O documento discute (1) os métodos de ataque cibernético como malware, spear phishing e ransomware e seu impacto nos negócios, (2) a escala crescente do risco cibernético com mais de 120.000 ataques por dia, causando bilhões em perdas, e (3) a necessidade de empresas gerenciarem ativamente este risco através de estruturas de segurança cibernética.

1. Rising to
the cyber
threat
Enfrentando
a ameaça
cibernética
DOSSIER
01
Cyber attack methods and business impact
Métodos de ciberataque e impacto nos negócios
02
A recipe for cyber defence
Uma receita para a ciberdefesa
03
Cyber: this risk is real and needs to be managed
Cibersegurança: o risco é real e é preciso geri­‑lo
04
“To Boldly Go”………
Avançar com coragem………
05
Awareness key to cyber risk transfer demand
Consciencialização do risco cibernético: essencial
para a procura de soluções de transferência
MDS Magazine

2. ©Nicolau
Rising
to the cyber
threat
Enfrentando
a ameaça
cibernética
88
fullcover

3. C
yber risk is big news at the moment as
individuals, businesses and governments
allovertheworldwakeuptothefactthatthe
global economy is now run on a technology
that is vulnerable and potentially catastrophically so.
Thenumberofdetectedcyber­‑attacksskyrocketedin
2014,up48percentfrom2013.Theexpectednumberof
attacksisexpectedtosurgeto42.8millionorroughly117
339attackseachdayaccordingtoconsultingfirmPWC.
In recent research undertaken by global insurance
group AIG, 86% of those asked (including risk
managers, brokers and C­‑suite executives) said they
were ‘very’ or ‘somewhat’ concerned about cyber risk.
But while this is a very real and scary risk it can be
managed and to an extent transferred to the insurance
market.
In the following collection of articles experts in the
field explain to Fullcover readers the scale of the risk,
how it has recently evolved and where it is likely to
head next.
Critically the authors also explain how this risk can
be identified, measured, managed and ultimately
transferred to a fast­‑developing cyber risk insurance
market.
For companies, this risk needs to be managed on
an enterprise wide basis. This cannot be managed
in isolation by the IT department, legal or risk and
insurance.Thisneedsastructured,plannedandgroup
effort to ensure that the benefits of the technological
age outweigh the risks.
O
risco cibernético está na ordem do dia
numa altura em que as pessoas, as empre-
sas e os governos de todo o mundo desper-
tam o facto de que hoje a economia global
funciona com base numa tecnologia que é vulnerável
e de uma forma potencialmente catastrófica.
Onúmerodeciberataquesdetetadossubiuemflecha
em2014,mais48%doqueem2013.Segundoaempresa
de consultoria PWC, o número de ataques em 2015
deverá ascender a 42,8 milhões ou aproximadamente
117 339 por dia.
Numa investigação recente levada a cabo pela AIG,
86% dos inquiridos (incluindo gestores de risco, corre-
tores e executivos de topo) afirmaram estar “muito”
ou “de alguma forma» preocupados com os riscos
cibernéticos.
Mas, embora este seja um risco real e assustador,
pode ser gerido e, em certa medida, transferido para
o mercado de seguros.
Na compilação de artigos seguinte, especialistas da
área explicam aos leitores da Fullcover a dimensão do
risco,aformacomoprogrediurecentementeecomose
prevê que evolua nos próximos tempos.
Osautoresexplicamtambémaformacomoesterisco
pode ser identificado, avaliado, gerido e, em última
instância, transferido para um mercado de seguros de
risco cibernético em franco desenvolvimento.
Nas empresas, este risco tem de ser gerido numa
perspetiva abrangente: trata­‑se de um risco que não
pode ser tratado isoladamente pelo departamento de
TI, pelo departamento jurídico, ou pelo departamento
de risco e seguros. Tem de ser um esforço estruturado,
planeado e conjunto que assegure que os benefícios da
era tecnológica se sobrepõem aos riscos.
MDS Magazine
89

4. Ernest Legrand, Chief Executive Officer
at New York­‑based technology company
WEBCBG and a Specialized Resource
Member of Brokerslink, advises business
leaders to address cyber risk and take active
steps to identify, assess and manage the risk
on an enterprise wide basis.
Ernest Legrand, CEO da empresa de
base tecnológica sediada em Nova Iorque
WEBCBG, e Specialized Resource Member
da Brokerslink, aconselha os responsáveis
das empresas a encarar o risco cibernético
e a agir ativamente, tomando medidas para
identificar, avaliar e gerir o risco de forma
transversal nas empresas.
Cyber attack methods
and business impact
Métodos de ciberataque
e impacto nos negócios
01
W
hen Jimi Hendrix sang Elmore James'
Bleeding Heart, little did he know
that he would be a victim of copyright
theft after his death in 1970. The song
portrayed desolation and heartbreak and today the
HeartbleedBugthatleft300,000webservers vulnerable
in 2014 ironically conveys the same message. The bug
along with scores of cyber­‑attack methods threatens to
bleedouthundredsofmillionsofdollarsfrombusinesses
andgovernmententerprisesacrossnationalitiescausing
muchanxietyanddespair.TheenduringShellshockbug
makes 70% of all machines vulnerable and has been
going undetected for the last 20 years.
With 120,000 incoming cyber attacks every day
growing at 60% annually it is no surprise that cyber
security is quickly gaining prominence within IT
budgets and enterprise risk management programs.
©Nicolau
fullcover
90 cyber

5. In 2013, 3,000 US companies were unaware of
cyber intrusions until notified by the FBI, while for
organizations with security incidents the average
annual monetary loss was approximately $400,000 in
2014.
Cyber exploits are not limited to large businesses,
critical infrastructure, government or large supply
chains, anyone and everyone are at risk. How then
can businesses address this pressing issue of a robust
cyber security program? Though there are several
good frameworks available most start with first step
as classification and identification of cyber­‑attack
methodsthatarekeytoanalyzingmotivesanddamage
mitigation. Whether incidents are state sponsored,
propaganda or criminal by nature or by hactivists, the
annualcosttotheglobaleconomyfromcybercrimesis
between$300and$500billionasestimatedbyMcAfee.
The gravity of this issue prompted US President’s 2013
Executive Order on improving cyber security and the
formation of the National Institute of Standards and
Technology (NIST) Cyber security Framework.
Unfortunatelycybercrimelandscapeisnotjustabout
organized theft, it is also about increasing complexity
and sophisticated techniques. A mapping of the major
cyber­‑attacks identifies creative combinations of well­
‑known cyber methods such as: (1) Malware: Virus,
worms, Trojan horse, spyware, adware, scareware; (2)
SQL Injection: Malicious SQL commands; (3) Spear
phishing: Targeted email scam; (4) DDoS: Attack on
Network, system or online service availability; (5) XSS
Attacks: Malicious scripts on web sites; (6) Watering
Hole: Opportunistic attack through a malicious code
on a webpage; (7) APT or “Advanced Persistent Threat”:
A persistent relentless and undetected attack targeting
sensitivedataorintellectualproperty,makingrecovery
and detection a costly proposition.
The severity of sophisticated attacks can be
understoodfromthefactthatAdobehadits150million
customer data compromised in 2013 as an effect of
Malware and APT injected into its systems. Target
Inc. also paid the price with personal information
of 70 million people and card data of 40 million
compromised in a combined APT, malware and spear
phishing attack. JP Morgan suffered from a three
month undetected cyber­‑attack giving hackers the
highest level of administrative privileges on more
than 90 of the bank’s servers in 2014. Consequently
data pertaining to 76 million households and 7 million
small businesses was breached. Astonishingly nine
other financial institutions were also attacked by the
same group said to be originating from Russia.
New technologies have fuelled new attack tactics.
Point of Sale systems, Digital payment systems,
Internet Of Things, Clouds and Mobility have added
newdimensionswithrisingwormsandvirusesmaking
way through vulnerable systems.
No matter what methods are used whether
external or internal, on desktop or mobile systems,
businesses today are challenged with maintaining
corporate credibility and securing sensitive data
with major cost implications after a cyber attack.
Lost business and erosion of customer trust can
Q
uandoJimiHendrixcantouBleedingHeart
de Elmore James, estava longe de imagi-
nar que viria a ser vítima de usurpação de
direitosdeautorapósasuamorteem1970.
A canção falava de desolação e desgosto, e o
HeartbleedBug,queem2014colocou300000servido-
resdaInternetemsituaçãodevulnerabilidade,veicula,
ironicamente, a mesma mensagem. Juntamente com
inúmeros outros métodos de ciberataque, este bug
ameaça desviar centenas de milhões de dólares de
empresas e instituições governamentais de diferen-
tes nacionalidades, provocando grande preocupação
e ansiedade. O resistente Shellshock Bug afeta de cerca
de 70 % das máquinas em termos de vulnerabilidade
e tem permanecido indetetável nos últimos 20 anos.
Com120000novosciberataquespordia,eumcresci-
mentoanualde60%,nãoédesurpreenderqueaciber-
segurança comece a adquirir uma crescente impor-
tância nos orçamentos das áreas das Tecnologias de
Informação(TI)enosprogramasdegestãodoriscodas
empresas. Em 2013, 3000 empresas norte­‑americanas
não tinham conhecimento de que estavam a ser alvo
de intrusões cibernéticas até serem notificadas nesse
sentido pelo FBI e, em 2014, as organizações que sofre-
ramquebrasdesegurançaregistaramumamédiaanual
de perdas pecuniárias de cerca de 400 000 dólares.
Os riscos cibernéticos não se limitam apenas a gran-
des empresas, infraestruturas críticas, governos ou
grandes cadeias de abastecimento; ninguém está a
salvo. Como poderão as empresas enfrentar a neces-
sidade urgente de um programa sólido de segurança
cibernética? Apesar de existirem vários frameworks
de qualidade, a maior parte começa pela classifica-
ção e identificação de métodos de ciberataque que são
decisivos para a análise da motivação e para a mitiga-
ção dos danos. Quer se trate de incidentes patrocina-
dosporEstados,propaganda,atoscriminososemsi,ou
levadosacaboporhactivists(hackersativistas),ocusto
anual da cibercriminalidade para a economia global
é de 300 a 500 mil milhões de dólares, na estimativa
da McAfee. A gravidade do problema esteve na origem
da “Executie Order” do Presidente dos EUA de 2013, e
dacriaçãodoCyberSecurityFramework,peloNational
Institute of Standards and Technology (NIST).
Infelizmente, o panorama da cibercriminalidade
não se limita apenas ao roubo organizado, tendo igual-
mente a ver com uma crescente complexidade e técni-
cas sofisticadas. Um mapeamento dos principais cibe-
rataques identifica combinações criativas de métodos
cibernéticos conhecidos, designadamente os seguin-
tes:(1)Malware:vírus,worms,cavalodeTróia,spyware,
adware, scareware; (2) Injeção de SQL: comandos SQL;
(3) Spear phishing: e­‑mails fraudulentos; (4) DDoS:
ataques que bloqueiam a disponibilidade de serviços
na rede, no sistema ou on­‑line; (5) Ataques XSS: scripts
maliciosos escondidos em websites; (6) Watering Hole:
ataque oportunístico através da introdução de um
código malicioso numa página na Internet; (7) APT
ou “Advanced Persistent Threat”: ataque persistente,
implacável e indetetável visando dados confidenciais
ou propriedade intelectual, sendo a operação de dete-
ção e recuperação dispendiosa.
MDS Magazine
cyber 91

