“PME são vistas como alvos mais fáceis devido à falta de segurança cibernética”

Bruno Castro é fundador & CEO da VisionWare, empresa tecnológica portuguesa dedicada à segurança de informação e cibersegurança, que nasceu há 18 anos focada no pós-crime, na análise forense de crimes informáticos e investigação forense. Está credenciado NATO-SECRET e EU-SECRET, e ainda faz parte do grupo de auditores de segurança credenciado pelo Gabinete Nacional de Segurança.

A empresa que lançou tem hoje mais de 200 clientes e operações comerciais em diversos países de África, Médio Oriente, Europa e América Latina. Quem a procura são setores sensíveis como administração pública, bancos, seguradoras, telecomunicações, fatura 3,8 milhões de euros por ano, ce o principal centro de custos são pessoas, massa cinzenta.

Observa na linha da frente, os ataques, as defesas e a prevenção que todos os dias se atualizam na cibersegurança e está muito a par dos diferentes graus de sofisticação de seguradoras e empresas quanto a mitigação de riscos para que as seguradoras possam baixar o valor dos seus prémios. Foi entrevistado por ECOseguros.

As seguradoras estão a diferenciar empresas com maiores cuidados em cibersegurança?

Estão cada vez mais atentas e criteriosas ao considerar empresas com elevado foco na cibersegurança. Com o crescente número de ameaças cibernéticas e violações de dados, as companhias de seguros perceberam a importância de avaliar o risco associado à segurança digital das empresas que desejam segurar. As empresas que demonstram uma abordagem proativa à cibersegurança, investindo em tecnologias avançadas, formação de colaboradores e investimento em protocolos de prevenção de incidentes, geralmente, são vistas de forma mais favorável pelas seguradoras. Tal facto poderá traduzir-se em prémios de seguro mais baixos e políticas mais abrangentes, uma vez que as empresas com uma forte postura de cibersegurança serão menos propensas a sofrer ataques ou violações de dados significativas. A avaliação da cibersegurança inclui, geralmente, a análise de práticas de segurança, políticas internas, histórico de incidentes e conformidade com regulamentações relevantes.

Produtos com coberturas standard estão a dar resposta suficiente?

As seguradoras estão a adotar uma abordagem cada vez mais personalizada ao considerar a cibersegurança das empresas. São efetuadas análises detalhadas sobre as melhores práticas de segurança específicas de cada empresa, bem como sua exposição a riscos cibernéticos, ao invés de recorrer a abordagens genéricas. Isso significa que as empresas que podem comprovar um histórico sólido de medidas de segurança e boas práticas de gestão de riscos cibernéticos, são mais propensas a obter políticas de seguro cibernético sob medida, que atendam às suas necessidades específicas. Em suma, a cibersegurança está a revelar-se um fator determinante na avaliação de risco das seguradoras e as empresas que investem nessa área estão a colher os benefícios em termos de custos mais baixos e políticas de seguro mais abrangentes.

a análise de risco das seguradoras desempenha um papel vital na mitigação de riscos financeiros e na proteção dos segurados, contudo, deverá ser realizada com responsabilidade e transparência para manter a confiança do seu público-alvo

O que pensa sobre a análise de risco que as seguradoras fazem em relação a cibersegurança?

Essa análise de risco é um aspeto crítico e determinante sobre os prémios de seguro e as políticas de cobertura. Em geral, essa análise é uma prática necessária para avaliar a exposição ao risco de um cliente em relação a ameaças cibernéticas. A qualidade dessa análise varia entre seguradoras, contudo, é crucial para a cotação adequada das apólices com vista à mitigação de riscos.

Na minha opinião, a análise de risco desempenha um papel essencial no setor de seguros, uma vez que lhes permite avaliar e contabilizar os riscos associados a diferentes apólices de seguro. Por sua vez, ajudará a manter a sustentabilidade financeira das empresas de seguros, garantindo que elas possam cumprir as suas obrigações em caso de sinistros. A análise de risco é baseada numa variedade de dados, estatísticas e modelos matemáticos que auxiliam na previsão de probabilidade de sinistros e na determinação das tarifas apropriadas. Embora esse processo possa parecer complexo, é fundamental para garantir que os segurados recebam uma cobertura adequada e que as seguradoras permaneçam solventes.

Esse equilíbrio é alcançável?

É importante que a análise de risco seja conduzida de maneira justa e transparente, de modo a evitar discriminação injusta ou práticas antiéticas. As seguradoras devem aderir e cumprir com regulamentações rigorosas e padrões éticos para garantir que a avaliação de risco seja imparcial e equitativa, sendo ainda crítico que os clientes compreendam o processo de análise de risco e as suas implicações ao adquirir uma apólice de seguro. No geral, a análise de risco das seguradoras desempenha um papel vital na mitigação de riscos financeiros e na proteção dos segurados, contudo, deverá ser realizada com responsabilidade e transparência para manter a confiança do seu público-alvo.

