Ir para o conteúdo principal
O que podemos ajudá‑lo a encontrar?
main content, press tab to continue
Serviço

Cyber Risk Consulting

No mundo cada vez mais global que temos hoje, onde os processos organizacionais estão profundamente interligados com a tecnologia, o risco cibernético e a cibersegurança tornaram-se preocupações fundamentais.

Compreender estes conceitos pode ser desafiante para quem não possui competências especializadas. A linguagem técnica e a terminologia complexa, como encriptação, avaliação de vulnerabilidades e sistemas de deteção de intrusões, podem parecer indecifráveis. Além disso, o risco cibernético é dinâmico e está em constante evolução, acompanhando os avanços tecnológicos e as táticas dos cibercriminosos.

Ao contrário dos riscos físicos, os riscos cibernéticos são frequentemente abstratos e intangíveis, dificultando a sua compreensão. As consequências de um ciberataque, como a perda de informações pessoais, recursos financeiros ou reputação, podem não ser imediatamente visíveis ou facilmente quantificáveis, tornando difícil para os não especialistas avaliarem a importância das medidas de cibersegurança.

3 Formas de Tornar os Dados de Risco Cibernético Visíveis

Tendo em conta este contexto, propomos 3 formas de tornar os dados relativos ao risco cibernético e à cibersegurança visíveis de forma transversal dentro de todas as organizações:

Em primeiro lugar, uma avaliação da maturidade da cibersegurança ajuda as organizações a avaliar o estado atual da sua postura de segurança. Fornece uma visão abrangente da eficácia dos controlos de segurança, processos e tecnologias existentes na mitigação dos riscos cibernéticos. Ao avaliar a maturidade das práticas de cibersegurança, as organizações podem identificar lacunas e áreas de melhoria no seu programa de segurança. As organizações podem estabelecer objetivos realistas e definir um roteiro para melhorar a sua postura de cibersegurança, compreendendo o nível de maturidade atual.

Depois de terminar este tipo de exercícios, estes são alguns exemplos da informação que pode ser comunicada dentro da organização:

  • O nosso nível de maturidade em matéria de cibersegurança em relação a um quadro de risco cibernético adaptado (fusão do quadro de cibersegurança NIST v1.1 e dos controlos críticos de segurança CIS v8) é médio. A sua classificação é de 2,73 em 5,00.
  • Comparando a nossa classificação com a de outros pares, podemos inferir que estamos ligeiramente abaixo da classificação média (2,9 em 5,00).
  • Uma vez que as funções do NIST Cybersecurity Framework DETECT (1,5 em 5,00) e RESPONSE (2,1 em 5,00), são as que têm uma classificação mais baixa, se sofrermos um incidente de cibersegurança, o impacto (perdas), como componente básica do risco (risco=probabilidade x impacto) é a variável que, em termos gerais, teria mais peso.

Em segundo lugar, um processo de quantificação do risco cibernético permite converter e comunicar os dados do risco cibernético em informações úteis para a tomada de decisões nas diferentes divisões de uma organização. Este processo de consultoria fornece aos clientes uma quantificação financeira detalhada do seu risco cibernético, personalizada de acordo com as circunstâncias específicas da organização. Este processo ajuda a responder às seguintes questões sobre o risco cibernético.

  • Do ponto de vista do CEO, a principal questão é: como podemos estimar o impacto financeiro que os incidentes de cibersegurança terão na nossa atividade no próximo ano?
  • Do ponto de vista do diretor financeiro, qual é o ROI do investimento necessário para gerir (mitigar ou transferir) o risco cibernético?
  • Do ponto de vista do gestor de riscos, como posso explicar ao resto do da gestão de topo da minha empresa as perdas esperadas devido a incidentes de cibersegurança nos próximos anos?
  • Por último, do ponto de vista do CISO, como justifico um determinado investimento em mitigação ou em pessoas para reduzir o risco cibernético existente?

Estes exercícios permitem gerar informação quantitativa que podem ser comunicadas dentro da organização:

  • Nos próximos 12 meses, a probabilidade de sofrer um incidente de cibersegurança com um impacto superior a 2.599.988 euros é de 25%, superior a 5.368.195 euros é de 10% e superior a 13.706.285 euros é de 0,5%.
  • O incidente que causa maiores perdas é o S01 (S01-Ransomware AD Domain Controllers). Em casos extremos, podemos perder mais de 8.000.000 euros com uma probabilidade de 0,5% apenas para este cenário. Em casos catastróficos, podemos perder mais de 17 000 000 euros com uma probabilidade de 0,01%.
  • O principal tipo de perdas cibernéticas esperadas calibradas são as reclamações de terceiros e responsabilidades civis. Esta perda representa 85% das perdas esperadas. Em casos extremos, com 0,5% de probabilidade, podemos perder mais de 8.000.000€ relativos a reclamações de terceiros e responsabilidades civis. Em casos catastróficos, com 0,01% de probabilidade, podemos perder mais de 13.400.000€.
  • Com base na teoria dos seguros, o ideal é que o limite geral de indemnização de um seguro cibernético não seja inferior a 9.700.000€.

Por último, um exercício de simulação de crise cibernética é uma atividade de formação simulada concebida para testar as capacidades de preparação e resposta de uma organização na eventualidade de um incidente cibernético. Envolve reunir as principais partes interessadas de vários departamentos, como TI, segurança, jurídico, comunicações e liderança executiva, para participar numa discussão facilitada pela nossa equipa e numa simulação baseada em cenários. Em suma, este exercício permite que as pessoas-chave dentro da empresa tomem as melhores decisões possíveis no momento certo.

Estas são algumas das perguntas que devem ser respondidas e discutidas durante este exercício:

  • O que fazer, quando e como fazer se a organização sofrer um incidente de cibersegurança?
  • Quem são as principais partes interessadas responsáveis pela gestão do incidente?
  • Quem é responsável por aconselhar terceiros? Quem é responsável por desligar os serviços de rede? É permitido fazê-lo? A organização pagaria por ransomware?
  • Quem é responsável por lidar com os media se uma mensagem indesejada for publicada nas redes sociais?

Em conclusão, propomos três estratégias eficazes para melhorar a visibilidade e a comunicação do risco cibernético e dos dados de cibersegurança nas organizações. Em primeiro lugar, a realização de uma avaliação da maturidade da cibersegurança permite que as organizações avaliem a sua postura atual em matéria de cibersegurança e identifiquem as áreas que requerem melhorias. Em segundo lugar, a realização de um processo de quantificação do risco cibernético ajuda as organizações a compreender o potencial impacto das ciberameaças e a determinar a sua exposição ao risco. Ao quantificar os riscos cibernéticos, as organizações podem tomar decisões informadas sobre estratégias de mitigação e transferência de riscos, dar prioridade aos investimentos em medidas de cibersegurança e comunicar as potenciais consequências às principais partes interessadas.

Por último, a realização de uma simulação de crise cibernética, normalmente conhecida como exercício de mesa cibernética, promove uma abordagem proactiva à preparação e uma comunicação e colaboração eficazes durante situações de alta pressão.

Capacidades relacionadas

Gestão do Risco Cibernético - o Seguro

A WTW é uma empresa líder e inovadora na abordagem do cenário de riscos incluindo os riscos cibernéticos que hoje em dia podem impactar as organizações.
Facility para seguro de riscos cibernéticos da WTW para a Europa Continental

Proteja o seu negócio com cobertura de seguro de riscos cibernéticos para empresas negociada pela WTW e agora disponível em Portugal.
Contact us