SlideShare uma empresa Scribd logo

O Ciber Seguro e as necessidades do mercado imaturo de riscos cibernéticos

Ó
Óscar Cardoso Vieira

A digitalização é a força económico-social que mais tem alterado e redefinido a vida como a conhecemos. A internet-of-things, os wearables, a Big Data, a Indústria 4.0 e em geral a democratização da existência de periféricos no dia-a-dia dos consumidores e empresas tem transformado a perspectiva que temos da sociedade e dos riscos que dela fazem parte. Nesse sentido o Ciber-seguro é talvez uma das melhores ferramentas de construção da ciber-resiliência, tanto mais quanto o mesmo consiga oferecer serviços complementares pre-breach ou post-breach. A indústria seguradora possui um papel bastante relevante neste processo – e grangeia da oportunidade única de criar modelos de negócio que lhe permitam posicionar-se quer a montante que a jusante nesta cadeia de valor, trabalhando directamente com empresas de consultoria, de tecnologia de informação, de relações públicas e escritórios de advogados – criando e desenvolvendo, desta forma, um expertise único que lhes permitirá melhor servir os seus clientes e melhorar a sua taxa de retenção.

Tecnologia
1 de 4
Baixar para ler offline
58 R I S C O J U N / A G O 2 0 1 9 segurosY A digitalização é a força económico-social que mais tem alterado e redefinido a vida como a conhecemos. A internet-of-things, os wearables, a Big Data, a Indústria 4.0 e em geral a democratização da existência de periféricos no dia-a- dia dos consumidores e empresas tem transformado a perspectiva que temos da sociedade e dos riscos que dela fazem parte. por Óscar Cardoso Vieira, Fidelidade a convite da Associação Portuguesa de Seguradores N esse sentido, a ciber-segurança e o ci- ber-risco tornaram-se buzzwords nos últimos anos deixando de ser noções que pareciam remeter para conceitos saídos de um filme de ficção científica para passarem a ser temas cada vez mais recorrentes no dia-a-dia das empresas. Phishing, Spear-Phishing, Malware, Back-Doors, Botnets são presentemen- te termos que invadem (literalmente) e preocupam todas as empresas, indepen- dentemente da sua dimensão ou da complexidade que a sua rede informática possua. Praticamente todos os empresários ou sofreram ou conhecem quem tenha sofrido um evento cibernético e que tenha de pagar bitcoins a um hacker para que lhe liberte o sistema do ransomware que o afecta, ou UMA NOVA CATEGORIA: O CIBER SEGURO
J U N / A G O 2 0 1 9 R I S C O 59 que tenha que restaurar o website da sua empresa porque sofreu um defacement, ou ainda que tenha visto o seu website em baixo porque sofreu um ataque de negação de serviço (DDOS ou Denial-Of-Service). Quer advenha directamente de um ataque cibernético ou de uma mera perda de informação (que se consubstancie num data breach – por exemplo, a perda de uma pen-drive com dados sensíveis de Clientes) representa um risco cibernético que pode danificar, de forma irreversível, a reputação ou a imagem de uma empresa, resultando A PERDA DE UMA PEN-DRIVE COM DADOS SENSÍVEIS DE CLIENTES) REPRESENTA UM RISCO CIBERNÉTICO QUE PODE DANIFICAR, DE FORMA IRREVERSÍVEL, A REPUTAÇÃO OU A IMAGEM DE UMA EMPRESA mos perante uma tipologia de risco cuja complexidade ímpar cria dificuldades em entender a sua dimensão, âmbito e po- tencial máximo de perdas. Não é, portanto, de admirar que o (tradicional) mercado Segurador da Eu- ropa continental demonstre alguma pru- dência em oferecer soluções adequadas para a efectiva transferência deste risco. Tal facto tem frustrado as expectativas de empresários e organizações que já ti- veram contacto com eventos de risco ci- bernético. Estando o Ciber-Seguro numa fase de desenvolvimento exponencial, com novos players a entrar no mercado e outros bastante cépticos relativamente à exploração do mesmo, tem-se verifi- cado que estamos perante um mercado que se caracteriza por possuir todos os predicados que tipicamente são atribuí- dos aos mercados imaturos, a saber : 1) uma procura pouco informada, 2) solu- ções não standardizadas, 3) um histórico inexistente e 4) um ecossistema fragmen- tado que permite assimetrias entre as di- versas soluções existentes no mercado. Aliás, é justamente deste último ponto que deriva o facto de algumas das so- luções oferecidas por alguns players do mercado serem incipientes, no sentido em que pressupõem uma quantidade quase quimerial de diligências de pré- -contratação do Seguro (análise de risco, demonstração da resiliência o sistema, análises forenses à rede e aos periféricos) directamente na perda de vantagens com- petitivas ou causando danos financeiros que afetem o balanço da organização. Derivado da percepção do risco ciber- nético, enquanto uma das maiores ameaças à continuidade do negócio das empresas, a transferência de risco via contratação de um Seguro – Ciber Seguro – tem sido con- siderado pelos Gestores de empresas como o mecanismo mais apropriado para garan- tir que a gestão deste risco é efectuada de forma correta e coerente com os princípios básicos de gestão de risco. Nesse sentido importa definir clara- mente o que é um risco cibernético. Para tal podemos socorrer-nos da definição do CRO Forum (Fórum