Elaborado pela Marsh e pela Microsoft Corp. junto de mais de 1.300 executivos de todo o mundo, dos quais 60 em Portugal, o estudo conclui que dois terços apontaram a cibersegurança como uma das cinco prioridades de gestão de riscos das suas organizações, o dobro face aos resultados do inquérito de 2016.

Contudo," apenas 19% dos inquiridos admitiram sentir-se altamente confiantes quanto à capacidade da sua organização conseguir mitigar e responder a um incidente cibernético" e "apenas 30% afirmam já ter um plano desenvolvido para responder a ataques cibernéticos".

Segundo as conclusões do estudo, "75% dos inquiridos identificaram a interrupção do negócio como o cenário de perda cibernética com maior potencial para impactar a sua organização", contra 55% que citaram a violação de informações de clientes, que "historicamente tem sido o foco" das preocupações das organizações.

Em Portugal, 81% dos inquiridos indicaram a interrupção do negócio como o principal cenário de perda cibernética, seguida pelos 54% atribuídos a danos a 'software' ou de dados, 51% a danos reputacionais e 49% a violação de informação de clientes.

"O risco cibernético é uma prioridade de gestão crescente, à medida que aumenta o uso da tecnologia no negócio e o ambiente de ameaça se torna mais complexo. Este é o momento de as organizações adotarem uma abordagem mais abrangente para a sua resiliência cibernética, que envolva toda a equipa executiva e englobe a prevenção, resposta, mitigação e transferência dos riscos", afirma o especialista em risco cibernético da Marsh Portugal, Carlos Figueiredo, citado em comunicado.

Apesar de a quantificação do risco ser considerada "um passo importante" no combate ao risco cibernético, menos de 50% dos inquiridos no estudo disseram que sua organização estima as perdas financeiras de um potencial incidente cibernético e, entre as que o fazem, apenas 11% efetuam as suas estimativas em termos económicos.

Em Portugal, 71% das organizações que responderam não estimaram o impacto financeiro de um incidente cibernético.

Para os autores do relatório, estes cálculos são, contudo, "um passo fundamental para ajudar as direções e outros departamentos a desenvolverem planos estratégicos e decisões de investimento, nomeadamente a subscrição de um seguro de 'cyber'".

Do trabalho resultou ainda que a responsabilidade da gestão dos riscos cibernéticos "continua a assentar, primordialmente, no departamento de IT [tecnologias da informação/informática)", registando-se um "envolvimento inconsistente" por parte de outros elementos da organização.

Entre os inquiridos, 70% "consideram o IT como o principal interveniente e o responsável pelas decisões sobre a gestão do risco cibernético, comparativamente com os 37% que mencionam que esta responsabilidade cabe ao presidente/CEO [presidente executivo] ou ao Conselho de Administração e os 32% que mencionam estar a cargo do gestor de riscos", referem os autores do estudo.

Para o vice-presidente e consultor-geral adjunto da Microsoft, Matt Penarczyk, "embora a tecnologia seja a base de qualquer boa estratégia de cibersegurança, as empresas podem beneficiar do investimento em soluções não tecnológicas, como a gestão de riscos, como parte de uma abordagem holística".