6. A gravidade destes ataques sofisticados pode ser
demonstrada pelo facto de, em 2013, a Adobe ter visto
comprometidososdadosde150milhõesdosseusclien-
tescomoresultadodemalwareeAPTinjetadosnosseus
sistemas.ATargetInc.tambémtevedepagarumpreço
elevado pelo facto de dados pessoais de 70 milhões de
pessoas e de os dados de 40 milhões de cartões terem
ficadocomprometidosnasequênciadeumataqueque
combinou APT, malware e spear phishing. Em 2014 a
JP Morgan foi alvo, durante três meses, de um cibe-
rataque não detetado que conferiu aos hackers o mais
elevado nível de acesso a mais de 90 dos servidores do
banco. Consequentemente, foi violada a confidencia-
lidade dos dados de 76 milhões de famílias e de sete
milhões de pequenos negócios. Surpreendentemente,
nove outras instituições financeiras foram também
alvodeataquepelomesmogrupo,alegadamenteorigi-
nário da Rússia.
Novas tecnologias têm permitido novas táticas de
ataque. Sistemas de ponto de venda (POS), sistemas
de pagamento digital, a Internet das Coisas, a compu-
tação em nuvem e a utilização de suportes móveis
têm acrescentado novas dimensões, com um número
crescente de worms e vírus penetrando em sistemas
vulneráveis.
Independentementedosmétodosutilizados–exter-
nos ou internos, em desktop ou sistemas móveis – as
empresas são hoje confrontadas com a necessidade de
manteracredibilidadecorporativaedeprotegerdados
confidenciais, com enormes consequências no que
diz respeito aos custos após um ciberataque. A perda
de negócio e a diminuição da confiança dos clientes
podem ter consequências duradouras para a imagem
da marca e para a reputação da empresa, construídas
aolongodosanos,enquantoasentidadesgovernamen-
taistêmdeenfrentarasconsequênciasnocivasdacibe-
respionagem que constitui uma ameaça para os servi-
ços públicos ou mesmo para a segurança nacional.
Oransomwareéanovatendênciadeataquecibernético
que ameaça tanto os utilizadores individuais como as
empresas com pedidos de resgate para a recuperação
dos seus próprios dados.
Paraseprotegeremdacibercriminalidade,asempre-
sas de hoje precisam de compreender de que forma
poderão implementar medidas preventivas através de
um sistema organizativo de cibersegurança.
have enduring consequences on brand image and
company reputation that are built over years, while
governmental enterprises have to face damaging
consequencesofcyberespionagethreateningnational
utilities or even national security. Ransomware is the
new trend of cyber­‑attacks that threaten individual
users and enterprises altogether with ransom for the
recovery of their own data.
Businesses today need to understand how key
preventive measures can be implemented through an
organizational cyber security framework to address
cybercrime.Astepwiseapproachtoformingastrategy
would include:
1. Commission an IT system vulnerability
assessment to identify and evaluate inside and
outside sources including contractors, third party
vendors, and employees.
2. Define day­‑to­‑day security procedures
3. Secure IT systems:
a. Activate firewall
b. Test vendor systems before giving access to the
internal network
c. Use latest versions of anti­‑virus, anti­‑ spyware
software
d. Test mobile devices for vulnerabilities
e. Monitor internet connection
4. Use “white hat”1
hackers to test the
implementation
5. Set up intellectual property agreements
6. Execute regular system updates and turn on
automatic updates for all Operating Systems
7. Update and evaluate commonly used software:
Java, Adobe Reader, Microsoft Office, Flash,
Internet Explorer: all have carried vulnerabilities
at one stage or the other
8. Change passwords frequently and stay cautious
while using public computers
9. Never click on email links or download
attachments without verifying authenticity
10. Ensure the senior management regularly
communicate to the employee on safe cyberspace
behavior and security awareness training
According to recent surveys, best practices such
as IT system vulnerability assessment, account/
password­‑management policy, cyber risks inclusion
in enterprise risk­‑management program, intrusion
detection system have been reported as successful
deterrents by governmental organizations.
fullcover
92 cyber

7. Uma abordagem faseada para delinear uma estratégia
de cibersegurança incluirá:
1. efetuar uma análise da vulnerabilidade do sistema
de TI para identificar e avaliar as fontes internas e
externas, incluindo adjudicatários, fornecedores
subcontratados, e empregados;
2. definir procedimentos de segurança no dia a dia;
3. proteger os sistemas de TI:
a. ativar firewalls,
b. testar os sistemas dos fornecedores antes de lhes
dar acesso à rede interna,
c. utilizar as versões mais atualizadas de software
antivírus e antispyware,
d. testar a vulnerabilidade dos dispositivos móveis,
e. monitorizar a ligação à Internet;
4. utilizar hackers ‘de chapéu branco’1
para testar a
implementação;
5. celebrar acordos de proteção da propriedade
intelectual;
6. executar atualizações periódicas do sistema e
ativar atualizações automáticas para todos os
sistemas operativos;
7. atualizar e avaliar o software mais utilizado: Java,
Adobe Reader, Microsoft Office, Flash, Internet
Explorer: todos estes programas revelaram
vulnerabilidades, em determinada altura;
8. alterar frequentemente as palavras­‑passe e manter
uma atitude prudente ao utilizar computadores
públicos;
9. nunca clicar em hiperligações de e­‑mail nem
efetuar o download de anexos sem verificar a sua
autenticidade;
10. assegurar a existência de informação
frequentemente aos colaboradores, por parte
da administração e direção da empresa, sobre
comportamento seguro no ciberespaço e sobre
programas de sensibilização para a segurança.
Estudos recentes revelam que boas práticas, tais como
aavaliaçãodavulnerabilidadedossistemasdeTI,uma
política de gestão de contas / palavras­‑passe, a inclu-
são de riscos cibernéticos nos programas de gestão do
risco, ou a adoção de sistemas de deteção de intrusões,
têm sido consideradas como medidas preventivas de
sucesso nas organizações governamentais.
1 Nota do tradutor:
“white hat” também designados por “ethical
hackers” (hackers éticos), atuam com vista à
proteção da empresa.
Ernest Legrand
chief executive officer at webcbg
The company focus areas include advanced
software development leveraging big data
analytics and data visualization techniques
in the insurance industry, as well as mobile
application and digital marketing. WEBCBG has
recently released Glossarisk, the first insurance
glossary on mobile devices, in association with
IRMI (International Risk Management Institute).
To bring the greatest value to clients and
provide competitive advantage, WEBCBG
utilizes the latest technologies in a cloud
computing environment to develop powerful
and sophisticated capabilities that were only
affordable to large enterprises until recently.
Prior to joining WEBCBG, Ernest was a senior
executive at IBM. He was Vice President of
Global Marketing & Strategy for IBM in the
Insurance and Banking industries for 6 years
and then was appointed Vice President Global
Marketing & Strategy for ibm.com, the IBM
corporate portal over 96 countries. He was
also the Chair of the IBM Web Community
worldwide. He has executed numerous
Internet campaigns and created Web content
organizations around the world. Part of his
responsibilities included the IBM Web user
experience, the traffic generation and the level
of client services. Before joining the global
business operations, Ernest was Director of
IBM Corporate Internet strategy responsible
for designing and implementing Web
strategies to transform IBM into the world’s
premier e­‑business. He owns a patent on push
technology used by IBM sales organizations.
Earlierinhiscareer,ErnestwasChiefMarketing
OfficerandMemberoftheBoardatCGI,oneofthe
largestSoftwareandServicesCompanyinEurope.
As áreas de atividade core da empresa incluem
o desenvolvimento de software avançado,
para aproveitamento de análises de big data e
de técnicas de visualização de dados, no setor
dos seguros; bem como aplicações móveis e
marketing digital.
A WEBCBG lançou recentemente, em associação
com o IRMI – Instituto Internacional de Gestão
de Risco, o Glossarisk, o primeiro glossário de
seguros para dispositivos móveis.
Para reforçar o valor oferecido aos clientes
e conseguir uma vantagem competitiva, a
WEBCBG utiliza as mais recentes tecnologias
num ambiente de computação ‘na nuvem’, de
modo a desenvolver capacidades reforçadas
e sofisticadas que, até recentemente, estavam
apenas acessíveis às grandes empresas.
AntesdesejuntaràequipadaWEBCBG,Legrand
eraexecutivoséniornaIBM.Aolongodeseisanos,
foivice­‑presidentedaáreademarketingglobale
estratégianaIBM,paraossetoresdosseguroseda
banca.Foidepoisnomeadovice­‑presidentedaárea
demarketingglobaleestratégianaibm.com,
noportalcorporativodaIBMpara96países.Foi
tambémpresidentemundialdacomunidade
daIBMnaWeb.Executouváriascampanhasna
InternetecriouredesdeconteúdoWebemtodoo
mundo.Nasresponsabilidadesqueentãoassumiu
incluía­‑seaexperiênciadoutilizadordositeda
IBM,ageraçãodetráfego,eoníveldequalidade
dosserviçosprestadosaosclientes.Antesde
integraraáreacomercial,Legrandfoidiretorda
estratégiacorporativadaIBMparaaInternet,
cargoemqueseresponsabilizoupelaconceçãoe
implementaçãodeestratégiasWebparatornara
IBMnaprincipalempresadee­‑businessdomundo.
Legranddetémumapatentesobreatecnologia
push,utilizadapelaforçadevendasdaIMB.
No início da sua carreira, Legrand foi diretor
de marketing e membro do Conselho de
Administração da CGI, uma das maiores
empresas de software e serviços na Europa.
MDS Magazine
cyber 93