Internacional de risk managers) o qual define, em abstrac- to, o Cyber Risk como: • Qualquer risco decorrente do uso de dados electrónicos e sua trans- missão, incluindo ferramentas tec- nológicas, como a Internet e redes de telecomunicações; • O risco de danos físicos que possam ser causados por ataques cibernéticos; • O risco de fraude resultante do uso indevido de dados; • Qualquer responsabilidade rela- cionada ao uso, armazenamento e transferência de dados. • A disponibilidade, integridade e confidencialidade das informações eletrónicas, relacionadas com indi- víduos, empresas ou governos. Com esta definição entendemos estar perante um novo tipo de conceito que abrange diversos tipos de riscos. Por um lado, temos os danos sofridos pela pró- pria empresa, nomeadamente os danos físicos/materiais nos seus bens e, por outro, os riscos derivados do uso, trans- missão, custódia e fraude relativamente a dados de terceiros. Em termos da in- dústria seguradora, verificamos que esta definição, atendendo aos riscos em apre- ço, é passível de abarcar diversos ramos e subcategorias, a saber: Responsabilidade civil, Linhas financeiras e Patrimoniais. Ora isto, só por si, faz com que esteja-
60 R I S C O J U N / A G O 2 0 1 9 SEGUROS O CIBER SEGURO que faz com que a própria subscrição do Seguro seja reservada a entidades com uma infraestrutura e dimensão que não se coadunam com tecido empresarial português – composto em mais de 95% por pequenas e médias empresas. Contrariamente ao que possa aparen- tar, estes métodos não são formas de as Seguradoras diminuírem a anti-selecção de risco ou o risco moral, antes, são cri- térios de subscrição baseados na absoluta incerteza que o risco cibernético gera e na necessidade de se obter uma carteira balan- ceada que seja apta ab initio a gerar resulta- dos para suportar sinistros de grande mon- ta – que certamente advirão à medida que as quotas de mercado forem aumentado. UMA DUPLA NECESSIDADE A interconectividade de dispositivos e apa- relhos faz com que estejamos perante um risco que além de ubíquo é dinamicamente fluído, fazendo com que a sua gestão seja difícil e que as ameaças evoluam a uma taxa de crescimento exponencialmente su- perior à das defesas. Pela sua idiossincrasia e não-sujeição às regras do mundo físico o risco cibernético não encontra frontei- ras em indústrias, países, geografias. Não é errado dizermos que as PME, enquanto grupo, não possuem as ferramentas ou o know-how necessário para lidar com o risco cibernético de forma eficaz. Mais, a grande falha da generalidade das PME ve- rifica-se justamente na percepção dos im- pactos que um risco cibernético pode criar nas suas operações do dia-a-dia. É aqui que cabe às seguradoras o papel de reforçar e demonstrar o potencial im- pacto negativo que uma empresa poderá ter se não gerir este risco de forma eficaz. É importante criar e passar a percepção de que, ainda que intangibilidade dos activos e actividades torne difícil o real apuramen- to de perdas decorrentes de sinistro de ris- co cibernético, o mesmo poderá criar uma disrupção no funcionamento de uma or- ganização e consequentemente colocá-la numa situação de absoluto stress financei- ro ou até mesmo de falência (contraria- mente a uma importante percentagem de danos directos causados em bens tangí- veis). Isto acaba também por gerar proble- mas para a indústria seguradora já que por não ser sujeito às restrições do mundo “fí- sico” o risco cibernético não se conforma com a modelação de risco baseada no bi- nómio da alta severidade/baixa frequência e baixa severidade/alta frequência no qual as companhias de seguros possuem cente- nas de anos de experiência. Pelo contrário, a natureza idiossincrática do risco faz com que o potencial de acumulação e de corre- lação de um único evento possa provocar a criação de um novo binómio de alta fre- quência/alta severidade que faça com que estejamos perante uma nova categoria nos cânones clássicos da gestão de risco e de carteira das seguradoras. Há, portanto, a nível da indústria segu- radora uma real necessidade de criar novas estratégias de modelação de risco que não TEM-SE VERIFICADO QUE ESTAMOS PERANTE UM MERCADO QUE SE CARACTERIZA POR POSSUIR TODOS OS PREDICADOS QUE TIPICAMENTE SÃO ATRIBUÍDOS AOS MERCADOS IMATUROS
J U N / A G O 2 0 1 9 R I S C O 61 sejam baseadas em dados históricos (como tipicamente a indústria seguradora tem de- senvolvido nas últimas centenas de anos) mas, por outro lado, em modelos prediti- vos actualizados os quais, a cada momento, possuam a aptidão de avaliar on-demand a exposição efectiva que um dado portfolio detém. Um simples data breach pode gerar um efeito borboleta e criar, em consequên- cia, inúmeros outros eventos em parceiros de negócio, subcontratados ou clientes. Neste sentido o sucesso e a longevidade de um player neste mercado será directamen- te proporcional à capacidade de o mesmo obter dados verdadeiros e em tempo real (data veracity) e desta forma gerir o risco de acumulação do seu portfolio. Pode questionar-se, assim, até que ponto os próprios requisitos de capitais exigíveis às companhias de seguro são aptos a garantir que estas possuem a ro- bustez suficiente para amparar