O aumento da digitalização e da complexidade tecnológica tem colocado as empresas portuguesas perante novos desafios em matéria de cibersegurança.
Riscos como ataques de ransomware, phishing, comprometimento das cadeias de fornecimento e ameaças geopolíticas exigem respostas estratégicas e adaptáveis. No mês dedicado à cibersegurança, a Executive Digest conversou com Pedro Pinto, head of Information Security na Zurich Portugal, sobre as tendências emergentes, o impacto da inteligência artificial (IA), a gestão do risco humano e o papel das seguradoras na protecção das organizações.
Quais os principais riscos cibernéticos que as empresas portuguesas enfrentam e qual o papel de uma seguradora neste contexto?
Embora os riscos cibernéticos sejam transversais e não se limitem a fronteiras nacionais, a nossa experiência operacional e a monitorização contínua do panorama de ameaças permitem identificar quatro riscos principais para a segurança digital das empresas em Portugal: ransomware, comprometimento das cadeias de fornecimento, phishing e engenharia social e a instabilidade geopolítica.
Os ataques de ransomware continuam a ser uma das ameaças mais significativas, pela sofisticação crescente e capacidade de adaptação, que tornam a detecção precoce e a resposta eficaz cada vez mais difíceis. Também o comprometimento das cadeias de fornecimento é uma tendência preocupante, já que ataques a prestadores de serviços tecnológicos têm afectado indirectamente grandes organizações, exigindo maior rigor na avaliação e monitorização de terceiros.
As campanhas de phishing e engenharia social, potenciadas pela IA generativa, atingiram níveis sem precedentes. Esta evolução obriga a reforçar mecanismos de detecção e autenticação, bem como a apostar na formação contínua dos colaboradores, que são a primeira linha de defesa.
A instabilidade geopolítica global é outro factor que tem vindo a influenciar directamente o panorama da cibersegurança. Para além do aumento de ataques motivados por interesses políticos, começamos a observar restrições à utilização de determinadas tecnologias em função da sua origem geográfica. Este factor poderá, num futuro próximo, obrigar as organizações a rever as suas estratégias de aquisição e dependência tecnológica, com impacto directo na continuidade operacional.
Num contexto cada vez mais digital e exposto a riscos, as seguradoras assumem um papel estratégico na protecção das organizações, contribuindo para a prevenção, mitigação e recuperação face a incidentes de segurança digital. Este contributo concretiza-se na prevenção – com avaliações de risco, conteúdos formativos e apoio ao cumprimento de obrigações legais como o Regulamento Geral sobre a Protecção de Dados (RGPD) – e na protecção e resposta, através de produtos específicos que cobrem riscos cibernéticos e suporte especializado na recuperação, essenciais para minimizar impactos financeiros, operacionais e reputacionais que podem resultar de um ataque.
Em Portugal, a Zurich aposta na prevenção e capacitação, automatizando processos para reduzir riscos, promovendo formação em cibersegurança e acompanhando de perto as regulamentações europeias e nacionais, ajudando clientes e parceiros a adaptar-se e a cumprir requisitos legais. Num cenário de crescente complexidade digital, as seguradoras posicionam-se como parceiros estratégicos das empresas portuguesas, contribuindo para um ecossistema empresarial mais seguro, resiliente e preparado para enfrentar os desafios do ciberespaço.
Como é que a Zurich acompanha as rápidas mudanças na regulação europeia, como o NIS2 ou o DORA?
Num contexto empresarial dinâmico e regulado, a adaptação às exigências legais tornou-se um factor crítico de sucesso. Na Zurich, vemos a conformidade não apenas como obrigação, mas como um compromisso estratégico com a confiança, resiliência e segurança dos clientes e parceiros.
Encaramos a evolução regulatória como oportunidade para reforçar processos, consolidar práticas de excelência e antecipar riscos emergentes. A nossa abordagem é proactiva e colaborativa, envolvendo equipas multidisciplinares que monitorizam continuamente novas directivas e regulamentações, avaliando o seu impacto e assegurando uma resposta ágil e eficaz.
