A comunidade de investidores e os líderes empresariais estão muito conscientes de que a ameaça de ciberataques a empresas é cada vez maior. Nos primeiros nove meses de 2022, as empresas sofreram aproximadamente 50% mais ciberataques em comparação com o mesmo período de 2021, segundo dados do principal fornecedor de soluções de cibersegurança, a CheckPoint. Os riscos de cibersegurança tornaram-se, por isso, na principal preocupação de empresas de todo o mundo. De facto, em 2022, 44% das empresas inquiridas no Allianz Risk Barometer destacava os incidentes de cibersegurança como a sua principal preocupação.
Além de cada vez mais frequentes, os ciberataques estão a tornar-se cada vez mais caros para as empresas. Segundo o relatório Cost of a Data Breach do IBM, em 2022, o custo médio de uma falha de segurança dos dados aumentou 3% interanual, até atingir o recorde histórico de 4,35 milhões de dólares, o que representa um aumento de 13% desde 2020. O aumento dos custos das falhas de segurança é explicado pela maior despesa em notificações, ações de resposta à violação de segurança, deteção e agravamento. Por esse motivo, na hora de analisar empresas, é necessário ter esse risco muito em conta.
À esquerda, o custo médio de uma violação de segurança dos dados. À direita, o custo de uma violação de segurança dos dados por setor.
Realizar o exercício de análise
Tal como explica Sam Thomas, analista de investimento sustentável na Schroders, a avaliação do desempenho em cibersegurança é um exercício complicado de realizar externamente. “Entender verdadeiramente que medidas técnicas de proteção estão a ser implementadas, em que medida os processos e os empregados estão equipados para gerir uma falha de cibersegurança e se o alcance real dos planos de resposta a este tipo de incidentes, continuará a ser a melhor forma de avaliar estas práticas de cibersegurança”, afirma. A gestora criou um sistema de pontuação de cibersegurança próprio para medir a preparação das empresas relativamente a este risco.
Em que consiste? Tomando como base diferentes indicadores de cibersegurança de 6.300 empresas de todo o mundo, o sistema desenhado pela empresa britânica oferece uma forma objetiva de obter uma ideia rápida da força das práticas de cibersegurança de uma empresa. “Através do quadro de avaliação é possível avaliar as empresas relativamente ao resto do seu setor, região ou dimensão. Podemos utilizá-lo como um indicador inicial do que pode ser o desempenho das empresas em matéria de cibersegurança, o que pode servir como ponto de partida para uma análise mais pormenorizada”, indica o especialista.
O quadro de avaliação
Este quadro de avaliação é composto por 19 indicadores e avalia a cibersegurança corporativa em três âmbitos:
- Exposição à cibersegurança. “Determina em que medida pode uma empresa estar exposta a ciberameaças em função da sua atividade na internet, atividades comerciais e regiões onde opera”.
- Gestão da cibersegurança. “Mede a solidez das práticas de cibersegurança de uma empresa, incluindo a supervisão da direção, as políticas da empresa e as práticas de formação e auditoria”.
- Tendência dos riscos de cibersegurança. “Mede a trajetória recente de determinados indicadores de vulnerabilidade da cibersegurança para determinar se o seu nível de ameaça piora, melhora ou se mantém estável”.
As empresas podem conseguir uma pontuação máxima de 80, o que representaria a melhor pontuação em exposição, umas práticas de gestão de cibersegurança extremamente sólidas e uma tendência de melhoria dos seus indicadores de vulnerabilidade de cibersegurança. Do outro lado da balança, a pontuação mínima de cibersegurança que uma empresa pode obter é -35.
Pontuações regionais de cibersegurança
Pontuações globais de cibersegurança por setor
Casos práticos
Através dos dados de ciberataques em todo o mundo registados sistematicamente pela KonBriefing Research, a Schroders analisou uma seleção das mais recentes falhas de cibersegurança que ocorreram em empresas cotadas de todo o mundo. O seguinte gráfico apresenta estudos de casos práticos de alguns dos exemplos mais recentes.
“Ao analisar o comportamento destas empresas, observamos três pontos interessantes que gostaríamos de partilhar com os investidores. Em primeiro lugar, todas elas tinham uma pontuação de cibersegurança inferior à média do seu setor. Em segundo, a maioria obteve uma pontuação de cibersegurança inferior à da média da sua região. E, por fim, a maioria destas empresas tinham uma pontuação da tendência em cibersegurança negativa”, conclui Sam Thomas.