o efeito catastrófico de um ransomware como o WannaCry ou o NoPetya. Os meca- nismos alternativos de transferência de risco (ART) – capital contingente ou se- curitização de risco – podem passar a ter de ser soluções para estes novos tipos de risco e até para esta nova classe. A NECESSIDADE DE SOLUÇÕES QUE ULTRAPASSEM A “MERA “ TRANSFERÊNCIA DE RISCO Estima-se que o mercado da ciber-segu- rança tenha atingido os 100 mil milhões de dólares em 2018 por contraposição aos 66 mil milhões de 2013 . Ainda nesta senda, o volume de prémios de Ciber- -seguro tem logrado um crescimento absolutamente exponencial ascendendo a 4,52 mil milhões de dólares em 2018 estimando-se, ainda, que atinja os 17,55 mil milhões até 2023, de acordo com os cálculos da agência Reuteurs. Atendendo à dimensão do mercado, mais do que aceitar nos seus livros a mera transferência de risco dos seus clientes, a indústria seguradora possui a oportuni- dade única de criar uma cadeia de valor efectiva que lhe permita estar presente na avaliação do risco, na sua mitigação, na sua transferência e, por fim, na resolução do eventual evento de que atinga o cliente. O posicionamento, resiliência e con- fiança de que a indústria seguradora be- neficia permitir-lhe-á a possibilidade única de se tornar um verdadeiro consultor para o cliente, oferecendo uma diversidade de ferramentas que criarão uma ligação con- tínua e ininterrupta entre o segurador e o seu cliente, gerando uma relação quase um- bilical em que a presença do segurador no dia-a-dia de uma organização passe a ser a regra através de prestação soluções inte- gradas no ramo da Ciber-Segurança. Ima- gine-se o caso em que, antes de efectuar o seguro, o cliente possui a possibilidade de, gratuitamente, efectuar uma análise de ris- co ao seu sistema e que, durante a vigência do contrato de seguro, permite que o segu- rado tenha acesso a ferramentas de gestão do risco (instalação de anti-ransomwares, atualizações de antivírus, análise ao seu sistema, backups automáticos na Cloud e serviço de suporte 24h/24h para os even- tuais problemas do dia-a-dia). O segurador pode ainda tornar-se um parceiro quanto à melhor forma de o cliente gerir os dados de terceiros e relativamente a formas de diminuir a falha humana com o objectivo de evitar incumprimentos do Regulamento Geral de Protecção de Dados (RGPD) e das graves consequências que daí possam advir. Esta é, portanto, uma oportunidade única quer para a indústria seguradora quer para os seus clientes que anseiam por soluções do tipo one-stop-shop for- necidos por indústrias credíveis e com experiência na área. Não há dúvidas que os riscos ciberné- ticos são bastante mais difíceis de gerir que os do mundo dito “real”. Assiste-se, desta forma, a um crescendo de importância do conceito de cibersegurança como um imperativo estratégico das organizações – dado que só desta forma se poderão re- definir políticas de segurança, de formação dos trabalhadores, da própria arquitectura das redes e dos sistemas em conformida- de com as melhores práticas disponíveis. É ainda neste sentido que as organizações, mais do que de cibersegurança, devem co- meçar a falar de ciber-resiliência e começar a criar mecanismos que permitam detec- tar, prevenir e reagir a ataques na sua rede ou a perdas de informação que lhes sejam imputáveis. O Ciber-seguro é talvez uma das melhores ferramentas de construção desta ciber-resiliência, tanto mais quanto o mesmo consiga oferecer serviços com- plementares pre-breach ou post-breach. A indústria seguradora possui um papel bas- tante relevante neste processo – e grangeia da oportunidade única de criar modelos de negócio que lhe permitam posicionar-se quer a montante que a jusante nesta cadeia de valor, trabalhando directamente com empresas de consultoria, de tecnologia de informação, de relações públicas e escri- tórios de advogados – criando e desenvol- vendo, desta forma, um expertise único que lhes permitirá melhor servir os seus clientes e melhorar a sua taxa de retenção. OS PERIGOS DAS PORTAS ABERTAS Armadilha Digital é a quinta obra literária da coleção Seguros e Cidadania, da APS, assinada por Ana Maria Magalhães e Isabel Alçada para jovens do ensino secundário. Uma história na qual se viaja sobre os riscos e perigos para quem navega na internet e que inclui a partilha inocente, pela jovem estudante, Beatriz Ventura, de dados privados da sua vida quotidiana com alguém que não merece, à primeira vista, a menor das suspeitas. Esta acção, aparentemente inofensiva, traz consequências graves aos negócios da família: o pai Abel, é proprietário de uma agência de viagens e a tia Aline, é dona duma empresa de ticketing (emissão de bilhetes). A obra, educativa, aborda os novos riscos do mundo cibernético – ransomware (ataques com pedidos de resgate), phishing (descobrir e usar a palavras passe), malware (instalação de vírus ou programas maliciosos) – e termina em forma de glossário, caracterizando, ainda, truques de hackers (ciber-criminosos) para se infiltrarem nos sistemas informáticos privados, das empresas, das organizações públicas ou dos Estados. O livro está disponível, gratuitamente, em: www.apseguradores.pt/seguros-e-cidadania

