Ir para o conteúdo principal
main content, press tab to continue
Artigo

Risco Cibernético: Depois logo se vê

Por Jorge Tobias | 28 outubro 2022

Uma estatística interessante revela que apenas 10% das empresas portuguesas contratam um seguro para riscos cibernéticos, o que contrasta com outros países.
N/A

Um estudo recente levado a cabo pela Agência Ambiental Europeia identificou que, entre 1980-2019, os eventos climáticos extremos registados em Portugal contabilizaram 7,6 mil milhões de euros em prejuízos e, desse valor, apenas 9% foram indemnizados por apólices de seguro. A análise comparava os 33 estados membros para os quais o valor médio de indemnizações era de 36% e o valor máximo era de 70% (Reino Unido) e o mínimo 1% (Lituânia e Roménia).

Ou seja, em Portugal, 91% dos gastos sofridos não foram alvo de indemnização pelo mercado segurador. A existência deste “protection gap” é reveladora da vulnerabilidade dos agentes económicos perante eventos catastróficos, pois o financiamento da resposta e da recuperação fica na dependência da “saúde” financeira que cada agente tenha nesse momento concreto... depois logo se vê!

O que é que isto tem a ver com cibersegurança? Confirma um padrão de atuação que também tem correspondência na gestão do risco cibernético, pois muitos agentes económicos optam por não ter proteção financeira para estes riscos que se manifestam de forma cada vez mais recorrente e têm um impacto difícil de estimar.

No Relatório Cibersegurança em Portugal (maio 2022) desenvolvido pela Universidade do Minho e com o apoio do Centro Nacional de Cibersegurança, é disponibilizada muita informação sobre a gestão dos riscos cibernéticos no nosso país. Uma estatística interessante revela que apenas 10% das empresas portuguesas contratam um seguro para riscos cibernéticos, o que contrasta com 21% (média da UE-27) e com, por exemplo, 33% na vizinha Espanha ou com 56% das empresas da Dinamarca (país com maior percentagem). Falamos de uma tipologia de seguro relativamente recente em todos os países, mas claramente a estatística revela uma forma de estar perante o risco muito diferente de país para país, confirmando a postura seguida nos riscos climáticos.

Os seguros não são a solução para eliminar os riscos, mas sim um mecanismo para reduzir o impacto caso estes se materializem. Adicionalmente, são um instrumento de incentivo para que as organizações que os decidam contratar possam gerir o risco de forma mais adequada, pois o reverso da medalha é o mercado segurador não aceitar dar cobertura.

A opção por contratar o seguro é também um contributo indireto para uma maior resiliência do tecido económico no seu conjunto, pois, no contexto de mercado segurador atual, não adquire o seguro quem quer, mas sim quem apresenta um nível aceitável de gestão do seu risco especifico e que, assim, reduza a probabilidade de sofrer um incidente e potencie a capacidade de recuperação perante um cenário adverso (Ex: formação de colaboradores, política de backups, controlos tecnológicos, inventariação e gestão de ativos, plano de resposta a incidentes, etc.).

Ou seja, apenas quem demonstrar possuir um conjunto de controlos preventivos que reduza a probabilidade de ocorrência deste risco tem acesso ao seguro. Pese embora cada seguradora tenha a sua política de subscrição, a existência de um seguro de riscos cibernéticos funciona como um controlo de natureza indireta sobre a resiliência da cadeia de fornecimento, sendo a razão pela qual é prática comum as grandes multinacionais exigirem muitas vezes este tipo de seguro aos seus fornecedores.

Embora o caminho para a contratação do seguro seja já um contributo para melhorar a postura na gestão de risco, a mais valia fundamental residirá na sua ativação em caso de necessidade, de forma a mitigar as perdas financeiras.

Temos assistido a variadíssimos casos mediáticos de ataques informáticos, mas curiosamente a informação que é divulgada relativamente ao impacto financeiro é muito reduzida: Quais os gastos com consultoria externa que a empresa visada teve que incorrer no âmbito do evento? Consultores técnicos de TI (avaliar a extensão dos danos e gastos com reposição de sistemas e informação) , consultores jurídicos (cuidado com a proteção de dados!) e consultores de relações públicas (ajudar a mitigar o impacto reputacional)? Quais os gastos de notificar eventuais terceiros, cumprindo com os requisitos do RGPD, quando existem dados pessoais comprometidos? Qual a faturação perdida pela empresa durante o período em que teve os seus sistemas condicionados ou sem acesso à informação em sistema? Quais os custos adicionais de exploração para atender à situação de emergência?

Será que todos estes impactos (e outros) devem ser retidos no balanço da empresa? Para 90% das empresas portuguesas…depois logo se vê!

Autor


Head of FINEX Portugal
email E-mail

Related content tags, list of links Artigo Gestão do Risco Cibernético
Contact us