R ISCO CIBERNÉTICO

A MDS, enquanto empresa do setor segurador, atuando como corretora, enfrentou alguns desafios para se adaptar ao emergente risco cibernético.

Os procedimentos internos relativos ao TI na MDS são diversos. Para o armazenamento de informações/ficheiros internos, existem três diretórios: a pasta Pública (X:), a Local (C:) e a Data (G:) – o último com os respetivos departamentos. Estes diretórios têm backup automático diário. Tendo em conta as impressoras, é necessário sempre digitar o código de segurança de cada colaborador e o e-mail é o meio de comunicação “oficial” da MDS, em que cada colaborador tem disponível uma mailbox, com um backup efetuado diariamente e de forma automática.

Se nos focarmos na questão relativa à ameaça do risco cibernético no setor segurador, existiram algumas adaptações em conformidade com o que já foi apresentado em cima. Primeiro, não se sentiu a necessidade de alterar o sistema informático pois, se relacionarmos estas alterações com o RGPD, ainda não existem diretrizes específicas, com um vazio legal sobre as medidas técnicas a tomar e as alterações ao sistema informático a realizar. O hardware e as infraestruturas de TI apresentam um sistema de segurança credível, com os computadores encriptados, pertencentes a cada um dos colaboradores, com utilizadores e passwords individuais e não transmissíveis, com renovação periódica mensal e com impossibilidade de repetição. O software e as aplicações de TI apresentam, da mesma forma, um nível de segurança elevado, com acesso restrito a colaboradores a cada “Pasta de Departamento” à qual estes não pertencem. As autorizações para downloads são da mesma forma limitadas, sendo que, qualquer instalação de software, carece de autorização pela equipa de TI. Informações pessoais de titulares dos dados são expressamente proibidas de serem mantidas na Pasta Pública/de acesso geral da MDS, no armazenamento em cloud pessoal (como a dropbox, que não seja o Google Drive Corporativo) e no computador do colaborador. Os sistemas têm proteção contra vírus, sistematicamente atualizados, com protocolos seguros de transmissão de dados e acessos por terceiros à Organização. Existe também uma parceria com a S21sec, uma empresa de cibersegurança líder na prestação de serviços de proteção de infraestruturas críticas, softwares, dados pessoais. Os serviços que disponibilizam

incluem a avaliação da maturidade de uma organização para a segurança da informação, auditorias técnicas, ações de sensibilização e formação, monitorização contínua de segurança, equipas de resposta a incidentes críticos de segurança e análise forense.

Relativamente aos acidentes cibernéticos verificou-se uma resposta rápida e eficaz durante o ano de 2017, como é possível verificar nos gráficos abaixo.

Figura 4 - Indicadores Cibernéticos Helpdesk 2017163

O OPEX164 _{do ano de 2017 foi quase de 21.000.000 EUR, sendo que para IT}

correspondeu a 5,6% (cerca de 1.000.000 EUR), relevando aqui o elevado investimento em prevenção e segurança cibernética165_{. Após análise do relatório de contas, constante}

no anexo I relativo aos ativos intangíveis, é possível verificar que em 2016, o ativo intangível no final do ano era de EUR 1.884.623,56, sendo que o ativo bruto de software (manutenção e desenvolvimento) era de EUR 7.647.054,54, com um valor líquido166 de 626.446,35. Durante este ano houve o investimento nos ativos intangíveis de EUR 327.616,59, entre eles o da MDS Affinity. Já em 2017, o ativo intangível era de EUR 1.203.409,79, sendo que o ativo bruto de software era de EUR 7.677.335,81, correspondendo a um valor líquido de 88.494,82. Os aumentos nesta rubrica dizem respeito a investimentos no desenvolvimento de software operacional relativos à gestão de carteiras e de prémios da empresa e na elaboração do portal de interação com os clientes da empresa, verificando-se a adoção de uma política de resiliência desde 2016.

163 _{TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2017, p. 3.} 164_{Operational Expenditure – despesas operacionais para manter ou melhorar os bens físicos de uma} empresa, tais como equipamentos, propriedades e imóveis. In MAVERICK, J.B. - What is the difference

between CAPEX and OPEX? [Em linha]. New York : Investopedia, 2018.

165 _{TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2017.} 166 _{Valor líquido = Ativo bruto – Amortizações acumuladas}

Os principais projetos atingidos no ano de 2017 para a MDS, ao nível cibernético, prendem-se com a utilização de novos servidores e serviços de impressão, com a renovação/inovação das impressoras, permitindo um acesso mais simples. Foi também implementado uma melhoria no Projeto CRM167, com a aposta na evolução do Proximity e o Agility168 e um upgrade do SAP169. Se nos focarmos na questão da Quarta Revolução Industrial e a aposta em novas plataformas e modelos de negócio, verificamos que a MDS aposta na digitalização, com a utilização de sistemas como o Phoenix170 e o Proximity171, e a utilização do Bitsight172. A InsurTech está cada vez mais presente na empresa.