Recomendados

INSECURE 2017
INSECURE 2017INSECURE 2017
INSECURE 2017Miguel Reis
 
Risk Report
Risk ReportRisk Report
Risk ReportGabriela Makhoul
 
Decision Report
Decision ReportDecision Report
Decision ReportPriscila Stuani
 
FULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goFULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goMDS Portugal
 
FULLCOVER
FULLCOVERFULLCOVER
FULLCOVERMDS Portugal
 
Futuros ciberataques vão visar sobretudo as PME
Futuros ciberataques vão visar sobretudo as PMEFuturos ciberataques vão visar sobretudo as PME
Futuros ciberataques vão visar sobretudo as PMEMDS Portugal
 
FULLCOVER | Awareness key to cyber risk transfer demand
FULLCOVER | Awareness key to cyber risk transfer demandFULLCOVER | Awareness key to cyber risk transfer demand
FULLCOVER | Awareness key to cyber risk transfer demandMDS Portugal
 
INSECURE 2016
INSECURE 2016INSECURE 2016
INSECURE 2016Miguel Reis
 

Recomendados

INSECURE 2017
INSECURE 2017INSECURE 2017
INSECURE 2017Miguel Reis
 
Risk Report
Risk ReportRisk Report
Risk ReportGabriela Makhoul
 
Decision Report
Decision ReportDecision Report
Decision ReportPriscila Stuani
 
FULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goFULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goMDS Portugal
 
FULLCOVER
FULLCOVERFULLCOVER
FULLCOVERMDS Portugal
 
Futuros ciberataques vão visar sobretudo as PME
Futuros ciberataques vão visar sobretudo as PMEFuturos ciberataques vão visar sobretudo as PME
Futuros ciberataques vão visar sobretudo as PMEMDS Portugal
 
FULLCOVER | Awareness key to cyber risk transfer demand
FULLCOVER | Awareness key to cyber risk transfer demandFULLCOVER | Awareness key to cyber risk transfer demand
FULLCOVER | Awareness key to cyber risk transfer demandMDS Portugal
 
INSECURE 2016
INSECURE 2016INSECURE 2016
INSECURE 2016Miguel Reis
 
Cyber Edge - Seguro para Riscos Cibernéticos
Cyber Edge - Seguro para Riscos CibernéticosCyber Edge - Seguro para Riscos Cibernéticos
Cyber Edge - Seguro para Riscos CibernéticosValenteRocha Risk Solutions
 
Transformando Riscos em Oportunidades de Negócio
Transformando Riscos em Oportunidades de NegócioTransformando Riscos em Oportunidades de Negócio
Transformando Riscos em Oportunidades de NegócioAlfredo Saad
 
Fullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defenceFullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defenceMDS Portugal
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec Brasil
 
FULLCOVER | Cyber Risk dossier
FULLCOVER | Cyber Risk dossierFULLCOVER | Cyber Risk dossier
FULLCOVER | Cyber Risk dossierMDS Portugal
 
FULLCOVER | Risco Cibernético
FULLCOVER | Risco CibernéticoFULLCOVER | Risco Cibernético
FULLCOVER | Risco CibernéticoMDS Portugal
 
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em SegurosWiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em SegurosLeonardo Couto
 
FULLCOVEr 10 - Riscos do Futuro
FULLCOVEr 10 - Riscos do FuturoFULLCOVEr 10 - Riscos do Futuro
FULLCOVEr 10 - Riscos do FuturoCarla Gonçalves
 
FULLCOVER 10 - Riscos do Futuro
FULLCOVER 10 - Riscos do FuturoFULLCOVER 10 - Riscos do Futuro
FULLCOVER 10 - Riscos do FuturoMDS Portugal
 
Inovações Tecnológicas em Seguros 2019
Inovações Tecnológicas em Seguros 2019 Inovações Tecnológicas em Seguros 2019
Inovações Tecnológicas em Seguros 2019 MJV Technology & Innovation Brasil
 
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
7º Encontro de Resseguro do Rio de Janeiro - Marcelo MartinezCNseg
 