8. A
s seguradoras, que têm grandes reposi-
tórios de informação pessoal identifi-
cável (IPI) de elevado valor, são cada vez
mais alvo de ameaça de ataques cibernéti-
cos. Estes ataques poderiam ter um enorme impacto,
afetando não apenas os seguradores, mas também os
segurados, e até alastrar às cadeias de abastecimento
dos clientes. No recente relatório que elaborou sobre
esta área crítica, Scott Corzine, afirmou que os poten-
ciais danos decorrentes destas ameaças têm vindo
a ser destacados em virtude do impacto de ataques
recentes a grandes empresas de diferentes setores
bem como a diversas agências governamentais dos
EUA. «Estes ataques têm o potencial de perturbar a
gestão, colocar relações valiosas em risco, levar a resci-
sõeslaboraiseinfluenciargovernos»,indicouCorzine.
Àmedidaqueassistimosaumaescaladadafrequência
edagravidadedosciberataquesdealtonível,osgovernos
federais e estaduais dos EUA impõem regulamentação
que exige que as organizações demonstrem uma melhor
preparaçãoeresiliênciaemcasodeataquecibernético.
Ao mesmo tempo, os meios de comunicação estão a
contribuir para um aumento da consciencialização do
público para este problema e as organizações de ciber-
segurançaestãoafornecerferramentasemetodologias
melhoradas que podem ajudar as empresas a cumprir
os requisitos de cibersegurança que lhes são impostos.
Trata­‑se de uma área de risco e de gestão de risco em
franco crescimento.
Corzine salientou que, neste contexto, é claro que as
empresastêmdegeriraexposiçãoaosriscoscibernéti-
cosmaisproativamenteparairaoencontrodasexigên-
ciasdanovaregulamentaçãoe,aomesmotempo,prote-
ger a atividade, os clientes e a reputação da empresa.
Ospiratasouaespionagemon­‑lineapoiadosporesta-
dospodemdominarostítulosdosjornais,maséimpor-
tante ter consciência de que uma parte significativa
das quebras de segurança cibernética se dão a partir
do interior das organizações, destacou o especialista.
DeacordocomoorganismosemfinslucrativosOnline
TrustAlliance,nosprimeirosseismesesde2014,apenas
40%dasquebrasdesegurançaqueacarretaramaperda
02
A recipe for
cyber defence
Uma receita
para a
ciberdefesa
Scott Corzine, Managing Director, Risk
Management Practice, FTI Consulting, Inc.,
recently wrote an in­‑depth report on
the management of cyber risk, focused
particularly on the risk management
requirements for insurance companies
that hold huge amounts of customer data.
Following is a summary of the reports key
findings. The full report can be found on
brokerslink.com/press.
ScottCorzine, Managing Director, Risk
Management Practice, FTI Consulting,
Inc., escreveu recentemente um relatório
aprofundado sobre a gestão do risco
cibernético,centradosobretudonosrequisitos
de gestão do risco das companhias de seguros
que detêm grandes volumes de dados dos seus
clientes. Em seguida apresenta­‑se um resumo
das principais conclusões deste relatório.
O relatório pode ser encontrado na íntegra
em brokerslink.com/press.
©Nicolau
fullcover
94 cyber

9. I
nsurancecarriers,withtheirlargerepositoriesof
high­‑value personally identifiable information
(PII), are increasingly threatened by cyber­
‑attacks. Such attacks could have an immense
impact, affecting not only the carriers, but also their
insureds, and even ripple through to customer supply
chains. In his recent report on this critical area,
Scott Corzine said that the potential damage from
such threats is underscored by the impact of recent
attacks on large companies in numerous sectors
as well as a US government agency. “Such attacks
have the potential to embarrass management, place
valuable relationships at risk, result in employment
terminations, and influence governments,” pointed
out Mr Corzine.
As the frequency and severity of high­‑profile
cyber­‑attacks escalate, Federal and State government
in the US are imposing regulations that require
organisationstodemonstratebetterpreparednessand
resilience in the event of a cyber­‑attack.
At the same time, the media is increasing public
awareness and cyber­‑security organisations are
providing improved tools and methodologies that
can help companies meet their cyber­‑security
requirements. This is a fast­‑growing area of risk and
risk management.
Mr Corzine stressed that in this environment,
companies clearly need to manage their cyber risks
more proactively to meet the requirements of the new
rules and regulations and, at the same time, protect
their business, customers and reputations.
Hackers or state­‑backed online espionage may grab
the headlines but it is important to be aware of the fact
that a significant portion of cyber security breaches
occur from inside the organization, stressed the
expert.
The non­‑profit body Online Trust Alliance recently
reported that for the first six months of 2014, only
40% of data breaches that involved the loss of PII were
caused by external intrusions. Some 29% were caused
either accidentally or maliciously by employees, it
found.
de informação pessoal identificável (IPI) foram provo-
cadasporinterferênciasexternas.Cercade29%tiveram
causaacidentaloudeveram­‑seàintervençãomal­‑inten-
cionada de funcionários, verificou este organismo.
A Online Trust Alliance apontou a falta de controlo
interno, o roubo e a perda de dispositivos e documentos,
bemcomoaengenhariasocialeafraudecomoosprinci-
paisfatorescausadoresdequebrasdesegurança.Nomais
recente estudo «Law and Boardroom Study» da Corpo­
rate Board Member/FTI Consulting, Inc., aproximada-
mente 50% dos administradores e consultores jurídicos
apontarama«segurançadosdados»comoasuaprincipal
preocupação em termos jurídicos e de gestão do risco. À
medidaqueoriscoaumenta,osreguladoresestãoaalar-
gar o âmbito das suas exigências de cibersegurança bem
como de imposição do respetivo cumprimento.
«Os reguladores estão cada vez mais a atribuir aos
seguradores a responsabilidade pelas suas próprias
medidasdecibersegurançadeformaaprotegermelhor
os tomadores de seguro», escreveu Corzine.
«Os seguradores guardam dados importantes que
são potencialmente desejados por cibercriminosos.
A dependência de parceiros e prestadores de servi-
ços externos expõe os seguradores a vulnerabilida-
des adicionais do ponto de vista cibernético provoca-
das por estas entidades subcontratadas», acrescentou.
Como era de prever, os reguladores estão a começar
a impor melhorias na segurança cibernética através de
novas regras que exigem aos seguradores a implemen-
tação de programas abrangentes de cibersegurança.
A National Association of Insurance Commissio-
ners (NAIC — Associação Nacional de Comissários de
Seguros), por exemplo, afirmou em janeiro passado,
que planeia propor orientações para as entidades que
avaliam as práticas de gestão de risco das seguradoras.
ADireçãodeProteçãoeProgramasNacionaisdoDepar-
tamento de Segurança Nacional dos Estados Unidos da
Américadiscutiutambémcomosetordossegurosacria-
ção de um repositório de dados de incidentes cibernéti-
cos por forma a que se constitua um depósito de dados
atuariais de riscos cibernéticos e das análises das conse-
quências destes incidentes, necessário para fazer cres-
ceromercadodossegurosdecibersegurança.ODeparta-
mentodeServiçosFinanceirosdeNovaIorqueanunciou,
emdezembroúltimo,quetomarámedidasparaajudaros
seguradoresestaduaisareforçarasdefesasdecibersegu-
rança e irá dar início a avaliações para determinar o grau
de preparação e cumprimento das mesmas.
Praticamente todos estes instrumentos regulatórios,
em constante desenvolvimento, estabelecem prazos
específicos para a prestação de informação sobre fugas
dedadosàsautoridadeseaosclientesafetadosepenali-
zaçõesexplícitaspelaomissãodestainformação,afirma
Corzine.
As organizações de segurança como a ISO e a ISACA
estão também a intensificar os esforços nestas áreas.
«No esforço que desenvolvem para conseguirem
reforçararesiliênciadasegurançacibernética,ossegu-
radores têm uma dupla responsabilidade: têm de se
preocupar com a cibersegurança da sua própria orga-
nização bem como com a cibersegurança dos segura-
dos», afirma Corzine.
MDS Magazine
cyber 95

