Mecanismos de Gestão, Mitigação e Transferência do Risco Porto, 5 de março de 2015

2

Itinerário do Risco

3

Caminho a percorrer…

4

Exposição ao Risco

5

Concetualização do Risco

Online Offline

NATUREZA

GÉNESE

Maliciosa Acidental Interna Externa

FASE I

6

A origem dos principais ataques

60%

17%

10%

7% 6% Externo (60%)

Interno Acidental (17%)

Interno Malicioso (10%)

Desconhecido (7%)

Interno desconhecido (6%)

2014 (datalossdb.org)

7

A externalidade do Risco e a externalização de serviços

72,2%

71,0%

69,3%

63,5%

62,2%

60,8%

60,5%

58,6%

54,5%

50,0%

0,0% 20,0% 40,0% 60,0% 80,0% 100,0%

Irlanda

Itália

Reino Unido

Espanha

Holanda

MÉDIA GLOBAL

Bégica

Alemanha

França

Portugal

Fonte: Ferramenta de Diagnóstico de Risco – Aon 2014

8

72,2%

71,0%

69,3%

63,5%

62,2%

60,8%

60,5%

58,6%

54,5%

50,0%

0,0% 20,0% 40,0% 60,0% 80,0% 100,0%

Irlanda

Itália

Reino Unido

Espanha

Holanda

MÉDIA GLOBAL

Bégica

Alemanha

França

Portugal

Fonte: Ferramenta de Diagnóstico de Risco – Aon 2014

9

Cenários de mitigação do risco da externalização

10

Concetualização do Risco

ALVO

Tecnologia

Multimédia

& P.I.

Dados

protegidos

FASE II

11

Um ataque, vários alvos

Informação confidencial e protegida de

Clientes

Propriedade Intelectual

Informação corporativa de

Clientes

Informação pessoal e

sensível de colaboradores

12

Quem está atento à encriptação de dados?

Irlanda

Reino Unido

Bégica

Alemanha

MÉDIA GLOBAL

Portugal

Espanha

Holanda

Itália

França

0,0% 20,0% 40,0% 60,0% 80,0% 100,0%

61,1%

57,3%

39,5%

37,9%

36,7%

33,3%

32,7%

26,6%

19,4%

18,2%

Fonte: Ferramenta de Diagnóstico de Risco – Aon 2014

13

Concetualização do Risco

Perda

de

clientes

Perda de

propriedade

intelectual

FINANCEIRO

REPUTACIONAL

VANTAGEM

COMPETITIVA

FASE III IMPACTO

Danos a

terceiros e

custos de

defesa

Despesas de

crise

Gastos

de

imagem

Gastos de

notificação e

resposta

Perda de

lucros Sanções

Perda da

confiança

dos

acionistas

14

Panorâmica do Risco

15

Tecnologia Dados

protegidos Multimédia

& P.I.

Online Offline

Maliciosa Acidental Interna Externa

Despesas

de Crise

Gastos de

notificação/

resposta

Gastos de

imagem Perda de

lucros

Danos a

terceiros e

custos de

defesa

Sanções

Perda de

clientes

Perda da

confiança dos

acionistas

Perda de

propriedade

intelectual

GÉNESE

ALVO

NATUREZA

IMPACTO

FINANCEIRO

IMPACTO

REPUTACIONAL

VANTAGEM

COMPETITIVA

As três fa©es do Risco

16

O Risco por Sectores

17

Violações de dados ou falhas de sistemas - 2014

Fonte: Ferramenta de Diagnóstico de Risco – Aon 2014

44,3%

35,7%

32,0%

29,7%

27,7%

24,7%

23,9%

23,7%

22,8%

20,0%

19,0%

14,6%

0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% 100,0%

Saúde

Online / T.I.

Educação

Serviços Financeiros

MÉDIA GLOBAL

Retalho

Indústria / Construção

Serviços Públicos

Outros

Serviços Profissionais e Jurídicos

Energia

Hospitais

18

19

O impacto financeiro de uma fuga de dados por sector

160

137

294

155

122

141

119

138

100

177

121

227

206

145

105

359

0 50 100 150 200 250 300 350 400

Indústria

Media

Educação

Consumo

Hotelaria

Energia

Investigação

Tecnologia

Sector Público

Comunicações

Transportes

Sector Farmacêutico

Finanças

Serviços

Retalho

Saúde

Gastos de uma quebra de segurança por sector

Amostra: 314, base de estimativa USD

Gasto médio global por registo

$ 145

Gasto médio global por incidente

$ 3,5 milhões (24.138 registos)

Fonte: 2014 Cost of Data Breach Study, Global Analysis; Ponemon

20

Desafios da Gestão e Mitigação do Risco

21

Consegue responder a estas questões?

