Portugal

 

Risco

Risco Cibernético: 8 áreas que as empresas enfrentam em 2019

Com a atualização tecnológica decorrente dos processos de transformação digital, as empresas ficam mais expostas aos riscos cibernéticos. Esta afirmação parece entrar em contrassenso com a maior parte das promessas feitas pelas inovadoras soluções de TIC (Tecnologias da Informação e Comunicação): Se as tecnologias otimizam processos e reforçam a segurança de sistemas e dados, por que razão estão as empresas mais vulneráveis a estes riscos?

A verdade é que uma empresa mais tecnológica é também uma empresa mais exposta a ataques e a outros riscos cibernéticos. Isto não significa, porém, que estes riscos não possam ser identificados e prontamente acautelados. Mas para que isto aconteça, as empresas têm que estar devidamente informadas acerca de todos os potenciais problemas, e preparadas com políticas de segurança preditivas e transversais à organização que reduzam significativamente todos os riscos associados.

A migração para a cloud, a adoção de sistemas digitais, a crescente utilização de distintos dispositivos pessoais e profissionais e a conversão dos ativos físicos para o digital aumentam significativamente a superfície de ataque, e criam novos desafios de segurança e de gestão de riscos para as organizações. As inúmeras ameaças que existem podem impactar as várias indústrias de forma diferente, consoante a sua área de atividade, dimensão ou mesmo região. Compete às empresas entender todos os riscos e endereçá-los de forma proativa.

Para ajudar as empresas, o Relatório de Segurança e Risco Cibernético 2019 da Aonidentificou oito áreas de risco para as empresas em 2019, independentemente do seu estágio no processo de transformação digital.

1. Tecnologia:

Vivemos num mundo tecnológico. Carros, casas, escritórios e edifícios inteligentes; telefones, eletrodomésticos, serviços e sensores ligados à internet; dados pessoais e profissionais em bases de dados partilhadas. Pessoas e países têm uma pegada digital cada vez maior, e apesar de a área exposta a ameaças e riscos cibernéticos estar a aumentar, o potencial de dano é muitas vezes negligenciado ou mal calculado. A tecnologia é o grande driver da inovação e da evolução, mas a sua utilização tem que ser bem pensada e estrategicamente gerida. As oportunidades criadas pela nova Era digital são indiscutíveis, mas os riscos são reais e têm que ser considerados e endereçados a cada passo do percurso.

2. Supply Chain:

As oportunidades e benefícios garantidos pela evolução tecnológica da cadeia de fornecimento tendem a ocultar os perigos associados à rápida disseminação dos dados operacionais recolhidos pelos endpoints e pela Internet of Things (IoT); à crescente migração dos dados para a cloud e abandono dos centros de dados locais; ou à dependência dos modelos as-a-service, dos managed services ou do outsourcing no geral. A introdução destes e de outros novos agentes numa supply chain, também ela cada vez mais complexa e global, vem aumentar os riscos de segurança. Tendencialmente, a C-suite apenas assume uma postura mais proativa quando confrontada com um problema, no entanto, o impacto combinado da inovação acelerada e da multiplicação de ameaças cibernéticas obriga os gestores a adotar uma gestão informada, proativa e preventiva que garanta a sustentabilidade e viabilidade das suas operações no futuro.

3. IoT:

A IoT está longe de ser algo futurista. Estes equipamentos fazem parte do dia-a-dia das pessoas e empresas. A sua utilização é tão comum e transparente que estes dispositivos acabam por tornar-se “invisíveis” – é isto que os torna especialmente perigosos. Todos os endpoints representam um potencial risco de segurança. A correta gestão e proteção destes equipamentos acautela potenciais problemas, no entanto, a maioria das empresas não tem noção dos dispositivos IoT que integram a sua estrutura – ou não existe inventário, ou este está incompleto ou desatualizado. Parte do problema está no outsourcing de serviços. Muitos destes equipamentos são fornecidos e geridos por parceiros, algo que pode aumentar o risco. As organizações devem garantir a correta inventariação e monitorização dos seus endpoints, para conseguirem avaliar corretamente os riscos associados e criar políticas de segurança adequadas.

