COMO O PODEMOS AJUDAR?

CONTACTO

CONTACTO

Quantificação do risco cibernético com base em dados. Parte 1.

Um guia estratégico para CISOs

Introdução

No mundo atual, cada vez mais interligado e digital, as organizações enfrentam uma ameaça crescente de ciberataques. Esses ataques podem causar perdas financeiras significativas, danos à reputação e até mesmo a interrupção de operações empresariais críticas. Para mitigar esses riscos, é fundamental que as organizações quantifiquem os riscos cibernéticos aos quais estão expostas e desenvolvam um programa estratégico abrangente de cibersegurança.

Quantificar o risco cibernético implica avaliar a probabilidade e o impacto potencial de várias ameaças e vulnerabilidades específicas da organização. Ao compreender os riscos potenciais, as organizações podem tomar decisões informadas sobre a alocação de recursos e o orçamento de suas iniciativas de defesa cibernética.

Para um CISO recém-contratado, isso pode, por vezes, levantar um problema do tipo “o que veio primeiro, a galinha ou o ovo”. Se seguirem a abordagem metodológica e madura de gestão e quantificação do risco cibernético, antes de estabelecer as etapas iniciais para orçamentar um programa estratégico de cibersegurança, devem primeiro avaliar a postura de segurança existente da organização e identificar vulnerabilidades potenciais. Essa avaliação deve incluir a análise da infraestrutura de rede, os mecanismos de proteção de dados, a conscientização e formação dos funcionários, as capacidades de resposta a incidentes e a conformidade com as regulamentações aplicáveis.

Agora, esqueçamos por um momento a situação ideal: o CISO precisa de apoio — dinheiro, recursos e tempo — antes mesmo de poder começar a fazer qualquer uma dessas coisas. Como pode conseguir o apoio do conselho de administração?

Uma forma de conseguir o seu apoio (valha o trocadilho) é mostrar-lhes os níveis atuais de risco em organizações comparáveis, seja por setor de mercado ou por região geográfica.

Com esse objetivo, criámos este guia para os CISOs que procuram: primeiro, orçamentar o investimento necessário num programa estratégico de cibersegurança; segundo, recolher dados de organizações comparáveis para estabelecer pontos de referência sobre os requisitos de cibersegurança; e, finalmente, dar os primeiros passos para abordar os principais riscos que a organização enfrenta, enquanto o programa ainda não foi totalmente implementado.

1. A importância estratégica do risco cibernético

Nos últimos 25 anos, o mundo testemunhou uma transformação notável impulsionada pelos avanços tecnológicos, pelas tecnologias de comunicação e pelo alcance global da informação. Infelizmente, a chegada de um mundo globalmente interligado trouxe consigo toda uma nova família de riscos para as organizações: o risco cibernético. Com cada novo avanço tecnológico, o panorama da cibersegurança continua a mudar, com os atacantes a encontrarem constantemente novas formas de violar os controlos de segurança das organizações e roubar dados valiosos. As empresas devem priorizar a forma como se defendem.

Mas quanto se deve priorizar? Para a maioria de nós, até mesmo o termo “cibernético” não significava nada no ano 2000, evocando vagas referências ao filme “Hackers”, com Angelina Jolie, no final dos anos 90. No início dos anos 2000, a Internet estava a tornar-se uma força omnipresente nas nossas vidas, mas os riscos e vulnerabilidades potenciais não eram totalmente compreendidos. Os cibercriminosos começaram a explorar essas fraquezas, lançando ataques que roubavam informações de organizações, interrompiam infraestruturas críticas e minavam a confiança nos sistemas digitais. Vírus, worms e malware proliferaram, causando estragos tanto em indivíduos como em organizações.

Progressivamente, à medida que a frequência e a gravidade dos ciberataques aumentavam, o mesmo acontecia com a resposta. Governos, empresas e indivíduos reconheceram a necessidade de reforçar as suas defesas. Ao longo dos anos, assistimos a avanços nas práticas e tecnologias de cibersegurança. Os governos criaram agências dedicadas à cibersegurança, desenvolvendo estratégias abrangentes para proteger as infraestruturas críticas nacionais. Surgiram colaborações internacionais para partilhar informações sobre ameaças e promover a cooperação contra o cibercrime.