10. ©Nicolau
scott corzine
managing director and co­‑leader
of the risk management practice
at fti consulting
ScottCorzine is aManagingDirectorand
Co­‑Leaderofthe RiskManagementPracticeat
FTI Consulting,aglobalconsultingfirmwitha
specialtyintheinsurancesector.Heisresponsible
forprovidingriskmitigation andresilience
services–business continuity,ITdisaster
recovery,crisis management,andinformation
security assessmentandplanning–topublic
and private sectorclients globally.Scottwasa
co­‑founderofRiskSolutions International(RSI)
which was acquiredbyFTI Consultingin2013.
Hehasbeen partofBrokerslinkforanumberof
years, andhas spearheadedinitiativesinbusiness
continuityplanningforairportsglobally,visibility
into contingentbusiness interruptioninthe
supply chain,andbusiness continuitysolutions
to help mitigate supplychain resiliencerisk.
Scottispassionate aboutprovidingtheseservices
to Brokerslinkmembers tohelpimprovetheir
competitive advantage in brokingtransactions.
ScottCorzineéDiretorExecutivoeco­‑Líder
daáreadeGestãodeRisconaFTIConsulting,
umaempresaglobaldeconsultoriacomuma
especializaçãonosetorsegurador.Éresponsável
pelaprestaçãodeserviçosdemitigaçãoderiscoe
resiliência,bemcomodecontinuidadedenegócio,
recuperaçãoemcasodedesastresdeTI,gestão
decriseeavaliaçãoeplaneamentodesegurança
dainformação,aclientesdossetorespúblicoe
privadoemtodoomundo.ÉcofundadordaRisk
SolutionsInternational(RSI),empresaadquirida
pelaFTIConsultingem2013.Integradona
Brokerslinkháváriosanos,Corzinetemliderado
váriasiniciativasnasáreasdecontinuidadede
negócio,sejaparaaactividadedeaeroportosem
todoomundo,sejaparamitigaçãodoriscode
“supplychain”,nomeadamentenoquerespeitaà
perdadereceita.Nutreumapaixãopelotrabalho
quedesenvolvenaBrokerslink,disponibilizando
estesserviçosaosseusmembros,porforma
aquepossammelhorarasuavantagem
competitivanasoperaçõesdecorretagem.
The Online Trust Alliance cited lack of internal
controls, lost or stolen devices and documents, as well
as social engineering and fraud as the main factors.
In the most recent Corporate Board Member/
FTI Consulting, Inc. Law and Boardroom Study,
approximately 50% of polled directors and general
counsels named ‘data security’ as their number one
legal and risk management concern.
As the risk rises, regulators are expanding the
scope of their cyber security requirements as well as
compliance enforcement.
“Regulators are increasingly holding insurers
accountable for their own internal cyber­‑security
measures in order to better protect policyholders,”
wrote Mr Corzine.
“Insurersmaintainsignificantdatathatispotentially
desirable for cyber thieves. Dependence on outside
partnersandthirdpartyserviceprovidersadditionally
opens insurers to the cyber­‑vulnerabilities of these
outsourced contractors,” he added.
Predictably, regulators are starting to compel
improvementsincybersecuritythroughnewrulesthat
require insurers to implement comprehensive cyber
security programs.
The National Association of Insurance
Commissioners(NAIC)statedinJanuary,forexample,
that it plans to propose guidance for insurance
examiners who review companies’ risk management
practices for cyber security risks.
The Department of Homeland Security’s National
ProtectionandProgramsDirectoratehasalsodiscussed
a cyber­‑incident data repository with the insurance
industry to create a warehouse of cyber risk “actuarial
data and consequence­‑oriented analytics” that is
needed to grow the cyber security insurance market.
New York State Department of Financial Services
announced last December that it will take measures
that help in­‑state insurers strengthen their cyber
security defenses and will begin assessments to
determinethedegreeofpreparednessandcompliance.
Virtually all of these evolving regulations have
specific deadlines for the reporting of data breaches
to authorities and affected customers, and explicit
penalties for non­‑disclosure, said Mr Corzine.
Security organisations such as ISO and ISACA are
also stepping up their efforts in this areas too.
“In their quest to achieve cyber­‑security resilience,
insurershaveadualresponsibility–theymustaddress
the cyber security of their own organisation as well as
the cyber security of the customers that they insure,”
stated Mr Corzine.
The author has identified seven key points that
insurers should consider to help build a more robust
and mature cyber security capability. These can be
summarised as the following:
View cyber security as an organisational issue, not
simplyasatechnicalissue.Managementmusttake
responsibilityforthisriskandnotjustleaveitupto
IT departments;
Obtain access to trusted third party resources,
partly to help tackle the internal threat;
fullcover
96 cyber

11. O autor identificou sete pontos­‑chave que os segu-
radores deverão ter em atenção para construírem uma
capacidade mais forte e amadurecida em termos de:
Considerar a cibersegurança uma questão orga-
nizacional e não apenas uma questão técnica. A
gestão tem de assumir a responsabilidade por este
risco,nãoorelegandosimplesmenteparaosdepar-
tamentos de TI;
Teracessoarecursosexternosfiáveis,empartepara
ajudar a enfrentar a ameaça interna;
Adotar doutrinas de governação e conformidade e
estabelecerumquadrodegestãoderiscoqueajude
a atingir os objetivos;
Compreender e documentar o respetivo apetite
pelorisco,ouseja,onívelderiscoqueaorganização
está disposta a aceitar para alcançar os seus obje-
tivos empresariais antes de ter de tomar medidas
para o reduzir;
Levar a efeito uma avaliação de ameaças, vulnera-
bilidades e impacto. Esta análise deverá avaliar o
valor da informação e o potencial impacto opera-
cional e financeiro resultante de danos ou perdas
deinformação,bemcomodarumaindicaçãosobre
ospassosnecessáriosparaaproteger.Asavaliações
deverão incluir uma análise da apólice de ciber-
seguro da organização para ajudar os decisores a
perceberem se as coberturas são adequadas e se
encontram efetivamente em linha com os restan-
tes riscos cibernéticos da organização e se os limi-
tes, as retenções e as exclusões são apropriadas;
Desenvolver programas e estratégias de mitigação
do risco. O objetivo é decidir quais são as exposi-
ções, as vulnerabilidades e os riscos que exigem
uma análise de custo­‑benefício, a alocação de
recursos, financiamento e uma tomada de decisão,
incluindo se se deverá recorrer ao autosseguro ou
adquirir um seguro.
Preparar um Plano de Resposta a Incidentes Ciber-
néticos (PRIC) que determine a forma como a orga-
nização responderá a uma fuga de dados de uma
maneira planeada e eficaz. O PRIC é concebido
para garantir que os incidentes relacionados com
asegurançacibernéticasãogeridosdeformaalimi-
tar o respetivo impacto, conquistar a confiança das
partes interessadas na capacidade da organização
para gerir incidentes e reduzir o tempo e o custo de
recuperação.OPRICdeveráserformalmenteanali-
sado e adotado pelo Conselho de Administração e
levado a efeito pelo menos uma vez por ano.
“A adoção desta abordagem abrangente à gestão do
riscocibernéticodeveráajudarosseguradoresamanter
aviabilidadefinanceiraeamanteraconformidadecom
as exigências regulamentares. Os seguradores deverão
igualmente exigir que os seus cibersegurados sigam,
de alguma forma, esta abordagem para promover uma
cultura de consciência do risco, reduzir as possibilida-
desdefalhasdesegurançacatastróficaseevitaropaga-
mento de reclamações de elevado valor que poderiam
ter sido evitadas ou minimizadas”, concluiu Corzine.
Adhere to governance and compliance doctrines
andestablishariskmanagementframeworktohelp
accomplish program objectives;
Understand and document your definition of risk
appetite that isthe level of risk that an organisation
is willing to accept in order to achieve its business
objectivesbeforeitneedstotakemeasurestoreduce
the risk.
Perform a threat, vulnerability and impact
assessment. This analysis should work out the
value of information, the potential operational
and financial impact of impairment or loss of that
information and provide guidance on steps needed
to protect it. The assessments should include an
examination of the organisation’s cyber insurance
policy to help decision makers understand if
coverages are adequate and effectively aligned with
the organization’s remaining cyber risks, and if
limits, retentions, and exclusions are appropriate.
Develop mitigation programs and strategy. This
should decide which exposures, vulnerabilities,
and risks require a cost/benefit analysis, resource
determination, funding, and decision­‑making,
including whether to self­‑insure or purchase
insurance.
Prepare a Cyber Incident Response Plan (CIRP)
that documents how the organisation will respond
to a breach in a planned and effective way. The
CIRP is designed to ensure that cyber­‑security
incidents are managed in a way that limits impact,
gains stakeholder confidence in the organization’s
capacity to handle incidents, and reduces the time
and cost­‑to­‑recovery. The CIRP should be formally
reviewed and adopted by the Board, and exercised
at least once every year.
“Adopting this comprehensive approach to cyber
risk management should help insurers sustain
financial viability and meet regulatory compliance
requirements. Insurers should likewise require some
level of this approach from their cyber­‑insureds in
ordertopromoteacultureofriskawareness,reducethe
chance of a disastrous breach, and avoid paying costly
claims that could have been avoided or minimized,”
concluded Mr Corzine.
MDS Magazine
cyber 97

12. Cyber: this risk
is real and needs
to be managed
Cibersegurança:
o risco é real e
é preciso geri­‑lo
Paulo Moniz, Director of Security, EDP Information
Systems Department, explains how the Portugese power
group manages its cyber risk and urges all business and
risk managers to take the exposure, its prevention and
management very seriously. This is no media hype,
argues Mr Moniz.
Paulo Moniz, Diretor de Segurança da Direção de
Sistemas de Informação da EDP, explica o modo como
o grupo português do setor da energia gere o risco
cibernético e recomenda fortemente a todos os gestores
de risco e empresas que tomem em séria consideração a
exposição ao risco, a tomada de medidas preventivas e
gestão do mesmo. “Não se trata da mediatização excessiva
de um mito”, afirma.
03
©Nicolau
fullcover
98 cyber

