João Miguel Mesquita
As preocupações com a continuidade das operações estão a crescer entre responsáveis de segurança digital. O Fórum Económico Mundial indica que uma parte significativa destes profissionais admite recear perturbações relevantes na atividade das suas empresas. Entre as pequenas empresas, uma maioria reconhece não ter meios para proteger de forma adequada os seus sistemas. A dificuldade generalizada em obter uma visão consolidada do risco empresarial é apontada como uma das principais razões para este cenário.
Nos últimos anos, as organizações passaram a gerir informação dispersa por múltiplas áreas, desde a infraestrutura central às aplicações web, ambientes de cloud e sistemas apoiados por inteligência artificial. Esta fragmentação torna mais difícil identificar o que deve ser tratado em primeiro lugar e aumenta a probabilidade de decisões baseadas em perceções incompletas. Sem um entendimento claro sobre que ativos são mais críticos e qual o nível de risco aceitável, a definição de prioridades torna-se complexa.
A avaliação do risco exige, antes de mais, perceber o que cada empresa está disposta a suportar, bem como o impacto financeiro possível de cada falha. É neste contexto que surge o cálculo de Value at Risk, um exercício que traduz em perda monetária potencial aquilo que pode resultar de um incidente de segurança. Ao colocar a discussão em termos económicos, facilita-se a decisão sobre que riscos devem ser reduzidos através de correções técnicas ou mitigação, ou transferidos para seguros cibernéticos. Enquadrar incidentes de segurança em termos financeiros permite alinhar a análise com os objetivos da gestão.
A função de um Centro de Operações de Risco
A aplicação prática destes cálculos continua a ser um desafio para muitas organizações, o que leva à adoção de estruturas dedicadas como o Risk Operations Center (ROC). O ROC funciona como ponto central de controlo para a recolha e análise de dados provenientes de inventários de ativos, alertas internos e fontes externas. Ao cruzar esta informação com inteligência de ameaças e com o contexto de negócio, produz uma visão simples e em tempo real do risco existente. O ROC dá às empresas uma leitura consolidada sobre a probabilidade de cada ameaça e sobre os custos que pode gerar.
Este modelo facilita o trabalho de triagem e torna a avaliação mais acessível para as equipas de liderança. Na prática, um ROC pretende ajudar a medir, comunicar e reduzir o risco cibernético de forma mais transparente. A medição envolve identificar os ativos mais valiosos e quantificar aquilo que pode ser perdido. A comunicação passa por traduzir risco técnico em métricas financeiras, compreensíveis para gestores e conselhos de administração. A redução do risco resulta de ações como a aplicação de correções, mitigação técnica ou transferência do risco para seguradoras. A utilização de um ROC clarifica que investimentos são necessários e que passos devem ser seguidos para reduzir a exposição.
Ao basear esta abordagem em Value at Risk, a colaboração com as áreas financeira e de conformidade torna-se essencial. Desta forma, é possível alcançar consenso sobre o impacto de cada risco e preparar explicações claras para os órgãos de decisão. O foco na dimensão monetária ajuda as empresas a adaptar as suas estratégias e a limitar potenciais interrupções operacionais.