Paralelamente, o setor privado investiu fortemente em investigação e desenvolvimento, dando origem a soluções inovadoras de cibersegurança. A aprendizagem automática e a inteligência artificial começaram a ser utilizadas para detetar e responder a ameaças em tempo real. As tecnologias de encriptação tornaram-se mais robustas, protegendo os dados contra acessos não autorizados. As empresas implementaram protocolos de segurança rigorosos e programas de sensibilização para os funcionários, reconhecendo que o erro humano pode ser uma vulnerabilidade significativa.

Além disso, o panorama de ameaças em evolução exigiu uma abordagem mais proativa. Em vez de depender apenas de medidas reativas, as organizações começaram a adotar estratégias proativas, como caça a ameaças e testes de penetração. O conceito de “defesa em profundidade” tornou-se predominante, enfatizando múltiplas camadas de proteção para mitigar os riscos de forma abrangente. Planos de resposta e recuperação de incidentes foram desenvolvidos para minimizar o impacto dos ataques e permitir uma recuperação rápida.

1.1 O ciberespaço como fonte de risco empresarial

O Allianz Risk Barometer é um relatório anual publicado pela Allianz, a empresa de seguros e gestão de ativos. Ele fornece informações sobre os principais riscos e preocupações enfrentados pelas empresas em todo o mundo, com base em uma pesquisa realizada com especialistas em riscos, incluindo gestores de riscos, subscritores, corretores e profissionais de seguros, em diversos setores e regiões. O inquérito tem como objetivo identificar e classificar os riscos mais significativos que as empresas antecipam enfrentar no próximo ano. É publicado há mais de 12 anos, com a primeira versão lançada em 2012.

A compilação e análise destas estatísticas globais ao longo da última década permitem-nos acompanhar como o risco cibernético se tornou a maior fonte de risco para as organizações a nível mundial. Além disso, como veremos, também pode estar associado a tendências no uso da Internet, penetração móvel, gastos em investigação e desenvolvimento, prevalência de doenças, taxas de alfabetização e acesso à educação. Estas estatísticas podem ser o primeiro passo na nossa jornada como CISO: tomar decisões baseadas em evidências e identificar áreas onde intervenções específicas podem gerar mudanças positivas.

Agora, vamos examinar os dados: até 2014, o cibercrime como fonte de risco era considerado uma preocupação menor. Na verdade, ele apareceu abruptamente no ranking ao ser nomeado um “risco oculto emergente” no relatório da Allianz, saltando da 15ª para a 8ª posição.

Fonte: IBM & Ponemon Institute, análise Apeiroo, dados de 2025 Os números representam o custo em milhões de dólares americanos (USD) de uma violação de dados cibernéticos. Barómetro de Risco Allianz, análise A&M Os números representam a classificação dos riscos cibernéticos como fonte de riscos selecionados, em percentagem dos inquiridos anuais.

Figura 1: Figura 1: Evolução do Ranking de Risco Cibernético (2012-2023).

Desde então, os incidentes cibernéticos têm aumentado constantemente a cada ano, até se tornarem finalmente a principal causa de risco a nível mundial. Além disso, em comparação, nem mesmo a COVID-19 no auge da pandemia, nem a crise energética resultante da guerra entre a Ucrânia e a Rússia, chamaram tanta atenção como fonte potencial de interrupção operacional.

Fonte: IBM & Ponemon Institute, análise Apeiroo, dados de 2025 Os números representam o custo em milhões de dólares americanos (USD) de uma violação de dados cibernéticos. Barómetro de Risco Allianz, análise A&M Os números representam a classificação dos riscos cibernéticos como fonte de riscos selecionados, em percentagem dos inquiridos anuais.

Também é importante notar que o cibercrime partilha o primeiro lugar global nestas estatísticas juntamente com a Interrupção do Negócio, o que não é mutuamente exclusivo: um evento cibernético como um ataque de Negação de Serviço, encriptação por ransomware ou outras formas de extorsão digital pode levar uma empresa a interromper as suas operações.

