Quantifying cyber risk with FAIR

: a case-study of Super Bock Bebidas, S.A.

Resumo

À medida que as ciberameaças aumentam em frequência e impacto, as organizações devem passar de medidas de segurança reativas para uma governação estratégica do risco. No entanto, muitas continuam a depender de avaliações qualitativas de risco, o que conduz a ambiguidade e comunicação ineficaz entre as equipas técnicas e a liderança executiva. Esta dissertação aborda essa lacuna aplicando o modelo Factor Analysis of Information Risk (FAIR) para quantificar a exposição financeira de um cenário de ransomware na Super Bock Bebidas, S.A., uma empresa portuguesa líder no setor das bebidas. Através de um caso de estudo estruturado, esta investigação decompõe um ataque de ransomware baseado em phishing, direcionado a utilizadores privilegiados, em componentes mensuráveis. Recorrendo a distribuições BetaPERT e simulação de Monte Carlo, o modelo estima tanto a Annualised Loss Exposure (ALE) como o Cyber Value at Risk (Cy-VaR). Os principais resultados revelam uma ALE de €45.307 e um Cy-VaR de €88.424, valores significativamente abaixo do apetite ao risco da organização, fixado em €10 milhões. A análise avalia ainda o impacto redutor do seguro cibernético, quantificando uma redução de 74% na ALE após a aplicação da apólice. Ao traduzir o risco em termos financeiros, a metodologia FAIR permite decisões mais transparentes, justificadas e alinhadas com a governação. Os resultados apoiam uma transição mais ampla para uma governação de cibersegurança orientada por dados, oferecendo uma abordagem replicável para outras organizações que pretendam integrar o risco cibernético nos seus quadros de gestão de risco empresarial.

Data de atribuição	30 out. 2025
Idioma original	English
Instituição de premiação	Universidade Católica Portuguesa
Supervisor	Paulo Alves (Supervisor)