13. T
o say that organisations and individuals
are constantly facing threats to their
cybersecurity is old news and will come
as a surprise to no one. Reports about
cyberattacks can easily be found online with just a few
clicks of your mouse or, in more traditional fashion, by
leafing through a newspaper. However, if we consider
thatmanyorganisationschoosenottodivulgebreaches
of their security, whether because they fear the loss of
customerconfidenceorbecausetheyarenotsubjectto
legislation that obliges them to do so, we may assume
that the reality is considerably more dramatic than the
public facts suggest.
In this increasingly worrying scenario, there is
an urgent need for organisations and individuals to
have a clearer idea of the cyber risks they face and
the measures they need to adopt to mitigate them, in
accordance with what the organisation deems to be an
acceptable level of risk. The protective measures must
ensure a perfect balance between the company’s need
for protection and the requirements that will enable
it to offer a streamlined and efficient response to the
demands of the market in which it operates.
In addition to its size and global presence, the
EDP Energias de Portugal Group is responsible for
systems that control crucial infrastructures in various
geographies. This fact implies that the organisation’s
cyber risk is relevant and complex. It can and does
have a potential impact on the group’s strategy and
operations because an attack on its systems could
have consequences both from an organisational
perspective(operations,companyimageandfinancial
repercussions)andfromthepointofviewofthesociety
thatitserves.Thebottomlineisthatathreattonational
security could ensue.
The way in which EDP approaches and manages
cybersecurity risks involves firstly the definition of
a governance model for information security that is
aligned with the EDP group’s strategy. This approach
implies the need to define protection policies on the
basis of their strategic goals and, consequently, the
criticality of the assets to be protected. This means,
for example, that security policies would be less
restrictive in office networks, where the productivity
andefficiencyofthestaffisthefocusoftheinformation
system, than they would in crucial infrastructures
where the security and sustainability of our society
couldbeatrisk.Itisimportanttonotethatthedizzying
pace of technological evolution means governance
must be constantly updated in terms of security. This
has to be done to help address new paradigms such as
Cloud or Bring Your Own Device services.
Another fundamental aspect in cyber risk
management is the need to align such policies with
effective technological means for prevention and
detection. In this respect, EDP has invested heavily in
technological solutions that will enable the protection
oftheperimeterandthedetectionofsecurityincidents.
A security monitoring hub has been created in the
form of the SOC EDP – Security Operation Centre. This
Centre collates events from the various technological
infrastructures and applications, and correlates
M
encionar que as organizações e indiví-
duos estão sujeitos a constantes amea-
ças à sua cibersegurança deixou de
ser novidade ou mesmo razão para
surpresa. As notícias sobre ataques informáticos estão
à distância de uma procura na internet ou do tradi-
cional folhear de um jornal. Contudo, se considerar-
mos que muitas organizações optam pela não divulga-
ção das suas quebras de segurança, quer por receio de
perderemaconfiançadosseusclientes,querpelofacto
de não estarem sujeitas a legislação que as obrigue a
divulga­‑las,podemosinferirquearealidadeéconside-
ravelmente mais dramática do que os factos sugerem.
Neste cenário cada vez mais preocupante, torna­‑se
prementeanecessidadedasorganizaçõeseindivíduos
terem uma noção mais precisa dos riscos cibernéticos
e, de acordo com nível de aceitação de risco definido
pela organização, quais as medidas que necessitam
adotar para a sua mitigação. Estas medidas de prote-
ção deverão habilmente balancear a necessidade de
proteção da empresa com os requisitos que lhe permi-
tamrespondercomflexibilidadeeeficiênciaàsexigên-
cias do mercado onde atua.
O Grupo EDP Energias de Portugal, para além da sua
dimensão e presença global, tem sob sua responsabi-
lidade sistemas que controlam infraestruturas críticas
em diversas geografias. Este facto implica que o risco
cibernético da organização é relevante e complexo,
com impactos na sua estratégia e atuação, conside-
randoqueumataqueaosseussistemaspodeterconse-
quências tanto no plano organizacional (operacional,
de imagem ou financeiro), como na sociedade que
serve, passando o impacto para o estatuto de ameaça à
segurança nacional.
A forma como a EDP enfrenta e gere estes riscos
de cibersegurança passa em primeiro lugar por defi-
nir um modelo de governance de segurança de infor-
mação alinhado com a estratégia do Grupo EDP. Esta
abordagem implica a definição de políticas de prote-
ção consonantes com os seus objetivos estratégicos, e
por conseguinte com a criticidade dos bens a proteger,
o que leva a determinar, por exemplo, políticas de segu-
rança menos restritas em redes office, onde a produtivi-
dade e eficiência dos colaboradores é o foco dos siste-
mas de informação, do que as políticas existentes nas
infraestruturas críticas, onde poderá estar em causa
a segurança e sustentabilidade da nossa sociedade.
Éimportantereferirqueavertiginosaevoluçãotecnoló-
gica exige uma constante atualização da governance em
termosdesegurançaparacontemplarnovosparadigmas
como os serviços na Cloud ou BringYourOwnDevice.
Outra vertente fundamental na gestão deste risco
assenta na materialização das políticas com meios
tecnológicos efetivos de prevenção e deteção. Neste
aspeto a EDP tem feito um forte investimento em solu-
ções tecnológicas que permitam a defesa do perímetro
e a deteção de incidentes de segurança. Foi criada uma
valência de monitorização de segurança traduzida no
SOCEDP–SecurityOperationCenter,querecolheeven-
tos das diversas infraestruturas tecnológicas e aplica-
ções,correlacionando­‑asdemodoaidentificarpadrões
que possam criar alertas para possíveis incidentes de
MDS Magazine
cyber 99

14. them in order to pinpoint patterns that could alert
us to potential security incidents. EDP also conducts
continuous ethical hacking tests in order to detect
security vulnerabilities in timely fashion.
In terms of prevention, a fundamental aspect for
the mitigation of cyber and regulatory risk is that of
the management of identities and access to the EDP
group’s information resources. By means of a process
and a unique tool, the life cycles of approximately
19,000 identities and accesses to over 40 information
resources,suchasapplicationsanddirectoriesandthe
like, can be managed.
Despite the robustness and effectiveness of the
measures that can be implemented, it is important to
beawarethat,atsomepointinthefuture,acyberattack
is bound to breach all the defences that have been
built. When this happens, the criminals will have
successfully achieved their goal by compromising
the confidentiality of our information or even the
operationalcapacityandavailabilityofthesystemsthat
support the business. At that point, it would be vital to
react and analyse, and in this scenario resilience will
be the principle to adopt. We intend to achieve this by
ensuringthattheresourcesthatoperatecrucialcontrol
systems are capable of responding. This involves
the provision of training in cybersecurity, changing
attitudesandbehaviourbymeansofawarenessraising
campaigns on our internal channels (Corporate TV
and radio, in­‑house magazine and Intranet) and, in
particular, by designing business continuity plans,
which are key in such scenarios. It should be stressed
that these plans are the responsibility of all EDP Group
companies. However, the continuity of IT services
and, in particular, the Disaster Recovery solution
implemented,playacentralroleinEDP’sresilience,in
lightoftheever­‑increasingdependencyoninformation
systems.
All of the above factors, which encompass the
phasesofprevention,detection,reactionandanalysis,
translate into EDP’s approach to the issue of cyber risk
management. However, we feel that we need to take a
moreformalapproachwithourcyberriskmanagement
efforts and have therefore started an IT Risk project to
produce a risk map and a risk management process.
We are hoping that this project will allow us to
achieveimproveddecision­‑makingonITmanagement
and, in particular, IT security, by incorporating the
quantificationofriskinthedecision­‑makingprocesses.
We are also expecting to achieve better quality
reporting to senior management. This would lead to
segurança. Ainda dentro desta vertente realizamos
testes contínuos de ethical hacking de modo a poder
detetaratempadamentevulnerabilidadesdesegurança.
Tambémaoníveldaprevenção,umtemafundamen-
tal para a mitigação do risco cibernético e regulatório
relaciona­‑se com a gestão de identidades e acessos aos
recursos de informação do Grupo EDP. Através de um
processo e de uma ferramenta única é gerido o ciclo
de vida de cerca de 19000 identidades e os acessos a
mais de 40 recursos de informação (aplicações, dire-
tórios, etc.).
Apesar de robustez e efetividade das medidas que se
possam implementar, é importante ter a consciência
de que inevitavelmente algum dia um ataque ciberné-
tico terá a capacidade de ultrapassar todas as defesas
implementadas e que a entidade criminosa alcançará
com sucesso os seus objetivos, ao afetar a confidencia-
lidade da informação ou mesmo a operação e disponi-
bilidadedossistemasquesuportamonegócio.Importa
nesta fase reagir e analisar, sendo que neste cenário o
princípio que adotámos é a resiliência. Pretendemos
alcançá­‑lacomacapacitaçãodosrecursosqueoperam
sistemas de controlo críticos, providenciando treino
em cibersegurança, pela mudança comportamental,
atravésdeaçõesdesensibilizaçãopeloscanaisinternos
(CorporateTVeRádio,RevistaeIntranet)eemparticu-
lar pelo desenho dos planos de continuidade de negó-
cio, fulcrais nestes cenários. É relevante salientar que
estes planos são da responsabilidade das empresas do
Grupo EDP, no entanto, dada a crescente dependência
nos sistemas de informação, a continuidade de servi-
ços IT, e em particular a solução de Disaster Recovery
implementada,assumemumpapelcentralnaresiliên-
cia da EDP.
Todos os fatores citados, que abrangem as fases de
prevenção,deteção,reaçãoeanálise,traduzemnareali-
dade a forma como a EDP faz a gestão do risco ciber-
nético. Sentimos porém a necessidade de dotar de um
caráctermaisformalestaatividade,peloqueiniciámos
umprojetodeRiscoIT,comooobjetivodeproduzirum
mapaderiscoseumprocessodegestãodosmesmos.É
nossaexpetativaatingircomesteprojetoumamelhoria
na tomada de decisão em relação à gestão de IT, e à sua
segurança em particular, incorporando nos processos
de decisão a quantificação do risco. É também expetá-
velumamaiorqualidadedoreportingàgestãodetopo,
conduzindoàtomadadedecisõesmaisfundamentada,
que poderá permitir enveredar por outras opções de
gestão do risco, como a viabilização de mecanismos de
transferência de risco.
fullcover
100 cyber