4. Tecnologia nos processos de negócio:

A tecnologia automatiza e otimiza os processos de negócio, promove a eficiência operacional, reduz a complexidade das tarefas e diminui a probabilidade de erros nos processos críticos. As vantagens são inegáveis, mas esta dependência tecnológica cria vulnerabilidades de segurança que devem ser corretamente geridas e monitorizadas. Malware, ransomware e outras ameaças podem rapidamente comprometer a continuidade de um negócio ou mesmo a viabilidade de uma empresa. A crescente conectividade aumenta a superfície de ataque e a probabilidade de os atacantes se movimentarem por toda a rede, ou seja, aumenta o potencial de dano. Esta é uma realidade não só preocupante para as empresas, mas também para cidades e até países devido ao desenvolvimento das designadas smart cities que têm toda a sua infraestrutura física e de serviços ligada em rede. Um ataque bem-sucedido pode comprometer dados pessoais, de negócios ou o correto funcionamento de estruturas e serviços, provocando danos financeiros potencialmente devastadores. É crítico que as empresas percebam o real impacto destes riscos.

5. Colaboradores:

As pessoas continuam a ser uma das causas mais comuns das falhas de segurança, seja por atitude maliciosa ou simples negligência. O processo de transformação digital deve ser acompanhado pela promoção de uma cultura de prevenção junto das equipas e de toda a administração, orientada para a segurança, para a privacidade dos dados e demais riscos. O livre acesso à internet e a sites de ferramentas de partilha, o BYOD e a utilizações dos recursos digitais integrados no designado digital workplace aumentam consideravelmente os riscos de segurança e podem expor a rede da empresa a problemas potencialmente graves. Uma estratégia de proteção de dados, de segurança cibernética e de controlo de acesso abrangente e bem estruturada pode revelar-se essencial para a continuidade do negócio e sucesso da empresa.

6. Fusões e Aquisições:

As fusões e aquisições não envolvem apenas a integração de um negócio, de equipas ou de uma carteira de clientes. Contempla também a integração de sistemas que podem ser incompatíveis ou antigos, de vulnerabilidades e falhas de segurança graves, ou de políticas de segurança inadequadas. A elevada concorrência de mercado tende a encurtar o tempo de decisão, e neste contexto, a C-suite privilegia as análises financeiras e de potencial de negócio. Isto significa que raramente é feita uma avaliação das políticas de segurança da outra empresa. As empresas devem desenvolver estratégias específicas de segurança cibernética nos seus planos de fusões e aquisições, se quiserem garantir transições seguras no futuro.

7. Regulamentação:

O aumento da regulamentação, leis, regras, padrões e diretrizes relacionadas com a cibersegurança afeta organizações, indústrias e países em todo o mundo. Apesar de o objetivo ser o reforço da segurança e da privacidade e proteção de dados, a regulamentação e as obrigações de conformidade criadas pelos diversos países aumenta a complexidade, altera as práticas de segurança já existentes e ajustadas ao negócio, e acaba por criar mais vulnerabilidades. Muitas empresas são obrigadas a implementar novas práticas e mecanismos de segurança, sob pena de multas pesadas, mas como nunca chegam a perceber muito bem os contornos das novas regras falham na criação de boas práticas complementares. As obrigações regulamentares em 2018 foram feitas em contrarrelógio e de forma superficial, algo que aumenta o cenário de risco em 2019. A regulamentação não pode ser o único foco. As empresas têm que equilibrar esta área com a permanente evolução das ameaças cibernéticas, que exigem uma abordagem mais holística do risco.

8. Conselhos de Administração:

A gestão de riscos de cibersegurança é um dos grandes desafios das empresas atualmente. Por um lado, nem todas as organizações possuem equipas com competências específicas para endereçar este problema, ou com programas de formação que garantam a permanente atualização de competências. Por outro, as restrições orçamentais colocam muitas vezes a questão da segurança em segundo plano. Apesar do contexto, a pressão junto do conselho de administração é muita, nomeadamente ao nível da segurança de sistemas e da privacidade e proteção de dados. Um erro pode comprometer a empresa, dar lugar a problemas legais ou multas pesadas. A área legal associada aos crimes online é ainda uma zona cinzenta para muitas indústrias, no entanto, estas têm que estar preparadas para responder a possíveis incidentes nos mais distintos domínios – seja no terreno ou em tribunal – e garantir um conjunto de procedimentos e uma estratégia de gestão de riscos abrangente e célere, capaz de responder rapidamente a qualquer dificuldade.


A nova Era digital traz consigo grandes oportunidades, mas também grandes riscos. Para mitigar estes riscos as organizações têm que monitorizar permanentemente toda a sua estrutura, identificar vulnerabilidade e corrigir possíveis falhas, criar políticas de segurança transversais aos distintos departamentos e estar permanentemente atualizadas face às novas ameaças.

A Aon acredita que o futuro da gestão de riscos cibernéticos deve proativo, orientado para a partilha de informação sobre todo o tipo de ameaças e assente numa política de colaboração entre empresas e indústrias.

Ler mais artigos do