PwC: “Há casos em que aceitar o risco é mais racional do que investir milhões para evitar algo com probabilidade mínima”

Durante a apresentação de Marcelo Rodrigues, Cybersecurity Lead Partner da PwC, com o tema “Cyber Risk: Aplicação prática no contexto da NIS2”, o orador destacou a necessidade de alinhar os modelos de risco com exigências legais e operacionais. “Vamos abordar aqui a parte de ciberfísicos, muito ligado ao contexto de NIS2”, referiu, introduzindo a temática com foco na aplicação de ameaças e identificação de ativos.

Apesar do investimento em ferramentas de mitigação, a implementação prática nem sempre é bem-sucedida. “Fazemos os modelos, implementamos, mas depois morre. Morre o quê? A gestão do risco residual”, referiu, destacando a necessidade de acompanhamento contínuo. O orador também reforçou que “muitos riscos são ignorados até se tornarem críticos, e os dados estatísticos devem fundamentar a tomada de decisão”.

Governança e resistência à mudança das organizações

A resistência das administrações ao investimento em cibersegurança foi um ponto sensível. “Só 2% dos executivos implementaram ações de cibersegurança em toda a organização”, denunciou, considerando o número “chocante”. A dificuldade em justificar o custo perante os decisores é constante: “Estamos sempre a tentar convencer a administração”, acrescentou, lembrando que a responsabilidade poderá cair diretamente sobre os gestores.

Cloud, Shadow IT e a urgência da visibilidade

Entre os riscos emergente, Marcelo Rodrigues destacou a cloud e o fenómeno do Shadow IT, em que colaboradores contratam serviços fora do controlo da organização. “Temos de saber quem usa, porquê, e que dados estão a ser colocados na cloud”, alertou, frisando a importância de due diligence. Outro desafio é a transposição da NIS2, ainda em definição, o que exige preparação antecipada por parte das organizações.

Métodos de tratamento de risco

A análise de risco foi explicada em termos práticos, incluindo as formas de resposta: mitigar, transferir, aceitar ou evitar. “Nós trabalhamos muito sobre o mitigar”, revelou, acrescentando que por vezes a aceitação do risco é uma decisão estratégica.

Durante a sessão, foram apresentados diversos métodos de tratamento do risco: mitigação, aceitação, transferência e evitação. “Há casos em que aceitar o risco é mais racional do que investir milhões para evitar algo com probabilidade mínima”, afirmou. Também se destacou a possibilidade de transferir risco, não apenas por via de seguros, mas através de managed services.

Nos exercícios práticos, os participantes analisaram cenários reais como inundações que afetam operações empresariais. Entre as medidas propostas estiveram a mitigação com sacos de areia e armazéns fora da cidade, a aceitação do risco em casos de baixo impacto, e a transferência do mesmo através de seguros. Uma das situações destacadas foi a continuidade de um negócio graças a uma preparação aparentemente simples: “Foram os únicos que conseguiram continuar graças aos sacos de areia colocados previamente”.

Decisões estratégicas e risco residual

Outros exemplos envolveram sites legacy de e-commerce, em que se optou por descontinuar plataformas obsoletas como forma de evitar riscos de segurança. “Sabíamos que íamos perder alguns clientes, mas o risco era maior do que o benefício”. Também se discutiu o impacto de decisões aparentemente pequenas, como aceitar certos tipos de encriptação para browsers antigos, o que pode abrir portas a ataques se os mesmos forem reutilizados noutras plataformas.

No encerramento, foi incentivada a reflexão sobre o risco residual e o nível de risco aceitável para cada empresa. “Não interessa o que acontece antes dos controlos, mas sim o que acontece depois. O risco residual tem de ser avaliado com base na realidade da empresa”, concluiu.