15. better­‑informed decision­‑making and could allow us
to embark on other risk management pathways, such
as the enablement of risk transfer mechanisms.
Therealityofcybersecuritythreatsandcyberrisk,in
particular, is far from virtual and is a serious concern.
Onlyastrongsenseofresponsibility,commitmentand
collaboration by organisations from different sectors,
operators, insurance companies, universities, the
military, politics, justice, police forces, manufacturers
andthelike,willenableustostanduptothisintangible
but very real cyberthreat. Such a collective effort
will also give us all the confidence that the world of
information, opportunities and global knowledge
that we see expanding frenetically around us will help
create a society with a safer, more trustworthy and
more sustainable future.
As ameaças à cibersegurança e o risco cibernético
em particular, são uma realidade muito pouco virtual
e deveras preocupante. Só com um grande sentido de
responsabilidade, empenho e colaboração das organi-
zações de diferentes sectores (operadores, segurado-
ras, académicos, militares, politicas, justiça, policiais,
fabricantes,etc.)serápossívelfazerfrenteaestaintan-
gível mas muito real ciberameaça e ter confiança que o
mundodainformação,oportunidadeseconhecimento
globalquevemosfreneticamentecrescerànossavolta,
corresponderá efetivamente a uma sociedade com um
futuro mais seguro, confiável e sustentável.
Paulo Moniz
edp group ­– director for information
security and it risk
With 18 years’ experience in the world of
information technology, Paulo Moniz began
his career as systems administrator at EDP
Distribuição before moving to EDINFOR,
where he was involved in various international
development projects as analyst, programmer
and trainer. He later took on project
management functions, having turned his
attention to the field of security in 2008 when
he took over leadership of Security Practice at
Logica Iberia. Since 2010, he has been Director
for Information Security and IT Risk at the EDP
Group.
Paulo completed his Degree in Electrical and
Computer Engineering at the University of
Lisbon’s Engineering School, Instituto Superior
Técnico, in 1995. He later did a Postgraduate
Degree in Information Systems at the same
institution. He also has an MSc in Information
Security from Carnegie Mellon University and
a Master’s in Information Security from Lisbon
University’s Faculty of Sciences.
Com uma experiência de 18 anos no mundo das
tecnologias de informação, iniciou a carreira
como administrador de sistemas na EDP
Distribuição, tendo posteriormente transitado
para a EDINFOR onde participou em diversos
projetos internacionais de desenvolvimento
de soluções como analista, programador e
formador. Mais tarde assumiu funções de gestão
de projeto tendo abraçado a área de Segurança
em 2008, quando assumiu a liderança da
Security Practice na Logica Iberia. Atualmente,
desde 2010, é diretor pela área de Segurança da
Informação e Risco IT no Grupo EDP.
Concluiu em 1995 a licenciatura em Engenharia
Eletrotécnica e de Computadores pelo Instituto
Superior Técnico tendo mais tarde concluído
uma Pós Graduação em Sistemas de Informação
(POSI) na mesma instituição. Possui também
um MSc em Information Security pela
Universidade de Carnegie Mellon e um Mestrado
em Segurança Informática pela Faculdade de
Ciências da Universidade de Lisboa.
MDS Magazine
cyber 101

16. Geoff Kinsella, Chief Operating Officer and
Partner at Safeonline LLP, the specialist
Lloyd’s broker, urges business managers to
take cyber risk seriously and to proactively
protect their companies from the
growing threat to their digital assets.
Geoff Kinsella, Diretor de Operações e
Sócio da Safeonline LLP, corretor do Lloyd’s
especialista em seguros cibernéticos,
recomenda aos gestores das empresas que
tomem em séria consideração a ameaça do
risco cibernético, e as protejam de forma
proativa do crescente perigo a que os ativos
digitais estão sujeitos.
“To Boldly Go”………
Avançar com coragem………
S
endofãdeOCaminhodasEstrelas(StarTrek)
na infância, fiquei triste ao saber recente-
mente da morte do ator Leonard Nimoy que
interpretava Mr. Spock na série. Ficava mara-
vilhado com a forma como a tripulação era capaz de
comunicar através de dispositivos portáteis, como
eles eram capazes de falar com a imagem de alguém
num ecrã, e como conseguiam recolher dados utili-
zando um scanner. Tudo coisas verdadeiramente
‘inacreditáveis’ que, no mundo ‘livre de tecnologia’
dos anos 60, pareciam tão futuristas.
No entanto, em 2015, muitas dessas ‘invenções
improváveis’ são agora comuns. Comunicamos atra-
vés de telemóveis. Armazenamos e recolhemos dados
em dispositivos portáteis. Conduzimos a nossa vida
on­‑line. Sabia, por exemplo, que o utilizador comum
da Internet passa cerca de quatro horas e meia por
dia a navegar na rede e que em 2014 os utilizadores de
dispositivos móveis ultrapassavam 50% da população
mundial?
04
©Nicolau
fullcover
102 cyber

17. A
s a Star Trek fan as a child, I was saddened
recently to learn of the death of actor
Leonard Nimoy who played Mr. Spock in
the series. I marvelled at the way the crew
could communicate with hand held devices, how
they could speak to an image of someone on a screen,
and how they could collect data using a scanner. All
truly ‘unbelievable’ things that, in the ‘technological’
free world of the 60s, all seemed so futuristic.
In 2015 however, many of these ‘improbable
inventions’ are now common place. We communicate
with mobile phones. We store and collect data on
handheld devices. We conduct our lives online. Did
you know for example, that the average internet user
spends around four and half hours using the net each
day and that mobile device users exceeded 50% of the
world population in 2014?
Businessesarebecomingmoreandmorevirtualand
the nature and the sheer volume of the data that we
collect is growing exponentially.
Amazing isn’t it? But as our reliance on technology
grows, so do the risks that we face. Sadly, the more
sophisticated that the technology becomes, so too do
the cyber­‑criminals.
Cyber security now represents one of the biggest
risks to the business community. Unlike other threats
such as terrorism or natural disasters that are relatively
‘area centric’ events, a cyber related incident has no
respect for geographical, political, cultural or natural
boundaries.Amajorincidentcouldaffectorganisations,
or indeed national infrastructures, around the globe
simultaneously. Also the perpetrator is most likely
located thousands of miles from the scene of the crime.
State­‑sponsored cyber­‑attacks appear to be
more overt as governments seek to gather sensitive
information on their counterparts. Cyber extortion,
hacktivism and cyber terrorism are now real threats
and the number of incidents are growing.
49 percent of respondents in a recent survey said
thattheyusedtheirpersonalsmartdeviceforworkand
play. And 34 percent admitted using work devices for
accessing their social network.
Is it any wonder therefore that “social engineer”
attacks within organisations are also on the rise?
Whether this involves tricking employees into
unwittingly divulging sensitive information or using
the employee as an unsuspecting ‘accomplice’ to plant
malware into an organisation’s system, organisations
are finding it more and more difficult to protect
themselves from an incident of this nature.
Unfortunately, the adage of ‘it is not a case of if, but
when’seemstoholdtruewhenitcomestothepotential
of a cyber related incident to your business.
When Safeonline was first founded in 1998 there
were very few underwriters, brokers, or even clients
interested in the cyber risk class. Thankfully this is
no longer the case as the issue of cyber security is fast
finding its way into the world’s boardrooms and the
insurance market responds creatively and effectively
to this nascent risk class.
The improvement in education and understanding
ofdigitalriskwithinthecorporatecommunity,coupled
As empresas estão a tornar­‑se cada vez mais virtuais
e a natureza e o volume dos dados que recolhemos está
a crescer exponencialmente.
Surpreendente, não é? Mas, quanto mais aumenta a
nossa dependência da tecnologia, aumentam também
os riscos que enfrentamos. Infelizmente, se a tecnolo-
gia se torna cada vez mais sofisticada, o mesmo acon-
tece com os cibercriminosos.
A segurança cibernética representa atualmente um
dos maiores riscos para a comunidade empresarial.
Contrariamente a outras ameaças, como o terrorismo
ou os desastres naturais que são eventos maioritaria-
mente ‘locais’, um incidente relacionado com a ciber-
néticaignorafronteirasgeográficas,políticas,culturais
ou naturais. Um grave incidente pode afetar organiza-
ções,oumesmoinfraestruturasnacionaissimultanea-
menteemtodoomundo.Alémdisso,oautorencontra­
‑semuitoprovavelmenteamilharesdequilómetrosda
cena do crime.
Os ataques cibernéticos conduzidos pelos Estados
parecem ser mais evidentes à medida que os governos
procuram obter informações confidenciais sobre os
seus homólogos. Extorsão cibernética, hacktivismo e
terrorismocibernéticoconstituemhojeameaçasreais,
e o número de incidentes está a aumentar.
Num inquérito realizado recentemente, 49% dos
inquiridos afirmaram que utilizam smartphones
ou tablets para trabalhar e nos momentos de lazer.
E34%admitiramutilizardispositivosdetrabalhopara
aceder às redes sociais.
Será então de admirar que os ataques de “engenha-
ria social” estejam também a aumentar no interior das
organizações? Se isto implica induzir os colaborado-
res a divulgar inadvertidamente informações confi-
denciais ou utilizá­‑los como ‘cúmplices’ incautos para
instalar malware no sistema de uma organização, as
organizações estão a ter cada vez mais dificuldade em
proteger­‑se de um incidente desta natureza.
Infelizmente,aquestãonãoresideemsaber“se”,mas
“quando”, o que parece fazer todo o sentido quanto ao
potencialdeumincidentecibernéticorelacionadocom
o seu negócio.
Quando a Safeonline foi fundada em 1998, havia
muito poucos subscritores, corretores, ou mesmo
clientes interessados no risco cibernético. Felizmente
a situação alterou­‑se, uma vez que a questão da segu-
rançacibernéticaestáaentrarrapidamentenosconse-
lhos de administração das empresas e o mercado dos
seguros está a responder de forma criativa e eficaz a
este risco emergente.
Uma maior educação e compreensão acerca do risco
digitalnocontextodacomunidadeempresarial,aliada
ao facto de haver uma maior disponibilidade de solu-
çõesdeseguroabrangentes,levamaquenãohajaqual-
quermotivoparaqueumaorganizaçãonãoestarprepa-
rada para o risco digital. Se a tudo isto acrescentarmos
opanoramalegislativoemconstantemudançaetendo
esteumainfluênciacadavezmaiorsobreagovernação
em matéria de segurança, torna­‑se claro que chegou o
momento de as empresas começarem a agir.
O clausulado das apólices está em constante evolu-
ção por forma a oferecer coberturas mais abrangentes.
MDS Magazine
cyber 103