Entre as iniciativas que temos vindo a desenvolver, destaco o reforço da resiliência operacional, com foco na continuidade de negócio e na capacidade de resposta a incidentes, a melhoria dos processos de gestão de activos tecnológicos, garantindo maior visibilidade e controlo sobre o nosso inventário de TI e, por fim, a implementação de controlos avançados de conformidade, que nos permitem avaliar com maior precisão o risco residual e alinhar os nossos sistemas com os requisitos legais mais exigentes.
Complementamos estas acções com workshops temáticos dirigidos aos nossos colaboradores e parceiros de negócio, com vista a apoiá-los na compreensão e implementação das melhores práticas exigidas pela legislação para, assim, estarem preparados para os desafios futuros.
Na Zurich, consideramos que a segurança e a conformidade são pilares indissociáveis da confiança. É com este princípio que desenhamos as nossas soluções e fortalecemos a nossa posição como parceiro de referência no sector segurador.
A inteligência artificial já é usada tanto para atacar como para defender. Como vê a Zurich o impacto da IA no futuro da cibersegurança?
A inteligência artificial (IA) está a transformar profundamente o panorama da cibersegurança e na Zurich acompanhamos esta evolução com atenção e responsabilidade. Reconhecemos que a IA representa uma mudança de paradigma – não apenas pela sofisticação das ferramentas que coloca ao nosso dispor, mas também pelos novos riscos que introduz.
Por um lado, a IA permite-nos reforçar significativamente as nossas capacidades de protecção: conseguimos identificar ameaças com maior rapidez e precisão, avaliar o seu impacto real, automatizar respostas e até antecipar comportamentos maliciosos antes que se concretizem. Estas capacidades são hoje integradas em sistemas como o nosso SIEM (Security Information and Event Management), que recorre à IA para analisar grandes volumes de dados e gerar respostas automáticas em tempo real.
Estamos também a aplicar a IA no processo de gestão de vulnerabilidades, atribuindo prioridades de remediação com base numa análise contextual e inteligente do risco. Esta abordagem permite-nos optimizar recursos e actuar com maior eficácia na proteção dos nossos activos.
Por outro lado, não ignoramos que estas tecnologias estão a ser exploradas por agentes maliciosos, que as utilizam para desenvolver ataques mais sofisticados – e com maior potencial de disrupção. Na nossa visão, a IA representa uma oportunidade única para criar uma protecção mais inteligente e uma resposta mais rápida, mas exige também uma abordagem e utilização ética e responsável. Por isso, na Zurich, assumimos o compromisso de colocar a tecnologia ao serviço das pessoas e das empresas, contribuindo para um futuro digital mais seguro, resiliente e confiável.
As falhas humanas continuam a ser um dos maiores riscos na cibersegurança. De que forma se pode contrariar este risco e transformá-lo numa oportunidade?
No universo da cibersegurança, as falhas humanas continuam a ser um dos riscos mais relevantes. Contudo, na Zurich, optamos por encarar este desafio como uma oportunidade para fortalecer a nossa cultura organizacional e reforçar a nossa proteção digital.
Recentemente, observámos casos concretos de organizações globais que sofreram disrupções significativas nas suas operações de suporte, na sequência de ataques de vishing. Estes episódios sublinham a importância de capacitar os colaboradores para reconhecer e reagir a ameaças cada vez mais sofisticadas.
Por isso, investimos de forma contínua em acções de formação e sensibilização, com o objectivo de promover práticas seguras e manter os nossos colaboradores actualizados face às ameaças emergentes. Esta aposta representa um pilar essencial da nossa estratégia de cibersegurança, permitindo-nos transformar o risco em vantagem competitiva.
Ao envolvermos os nossos colaboradores como agentes activos na protecção da organização, fomentamos uma cultura de segurança partilhada, onde a responsabilidade é transversal e integrada no quotidiano da empresa.
Complementarmente, recorremos à tecnologia como aliada estratégica. Soluções que simplificam processos e automatizam tarefas contribuem para reduzir a probabilidade de falha humana. Sistemas inteligentes permitem identificar comportamentos anómalos e emitir alertas em tempo útil, possibilitando uma resposta rápida e eficaz.
Em suma, na Zurich, acreditamos que as falhas humanas – quando abordadas com responsabilidade e visão – podem ser um impulsionador de evolução.
Em caso de ataque, quais as fases de apoio que a Zurich garante, desde a detecção até à recuperação?
