As seguradoras, entre os alvos dos cibercriminosos
As seguradoras têm uma dupla face em relação à cibersegurança. Por deterem informações pessoais valiosas, elas próprias são um alvo privilegiado dos cibercriminosos e devem por isso ter uma proteção eficaz. Por outro lado, podem desenhar e vender seguros que protejam os seus clientes dos riscos cibernéticos, assim como ajudá-los a fazer face a um eventual ataque.
Vincent Van de Winckel (VVDW): No que diz respeito à salvaguardar a sua própria atividade, como devem as seguradoras proceder para se premunir dos riscos cibernéticos? Quais os processos chaves a implementar e monitorizar?
Mauro Almeida (MA): As seguradoras gerem milhões de dados pessoais e sensíveis dos seus clientes, informação critica para o seu negócio. Hoje, mais do que nunca, toda a gestão, controlo e guarda desta informação é suportada em sistemas informáticos, assistindo-se a uma total digitalização do negócio e da interação com os próprios clientes. A responsabilidade para com a segurança de informação, e cibersegurança, por parte das seguradoras ganha um peso acrescido pela quantidade e criticidade dos dados que são tratados e armazenados.
O acesso indevido a dados confidenciais das organizações, ou a sua adulteração, pode levar à perda de confiança por parte dos clientes, dano reputacional, perda de propriedade intelectual ou à aplicação de multas pelo incumprimento de regulamentos, ou normas, com as consequentes perdas financeiras. É por isso essencial que as seguradoras implementem preventivamente, por exemplo, soluções tecnológicas como a segmentação de redes, a monitorização de dispositivos, a implementação de mecanismos de multi-factor authentication (MFA), mecanismos de data loss prevention e de classificação e proteção de informação.
No entanto, em cibersegurança, não existe one-size-fit- all. A abordagem que defendo é a aquisição de soluções sob a perspetiva do ciber-risco, tendo a avaliação de risco como pedra basilar de uma estratégia de segurança robusta e holística. Esta abordagem permite às organizações a seleção adequada das soluções a adquirir, ou implementar, e garante uma aplicação eficiente do orçamento disponível e correta priorização do investimento com a consequente redução do ciber-risco.
VVDW: Qual o nível de conscientização das organizações em PT face ao risco cibernético? Há necessidade de campanhas de sensibilização? Por parte de quem?
MA: O ciber-risco já é um tema essencial nas agendas da gestão de topo das organizações que efetivamente o consideram como sendo um risco operacional. Isto é, um risco com o potencial de gerar um impacto negativo, e profundo, na organização, seja ele reputacional, financeiro, regulamentar ou capaz de gerar uma quebra de produção.
No entanto, apesar de se assistir a um aumento da sensibilização das organizações para o ciber- risco, também se assiste a uma redução considerável no nível de confiança destas na sua capacidade de o gerir. Esta perda de confiança está muitas vezes associada à dificuldade que as empresas têm em compreender a probabilidade, e prioridade, de ocorrência desses riscos e como agir sobre eles.
Outro fator de risco para as organizações, e que não deve ser negligenciado, é o facto de que grande parte dos colaboradores das empresas não está sensibilizado para o tema e, por isso, não toma as devidas precauções. Este risco é acrescido com o aumento do trabalho remoto, uma vez que os colaboradores deixam de estar no perímetro da organização e passam a utilizar as suas redes pessoais, de casa, para aceder a informação confidencial e sensível, ou a ativos da organização. Estas redes domésticas não têm os mesmos controlos de segurança que as redes corporativas e são mais uma superfície de ataque, não controlada pelas organizações.
A par da adoção de algumas medidas tecnológicas, é essencial trabalhar a segurança na perspetiva da formação e sensibilização dos colaboradores. Não é suficiente investir nos melhores serviços, adquirir o melhor hardware e software e definir processos internos, se não houver investimento nos colaboradores, que são quem realmente vai estar na frente da batalha contra ciberameaças. É errado pensar que os utilizadores são o elo mais fraco na segurança da informação das organizações, quando na verdade têm o potencial para ser o elemento mais forte de uma empresa na proteção contra ameaças de segurança.