Cartilha Protegendo Marca Web
Cartilha Protegendo Marca WebCartilha Protegendo Marca Web
Cartilha Protegendo Marca WebInova7
 
07 afanador port
07 afanador port07 afanador port
07 afanador portELIAS OMEGA
 
Incertezas impostas pela Covid-19 sob uma perspectiva tecnológica
Incertezas impostas pela Covid-19 sob uma perspectiva tecnológicaIncertezas impostas pela Covid-19 sob uma perspectiva tecnológica
Incertezas impostas pela Covid-19 sob uma perspectiva tecnológicaPatricio Correia
 
II Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoII Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoMódulo Security Solutions
 
Jose
JoseJose
Joseleiry rodrigues
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 

Mais conteúdo relacionado

Semelhante a O Ciber Seguro e as necessidades do mercado imaturo de riscos cibernéticos

Transformando Riscos em Oportunidades de Negócio
Transformando Riscos em Oportunidades de NegócioTransformando Riscos em Oportunidades de Negócio
Transformando Riscos em Oportunidades de NegócioAlfredo Saad
 
Fullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defenceFullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defenceMDS Portugal
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec Brasil
 
FULLCOVER | Cyber Risk dossier
FULLCOVER | Cyber Risk dossierFULLCOVER | Cyber Risk dossier
FULLCOVER | Cyber Risk dossierMDS Portugal
 
FULLCOVER | Risco Cibernético
FULLCOVER | Risco CibernéticoFULLCOVER | Risco Cibernético
FULLCOVER | Risco CibernéticoMDS Portugal
 
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em SegurosWiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em SegurosLeonardo Couto
 
FULLCOVEr 10 - Riscos do Futuro
FULLCOVEr 10 - Riscos do FuturoFULLCOVEr 10 - Riscos do Futuro
FULLCOVEr 10 - Riscos do FuturoCarla Gonçalves
 
FULLCOVER 10 - Riscos do Futuro
FULLCOVER 10 - Riscos do FuturoFULLCOVER 10 - Riscos do Futuro
FULLCOVER 10 - Riscos do FuturoMDS Portugal
 
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
7º Encontro de Resseguro do Rio de Janeiro - Marcelo MartinezCNseg
 
Cartilha Protegendo Marca Web
Cartilha Protegendo Marca WebCartilha Protegendo Marca Web
Cartilha Protegendo Marca WebInova7
 
07 afanador port
07 afanador port07 afanador port
07 afanador portELIAS OMEGA
 
Incertezas impostas pela Covid-19 sob uma perspectiva tecnológica
Incertezas impostas pela Covid-19 sob uma perspectiva tecnológicaIncertezas impostas pela Covid-19 sob uma perspectiva tecnológica
Incertezas impostas pela Covid-19 sob uma perspectiva tecnológicaPatricio Correia
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 

Semelhante a O Ciber Seguro e as necessidades do mercado imaturo de riscos cibernéticos (17)

Cyber Edge - Seguro para Riscos Cibernéticos
Cyber Edge - Seguro para Riscos CibernéticosCyber Edge - Seguro para Riscos Cibernéticos
Cyber Edge - Seguro para Riscos Cibernéticos
 
Transformando Riscos em Oportunidades de Negócio
Transformando Riscos em Oportunidades de NegócioTransformando Riscos em Oportunidades de Negócio
Transformando Riscos em Oportunidades de Negócio
 
Fullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defenceFullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defence
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1
 
FULLCOVER | Cyber Risk dossier
FULLCOVER | Cyber Risk dossierFULLCOVER | Cyber Risk dossier
FULLCOVER | Cyber Risk dossier
 
FULLCOVER | Risco Cibernético
FULLCOVER | Risco CibernéticoFULLCOVER | Risco Cibernético
FULLCOVER | Risco Cibernético
 
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em SegurosWiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
 
FULLCOVEr 10 - Riscos do Futuro
FULLCOVEr 10 - Riscos do FuturoFULLCOVEr 10 - Riscos do Futuro
FULLCOVEr 10 - Riscos do Futuro
 
FULLCOVER 10 - Riscos do Futuro
FULLCOVER 10 - Riscos do FuturoFULLCOVER 10 - Riscos do Futuro
FULLCOVER 10 - Riscos do Futuro
 
Inovações Tecnológicas em Seguros 2019
Inovações Tecnológicas em Seguros 2019 Inovações Tecnológicas em Seguros 2019
Inovações Tecnológicas em Seguros 2019
 
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
7º Encontro de Resseguro do Rio de Janeiro - Marcelo Martinez
 
Cartilha Protegendo Marca Web
Cartilha Protegendo Marca WebCartilha Protegendo Marca Web
Cartilha Protegendo Marca Web
 
07 afanador port
07 afanador port07 afanador port
07 afanador port
 
Incertezas impostas pela Covid-19 sob uma perspectiva tecnológica
Incertezas impostas pela Covid-19 sob uma perspectiva tecnológicaIncertezas impostas pela Covid-19 sob uma perspectiva tecnológica
Incertezas impostas pela Covid-19 sob uma perspectiva tecnológica
 
II Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoII Conferência do Cyber Manifesto
II Conferência do Cyber Manifesto
 
Jose
JoseJose
Jose
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...
 