Na Zurich, reconhecemos que a capacidade de resposta a incidentes de segurança é um dos pilares fundamentais da resiliência organizacional. Por isso, contamos com equipas especializadas, preparadas para actuar em todas as fases do ciclo de resposta, garantindo uma intervenção rápida, eficaz e orientada para minimizar impactos e acelerar a recuperação do negócio.
A nossa abordagem estrutura-se em cinco fases principais: detecção e notificação, resposta imediata, investigação e análise, contenção e remediação, recuperação e aprendizagem. Graças a procedimentos bem definidos conseguimos actuar com agilidade e assertividade em cada uma destas fases, reforçando a confiança dos nossos clientes e parceiros.
Os testes que realizamos com frequência são essenciais para aferir o nosso nível de prontidão. Permitem-nos identificar oportunidades de melhoria, corrigir desvios e garantir que, em caso de incidente, a resposta será eficaz e alinhada com as melhores práticas do sector.
Encaramos a resposta a incidentes não apenas como uma reacção, mas como uma componente estratégica da nossa missão de proteger pessoas, empresas e activos num mundo digital em constante transformação.
Que tendências em cibersegurança considera mais relevantes para os próximos anos e de que forma a Zurich se está a preparar para responder a esse futuro?
A cibersegurança está a atravessar uma fase de transformação acelerada, impulsionada por avanços tecnológicos e pela crescente complexidade das ameaças. Na Zurich, identificamos algumas das tendências mais relevantes que irão moldar o sector nos próximos anos e que exigem uma resposta estratégica por parte das organizações.
Destacamos o crescimento exponencial da IA, que tanto potencia novas capacidades defensivas como é explorada por agentes maliciosos para desenvolver ataques mais sofisticados. O aumento de ataques direccionados a infraestruturas críticas – como os de DDoS (Distributed Denial of Service) – e a indivíduos – através de técnicas avançadas de phishing e vishing – são também preocupações centrais. A sofisticação crescente do ransomware e a necessidade urgente de proteger ambientes híbridos e remotos completam este quadro de risco.
Simultaneamente, temas como a privacidade dos dados, o cumprimento das regulamentações e a resiliência operacional ganham uma importância estratégica crescente nos dias de hoje. Estes factores exigem uma abordagem integrada, multidisciplinar e proactiva da gestão do risco para proteger tanto empresas como cidadãos.
Na Zurich, estamos atentos a este cenário em constante evolução. Investimos em inovação tecnológica, estabelecemos parcerias estratégicas e promovemos o desenvolvimento contínuo de competências técnicas dos nossos colaboradores, para que estejam capacitados para apoiar os nossos clientes e parceiros na gestão eficaz destes riscos.
Outra estratégia que adoptámos é o reforço das nossas soluções de cibersegurança com ferramentas avançadas de monitorização, resposta a incidentes e análise preditiva, combinando tecnologia de ponta com o conhecimento especializado das nossas equipas.
O nosso compromisso é estar ao lado dos nossos clientes e ajudá-los a aumentar a sua resiliência face aos riscos cibernéticos, antecipando tendências e oferecendo protecção ajustada à realidade de cada negócio.
Neste mês dedicado à cibersegurança, de que forma a Zurich assinala e promove esta iniciativa?
Ao longo de todo o ano disponibilizamos conteúdos digitais sobre cibersegurança aos nossos colaboradores. Também há nove anos que, neste mês de Outubro, promovemos o “Mês da Sensibilização para a Cibersegurança” na Zurich Portugal e globalmente para mais de 200 países e territórios onde a Zurich está presente. Temos procurado fomentar um conjunto diversificado de actividades – desde conteúdos educativos, workshops e jogos interactivos – com o objectivo de reforçar o envolvimento e a consciencialização interna sobre estes temas.
A implementação desta iniciativa assume uma importância extrema para nós – representa uma oportunidade adicional para promovermos boas práticas de segurança e reforça a importância de protegermos os nossos clientes e os seus dados, compromisso ancorado numa cultura de cibersegurança sólida e robusta.
Este artigo faz parte do Caderno Especial “Cibersegurança”, publicado na edição de Outubro (n.º 235) da Executive Digest.
