em 2017 apenas 5% o faziam.

CW: Relativamente a Portugal, quais são principais pontos de convergência e divergência face aos resultados globais?

CF: Um dos pontos de convergência que podemos destacar é o facto das organizações nacionais estarem totalmente alinhadas com as organizações globais quanto à utilização futura da tecnologia. A intenção de utilização da Cloud, de aplicativos de negócio desenvolvidos internamente, de automação e robótica, bem como de sistemas de conectividade/IoT, ocupam as prioridades reveladas tanto pelas entidades nacionais como internacionais.

Quanto às divergências, salientaria a diferença entre a manifestação de disponibilidade das organizações nacionais em investirem mais, nos próximos três anos, em instrumentos de transferência de risco (como sejam seguros e outros veículos de financiamento de risco), isto, face à disponibilidade mostrada pelas instituições internacionais, ou seja, no primeiro caso 29% manifestam disponibilidade, enquanto no segundo este número sobe para 48%.

CW: As empresas estão mais atentas à segurança, no entanto, a confiança dos utilizadores está a recuar. Porquê?

CF: O ponto não é objecto de reflexão no estudo, mas penso que essencialmente os utilizadores têm menos confiança porque os breaches se sucedem velozmente. Repare que entre 2000-2016 estima-se que cerca de 8 biliões de identidades tenham sido expostas em data breaches. Se não houvesse repetição de ocorrência por individuo, todos os seres humanos na terra poderiam ter sido alvo de um data breach. Penso que a desconfiança é absolutamente natural.

CW: Apontam novas tecnologias que aumentaram a exposição ao ciber-risco. Quais são estas tecnologias e porque o provocam? Como contrariar esta tendência?

CF: A tecnologia e o ciber-risco são actualmente uma inevitabilidade na vida das pessoas e nos negócios. Estão intimamente ligados e são uma realidade incontornável e sem retorno.

Estaríamos preparados para viver com modelos de negócio, com uma economia e um dia-a-dia sem tecnologia?

O mundo está mais do que nunca dependente do digital e da tecnologia. Todos reconhecemos como estão integrados no quotidiano, conceitos como: processamento automático de informação e o acesso imediato à mesma, a Internet, a “desmaterialização” dos suportes de dados, a inteligência artificial ou aprendizagem automática, a robótica ou a Internet das Coisas, com gadgets e máquinas a controlarem aspectos cruciais da nossa vida e das estruturas económicas, o que dá uma grande tangibilidade a um risco que antes se percebia como inexistente ou imaterial.

A própria relação com a tecnologia, e em especial com a Internet, é algo paradoxal: à medida que damos mais à rede e dependemos mais dela, mais ela parece pedir de nós e mais estamos dispostos a dar – mais dados e maior dependência. Isto apesar dos ataques se sucederem e vermos a nossa privacidade exposta em data breaches cada vez mais severos – alguns envolvendo até estruturas governamentais e de segurança.

Assim, considero que a exposição ao ciber-risco não é contrariável e que a dependência das tecnologias operacionais e de informação vai continuar a aumentar.

No entanto, advogo que temos que seguir trabalhando no sentido do conhecimento e controlo do risco associado e de procurar garantir que num cenário de um ciberataque ou de um evento acidental de contornos informáticos, estamos preparados para reagir e para suportar os impactos que tal pode acarretar nos negócios e na vida.

CW: Com o incremento da interligação entre sistemas de informação ao longo da cadeia de valor, o controlo da segurança deixa de estar unicamente “em casa” para ser uma responsabilidade partilhada. É outra das conclusões do estudo. Que recomendações deixa para que esta responsabilidade seja assumida por todos?

CF: Desde logo uma atenção muito grande aos contractos que se celebram. Ainda que exista alguma dificuldade em alterar certas condições de utilização de alguns meios e produtos, deveremos todos, empresas e particulares, estar atentos às cláusulas que regulam as responsabilidades e as obrigações para evitarmos surpresas.

Os Estados e as organizações públicas procuram criar e aplicar normativos que defendem os utilizadores, as empresas devem procurar ser cada vez mais transparentes e utilizarem linguagem adequada para comunicar com parceiros e consumidores, bem como, usar as melhores práticas na gestão dos riscos e todos devemos ser vigilantes e exigentes connosco, mas também para com os membros da cadeia de valor em que nos inserimos.

CW: Concluem que o investimento em segurança se está a focar na prevenção e não na resiliência. Porquê? É a postura indicada por parte das empresas ou deveria ser outra?

CF: A prevenção está essencialmente dirigida a evitar a frequência dos eventos, enquanto a resiliência visa assegurar a mais baixa severidade possível dos mesmos. O ciclo natural de maturidade das empresas é, desde logo, tentar evitar o ataque e, num segundo momento, assegurar que em caso de ataque os danos são o mais contidos possível.

Entendemos que não poderá deixar de manter-se um foco na prevenção, já que é, geralmente, mais económico evitar uma perda do que sofrê-la. Ainda assim, também sabemos que é impossível reduzir a zero o risco de ocorrência de um evento, pelo que a falta de preparação para lidar com um ataque, poderá ter consequências severas ou mesmo fatais para uma organização. Logo a resiliência não pode ser subalternizada.

CW: Sinteticamente, o que devem as empresas fazer para fazer uma gestão de ciber-risco adequada? Uma vez que não pode ser eliminado, como se pode mitigar ou transferir esse risco?

CF: A tecnologia, o processamento de dados, o digital, estão hoje na base e dão o suporte à generalidade dos serviços e negócios. Logo, as organizações não podem deixar de investir nesta componente do seu negócio e na segurança da mesma.

Assim, a primeira medida passa por incluir nos seus orçamentos os montantes adequados para financiar este investimento.

Depois, numa óptica de prevenção e mitigação, conhecer (estudo e avaliação do risco), definir e implementar medidas de controlo e contenção do risco, intervindo sobre os factores, como sejam: humano, físico e digital, incluindo software e hardware, segurança de processos e formação. Mas, também, a antecipação face ao pior cenário, preparando as estruturas para lidar com a eventual materialização do risco em dois sentidos: por um lado, a gestão da crise e a recuperação (por exemplo, plano de continuidade de negócio e/ou plano de contingência) e finalmente por outro lado, implementando instrumentos de financiamento e compensação de perdas através de seguros ou outros mecanismos alternativos de transferência de risco.




Deixe um comentário

O seu email não será publicado