Post on 10-Jul-2020
Mecanismos de Gestão, Mitigação e Transferência do Risco Porto, 5 de março de 2015
2
Itinerário do Risco
3
Caminho a percorrer…
4
Exposição ao Risco
5
Concetualização do Risco
Online Offline
NATUREZA
GÉNESE
Maliciosa Acidental Interna Externa
FASE I
6
A origem dos principais ataques
60%
17%
10%
7% 6% Externo (60%)
Interno Acidental (17%)
Interno Malicioso (10%)
Desconhecido (7%)
Interno desconhecido (6%)
2014 (datalossdb.org)
7
A externalidade do Risco e a externalização de serviços
72,2%
71,0%
69,3%
63,5%
62,2%
60,8%
60,5%
58,6%
54,5%
50,0%
0,0% 20,0% 40,0% 60,0% 80,0% 100,0%
Irlanda
Itália
Reino Unido
Espanha
Holanda
MÉDIA GLOBAL
Bégica
Alemanha
França
Portugal
Fonte: Ferramenta de Diagnóstico de Risco – Aon 2014
8
72,2%
71,0%
69,3%
63,5%
62,2%
60,8%
60,5%
58,6%
54,5%
50,0%
0,0% 20,0% 40,0% 60,0% 80,0% 100,0%
Irlanda
Itália
Reino Unido
Espanha
Holanda
MÉDIA GLOBAL
Bégica
Alemanha
França
Portugal
Fonte: Ferramenta de Diagnóstico de Risco – Aon 2014
9
Cenários de mitigação do risco da externalização
10
Concetualização do Risco
ALVO
Tecnologia
Multimédia
& P.I.
Dados
protegidos
FASE II
11
Um ataque, vários alvos
Informação confidencial e protegida de
Clientes
Propriedade Intelectual
Informação corporativa de
Clientes
Informação pessoal e
sensível de colaboradores
12
Quem está atento à encriptação de dados?
Irlanda
Reino Unido
Bégica
Alemanha
MÉDIA GLOBAL
Portugal
Espanha
Holanda
Itália
França
0,0% 20,0% 40,0% 60,0% 80,0% 100,0%
61,1%
57,3%
39,5%
37,9%
36,7%
33,3%
32,7%
26,6%
19,4%
18,2%
Fonte: Ferramenta de Diagnóstico de Risco – Aon 2014
13
Concetualização do Risco
Perda
de
clientes
Perda de
propriedade
intelectual
FINANCEIRO
REPUTACIONAL
VANTAGEM
COMPETITIVA
FASE III IMPACTO
Danos a
terceiros e
custos de
defesa
Despesas de
crise
Gastos
de
imagem
Gastos de
notificação e
resposta
Perda de
lucros Sanções
Perda da
confiança
dos
acionistas
14
Panorâmica do Risco
15
Tecnologia Dados
protegidos Multimédia
& P.I.
Online Offline
Maliciosa Acidental Interna Externa
Despesas
de Crise
Gastos de
notificação/
resposta
Gastos de
imagem Perda de
lucros
Danos a
terceiros e
custos de
defesa
Sanções
Perda de
clientes
Perda da
confiança dos
acionistas
Perda de
propriedade
intelectual
GÉNESE
ALVO
NATUREZA
IMPACTO
FINANCEIRO
IMPACTO
REPUTACIONAL
VANTAGEM
COMPETITIVA
As três fa©es do Risco
16
O Risco por Sectores
17
Violações de dados ou falhas de sistemas - 2014
Fonte: Ferramenta de Diagnóstico de Risco – Aon 2014
44,3%
35,7%
32,0%
29,7%
27,7%
24,7%
23,9%
23,7%
22,8%
20,0%
19,0%
14,6%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% 100,0%
Saúde
Online / T.I.
Educação
Serviços Financeiros
MÉDIA GLOBAL
Retalho
Indústria / Construção
Serviços Públicos
Outros
Serviços Profissionais e Jurídicos
Energia
Hospitais
18
19
O impacto financeiro de uma fuga de dados por sector
160
137
294
155
122
141
119
138
100
177
121
227
206
145
105
359
0 50 100 150 200 250 300 350 400
Indústria
Media
Educação
Consumo
Hotelaria
Energia
Investigação
Tecnologia
Sector Público
Comunicações
Transportes
Sector Farmacêutico
Finanças
Serviços
Retalho
Saúde
Gastos de uma quebra de segurança por sector
Amostra: 314, base de estimativa USD
Gasto médio global por registo
$ 145
Gasto médio global por incidente
$ 3,5 milhões (24.138 registos)
Fonte: 2014 Cost of Data Breach Study, Global Analysis; Ponemon
20
Desafios da Gestão e Mitigação do Risco
21
Consegue responder a estas questões?