18. with the fact that comprehensive insurance solutions
are now readily available, means there is no reason
why any organisation should be unprepared for digital
risk.Addtothemixthechanginglegislativelandscape,
which is having an ever­‑increasing influence on
security governance, and it is clear that companies
should act now.
Policy wordings are continually evolving to offer
more comprehensive coverage. The sub­‑limits that
used to abound are being replaced by the offer of full
policy limits for areas such as crisis management
expenses, customer notification expenses, payment
card industry fines and credit monitoring expenses.
Capacity has also increased, with a multitude of
markets now active in this class. Solutions are now
readilyavailableforcyber­‑extortionandalsoforcyber­
‑terrorism where none existed previously. Third­‑party
vendors are also now being covered, with protection
also being offered for cloud­‑based service providers.
Losses that used to be commonly excluded under
standard property and business interruption policies
forcyberrelatedphysicalandnon­‑physicaldamageare
now available.
If you have not done so yet, I would recommend
speaking to your insurance adviser about cyber
insurance products. We are all 100 percent reliant
on our IT systems and we should proactively seek to
mitigate the loss of this critical asset.
As Mr. Spock says, may you all “live long and prosper”
as a result!
Os sublimites que eram habituais estão a ser substituí-
dos por uma oferta em que coberturas como as despe-
sas de gestão de crises, as despesas de notificação de
clientes, as coimas aplicadas ao setor de cartões de
pagamento e as despesas de monitorização de crédito,
estão abrangidas pelo capital total da apólice. A capa-
cidade também aumentou, com uma grande quanti-
dade de mercados ativos no momento. Também nos
dias de hoje, estão mais facilmente disponíveis solu-
ções para fazer face à ciberextorsão e ao ciberterro-
rismo, soluções que anteriormente eram inexistentes.
Existe também uma oferta de proteção para fornece-
doressubcontratados,bemcomoparafornecedoresde
serviços baseados na cloud. Está também disponível
uma cobertura para prejuízos que eram comummente
excluídos das apólices tradicionais de seguros patri-
moniais e de perda para danos materiais e imateriais
de natureza cibernética.
Se ainda o não tiver feito, gostaria de recomendar
que se aconselhe com o seu consultor de seguros sobre
produtos de seguros contra riscos cibernéticos. Esta-
mos hoje inteiramente dependentes dos nossos siste-
mas de TI e devemos procurar pró­‑ativamente atenuar
os danos associados a este ativo essencial.
Como resultado, e tal como diz Mr. Spock, “may you all
live long and prosper”!
Geoff Kinsella
chief operating officer
partner, acting on behalf of
safeonline llp, lloyd’s brokers
During his career, which spans over 35 years
in the insurance arena, Geoff has worked in
a variety of insurance/reinsurance markets
including Ireland, Middle East, Canada and
the UK Geoff has travelled extensively and
has conducted insurance business on every
continent (except Antarctica!). Geoff has held
senior positions in a variety of Public and Private
insurance entities.
Proving the adage that ‘you can teach an old dog
new tricks’, Geoff turned his attention in 2012 to
the emerging insurance market for Cyber risks
and joined Safeonline in London as a Partner
in 2013. Safeonline is a recognised leader in the
provision of Cyber and Technology insurances
and has developed a portfolio of proprietary
products in this space. Geoff and his colleagues
place and manage cyber risk insurances on
behalf of a diverse range of clients within the
Retail, IT, Energy, Entertainment, Hospitality,
Healthcare, Public and Financial Services
sectors.
Geoff is FCII qualified, a Chartered Insurance
Practitioner & holds an MBA.
Ao longo de uma carreira de 35 anos na área dos
seguros, Geoff Kinsella trabalhou em vários
mercados de seguros e resseguro, incluindo a
Irlanda, o Médio Oriente, o Canadá e o Reino
Unido. Viajou por todo o mundo e realizou
negócios de seguros nos cinco continentes
(exceto Antártida).
Ocupou cargos de responsabilidade em diversas
entidades seguradoras públicas e privadas.
Contrariando o provérbio «burro velho não
aprende línguas», Geoff focou­‑se nos mercados
emergentes do risco cibernético, e, em 2012,
tornou­‑se sócio da Safeonline em Londres.
A Safeonline é, reconhecidamente, a empresa
líder na criação de soluções de seguros para
riscos cibernéticos e tecnológicos, e desenvolveu
uma carteira de produtos patenteados nestas
áreas. Geoff e os colegas colocam e gerem
seguros contra o risco cibernético em nome de
uma grande variedade de clientes dos setores
do retalho, das tecnologias de informação, da
energia, do entretenimento, da hotelaria, e dos
serviços públicos e financeiros.
Geoff Kinsella é membro acreditado do
Chartered Insurance Institute na categoria de
Practitioner da mesma instituição, e tem um
grau de mestre em administração de empresas.
fullcover
104 cyber

19. Awareness key
to cyber risk
transfer demand
Consciencialização
do risco cibernético:
essencial para
a procura de soluções
de transferência
Mark Camillo of AIG discusses the
development of the cyber insurance
market in the US and Europe and
believes that regulatory intervention
and rising awareness can only help
accelerate appreciation of and purchase
of ever­‑improving insurance solutions.
Mark Camillo, da AIG, fala sobre o
desenvolvimento do mercado de seguros
contra riscos cibernéticos nos EUA e
na Europa, e afirma acreditar que uma
intervenção regulatória e um esforço
de consciencialização viriam acelerar a
valorização e a compra de soluções de
seguros cada vez melhores.
05
©Nicolau
fullcover
106 cyber

20. C
yber risks continue to dominate the
headlines, and organisations are
increasinglyawareoftheirpotentialliabilities
either from attacks or from system failures.
In recent research undertaken by AIG, 86% of those
asked (including risk managers, brokers and C­‑suite
executives) said they were “very” or “somewhat”
concerned about cyber risk.
However, while the historic focus in the cyber
market has been around the consequences of the loss
of data, this is now shifting to network interruption.
Businessesincreasinglyrelyuponexternalandinternal
communicationsnetworkstooperatetheirbusinesses.If
an attack means that the network is disrupted or out of
commission for periods of time, then businesses suffer
financial loss, as well as reputational damage.
So, how big is the issue and how is the insurance
industry looking to solve this problem?
A real and present danger
According to recent reports, the number of detected
cyberattacks skyrocketed in 2014, up 48 percent from
2013. The expected number of attacks is expected to
surgeto42.8millionorroughly117,339attackseachday
according to consulting firm PWC.
From a claims perspective, AIG is receiving notice of
two incidents per business day on average. The types
of incident range widely both in cause and in their
location, but some recent examples include:
1. A company was undertaking work to upgrade
its systems when it experienced a failure. The
system took eight hours to restore fully, denying
customers’ access and causing considerable client
dissatisfaction and reputational damage;
2. Ahackerexploitedaweaknessintheinsured’slegacy
web­‑facingsystemsandusedthisasasteppingstone
to the internal network. As a result of the breach, the
hackerwasabletoexfiltratepersonaldata.Significant
costs were incurred to carry out the forensic analysis
to resolve the problem. Legal and PR advice was also
needed to deal with the fall­‑out;
3. A business received a ransom that demanded
payment of a set sum or else their website
would crash. The ransom was not made and as
a consequence a denial of service attack was
launched. As a result, the website crashed multiple
timesand,duringjustoneoftheattacks,theinsured
lost revenue that reached £250,000.
For most businesses, it is not a question of “if” but
“when”, and the landscape continues to evolve. For
example, looking to the future, we expect to see an
increase in cyber extortion claims as criminals seek
more ways to monetize their exploits.
In addition, the rise of the “internet of things” and
the reliance on third party Cloud providers means that
a host of devices connected to the internet are now
exposedtonewtypesofrisk,andsothiscouldincrease
the number of interruptions.
O
s riscos cibernéticos continuam a domi-
nar as notícias, e as organizações estão
cada vez mais conscientes dos potenciais
prejuízos decorrentes de ataques ou de
falhas do sistema. Numa recente investigação condu-
zida pela AIG, 86% dos inquiridos (incluindo gesto-
res de risco, corretores e executivos de topo) afirma-
ram estar «muito» ou «de alguma forma» preocupados
com os riscos cibernéticos. No entanto, embora histo-
ricamente o enfoque do mercado cibernético se tenha
centradonasconsequênciasdaperdadedados,começa
hoje a transferir-se para a interrupção de rede.
As empresas baseiam cada vez mais as suas atividades
em redes de comunicação e, se um ataque significar a
perturbação ou a interrupção prolongada da rede, as
empresas sofrem perdas financeiras bem como danos
de reputação. Interessa, pois, conhecer a dimensão do
problemaesabercomoestáosetordossegurosaprocu-
rar resolvê­‑lo.
Um perigo real e atual
Deacordocomrelatóriosrecentes,onúmerodeataques
cibernéticosdetetadossubiuemflechaem2014–mais
48% do que em 2013 – e, segundo a empresa de consul-
toriaPWC,onúmerodeataquesdeveráascendera42,8
milhões[em2015]ouaproximadamente117339pordia.
No que respeita a sinistros, a AIG está a receber em
média duas participações por dia útil. Os tipos de
incidente são muito diversos quer no que respeita às
causas quer aos locais, mas entre os exemplos recen-
tes contam­‑se os seguintes:
1. Uma empresa estava a atualizar os seus sistemas
quando ocorreu uma falha. O sistema demorou
oito horas a restabelecer­‑se por completo, negando
o acesso dos clientes e provocando­‑lhes grande
descontentamento, assim como danos de reputa-
ção à empresa;
2. Um pirata informático explorou uma debilidade
num antigo sistema de acesso via Web de um segu-
rado, tendo usado este sistema como porta de
entrada para a rede interna. Em resultado desta
quebra, o pirata conseguiu extrair dados pessoais.
A empresa incorreu em custos significativos para
levar a cabo a análise forense com vista à resolução
do problema, bem como no aconselhamento jurí-
dicoederelaçõespúblicasnecessárioparalidarcom
os efeitos colaterais;
3. Uma empresa recebeu um pedido de resgate
exigindoopagamentodeumdeterminadomontante
sob ameaça de quebra do respetivo sítio Web.
O pagamento não foi efetuado e, como consequên-
cia, foi lançado um ataque de negação de serviço.
Comoresultado,osítioWebfoiabaixováriasvezese,
sóduranteumdosataques,oseguradoperdeurecei-
tas no total de 250 000 libras.
Para a maioria das empresas, não é uma questão de se
mas de quando e o panorama continua a evoluir. Por
exemplo, olhando para o futuro, esperamos ver um
MDS Magazine
cyber 107

