Artigo de Opinião

Publicado no Suplemento de Seguros, do Jornal VidaEconómica, a 15 de Outubro de 2021.

Diretor Geral da DefendeRisk Consultores, Engenheiro Lúcio Pereira da Silva

 

O Seguro de Riscos Cibernéticos

Hoje a cibersegurança já não é só um risco da responsabilidade do departamento de Informática, mas sim de toda a organização. Um ataque cibernético pode afetar toda a organização, paralisando-a e
causando prejuízos de milhões de euros.
Estes prejuízos poderão ser ainda maiores quando prejudicam a sua reputação e a marca da organização, mesmo depois do incidente cibernético estar resolvido. Para gerir o risco cibernético o foco deve estar na informação e não na tecnologia.
É de extrema importância desenvolver e monitorizar todos os indicadores de riscos cibernéticos, de forma a identificar o nível de maturidade e exposição ao risco da organização em matéria de cibersegurança.
De acordo com estudos realizados, dois terços dos incidentes cibernéticos resultam diretamente dos
comportamentos dos colaboradores, e podem advir de dispositivos perdidos ou de colaboradores insatisfeitos. Devem ser avaliadas as atitudes e os comportamentos dos colaboradores para revelar vulnerabilidades, sensibilizar e conceber medidas de ação que possam ajudar a reduzir o risco interno da organização. Deverá ser realizada uma avaliação através de ferramentas para diagnosticar e identificar as fragilidades da organização, assim como as potenciais ameaças cibernéticas, definindo assim o perfil do risco cibernético existente na
organização. Após esta análise terá de ser aplicado um conjunto de soluções para mitigar as exposições ao risco cibernético.
Após mitigação do risco cibernético, este deverá ser cuidadosamente transferido para o segurador.
A contratação deste seguro específico, deve ser uma decisão bem fundamentada e garantir as coberturas que o responsável da organização, seja administrador, gerente ou responsável pelos seguros, que garantam o risco a tramitar para o segurador.
O segurador, além de assumir a responsabilidade do risco, logo após a ocorrência de um incidente cibernético, deve fazer intervir o mais rápido
possível uma equipe multidisciplinar de especialistas para regularizar o sinistro. Se existir uma invasão, o segurador deverá disponibilizar de imediato
especialistas informáticos, consultores jurídicos e gestores de crise. Ou seja, com este seguro, as empresas têm à disposição uma ampla oferta de serviços que elas não teriam senão tivessem contratualizado um seguro contra ataques cibernéticos.
Estes seguros garantem coberturas desde a responsabilidade consequente da quebra de segurança e privacidade, até as reclamações de terceiros relacionadas com a falha de proteção de dados. A cobertura de gestão do incidente deve garantir os custos com todos os serviços que sejam necessários na deteção e contenção do ataque. Gestão e aconselhamento jurídico na resposta às necessidades imediatas. Informação a todos os lesados identificados e órgãos reguladores, de acordo com a legislação em vigor. Assessoria na gestão da comunicação externa do incidente, nas relações públicas com enfoque na reputação da organização. Na garantia de perdas de exploração resultantes de um ataque cibernético deve ser considerado o capital que a organização segurada pretender, e este deve ser aceite pelo segurador. Além de que é possível garantir também os custos com a mitigação das perdas dos resultados financeiros expetáveis.
Quanto às reclamações de terceiros, é também possível garantir o pagamento de indemnizações reclamadas assim como o pagamento dos custos da defesa necessária conforme as reclamações existentes.
A cobertura de pagamento de resgaste na sequência do incidente pode também ser garantida na apólice, além dos custos da investigação para localizar a sua origem.
Os custos com especialistas para a gestão e resolução do evento cibernético também pode ser garantido na apólice.
De acordo com o relatório Global Risks Report 2021, a cybersecurity failure encontra-se na quarta posição, devendo ser preocupação de todos os responsáveis pelas organizações sejam públicas ou privadas.
O número de incidentes reportados pelas organizações espelha a real situação nesta matéria, ou seja, é necessário melhorar a proteção e resistência
assim como a resposta a um incidente cibernético, incluindo cenários de ataques cibernéticos nos procedimentos e protocolos da organização em matéria de gestão dos riscos e continuidade do negócio.
A contratualização de uma apólice que garanta um conjunto de coberturas contra um ataque cibernético, é de extrema importância além da gestão dos riscos em qualquer organização, seja qual for a sua dimensão ou sector de atividade.