Mais de 40% das PMEs já beneficiaram de seguros cibernéticos

Os seguros cibernéticos têm vindo a evoluir, oferecendo uma vasta gama de coberturas adaptadas às necessidades das PMEs. Desde a resposta a incidentes e restauração de sistemas até à compensação por interrupção de negócios, as seguradoras disponibilizam opções cada vez mais adequadas a um mercado digital em constante mudança. No entanto, a personalização dos seguros é uma prioridade, sendo essencial que as empresas conheçam as diversas opções disponíveis e as melhores práticas.

O impacto financeiro de um ataque cibernético pode ser devastador para uma PME. Um ataque de ransomware norte-americano, por exemplo, pode custar entre 15 mil e 50 mil euros, de acordo com a Pearl Solutions. Valores que podem levar uma pequena empresa à falência. Com a cobertura adequada, esses custos podem ser suportados pela seguradora, permitindo que a empresa retome rapidamente as suas atividades. Em 2023, Portugal ocupou a 31ª posição entre os países mais afetados por estes tipos de ataques, segundo um relatório da S21sec. Este aumento nos ataques e seus custos representa um desafio significativo para as empresas portuguesas, especialmente aquelas que não implementaram medidas de cibersegurança​. É importante destacar que, em Portugal, as empresas podem contar com serviços de gestão de crises e investigação, que ajudam a mitigar o impacto de um ataque. Um exemplo disso é o caso de uma PME do setor do comércio que, após um ataque, recorreu ao seguro para restaurar os seus sistemas e evitar a perda de dados.

Para as empresas portuguesas, os seguros cibernéticos são uma necessidade imperativa para competirem num mercado digital cada vez mais arriscado. Aumentar a consciência sobre a importância destes seguros e adotar medidas preventivas são passos fundamentais para proteger os negócios. Para isso, os gestores de PMEs devem consultar as suas seguradoras e avaliar as soluções disponíveis, sejam estas personalizadas ou standard.

O que fazer em caso de sinistro

Após um ataque cibernético, especialmente um incidente de ransomware, as empresas têm a obrigação de agir em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD). Este regulamento impõe uma série de responsabilidades que visam proteger os dados pessoais dos cidadãos e garantir a transparência na gestão de incidentes.

Notificação à Autoridade de Supervisão

Uma das primeiras medidas a serem tomadas é a notificação à autoridade competente, como a Comissão Nacional de Proteção de Dados (CNPD), que deve ser feita sem demora, e idealmente dentro de um prazo de 72 horas após a deteção da violação. Esta notificação deve incluir detalhes sobre a natureza da violação, as categorias de dados afetados e as consequências potenciais para os titulares dos dados.

Avaliação da Violação

É essencial realizar uma análise minuciosa do ataque para determinar a extensão da violação. As empresas devem identificar quais dados foram comprometidos e se houve acesso não autorizado a informações sensíveis. Este passo é essencial não apenas para a conformidade legal, mas também para a proteção dos indivíduos afetados.

Comunicação aos afetados

Se a violação representar um risco elevado para os direitos e liberdades das pessoas, as empresas são obrigadas a comunicar a situação diretamente aos afetados. Esta comunicação deve ser clara e incluir informações sobre o que ocorreu, os dados envolvidos e as medidas que estão a ser implementadas para mitigar os riscos.

Medidas corretivas

Após o ataque, é necessário implementar ações corretivas para evitar que situações semelhantes se repitam no futuro. Isso pode incluir a atualização de software, o reforço das políticas de segurança e a realização de formações sobre cibersegurança para os colaboradores.

Documentação do incidente

É imprescindível manter registos detalhados de todos os procedimentos adotados em resposta ao ataque. A documentação deve incluir as notificações feitas, as comunicações com os afetados e as medidas corretivas implementadas, uma vez que esses registos podem ser essenciais para uma futura auditoria ou investigação pela CNPD.

Estas ações não só asseguram o cumprimento das obrigações legais impostas pelo RGPD, mas também ajudam a minimizar o impacto de um ataque cibernético nas operações e na reputação das empresas. Para mais informações sobre o RGPD e como lidar com violações de dados, consulte a CNPD.