Os incidentes cibernéticos lideraram pela primeira vez o barómetro de riscos em 2020, e novamente em 2022 e 2023. O principal impulsionador tem sido o aumento de ataques de ransomware maiores e mais sofisticados. Isso inclui tendências preocupantes, como as táticas de “dupla extorsão”, que combinam a criptografia de sistemas com o vazamento de dados, bem como vários casos de exploração em massa em escala global de vulnerabilidades em software de terceiros que podem afetar milhares de empresas (por exemplo, Log4J, Kaseya) ou mesmo infraestruturas físicas críticas (como o Colonial Pipeline nos Estados Unidos).

 

Qual é a principal conclusão para orientar a nossa conversa inicial sobre a gestão desses riscos? Primeiro: a cibersegurança é a preocupação que mais cresce para todas as empresas em todo o mundo; ela veio para ficar e continuará sendo um tema central no futuro previsível.

1.2 As finanças do risco cibernético

Agora temos um motor estratégico que possivelmente chamará a atenção do Conselho de Administração. É hora do CISO introduzir números na conversa: de uma perspectiva puramente financeira, qual seria o impacto da materialização de um risco cibernético na nossa organização?

Tentaremos responder a essa pergunta com mais detalhes adiante, mas, para simplificar, vamos começar com uma estimativa inicial: quanto custaria um único incidente ou violação cibernética? E, novamente, vamos usar dados coletados e publicados para oferecer uma resposta. Durante a última década, a IBM e o Ponemon Institute colaboraram anualmente na publicação de um relatório sobre incidentes de cibersegurança chamado “Cost of Data Breach Report” (Relatório sobre o custo da violação de dados). Este relatório analisa violações de dados reais sofridas por organizações de diversos setores, examinando as causas, os custos e as consequências dessas violações, com o objetivo de fornecer às organizações uma compreensão abrangente dos riscos potenciais e das implicações financeiras que podem enfrentar em caso de uma violação.

Um dos aspetos mais destacados do relatório é o cálculo do custo médio de uma violação de dados. Isso inclui custos diretos, como resposta ao incidente, notificações e despesas legais, bem como custos indiretos relacionados com danos à reputação, perda de clientes e diminuição de oportunidades de negócios. O relatório também detalha esses custos por região, setor e tamanho da organização afetada.

Figura 3. Evolução do custo de uma violação de dados - Milhões de dólares americanos. Fonte: IBM & Ponemon Institute, análise Apeiroo, dados de 2025 Os números representam o custo em milhões de dólares americanos (USD) de uma violação de dados cibernéticos. IBM e Ponemon Institute, análise Apeiroo Os números representam o custo em milhões de dólares americanos de uma violação de dados informáticos.

Podemos traçar um paralelo com as estatísticas anteriores: à medida que aumenta o impacto financeiro decorrente da materialização dos riscos cibernéticos, também cresce a perceção e a preocupação das organizações em lidar com eles.

Isso, nas mãos de um CISO, nos fornece um argumento simples, mas sólido, para apresentar: quem não gostaria de evitar US$ 4 milhões em custos para a nossa organização?

 

Também podemos aprofundar os dados por região geográfica: como era de se esperar, as organizações nos Estados Unidos enfrentam os maiores custos ao sofrer violações cibernéticas, mais do que o dobro da média global de 4,35 milhões de dólares em 2022.

Fonte: IBM & Ponemon Institute, análise Apeiroo, dados de 2025 Os números representam o custo em milhões de dólares americanos (USD) de uma violação de dados cibernéticos. IBM e Ponemon Institute, análise Apeiroo, 2025 dados Os números representam o custo em milhões de dólares americanos de uma violação de dados cibernéticos.