Figura 5 - Principais Projetos 2017173

167 _{Customer Relationship Management - gestão do relacionamento com o cliente - é a identificação,} aquisição, desenvolvimento e retenção de clientes lucrativos, através de um relacionamento constante, eficaz e eficiente com estes.

168 _{Agility é uma solução de gestão do relacionamento com o cliente (CRM), complementar ao Phoenix,} que irá atuar na gestão dos clientes atuais, prospects, no marketing comercial e que, cumulativamente, será crucial para a consolidação da informação dos portais de parceiros e clientes.

169 _{SAP, sistema de gestão financeira da MDS.}

170 _{Plataforma interna para colaboradores da MDS, que assegura o backoffice, a gestão dos clientes,} apólices, sinistros. Sistema totalmente em cloud.

171 _{Plataforma eletrónica para clientes MDS, que permite o acesso online, de forma rápida e segura, à} carteira de seguros da empresa, histórico de pagamentos, apólices em qualquer hora.

172 _{A BitSight transforma a forma como as empresas gerem o risco de terceiros, subscrevem políticas de} seguro cibernético, avaliam o desempenho de segurança e avaliam o risco agregado com os Ratings de Segurança. Vide BITSIGHT TECHNOLOGIES – BitSight : the standard in security ratings [Em linha]. Cambridge : BitSight Technologies, 2018.

173 _{TERRA, Paulo - MDS IT 2017. [S.l.] : MDS Group - Global Insurance & Risk Consultants, 2017, p. 5.} RGPD

21%

Integração de Seguradores

0%

Integração APP GIS 14% Segurança 11% Storage 8% Renovação / Inovação parque 20% Upgrade SAP 12% Proximity 10% reformulação Brandinsurance 4%

É possível concluir que, para o departamento de TI, a grande ocupação foi a implementação do RGPD - caso analisado no próximo tópico – seguido da renovação/inovação parque (impressoras).

Verificamos também que, com a tecnologia no setor segurador (InsurTech) cada vez mais desenvolvida, o trabalho de corretagem pura está cada vez mais à margem da prioridade da empresa. Neste momento, a preferência é a consultoria e gestão de risco (com a Herco, focando-se na prevenção dos riscos catastróficos). A consultoria passa pela análise do clausulado e coberturas, efetuando um trabalho exaustivo de recomendações e alterações como melhorias às apólices em vigor, com prospetos e due dillingence.

Diversas formações e palestras foram também transmitidas pela MDS, por forma a despertar a carência das empresas para a sua proteção cibernética.

Por outro lado, se nos focarmos na questão relativa ao risco cibernético como um risco a segurar, a MDS, enquanto fundador e membro da Brokerslink, beneficia de uma solução de seguros desenvolvida no mercado Lloyd’s, o Pocydon, que confere um grau de proteção elevado na dimensão da responsabilidade perante terceiros e, simultaneamente, em sede de danos próprios, tratando-se de um produto integrado, com equipas de respostas a incidentes e peritos. A distribuição foi bastante bem-sucedida; os clientes sentiram a necessidade de procurar um seguro que se adequasse às suas necessidades cibernéticas e que garantisse ambas as coberturas, aumentando a procura com o aumento subsequente das comissões da empresa e o seu ativo. Em 2016, apenas dois clientes tinham pedido cotação para seguro cibernético, enquanto que em 2017 se verificou um aumento para quatro clientes. O aumento na procura e na concretização dos pedidos deu-se no primeiro semestre de 2018, com três novos pedidos de cotação, com a concretização efetiva do contrato de seguro. Atualmente, cerca de seis pedidos de cotação (Pocydon) estão pendentes de resposta definitiva por parte dos clientes. Por outro lado, surgiram novos pedidos relacionados com a Quarta Revolução Industrial, nomeadamente pedidos de cotação para veículos autónomos.

Conclui-se assim que se verifica uma política de resiliência cibernética, com a identificação precoce, a prevenção e a resposta eficaz a falhas tecnológicas, com uma constante supervisão por parte do setor de TI. Avista-se também uma necessidade

constante de evolução e acompanhamento das inovações tecnológicas acarretadas pela

InsurTech, colmatando este risco com o sucesso na mediação de seguros cibernéticos.