O Ciber Seguro e as necessidades do mercado imaturo de riscos cibernéticos

  • 1. 58 R I S C O J U N / A G O 2 0 1 9 segurosY A digitalização é a força económico-social que mais tem alterado e redefinido a vida como a conhecemos. A internet-of-things, os wearables, a Big Data, a Indústria 4.0 e em geral a democratização da existência de periféricos no dia-a- dia dos consumidores e empresas tem transformado a perspectiva que temos da sociedade e dos riscos que dela fazem parte. por Óscar Cardoso Vieira, Fidelidade a convite da Associação Portuguesa de Seguradores N esse sentido, a ciber-segurança e o ci- ber-risco tornaram-se buzzwords nos últimos anos deixando de ser noções que pareciam remeter para conceitos saídos de um filme de ficção científica para passarem a ser temas cada vez mais recorrentes no dia-a-dia das empresas. Phishing, Spear-Phishing, Malware, Back-Doors, Botnets são presentemen- te termos que invadem (literalmente) e preocupam todas as empresas, indepen- dentemente da sua dimensão ou da complexidade que a sua rede informática possua. Praticamente todos os empresários ou sofreram ou conhecem quem tenha sofrido um evento cibernético e que tenha de pagar bitcoins a um hacker para que lhe liberte o sistema do ransomware que o afecta, ou UMA NOVA CATEGORIA: O CIBER SEGURO
  • 2. J U N / A G O 2 0 1 9 R I S C O 59 que tenha que restaurar o website da sua empresa porque sofreu um defacement, ou ainda que tenha visto o seu website em baixo porque sofreu um ataque de negação de serviço (DDOS ou Denial-Of-Service). Quer advenha directamente de um ataque cibernético ou de uma mera perda de informação (que se consubstancie num data breach – por exemplo, a perda de uma pen-drive com dados sensíveis de Clientes) representa um risco cibernético que pode danificar, de forma irreversível, a reputação ou a imagem de uma empresa, resultando A PERDA DE UMA PEN-DRIVE COM DADOS SENSÍVEIS DE CLIENTES) REPRESENTA UM RISCO CIBERNÉTICO QUE PODE DANIFICAR, DE FORMA IRREVERSÍVEL, A REPUTAÇÃO OU A IMAGEM DE UMA EMPRESA mos perante uma tipologia de risco cuja complexidade ímpar cria dificuldades em entender a sua dimensão, âmbito e po- tencial máximo de perdas. Não é, portanto, de admirar que o (tradicional) mercado Segurador da Eu- ropa continental demonstre alguma pru- dência em oferecer soluções adequadas para a efectiva transferência deste risco. Tal facto tem frustrado as expectativas de empresários e organizações que já ti- veram contacto com eventos de risco ci- bernético. Estando o Ciber-Seguro numa fase de desenvolvimento exponencial, com novos players a entrar no mercado e outros bastante cépticos relativamente à exploração do mesmo, tem-se verifi- cado que estamos perante um mercado que se caracteriza por possuir todos os predicados que tipicamente são atribuí- dos aos mercados imaturos, a saber : 1) uma procura pouco informada, 2) solu- ções não standardizadas, 3) um histórico inexistente e 4) um ecossistema fragmen- tado que permite assimetrias entre as di- versas soluções existentes no mercado. Aliás, é justamente deste último ponto que deriva o facto de algumas das so- luções oferecidas por alguns players do mercado serem incipientes, no sentido em que pressupõem uma quantidade quase quimerial de diligências de pré- -contratação do Seguro (análise de risco, demonstração da resiliência o sistema, análises forenses à rede e aos periféricos) directamente na perda de vantagens com- petitivas ou causando danos financeiros que afetem o balanço da organização. Derivado da percepção do risco ciber- nético, enquanto uma das maiores ameaças à continuidade do negócio das empresas, a transferência de risco via contratação de um Seguro – Ciber Seguro – tem sido con- siderado pelos Gestores de empresas como o mecanismo mais apropriado para garan- tir que a gestão deste risco é efectuada de forma correta e coerente com os princípios básicos de gestão de risco. Nesse sentido importa definir clara- mente o que é um risco cibernético. Para tal podemos socorrer-nos da definição do CRO Forum (Fórum Internacional de risk managers) o qual define, em abstrac- to, o Cyber Risk como: • Qualquer risco decorrente do uso de dados electrónicos e sua trans- missão, incluindo ferramentas tec- nológicas, como a Internet e redes de telecomunicações; • O risco de danos físicos que possam ser causados por ataques cibernéticos; • O risco de fraude resultante do uso indevido de dados; • Qualquer responsabilidade rela- cionada ao uso, armazenamento e transferência de dados. • A disponibilidade, integridade e confidencialidade das informações eletrónicas, relacionadas com indi- víduos, empresas ou governos. Com esta definição entendemos estar perante um novo tipo de conceito que abrange diversos tipos de riscos. Por um lado, temos os danos sofridos pela pró- pria empresa, nomeadamente os danos físicos/materiais nos seus bens e, por outro, os riscos derivados do uso, trans- missão, custódia e fraude relativamente a dados de terceiros. Em termos da in- dústria seguradora, verificamos que esta definição, atendendo aos riscos em apre- ço, é passível de abarcar diversos ramos e subcategorias, a saber: Responsabilidade civil, Linhas financeiras e Patrimoniais. Ora isto, só por si, faz com que esteja-