 

À primeira vista, é evidente que os custos estão a aumentar constantemente. Uma pequena organização pode não ser capaz de sobreviver aos custos decorrentes de uma violação cibernética e, de facto, alguns estudos refletem isso claramente. Por exemplo, um estudo da Cybereason revelou que, em 2022, uns alarmantes 33% das empresas afetadas por ransomware foram obrigadas a suspender temporariamente a sua atividade enquanto estavam a ser atacadas.

2) Seguro cibernético e preparação para resposta a incidentes

2.1 A evolução do seguro cibernético

O seguro de responsabilidade cibernética, também conhecido como seguro cibernético, é um tipo de seguro que oferece cobertura contra perdas e danos resultantes de ataques cibernéticos, violações de dados e outros tipos de incidentes cibernéticos.

 

Em 2015, a Allianz publicou o primeiro relatório global sobre ciberseguros, no qual afirmava: «Estima-se que o mercado de seguros cibernéticos tenha atualmente um valor aproximado de 2 mil milhões de dólares em prémios a nível mundial, com os negócios nos Estados Unidos a representarem aproximadamente 90%. Acredita-se que menos de 10% das empresas adquiram seguros cibernéticos atualmente. No entanto, espera-se que o mercado de seguros cibernéticos cresça a taxas de dois dígitos ano após ano e possa atingir US$ 20 bilhões ou mais nos próximos 10 anos."

 

Essa previsão revelou-se notavelmente precisa. O mercado global de seguros cibernéticos tem experimentado um crescimento exponencial, impulsionado pelo aumento na frequência e sofisticação dos ciberataques, maiores exigências regulatórias em torno da proteção de dados e uma crescente conscientização entre conselhos de administração e executivos sobre o risco cibernético como uma ameaça empresarial material. Em 2023, o mercado havia efetivamente ultrapassado os 20 mil milhões de dólares, com projeções que sugerem que poderá atingir entre 40 e 50 mil milhões de dólares até 2030.

 

Este crescimento reflete uma mudança fundamental na forma como as organizações percebem o risco cibernético: de um problema de TI para um risco estratégico empresarial que requer cobertura financeira. A pandemia da COVID-19 acelerou esta tendência, uma vez que a rápida transformação digital expôs novas vulnerabilidades e o trabalho remoto ampliou drasticamente a superfície de ataque.

2.2 O que cobre o seguro cibernético?

O seguro de responsabilidade cibernética geralmente cobre o seguinte:

  • Violação de dados: Cobertura dos custos associados à resposta e gestão de uma violação de dados, incluindo despesas com notificação, serviços de monitorização de crédito, relações públicas e honorários legais.
  • Interrupção dos negócios Cobertura de perdas decorrentes do tempo de inatividade causado por um incidente cibernético, incluindo receitas perdidas e despesas adicionais.
  • Ataques de ransomware: Cobertura dos custos de resposta a um ataque de ransomware, incluindo o pagamento de resgates (quando legal), recuperação de dados e perdas por interrupção dos negócios.
  • Responsabilidade civil: cobertura contra reclamações de terceiros decorrentes de um incidente cibernético, como reclamações de clientes ou sanções regulatórias.
  • Cibercrime: Cobertura de perdas resultantes de crimes cibernéticos, como fraude online ou roubo de fundos eletrónicos.

2.3 O panorama em mudança: o seguro não é uma solução milagrosa

Embora o seguro cibernético seja um elemento fundamental para garantir que uma empresa possa se recuperar de um ataque cibernético, hoje as organizações enfrentam um ambiente completamente diferente. Como destacou um artigo do Financial Times intitulado "Risk managers warn cyber insurance could become 'unviable product'" (Gerentes de risco alertam que o seguro cibernético pode se tornar um "produto inviável"), o setor enfrenta desafios sem precedentes.

As seguradoras tornaram os seus requisitos de subscrição significativamente mais rigorosos. Agora, as organizações são obrigadas a demonstrar a sua capacidade de se defender contra ataques de ransomware por meio de uma ampla gama de controles de segurança. Por exemplo, as seguradoras exigem medidas específicas, como autenticação multifatorial (MFA), para evitar a propagação de incidentes de ransomware. Outros requisitos comuns incluem soluções de deteção e resposta em terminais (EDR), políticas regulares de aplicação de patches, gestão de acessos privilegiados e planos de resposta a incidentes testados.