Há seguradoras mais avançadas na gestão destes riscos?

Acredito que sim. Algumas seguradoras têm-se destacado por uma abordagem mais avançada na gestão de riscos. Essas companhias investem significativamente mais em tecnologia e em análise de dados para avaliar e cotar os riscos de forma mais precisa e rigorosa, recorrendo a algoritmos e a análise estatística avançada para entender melhor os perfis de risco dos seus segurados, identificando padrões e tendências que podem ajudar a ajustar as apólices de seguro, de acordo com o perfil individual do cliente. Habitualmente, essas empresas costumam oferecer serviços personalizados de gestão de riscos, auxiliando os segurados na prevenção de acidentes e na minimização de riscos, o que pode resultar em prémios de seguro mais baixos.

Na nossa empresa temos sentido precisamente esta tendência de inclusão da oferta de políticas de seguro mais abrangentes, recursos de avaliação de risco mais sofisticados e parcerias com especialistas em segurança da informação e cibersegurança, justamente tendo em conta que, uma maturidade na gestão desses riscos poderá variar de acordo com a seguradora e sua experiência no setor.

Essas seguradoras mais avançadas também se têm revelado mais atentas às mudanças e oscilações nos riscos, como as decorrentes de eventos climáticos extremos, acabando por estar constantemente a ajustar as suas estratégias para disponibilizar coberturas mais adequadas à realidade prática. É valorizada a transparência na comunicação com os segurados e o investimento em educação financeira, tornando o processo de compra de seguro mais acessível e compreensível para o público. No geral, estas empresas acabam por se diferenciar e transformar ou inovar a própria indústria e leque de oferta de seguros, tornando-a mais centrada no cliente e eficiente na gestão de riscos, o que beneficia tanto as seguradoras quanto os segurados.

As seguradoras nacionais podem enfrentar limitações em termos de capacidade financeira e expertise técnica para avaliar e calcular riscos cibernáticos, enquanto as resseguradoras internacionais podem ser relutantes em assumir responsabilidades substanciais devido à incerteza associada a esses eventos.

Apercebe-se que há dificuldades de seguradoras nacionais e resseguradoras internacionais aceitarem esses riscos?

A perceção de dificuldades por parte de seguradoras nacionais e resseguradoras internacionais em aceitar certos tipos de riscos é um tema recorrente no mundo dos seguros. Tal realidade deve-se a inúmeros fatores, incluindo a complexidade e a imprevisibilidade de alguns riscos emergentes, como aqueles relacionados a mudanças climáticas, pandemias e avanços tecnológicos. Contudo, algumas seguradoras têm procurado novas formas de fornecer cobertura para esses tipos de riscos, à medida que a procura por seguros cibernéticos continua a crescer de forma exponencial.

As seguradoras nacionais podem enfrentar limitações em termos de capacidade financeira e expertise técnica para avaliar e calcular esses riscos, enquanto as resseguradoras internacionais podem ser relutantes em assumir responsabilidades substanciais devido à incerteza associada a esses eventos.

Adicionalmente, há que ter em conta as questões regulatórias e de conformidade como fatores de obstáculo, já que, frequentemente, os órgãos reguladores estabelecem requisitos rígidos para garantir a solidez financeira das empresas envolvidas. Como resultado, é fundamental promover a colaboração e a partilha de informações entre seguradoras e resseguradoras, bem como refinar modelos de avaliação de riscos e estratégias de gestão para abordar essas dificuldades e garantir uma cobertura mais eficaz e abrangente para os desafios emergentes desta nova era digital.

Como está a situação de ciberataques a empresas?

A situação de ataques a empresas varia muito, de acordo com o país e o setor. Em todo o mundo, empresas de todas as dimensões podem ser alvo de ataques cibernéticos. Em Portugal, à semelhança de outros países, tanto as pequenas como as médias empresas ou grandes multinacionais podem, e têm vindo a ser afetadas, especialmente, as que não se prepararam devidamente para as ameaças inerentes a esta nova era digital, nomeadamente as que não assumem a componente cibernética como um pilar preponderante para a sua operação. O ponto de ordem será sempre a implementação de modelos de governação de segurança para que daí se possa iniciar a gestão de risco e a respetiva evolução do nível de maturidade digital.

Ataques como ransomware, phishing e roubo de dados são comuns e os prejuízos financeiros e de reputação podem ser significativos e altamente negativos, sem recuperação possível, levando mesmo muitas vezes, à falência de algumas PME’s

Em Portugal cresce o número de pequenas e médias empresas serem atingidas?