Qualificação Quantificação Nível de

maturidade do risco

Riscos transferidos

O que pode

correr mal?

Qual é o pior

cenário?

Como estou

protegido?

A minha Apólice

de Seguro

responde?

22

As Apólices tradicionais geralmente não respondem…

23

Análise das lacunas de cobertura existentes

Multirriscos Resp. Civ. Geral Crime Rapto e Extorsão

Resp. Civ. Profissional

Resp. Civ. Riscos Cibernéticos

Danos Próprios (Privacidade & Rede)

Danos físicos ou tangíveis

Danos resultantes de vírus / hacking

Interrupção de rede e de serviço

Perdas de exploração

Extorsão ou ameaça

Sabotagem de trabalhadores

Danos a Terceiros (Privacidade & Rede)

Utilização ou divulgação ilegal de info. privada

Violação de info. confidencial corporativa

Erro humano (tecnologia)

Resp. Multimédia

Despesas de notificação e de resposta

Resp. Civil

Inspeções e procedimentos sancionatórios

Transmissão de vírus ou código malicioso

Cobertura garantida? *Somente para referência e base de discussão. A terminologia das Apólices e os conceitos de "reclamação" deverão ser tidos em conta numa análise posterior mais detalhada.

Cobertura possível?

Sem cobertura?

24

Transferência de Risco

25

Trilogia da Apólice de Seguro: os 3 pilares fundamentais

Responsabilidades

• Danos a Terceiros

• Custos de Defesa

• Inspeções e procedimentos sancionatórios

Danos Próprios

• Perda financeira da própria empresa segurada

Gastos em Serviços

• Despesas de apoio e suporte

• Gastos com peritos

26

Anatomia de uma Apólice de Seguro

Responsabilidades

Danos + Custos de Defesa + Procedimentos sancionatórios

Falhas na

segurança

de redes

Revelação não

autorizada de

informação

Compilação

indevida de

dados

pessoais (*)

(*) Em função do Segurador / negociação

Investigacões

de autoridades

regulatórias

Resp. do

fornecedor

de dados

Infração de

conteúdo

multimédia /

difamação

27

Anatomia de uma Apólice de Seguro

Danos Próprios

Perda financeira do segurado

Perda de

lucros por

interrupção

de rede

Despesas

extra

Perda de

lucros por

falha de

sistemas

Perda

contingente

de

beneficios

(*)

Danos a

ativos

intangíveis

Ameaças a

sistemas e

dados

(extorsão)

(*) Em função do Segurador / negociação

28

Anatomia de uma Apólice de Seguro

Perda de lucros derivada da

interrupção de rede por

quebra de segurança

Despesas extra

Perda de lucros derivada da

falha de sistemas (*)

Perda de benefícios

contingente (*)

Danos a ativos intangíveis

Ameaças a sistemas e dados

(extorsão)

Gastos de gestão de crise /

publicidade

Gastos de assessoria jurídica

Gastos de investigação

forense

Gastos de notificação a

lesados

Gastos de resposta a lesados

(linhas de apoio telefónico,

monitorização de crédito,

controlo de identidade,

seguros de roubo de

identidade)

Gastos em Serviços

Gastos com peritos

Gastos de

gestão de

crise /

publicidade

Gastos de

assessoria

jurídica

Gastos de

investigação

forense

Gastos de

notificação a

lesados

Gastos de

resposta a

lesados

29

30

Processo de subscrição e contratação

Gastos de

investigação

forense

Gastos de

notificação a

lesados

Gastos de

resposta a

lesados

Faturação e sector de atividade são os principais indicadores do Prémio de Seguro;

Realização de um auto-diagnóstico ao nível dos sistemas, segurança e componente

jurídica;

Elaborar uma análise das lacunas existentes nas atuais Apólices;

Limites a contratar: benchmarking, faturação, sector e número de dados / bases de

dados e tipo de dados utilizados;

Questionário de Risco (contratação / formalização).

31

Não se trata mais de responder à questão “vai acontecer?” mas sim “quando vai acontecer?”

32

Obrigada pela vossa atenção e comparência.

Andreia Teixeira

Senior Associate

@Broking & Specialties

t +351 210 001 096

andreia.teixeira@aon.pt

@AonCyber

https://www.aoncyberdiagnostic.com/pt/

www.aon.pt