Quatro em cada 10 empresas não compram seguro cibernético

Quase três anos de forte disrupção nas rotinas de trabalho, de transformação digital e de ataques de ransomware, o sentimento de confiança da maioria dos líderes empresariais relativamente à capacidade de gerir riscos cibernéticos enfraqueceu, diagnostica relatório desenvolvido pela Marsh e pela Microsoft Corp, com base num estudo realizado junto de 660 decisores de todo o mundo, para saber como estes riscos são percecionados por várias funções e líderes das organizações, nomeadamente cibersegurança e TI, gestão de risco e seguros, financeiro e liderança executiva.

Há dois anos, 19,7% dos inquiridos indicaram estar muito confiantes com as capacidades cibernéticas das suas empresas. Em 2022 apenas 19% se identificaram com a afirmação. Pelo que, as capacidades de gestão de risco das suas organizações – incluindo a capacidade de compreender e avaliar as ameaças cibernéticas, mitigar e prevenir os ataques cibernéticos, bem como de os gerir e responder – “quase não sofreu alterações desde 2019,” conclui o relatório The State of Cyber Resilience.

Reportando resultados do inquérito, a corretora e consultora global de risco revela que 61% dos participantes disseram que a sua empresa investe em algum tipo de cobertura de seguro cibernético, fazendo corresponder o gap de proteção a 39% do universo inquirido. Tendo contratado seguro, 54% dos gestores diz que isso não trouxe mudança na estratégia interna de cibersegurança. Quando investem em nova tecnologia, 54% diz que não faz monitorização do risco depois da fase de implementação.

Muitas organizações ainda têm dificuldade em compreender os riscos que os seus fornecedores e as cadeias de fornecimento digital sinalizam como parte das suas estratégias de segurança cibernética. Apenas 43% dos respondentes afirmaram ter realizado uma avaliação de risco aos seus fornecedores ou às cadeias de fornecimento.

“Tendo em conta o constante aumento de ataques de ransomware e as inúmeras ameaças que surgem, não é surpreendente que, em comparação com 2019, muitas organizações não se sintam mais confiantes com a sua capacidade para dar resposta aos riscos cibernéticos,” refere Luís Sousa, Cyber Specialist da Marsh Portugal.

O estudo realça as tendências-chave que precisam de ser compreendidas:

1. As metas corporativas focadas no paradigma cibernético devem estar alinhadas com a construção de uma resiliência cibernética na empresa, em detrimento de se fazer a simples prevenção de incidentes, pois toda a organização pode estar na iminência de um ciberataque. 73% das empresas disseram já ter sofrido um ciberataque.

2. O ransomware é considerado a principal ameaça cibernética enfrentada pelas empresas, mas não é a única. Outras ameaças predominantes incluem phishing/engenharia social, violações de privacidade e interrupção de negócios devido a ataques de um fornecedor externo.

3. Os seguros são uma parte importante da estratégia de gestão de riscos cibernéticos e influenciam a adoção de melhores práticas e de uma melhor capacidade de controlo. 61% disseram que a sua empresa investe em algum tipo de cobertura de seguro cibernético.

4. A adoção de mais ferramentas de controlo da segurança cibernética resulta em classificações mais altas de higiene cibernética. Apenas 3% dos inquiridos classificaram a saúde cibernética de sua empresa como “excelente”.

5. As organizações demoram a medir o risco cibernético em termos financeiros, o que prejudica a sua capacidade de comunicar efetivamente as ameaças cibernéticas para toda a empresa. Apenas 26% dos respondentes disseram que a sua organização recorre a medidas financeiras para gerir riscos cibernéticos.

6. O investimento na mitigação de riscos cibernéticos continua a aumentar, embora as prioridades dos gastos variem por toda a empresa. 64% disseram que a motivação para aumentar o investimento em cibersegurança foi terem sofrido um ciberataque.

7. As novas tecnologias precisam de ser avaliadas e monitorizadas continuamente e não apenas durante o período de testes anterior à sua implementação. 54% das empresas disseram que não fazem monitorização do risco de novas tecnologias5 depois da fase de implementação.

8. As empresas realizam muitas ações de cibersegurança, no entanto negligenciam profundamente os seus fornecedores e cadeias digitais de fornecimento. Apenas 43% realizaram uma avaliação de risco do seu fornecedor/cadeia de fornecimento.

Outras ideias-chave destacadas no estudo:

• Apenas 41% das organizações olham além da segurança cibernética e dos seguros e procuram envolver as funções de legal, planeamento corporativo, financeiro, de operações ou de gestão da cadeia de fornecimento no desenvolvimento dos planos de risco cibernético.
• Quase quatro em cada dez inquiridos, ou 38%, diz que a sua organização recorre a métodos quantitativos para medir a exposição ao risco cibernético, o que “é uma etapa crucial para entender como é que os ataques cibernéticos e outros fenómenos podem gerar volatilidade”. Este é um fator que melhorou face a 2019, quando apenas três em cada dez entrevistados (30%) afirmaram o mesmo.

“Os riscos cibernéticos existem na maioria das organizações. O combate eficaz às ameaças cibernéticas precisa ser uma meta traçada por toda a empresa, de forma a criar uma resiliência cibernética comum, em detrimento de investimentos singulares de prevenção de incidentes ou de defesa cibernética. Uma maior comunicação entre toda a empresa pode ajudar a preencher as lacunas atualmente existentes, a aumentar a confiança e a proporcionar mais e melhor informação para a tomada de decisões estratégicas relacionadas com ameaças cibernéticas,” acrescenta Luís Sousa.