As organizações estão pouco confiantes sobre a sua capacidade para gerir o risco de um ataque cibernético, apesar de considerarem a cibersegurança uma prioridade de topo na gestão de riscos. Esta é uma das conclusões do Estudo mundial realizado pela Marsh e a Microsoft Corp.

Evidencia-se ainda o facto de dois terços dos inquiridos (mais de 1300 executivos), posicionaram a cibersegurança entre as prioridades TOP5 de gestão de riscos para as suas organizações, representando o dobro quando comparado com a resposta dada no survey da Marsh em 2016. O Estudo apurou, ainda, que uma grande maioria, mais precisamente 75%, identificou a interrupção do negócio como o cenário de perda cibernética com maior potencial para impactar a sua organização. Este valor pode comparar-se aos 55% que citaram a violação de informações de clientes, que historicamente tem sido o foco das organizações.

Em Portugal, 81% dos inquiridos, também, indicaram a interrupção do negócio como o principal cenário de perda cibernética, seguida pelos 54% atribuídos a danos a software ou de dados, 51% a danos reputacionais e 49% a violação de informação de clientes. Apesar desta crescente consciencialização e preocupação, apenas 19% dos inquiridos admitiram sentir-se altamente confiantes quanto à capacidade da sua organização conseguir mitigar e responder a um incidente cibernético. Além disso, apenas 30% afirmam já ter um plano desenvolvido para responder a ataques cibernéticos.

Estes resultados, quando comparados com os obtidos em Portugal no estudo de 2016, demonstram “diferenças substanciais”. Carlos Figueiredo, especialista de risco da Marsh, explica ao Jornal Económico que, no que diz respeito aos cenários de perda cibernética com maior impacto nas organizações, em 2016 a “interrupção do negócio” era igualmente apontado como o cenário com mais impacto, mas com uma percentagem de 60%, face aos 81% agora revelados.

Também, a preocupação com os “danos a software ou a dados” aumentou, de 38% para 54%, e os “danos reputacionais” tiveram uma subida de 40% para 51%. “Considero que, o forte aumento destas percentagens, é um dos reflexos dos ataques cibernéticos sofridos ou percecionados pelas organizações em 2017, como o Wannacry e o Petya, onde muitas experienciaram interrupções no seu negócio, mesmo que num curto espaço de tempo, tiveram danos no seu software ou bloqueio no acesso aos seus dados, o que se repercutiu, significativamente, na reputação das suas marcas”, esclarece ainda.

Quanto à estimativa do impacto financeiro decorrente de um incidente cibernético, em 2016, 55% das organizações portuguesas afirmava que não o tinha estimado; agora este número aumentou para 71%. “Este aumento revela uma maior consciência das proporções do impacto financeiro que uma organização pode sofrer decorrente de um evento cibernético, que as alertou para o facto de antes não o estarem a valorizar adequadamente”, reforçou ainda o especialista.

A importância de quantificar o risco

De acordo com o estudo, menos de 50% dos inquiridos disseram que sua organização estima as perdas financeiras de um potencial incidente cibernético e, daquelas que o fazem, apenas 11% fazem as suas estimativas em termos económicos. Em Portugal, 71% das organizações, que responderam, não estimaram o impacto financeiro de um incidente cibernético. O relatório aponta que estes cálculos são um passo fundamental para ajudar as Direções e outros Departamentos a desenvolverem planos estratégicos e decisões de investimento, nomeadamente a subscrição de um seguro de cyber.

Ao mesmo tempo, a responsabilidade da gestão dos riscos cibernéticos continua a assentar, primordialmente, no departamento de IT, com o envolvimento inconsistente de outros stakeholders da organização. Segundo o estudo, 70% dos respondentes consideram o IT como o principal interveniente e o responsável pelas decisões sobre a gestão do risco cibernético, comparativamente com os 37% que mencionam que esta responsabilidade cabe ao Presidente/CEO ou Conselho de Administração, e os 32% que mencionam estar a cargo do Gestor de Riscos.

“Embora a tecnologia seja a base de qualquer boa estratégia de cibersegurança, as empresas podem beneficiar do investimento em soluções não tecnológicas como a gestão de riscos, como parte de uma abordagem holística. Através de tecnologia avançada, ferramentas e formação, as empresas poderão proteger melhor os dados nas suas redes e estarem preparadas para interrupções de negócio e riscos reputacionais associados a ataques cibernéticos.”, conclui Matt Penarczyk, vice president & Deputy General Counsel da Microsoft.