21. Mark Camillo
aig ­– head of cyber, emea
Mark Camillo is Head of Cyber, EMEA and is
responsible for the CyberEdge® suite of end­‑to­
‑end risk management solutions at AIG. Prior
to this role, Mark led the cyber team for the
Americas including oversight of the Personal
Identity Coverage (PIC) and Payment Fraud
Products.
Mark joined AIG in 2001 and has held positions
of increasing management responsibility in
various parts of the organization including
eBusiness Risk Solutions, Affinity Group,
Accident & Health, Professional Liability, and
the Fidelity team. Prior to AIG, Mark worked in
sales, marketing, and product development for
Dun & Bradstreet (D&B) and SITEL Corporation.
Mark has a Masters of Business Administration
from SUNY Buffalo and a Bachelor of Science
degree from the University of Wyoming.
Mark Camillo lidera a área de riscos Cyber da
AIG para a região da Europa, Médio Oriente
e Ásia e é responsável pelo CyberEdge®,
um conjunto de soluções de gestão de
riscos Cyber disponibilizado pela AIG.
Anteriormente liderou a equipa de Riscos
Cyber para o continente americano, incluindo
a supervisão das áreas de proteção dos dados
de identificação pessoal (PIC) e de proteção
contra fraudes em matéria de pagamentos.
Mark Camillo ingressou no Grupo AIG em
2001 e, desde então, tem vindo a assumir
posições de crescente responsabilidade
na gestão de várias áreas da organização,
incluindo soluções para riscos no comércio
eletrónico, grupos de afinidade, seguros
de acidentes e de saúde, seguros de
responsabilidade profissional e de fidelidade.
Antes de ingressar no grupo AIG, Mark
Camillo desempenhou funções nas áreas
de vendas, marketing e desenvolvimento
de produtos na Dun & Bradstreet (D&B) e na
SITEL. Mark Camillo possui um Mestrado
em Administração de Empresas (MBA)
pela Universidade Estatal de Nova Iorque –
Buffalo, e uma licenciatura em Ciências pela
Universidade de Wyoming.
A way forward
High profile incidents, occurring with seemingly
greater frequency, are undoubtedly driving demand
for cyber insurance.
Despite this, many organisations are still in the dark
aboutpossiblesolutions.Oneofthekeyproblemsisthe
level of knowledge and understanding.
There are still a significant number of businesses
that are not even aware that cyber insurance exists.
Amongst those that do, a large number are uncertain
aboutwhatandhowmuchtopurchaseastheystruggle
to assess their cyber­‑related exposures.
Cyber insurance has, so far, mainly covered data
breaches pay outs for notification costs, experts to
control the damage, costs of credit and ID monitoring,
investigation costs, third party liabilities and regula-
tory investigations along with payment card industry
fines and penalties.
However,moreandmorebuyersseektoexpandtheir
coverage to include network interruption.
These extensions specifically cover the income loss
from systems failure either from security failures,
attacksorviruses.Theycanalsobebroadenedtocover
systems failure that might have come about internally
such as through the failure of a patch.
The other area of concern that can be protected is
theexposuretotheunavailabilityofCloudservices.An
increasing number of firms use off­‑site services (often
with third party providers) and so there is a real need
for contingent business interruption cover.
There are some interesting regional differences in
the purchase of network interruption cover between
the US and Europe.
Whereas less than 20% of AIG CyberEdge
policyholders in the US opt for network interruption
coverage, over 70% of EMEA clients select this option.
Thisappearstobedrivenbythedifferenceinregulatory
regimes between the two geographies.
IntheUS,thestates’requirementforthenotificationof
databreachesmeansthatUSclientsaremoreawareofthe
potential costs and liabilities that arise from the attacks.
Theyarethereforemoreawareoftheneedforinsurance.
In the EU, the proposed reform to the Data Protection
Directive is taking time to take shape, and as a result,
businessesaremorefocusedontheirbusinessinterruption
exposures for now. In many cases they are only buying
relatively low limits so far. But as their experience grows,
undoubtedlysowillthelimitstheyrequire.
Therecanbenodoubtthatcyberliabilityisanmatter
that no organisation can afford to ignore, and now is
the time to be thinking about what exposures business
really face, both in terms of cost and consequence.
A better understanding of this will undoubtedly
encourage businesses to buy a cyber policy and
encourage further development by insurance
providers. The solution lies in risk managers working
together with brokers and underwriters to understand
and articulate the company’s risk profile so that they
can find the best cyber protection program available
in the marketplace.
aumento das queixas por ciberextorsão à medida que
os criminosos procuram mais formas de rentabilizar
as suas “proezas”.
Além disso, o crescimento da «Internet das coisas» e
a confiança em fornecedores externos de Cloud faz
com que um conjunto de dispositivos ligados à Inter-
net esteja agora exposto a novos tipos de risco, o que
poderá aumentar o número de interrupções.
fullcover
108 cyber

22. Um caminho a seguir
Os incidentes de grande repercussão, que aparente-
mente estão a ocorrer com maior frequência, estão
claramente a incentivar a procura de seguros contra
riscos cibernéticos.
Ainda assim, muitas organizações continuam “às
escuras” no que respeita a possíveis soluções e uma
das questões centrais está relacionada com o grau de
conhecimento e de compreensão desta matéria.
Há ainda um grande número de empresas que
ignora que existem seguros contra riscos cibernéticos,
e entre as que conhecem a existência destes seguros,
um grande número tem dúvidas sobre o que comprar e
porquevalor,umavezquetêmdificuldadeemavaliara
suaexposiçãoaosperigosrelacionadoscomaInternet.
Até à data, o ciberseguro tem vindo a cobrir sobretudo
violação de dados, pagando os custos de notificação,
especialistasparacontrolarosdanos,custosdecrédito
e monitorização de dados pessoais, custos de investi-
gação, responsabilidade civil perante terceiros, bem
como as multas e as penalizações no setor dos cartões
de pagamento.
No entanto, os compradores procuram cada vez mais
alargar a cobertura de modo a que esta inclua a inter-
rupção de redes.
Estas extensões cobrem especificamente a perda de
rendimento decorrente de falhas de sistemas, seja por
falhas de segurança, ataques ou vírus, mas podem ser
alargadas para cobrir falhas de sistemas que podem
ter origem interna – por exemplo, um patch que tenha
falhado.
A outra área crítica que pode ser protegida é a da
exposição à indisponibilidade de serviços de Cloud.
À medida que o número de empresas que utilizam
serviços remotos aumenta (muitas vezes recorrendo
a serviços externos), existe uma necessidade real de
cobertura da perda de receitas por interrupção da
atividade.
Existemalgumasdiferençasinteressantesnaaquisi-
çãodacoberturadeinterrupçãoderedeentreaEuropa
e os EUA.
Enquanto menos de 20% dos tomadores de seguros
CyberEdge da AIG nos EUA optam pela cobertura de
interrupção de rede, mais de 70% dos clientes da zona
EMEA (Europa, Médio Oriente e África) elegem esta
opção. Este ato deve­‑se à diferença de regimes regula-
mentares entre estas duas geografias.
Nos EUA, o requisito de notificação de fugas de dados
estabelecido pelos estados significa que os clientes
norte­‑americanos estão mais cientes dos potenciais
custoseresponsabilidadesdecorrentesdesteproblema
e, logo, da necessidade de seguro.
NaUE,apropostadereformadaDiretivadeProteção
de Dados está a demorar a tomar forma, pelo que, por
agora, as empresas estão mais centradas na interrup-
ção das respetivas atividades. Em muitos casos, estão
apenas a comprar limites relativamente baixos até ao
momento, mas à medida que a experiência aumenta o
mesmo acontecerá com os limites que exigem.
Não pode haver dúvidas de que a responsabilidade
cibernética é uma questão que nenhuma organização
se pode permitir ignorar e este é o momento para refle-
tir sobre a exposição a que as empresas estão sujeitas
– quer no que respeita a custos quer a consequências.
Ummelhorentendimentodestepontoiráimpreteri-
velmente levar as empresas a comprar apólices ciber-
néticas e motivar um maior desenvolvimento das
mesmasporpartedosseguradores.Asoluçãoencontra­
‑se no trabalho conjunto de corretores e subscritores
por forma a compreenderem e articularem o perfil
de risco de cada empresa para que esta possa obter o
melhor programa de proteção cibernética disponível
no mercado.
MDS Magazine
cyber 109