  • 3. 60 R I S C O J U N / A G O 2 0 1 9 SEGUROS O CIBER SEGURO que faz com que a própria subscrição do Seguro seja reservada a entidades com uma infraestrutura e dimensão que não se coadunam com tecido empresarial português – composto em mais de 95% por pequenas e médias empresas. Contrariamente ao que possa aparen- tar, estes métodos não são formas de as Seguradoras diminuírem a anti-selecção de risco ou o risco moral, antes, são cri- térios de subscrição baseados na absoluta incerteza que o risco cibernético gera e na necessidade de se obter uma carteira balan- ceada que seja apta ab initio a gerar resulta- dos para suportar sinistros de grande mon- ta – que certamente advirão à medida que as quotas de mercado forem aumentado. UMA DUPLA NECESSIDADE A interconectividade de dispositivos e apa- relhos faz com que estejamos perante um risco que além de ubíquo é dinamicamente fluído, fazendo com que a sua gestão seja difícil e que as ameaças evoluam a uma taxa de crescimento exponencialmente su- perior à das defesas. Pela sua idiossincrasia e não-sujeição às regras do mundo físico o risco cibernético não encontra frontei- ras em indústrias, países, geografias. Não é errado dizermos que as PME, enquanto grupo, não possuem as ferramentas ou o know-how necessário para lidar com o risco cibernético de forma eficaz. Mais, a grande falha da generalidade das PME ve- rifica-se justamente na percepção dos im- pactos que um risco cibernético pode criar nas suas operações do dia-a-dia. É aqui que cabe às seguradoras o papel de reforçar e demonstrar o potencial im- pacto negativo que uma empresa poderá ter se não gerir este risco de forma eficaz. É importante criar e passar a percepção de que, ainda que intangibilidade dos activos e actividades torne difícil o real apuramen- to de perdas decorrentes de sinistro de ris- co cibernético, o mesmo poderá criar uma disrupção no funcionamento de uma or- ganização e consequentemente colocá-la numa situação de absoluto stress financei- ro ou até mesmo de falência (contraria- mente a uma importante percentagem de danos directos causados em bens tangí- veis). Isto acaba também por gerar proble- mas para a indústria seguradora já que por não ser sujeito às restrições do mundo “fí- sico” o risco cibernético não se conforma com a modelação de risco baseada no bi- nómio da alta severidade/baixa frequência e baixa severidade/alta frequência no qual as companhias de seguros possuem cente- nas de anos de experiência. Pelo contrário, a natureza idiossincrática do risco faz com que o potencial de acumulação e de corre- lação de um único evento possa provocar a criação de um novo binómio de alta fre- quência/alta severidade que faça com que estejamos perante uma nova categoria nos cânones clássicos da gestão de risco e de carteira das seguradoras. Há, portanto, a nível da indústria segu- radora uma real necessidade de criar novas estratégias de modelação de risco que não TEM-SE VERIFICADO QUE ESTAMOS PERANTE UM MERCADO QUE SE CARACTERIZA POR POSSUIR TODOS OS PREDICADOS QUE TIPICAMENTE SÃO ATRIBUÍDOS AOS MERCADOS IMATUROS
  • 4. J U N / A G O 2 0 1 9 R I S C O 61 sejam baseadas em dados históricos (como tipicamente a indústria seguradora tem de- senvolvido nas últimas centenas de anos) mas, por outro lado, em modelos prediti- vos actualizados os quais, a cada momento, possuam a aptidão de avaliar on-demand a exposição efectiva que um dado portfolio detém. Um simples data breach pode gerar um efeito borboleta e criar, em consequên- cia, inúmeros outros eventos em parceiros de negócio, subcontratados ou clientes. Neste sentido o sucesso e a longevidade de um player neste mercado será directamen- te proporcional à capacidade de o mesmo obter dados verdadeiros e em tempo real (data veracity) e desta forma gerir o risco de acumulação do seu portfolio. Pode questionar-se, assim, até que ponto os próprios requisitos de capitais exigíveis às companhias de seguro são aptos a garantir que estas possuem a ro- bustez suficiente para amparar o efeito catastrófico de um ransomware como o WannaCry ou o NoPetya. Os meca- nismos alternativos de transferência de risco (ART) – capital contingente ou se- curitização de risco – podem passar a ter de ser soluções para estes novos tipos de risco e até para esta nova classe. A NECESSIDADE DE SOLUÇÕES QUE ULTRAPASSEM A “MERA “ TRANSFERÊNCIA DE RISCO Estima-se que o