A conclusão principal para os CISOs: o seguro cibernético não deve ser apresentado ao conselho como uma “solução milagrosa” para lidar com o risco cibernético. Em vez disso, deve ser posicionado como um componente dentro de uma estratégia abrangente de gestão de riscos: um primeiro passo no caminho que fornece proteção financeira enquanto a organização desenvolve a maturidade do seu programa de segurança. O próprio processo de solicitação do seguro pode servir como um exercício valioso de " ", obrigando as organizações a avaliar sua postura de segurança em relação aos controles padrão do setor.

Retainers de resposta a incidentes: um investimento crítico

  • Um contrato de retenção de resposta a incidentes fornece às organizações uma forma estruturada de experiência e suporte por meio de um parceiro de segurança, permitindo-lhes responder de forma rápida e eficaz em caso de um incidente cibernético. Contar com um contrato de retenção de resposta a incidentes permite beneficiar-se de um suporte proativo para proteger as operações, a reputação e os resultados financeiros da organização.
  • A resposta e notificação oportunas a incidentes cibernéticos são exigidas por muitas leis de privacidade e proteção ao consumidor, incluindo o RGPD (requisito de notificação em 72 horas) e várias leis estaduais de notificação de violações nos Estados Unidos. Ter um contrato de prestação de serviços em vigor reduz as dificuldades em identificar suporte especializado no caso de um incidente importante que afete simultaneamente muitas organizações — quando a procura por serviços de resposta a incidentes atinge o seu pico e a disponibilidade se torna limitada.
  • Os principais benefícios incluem: tempos de resposta garantidos (normalmente de 2 a 4 horas), tarifas pré-acordadas, protocolos de comunicação estabelecidos, familiaridade com o seu ambiente (através de avaliações periódicas) e acesso a experiência especializada, incluindo análise forense, consultoria jurídica e comunicações de crise.

Para quantificar eficazmente o risco cibernético, as organizações costumam empregar metodologias e estruturas como modelos de avaliação de riscos, análise de inteligência de ameaças, varredura de vulnerabilidades e testes de penetração. Esses métodos ajudam a identificar e priorizar os riscos mais significativos e a orientar o desenvolvimento de uma estratégia sólida de defesa cibernética.

Ao quantificar o risco cibernético, as organizações podem compreender melhor as possíveis consequências das ameaças e tomar decisões informadas sobre a alocação de recursos. Essa compreensão permite que elas priorizem investimentos em medidas de cibersegurança e estabeleçam um orçamento bem definido para seu programa estratégico de cibersegurança. Além disso, a quantificação do risco cibernético ajuda as organizações a demonstrar o valor de suas iniciativas de segurança cibernética às partes interessadas, justificar solicitações de financiamento e alinhar os esforços de segurança com os objetivos do negócio.

O caminho a seguir para todo CISO começa com dados. Munido das estruturas, fórmulas e referências apresentadas neste guia, você está pronto para transformar a cibersegurança de um centro de custos em um facilitador estratégico — que protege a organização e, ao mesmo tempo, demonstra um claro valor comercial para o seu Conselho e as partes interessadas.

Referências

    1. Allianz Risk Barometer (2012-2024). Pesquisa Anual de Risco Empresarial Global. Allianz Global Corporate & Specialty.
    2. IBM Security & Ponemon Institute. Relatório sobre o custo de uma violação de dados (2013-2024).
    3. Cybereason (2022). “Ransomware: The True Cost to Business.” https://www.cybereason.com/ransomware-the-true-cost-to-business-2022 https://www.cybereason.com/ransomware-the-true-cost-to-business-2022
    4. Allianz Global Corporate & Specialty (2015). “A Guide to Cyber Risk: Managing the Impact of Increasing Interconnectivity.”
    5. Financial Times. “Gestores de risco alertam que o seguro cibernético pode se tornar um produto inviável.”
    6. Gartner (2014). “O custo do tempo de inatividade.”