“Há muitas PME que registam perdas enormes”. Empresas portuguesas mais conscientes do risco cibernético

Em Portugal, nos últimos dois anos, as organizações aumentaram a sua preocupação em relação ao risco cibernético, sendo que 85% classifi­caram-no entre o Top 5 de preocupações, mais 26% do que em 2017. 33% dos respondentes classi­ficaram o risco cibernético como a preocupação número 1, mais 22% do que em 2017. Já o número de organizações que medem a sua exposição ao risco cibernético, com métodos quantitativos, subiu de 5% em 2017 para 19% em 2019. esta é uma das conclusões do “Estudo 2019 Marsh Microsoft Global Cyber Risk Perception Survey”, realizado pela Marsh e a Microsoft Corp, divulgado esta quarta-feira.

De acordo com o survey deste ano, aproximadamente 80% das organizações colocam o risco cibernético entre as suas cinco maiores preocupações, comparado com 62% em 2017. No entanto, apenas 11% expressaram um nível elevado de confiança nas suas capacidades para gerir ameaças cibernéticas, prevenir e responder eficazmente a ataques cibernéticos. Um valor inferior aos 19% registados em 2017.

Em entrevista ao Jornal Económico, Carlos Figueiredo, Senior Manager de Specialties & Especialista em Risco Cibernético da Marsh Portugal, explica quais são as principais barreiras a ultrapassar por parte das empresas portuguesas para diminuir o risco cibernético.

Apesar da preocupação com o risco cibernético assumir cada vez mais importância e continuar a crescer, as percentagens revelam que há ainda muito por fazer. Quais as principais barreiras por ultrapassar por parte das empresas portuguesas?

Eu penso que o primeiro passo prende-se naturalmente com a awareness, e os dados do estudo mostram que esta já chegou. As empresas percecionam o risco cibernético, isto é, sabem que podem ter um impacto devastador na sua atividade e reconhecem que podem fazer mais pela sua prevenção. Veja por exemplo que 45% das empresas portuguesas refere a formação de colaboradores como um investimento de curto prazo em cibersegurança: isto é fundamental, pois significa que as entidades percecionam o risco cyber também como um risco humano (isto é, de comportamentos) e não só como um risco tecnológico. Nesse sentido estamos no caminho certo. Acredito que a muitas empresas falta ainda esta awareness, mas é certo que melhorámos imenso, até porque cada vez mais empresas sofrem perdas diárias, recorrentes até, em virtude de ataques cibernéticos (desde pedidos de extorsão e phishing mas também a acidentes com dados).  Ultrapassada essa primeira fase de perceção das ameaças chega o momento de agir e é aqui que se verifica alguma latência. Os custos são evidentemente um entrave para a vida financeira das empresas portuguesas, mas julgo que só até ao momento em que realmente percebem o que está em jogo.

Colocar em prática uma “verdadeira cultura de prevenção” é sinónimo de um grande investimento financeiro?

É um investimento significativo, mas é sobretudo uma mudança de cultura empresarial. Significa pensar e antecipar a possibilidade de ocorrência de eventos que podem pôr em causa o futuro das empresas.

Dou-lhe um exemplo: ninguém pensa em construir uma unidade industrial e não aplicar todas as medidas, não só as obrigatórias, para evitar que ocorra um incêndio e, ocorrendo, minimizar os seus danos. O racional é exatamente o mesmo para o risco cibernético: as empresas dependem hoje tanto das suas plataformas comunicacionais, sistemas e bases de dados como dos expedientes industriais – aliás a grande revolução é precisamente a integração OT (Operational Technologies) e IT (Information Technologies). Portanto, diria que numa cultura de prevenção de risco cibernético é crucial a “antecipação”. Antecipar eventos potencialmente nocivos e encontrar ferramentas de gestão e mitigação desses eventos – investimento em cibersegurança claro está, mas também em processos humanos e de negócio que permitam reduzir o impacto e a probabilidade da sua ocorrência.

Particularmente no caso das PME, maioria entre o tecido empresarial português, o que as separa da prevenção destes riscos?

Repare que há hoje muitas PMEs que registam perdas enormes. Cruzamo-nos diariamente com casos de intromissão no email corporativo e alteração de coordenadas de pagamentos a clientes e fornecedores em empresas relativamente pequenas. Para essas já não se trata de prevenir algo que poderá acontecer como se de um filme de ficção científica se tratasse, mas sim de evitar que um evento potencialmente catastrófico se repita. Diferentemente, quando o empresário não tem em conta a criticidade destes riscos, não perceciona que descurar estas questões lhe pode custar o lucro do ano.  Ao nível das empresas de pequena e média dimensão o foco é naturalmente nos problemas do dia-a-dia do negócio, levando a que estas questões pareçam muito longínquas. Ainda assim, hoje denota-se que há uma maior sofisticação na gestão das PMEs e que estas estão bastante mais abertas à reflexão e ao tratamento destes temas.