mercado da ciber-segu- rança tenha atingido os 100 mil milhões de dólares em 2018 por contraposição aos 66 mil milhões de 2013 . Ainda nesta senda, o volume de prémios de Ciber- -seguro tem logrado um crescimento absolutamente exponencial ascendendo a 4,52 mil milhões de dólares em 2018 estimando-se, ainda, que atinja os 17,55 mil milhões até 2023, de acordo com os cálculos da agência Reuteurs. Atendendo à dimensão do mercado, mais do que aceitar nos seus livros a mera transferência de risco dos seus clientes, a indústria seguradora possui a oportuni- dade única de criar uma cadeia de valor efectiva que lhe permita estar presente na avaliação do risco, na sua mitigação, na sua transferência e, por fim, na resolução do eventual evento de que atinga o cliente. O posicionamento, resiliência e con- fiança de que a indústria seguradora be- neficia permitir-lhe-á a possibilidade única de se tornar um verdadeiro consultor para o cliente, oferecendo uma diversidade de ferramentas que criarão uma ligação con- tínua e ininterrupta entre o segurador e o seu cliente, gerando uma relação quase um- bilical em que a presença do segurador no dia-a-dia de uma organização passe a ser a regra através de prestação soluções inte- gradas no ramo da Ciber-Segurança. Ima- gine-se o caso em que, antes de efectuar o seguro, o cliente possui a possibilidade de, gratuitamente, efectuar uma análise de ris- co ao seu sistema e que, durante a vigência do contrato de seguro, permite que o segu- rado tenha acesso a ferramentas de gestão do risco (instalação de anti-ransomwares, atualizações de antivírus, análise ao seu sistema, backups automáticos na Cloud e serviço de suporte 24h/24h para os even- tuais problemas do dia-a-dia). O segurador pode ainda tornar-se um parceiro quanto à melhor forma de o cliente gerir os dados de terceiros e relativamente a formas de diminuir a falha humana com o objectivo de evitar incumprimentos do Regulamento Geral de Protecção de Dados (RGPD) e das graves consequências que daí possam advir. Esta é, portanto, uma oportunidade única quer para a indústria seguradora quer para os seus clientes que anseiam por soluções do tipo one-stop-shop for- necidos por indústrias credíveis e com experiência na área. Não há dúvidas que os riscos ciberné- ticos são bastante mais difíceis de gerir que os do mundo dito “real”. Assiste-se, desta forma, a um crescendo de importância do conceito de cibersegurança como um imperativo estratégico das organizações – dado que só desta forma se poderão re- definir políticas de segurança, de formação dos trabalhadores, da própria arquitectura das redes e dos sistemas em conformida- de com as melhores práticas disponíveis. É ainda neste sentido que as organizações, mais do que de cibersegurança, devem co- meçar a falar de ciber-resiliência e começar a criar mecanismos que permitam detec- tar, prevenir e reagir a ataques na sua rede ou a perdas de informação que lhes sejam imputáveis. O Ciber-seguro é talvez uma das melhores ferramentas de construção desta ciber-resiliência, tanto mais quanto o mesmo consiga oferecer serviços com- plementares pre-breach ou post-breach. A indústria seguradora possui um papel bas- tante relevante neste processo – e grangeia da oportunidade única de criar modelos de negócio que lhe permitam posicionar-se quer a montante que a jusante nesta cadeia de valor, trabalhando directamente com empresas de consultoria, de tecnologia de informação, de relações públicas e escri- tórios de advogados – criando e desenvol- vendo, desta forma, um expertise único que lhes permitirá melhor servir os seus clientes e melhorar a sua taxa de retenção. OS PERIGOS DAS PORTAS ABERTAS Armadilha Digital é a quinta obra literária da coleção Seguros e Cidadania, da APS, assinada por Ana Maria Magalhães e Isabel Alçada para jovens do ensino secundário. Uma história na qual se viaja sobre os riscos e perigos para quem navega na internet e que inclui a partilha inocente, pela jovem estudante, Beatriz Ventura, de dados privados da sua vida quotidiana com alguém que não merece, à primeira vista, a menor das suspeitas. Esta acção, aparentemente inofensiva, traz consequências graves aos negócios da família: o pai Abel, é proprietário de uma agência de viagens e a tia Aline, é dona duma empresa de ticketing (emissão de bilhetes). A obra, educativa, aborda os novos riscos do mundo cibernético – ransomware (ataques com pedidos de resgate), phishing (descobrir e usar a palavras passe), malware (instalação de vírus ou programas maliciosos) – e termina em forma de glossário, caracterizando, ainda, truques de hackers (ciber-criminosos) para se infiltrarem nos sistemas informáticos privados, das empresas, das organizações públicas ou dos Estados. O livro está disponível, gratuitamente, em: www.apseguradores.pt/seguros-e-cidadania