Skip to main content
Artigo

Descodificando o Risco Cibernético

Cyber Risk Management
N/A

fevereiro 20, 2019

Muitas organizações, fruto da crescente dependência tecnológica em processos críticos e fruto das novas exposições decorrentes de legislação específica sobre tratamento e gestão de informação, têm vindo a reconfigurar as suas prioridades de investimento em matéria de segurança e protecção.

Com recursos a empresas e prestadores especializados, muitas organizações procuram reduzir os riscos e avaliar novas formas de proteger o seu negócio. Apesar do investimento crescente em tecnologia (software & hardware, hosting de servidores, consultoria de TI, etc) há no entanto um risco relevante que importa acautelar e que se prende com a cultura de gestão de risco das pessoas que compõem as organizações.

O factor humano continua a ser decisivo representando 2/3 das situações de perda de dados reportadas pelas organizações pelo que as defesas “digitais” não são suficientes para a mitigação do risco. Formação e consciencialização de colaboradores assumem enorme relevância na estratégia da empresa.

Num survey recente que conduzimos nos EUA (com base em mais de 150 empresas inquiridas e mais de 2.000 colaboradores participantes) retiramos algumas informações interessante sobre gestão de risco do ponto de vista dos colaboradores:

  • 46% das pessoas não contempla a possibilidade de no seu email de trabalho poder ser alvo de tentativa de phishing (por exemplo) o que denota um aparente excesso de confiança sobre as capacidades da organização;
  • 40% dos colaboradores das empresas inquiridas acedem em espaço público, através de dispositivos portáteis (computador, tablet, telemóvel) a informação confidencial da empresa;
  • 30% admitiu que efetuava o acesso remoto à sua rede através de ligações públicas não seguras e aproximadamente 22% confirmou levar documentação confidencial para casa e/ou trabalhar informação confidencial em dispositivos não autorizados (por exemplo o seu PC/Tablet pessoal);
  • 18% fez download de software no seu computador que não foi aprovado pelo seu departamento de IT;
  • 15% partilhou a sua password com um colega.

Um dado que pode ajudar a explicar este tipo de comportamentos prende-se com outro parâmetro avaliado no nosso survey: dos colaboradores inquiridos 50% confirmaram que investiram no ano anterior menos do que 30 minutos do seu tempo em formação relacionada com protecção de dados e segurança de informação.

Esta realidade das organizações torna clara a necessidade de resposta multidisciplinar e por isso a Willis Towers Watson desenvolveu uma abordagem integrada que foca as Pessoas + Capital + Tecnologia e cujos objectivos passam por auxiliar a identificar e quantificar o risco, permitindo à organização uma melhor definição dos mecanismos de transferência, mitigação e resposta aplicáveis.

Algumas soluções específicas da Willis Towers Watson:

Cyber Risk Profile Diagnostic (CRPD)
  • Ajuda a organização a adquirir o maior conhecimento possível dos seu riscos cibernéticos e, consequentemente, tomar as melhores decisões para mitigá-los;
  • Reforçar os mecanismos de governação das organizações auxiliando no cumprimento dos requisitos regulatórios e de protecção de dados;
  • Auxiliar na identificação e quantificação de riscos seguráveis e não seguráveis:
    • Não seguráveis: prevenção, controlo e mitigação. Auxilio na implementação de Planos de Continuidade de Negócio
    • Seguráveis: definir um nível de transferência adequado ao perfil de risco e prioridades da organização.
Cyber Risk Culture Survey (CRCS)
  • Identifica quais colaboradores que representam maior risco cibernético à empresa, de forma que o conteúdo formativo possa ser personalizado e direcionado adequadamente;
  • Compara as pontuações da empresa com outras empresas que possuam uma forte segurança cibernética ou que, em alternativa, sofreram falhas ou interrupção de rede;
Cyber Quantified
  • Modelo estatistico que mostra a probabilidade de uma empresa sofrer violações de privacidade e interrupções de rede ciber-relacionadas e estima a frequência e gravidade de tais eventos, fornecendo dados relevantes que informam a estratégia ideal de transferência de risco por meio de cobertura de seguros. 
Seguro de Riscos Cibernéticos
  • O seguro de riscos cibernéticos permite concretizar uma transferência de risco que reduz de forma efectiva a volatilidade inerente a uma falha de segurança ou falha de sistemas dentro de uma organização. Permite transferir não apenas potenciais responsabilidades perante terceiros (por exemplo riscos inerentes à legislação de protecção de dados) como a interrupção de negócio consequente.
  • Complementa o programa de seguros tradicional que tipicamente não oferece qualquer cobertura para a organização para esta nova categoria de riscos (riscos cibernéticos).
Related content tags, list of links Artigo Gestão do Risco Cibernético Portugal