Por Andreia Pinto Teixeira (*) 

Os riscos cibernéticos estão, inquestionavelmente, na ordem do dia e na lista das principais preocupações das empresas. Estudos recentes mostram, aliás, que este tipo de crime aparece no top 10 dos principais riscos à sustentabilidade dos negócios à escala global e o seu impacto não deve ser ignorado.
Esta temática tem sido objecto de intenso debate, quer ao nível nacional, quer internacional, colocando questões que invocam respostas imediatas e medidas de protecção robustas.
O facto de nos defrontarmos com riscos à escala global, sem fronteiras delimitadas, aumenta o seu grau de complexidade, nomeadamente, em razão das imposições legais e regulamentares vigentes nas várias geografias e, também, pelos ataques que provêm dos locais mais remotos e imprevisíveis do globo.
Com a desmaterialização dos processos e das metodologias internas, o intenso recurso à internet e a dependência informática são variáveis com as quais as empresas não podem deixar de contar.
Com efeito, estas assentam as suas relações com os clientes numa necessária base de confiança, da qual resulta o estrito cumprimento dos deveres de confidencialidade, sigilo e privacidade.
Por conseguinte, as empresas são alvos fáceis em matéria de ataques, atendendo à informação que albergam, como sejam as bases de dados de clientes e os dados corporativos, nomeadamente, em matéria de propriedade intelectual.
Se alguma informação sigilosa se tornar pública, ou for subtraída por um terceiro não autorizado, poderá não só afectar as relações com os clientes, como causar um dano irreparável para a reputação das empresas, acrescido dos prejuízos associados a processos judiciais por acções de indemnização e também acções regulatórias.
Em paralelo, ataques a infra-estruturas críticas das empresas podem resultar numa interrupção do negócio, com graves consequências, como o incumprimento de obrigações contratuais assumidas com clientes e, bem assim, a própria impossibilidade de facturação da empresa, com efeitos directos na linha de continuidade do negócio.
Como medida de prevenção elementar, as empresas devem começar por responder às seguintes questões: (i) onde está o risco? (ii) de que forma pode afectar o negócio? (iii) qual é o plano de resposta e contingência a implementar? (iv) como difundir a cultura de prevenção do risco por toda em empresa?
A abrangência destas questões apela à intervenção de várias áreas da empresa, desde as que detêm os poderes de gestão e administração, aos responsáveis pela segurança dos sistemas de informação, à direcção financeira e, não menos importante, aos trabalhadores.

Em suma, os grandes desafios começam dentro da própria empresa, invocando uma “task force” colectiva que deverá percorrer as suas várias artérias organizacionais.
Analisada a exposição ao risco, seguir-se-á a fase de implementação de medidas de acção e adopção da estratégia de gestão e mitigação de riscos. Chegada a este ponto, a empresa verá o seu risco mitigado mas nunca totalmente eliminado.
Surge, então, a fase de transferência do risco - ainda existente - para um instrumento de salvaguarda que permita à empresa a capacidade financeira, e o apoio necessário, para responder em caso de incidente.
Nesta sede, encontramos, cada vez mais, Apólices de Seguro “feitas à medida” dos riscos cibernéticos das empresas. Estas Apólices apresentam, em traços genéricos, três principais coberturas.
A cobertura para as “responsabilidades da empresa”, que visa responder aos pedidos de indemnização pelos danos causados a terceiros; custos de defesa nas acções judiciais intentadas; e custos resultantes de inspecções e procedimentos sancionatórios.
A cobertura para “danos próprios”, que satisfaz o próprio ressarcimento da empresa, isto é, a perda de lucros da empresa.
A cobertura para “despesas com serviços”, que suportará as despesas em matéria de gestão de crise e comunicação institucional, assessoria jurídica, investigação forense, gastos de notificação, et cetera.
Actualmente assistimos a uma evolução no mercado segurador, que tem vindo a disponibilizar soluções que não se resumem a uma Apólice de Seguro. Consistem num verdadeiro serviço integrado que pretende acompanhar as empresas desde a fase da prevenção (consultoria informática) até à fase do incidente (sinistro).
Em síntese, as protecções de seguro nesta área visam acompanhar a empresa desde o primeiro momento, e não somente quando se verifica um incidente. No caso português, especificamente, é importante que o tecido empresarial reforce as suas competências e implemente algumas medidas de protecção para fazer face à ameaça cibernética.
Ao tratarem de questões relacionadas com segurança das suas empresas, os empresários estão, desde logo, a proteger a sua sustentabilidade e competitividade.

(*) Senior Associate, Aon Portugal

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.