Qualificação Quantificação Nível de
maturidade do risco
Riscos transferidos
O que pode
correr mal?
Qual é o pior
cenário?
Como estou
protegido?
A minha Apólice
de Seguro
responde?
22
As Apólices tradicionais geralmente não respondem…
23
Análise das lacunas de cobertura existentes
Multirriscos Resp. Civ. Geral Crime Rapto e Extorsão
Resp. Civ. Profissional
Resp. Civ. Riscos Cibernéticos
Danos Próprios (Privacidade & Rede)
Danos físicos ou tangíveis
Danos resultantes de vírus / hacking
Interrupção de rede e de serviço
Perdas de exploração
Extorsão ou ameaça
Sabotagem de trabalhadores
Danos a Terceiros (Privacidade & Rede)
Utilização ou divulgação ilegal de info. privada
Violação de info. confidencial corporativa
Erro humano (tecnologia)
Resp. Multimédia
Despesas de notificação e de resposta
Resp. Civil
Inspeções e procedimentos sancionatórios
Transmissão de vírus ou código malicioso
Cobertura garantida? *Somente para referência e base de discussão. A terminologia das Apólices e os conceitos de "reclamação" deverão ser tidos em conta numa análise posterior mais detalhada.
Cobertura possível?
Sem cobertura?
24
Transferência de Risco
25
Trilogia da Apólice de Seguro: os 3 pilares fundamentais
Responsabilidades
• Danos a Terceiros
• Custos de Defesa
• Inspeções e procedimentos sancionatórios
Danos Próprios
• Perda financeira da própria empresa segurada
Gastos em Serviços
• Despesas de apoio e suporte
• Gastos com peritos
26
Anatomia de uma Apólice de Seguro
Responsabilidades
Danos + Custos de Defesa + Procedimentos sancionatórios
Falhas na
segurança
de redes
Revelação não
autorizada de
informação
Compilação
indevida de
dados
pessoais (*)
(*) Em função do Segurador / negociação
Investigacões
de autoridades
regulatórias
Resp. do
fornecedor
de dados
Infração de
conteúdo
multimédia /
difamação
27
Anatomia de uma Apólice de Seguro
Danos Próprios
Perda financeira do segurado
Perda de
lucros por
interrupção
de rede
Despesas
extra
Perda de
lucros por
falha de
sistemas
Perda
contingente
de
beneficios
(*)
Danos a
ativos
intangíveis
Ameaças a
sistemas e
dados
(extorsão)
(*) Em função do Segurador / negociação
28
Anatomia de uma Apólice de Seguro
Perda de lucros derivada da
interrupção de rede por
quebra de segurança
Despesas extra
Perda de lucros derivada da
falha de sistemas (*)
Perda de benefícios
contingente (*)
Danos a ativos intangíveis
Ameaças a sistemas e dados
(extorsão)
Gastos de gestão de crise /
publicidade
Gastos de assessoria jurídica
Gastos de investigação
forense
Gastos de notificação a
lesados
Gastos de resposta a lesados
(linhas de apoio telefónico,
monitorização de crédito,
controlo de identidade,
seguros de roubo de
identidade)
Gastos em Serviços
Gastos com peritos
Gastos de
gestão de
crise /
publicidade
Gastos de
assessoria
jurídica
Gastos de
investigação
forense
Gastos de
notificação a
lesados
Gastos de
resposta a
lesados
29
30
Processo de subscrição e contratação
Gastos de
investigação
forense
Gastos de
notificação a
lesados
Gastos de
resposta a
lesados
Faturação e sector de atividade são os principais indicadores do Prémio de Seguro;
Realização de um auto-diagnóstico ao nível dos sistemas, segurança e componente
jurídica;
Elaborar uma análise das lacunas existentes nas atuais Apólices;
Limites a contratar: benchmarking, faturação, sector e número de dados / bases de
dados e tipo de dados utilizados;
Questionário de Risco (contratação / formalização).
31
Não se trata mais de responder à questão “vai acontecer?” mas sim “quando vai acontecer?”
32
Obrigada pela vossa atenção e comparência.
Andreia Teixeira
Senior Associate
@Broking & Specialties
t +351 210 001 096
andreia.teixeira@aon.pt
@AonCyber
https://www.aoncyberdiagnostic.com/pt/
www.aon.pt