Os ciberataques, sendo cada mais frequentes e sofisticados, afetam empresas de todas as dimensões, em qualquer setor de atividade e em qualquer geografia. As multinacionais, por exemplo, além de possuírem mais recursos e dados valiosos, muitas vezes são os alvos preferenciais, contudo, o largo tecido PME também não está imune. Muitas vezes, essas empresas são vistas até como alvos mais fáceis devido à falta de investimento e nível de preparação em segurança cibernética. Ataques como ransomware, phishing e roubo de dados são comuns e os prejuízos financeiros e de reputação podem ser significativos e altamente negativos, sem recuperação possível, levando mesmo muitas vezes, à falência de algumas PME’s, as quais se revelem menos preparadas e com menor robustez financeira.

A consciencialização para este risco tem melhorado?

A maior consciencialização e formação em literacia digital e, em particular, sobre segurança cibernética, tem aumentado, devido ao mediatismo que o sucesso dos recentes ciberataques tem tido em Portugal e no mundo em geral. Muitas empresas têm vindo a adotar medidas para se proteger contra ameaças cibernéticas, independentemente da sua dimensão, e de forma transversal na sua organização, incluindo os colaboradores, de diferentes departamentos, incluindo também a gestão de topo. Além disso, regulamentações e leis de proteção de dados, como o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, têm incentivado as empresas a investir em medidas de segurança mais robustas, com vista a minimizar eventuais riscos e corrigir fragilidades nos sistemas de informação.

Há suficiente troca de informação entre atacados para planear defesas conjuntas?

A troca de informações no tecido empresarial no que respeita a sua experiência como vítimas de ciberataques será importante para melhorar a segurança cibernética em geral, contudo, para além de alguns grupos isolados, não nos parece que esteja a acontecer atualmente. Temos visto que em alguns casos, tal ação é realizada por meio de grupos de informações de segurança ou organizações de partilha de ameaças num mundo académico ou meramente desassociado de instituições oficiais. Quanto mais as empresas partilharem informações e experiências com casos de estudo, mais eficazes poderão ser na prevenção de futuros (ciber) ataques.

A colaboração e a troca de informações entre vítimas são elementos essenciais para o sucesso de estratégias de defesa conjunta num mundo cada vez mais digital e interconectado. Com o aumento constante das ameaças cibernéticas, é importante que as organizações troquem dados relevantes sobre incidentes, tendências e táticas de ataque que tem vindo a sentir num objetivo conjunto de estruturar defesas mais eficazes e de maior capacidade de resposta. Contudo, a eficácia desse intercâmbio de informações muitas vezes varia, dependendo da maturidade da cibersegurança e da disposição das partes envolvidas. Empresas e instituições que adotam uma mentalidade colaborativa e participam de grupos de partilha de informações, como ISACs (Information Sharing and Analysis Centers), habitualmente, estão mais bem preparadas para planear defesas conjuntas. Esses fóruns permitem que as organizações aprendam com as experiências de outras e, assim, fortaleçam os seus mecanismos de cibersegurança e ciberresiliência.

Existem barreiras regulatórias ou legais a prejudicar a ciberdefesa?

Por vezes poderão surgir alguns obstáculos legais, regulatórios e culturais, os quais poderão dificultar a troca de informações entre atacados. Questões de privacidade e preocupações com a conformidade podem levar algumas organizações a hesitar em partilhar dados sensíveis. Além disso, a concorrência entre empresas pode criar uma mentalidade de “segurança por obscuridade”, onde as organizações preferem não revelar incidentes para evitar danos à reputação. Para uma defesa conjunta bem-sucedida, é essencial superar essas barreiras, promovendo uma cultura de confiança e incentivando a cooperação por meio de regulamentações e incentivos que equilibrem a proteção de informações sensíveis com a necessidade de segurança cibernética coletiva.

Até que ponto a presença de uma empresa tecnológica na área da segurança pode baixar os prémios e facilitar a aceitação de um seguro?

A presença de uma empresa tecnológica especializada em segurança de informação neste setor pode certamente ter um impacto positivo na obtenção de seguros cibernético mais realistas e na facilidade de aceitação das apólices. Essas empresas poderão assim disponibilizar uma avaliação mais assertiva, precisa, objetiva e personalizada da cibersegurança aos seus clientes, o que poderá levar a prémios mais baixos e políticas de cobertura mais adequadas e ao encontro da expectativa dos demais clientes. No entanto, tal vantagem também dependerá do grau de parceria entre a seguradora e a empresa de segurança de informação, bem como da capacidade dessa mesma empresa, parceira, em demonstrar a sua capacidade de implementar mecanismos de segurança, demonstrar eficácia perante ciberameaças, e por fim, o seu reconhecimento no setor para que possa também dar a credibilidade que as seguradoras procuram junto dos seus clientes.

Como conclui a ideia?

A integração da tecnologia e do conhecimento de cibersegurança na indústria dos seguros tem o potencial de otimizar a cotação, a valorização e a aceitação de seguros, devendo ser sempre gerida com a máxima responsabilidade, de forma a garantir a confiança e a segurança dos próprios clientes segurados.