O seguro cibernético entra no budget de 2020 em uma corrida maluca
Escrito por: Daiane Dantas
A ameaça é invisível, média de 240 dias para a empresa saber que foi invadida, phishing e ransomware são os ataques mais usados, você precisa conhecer as vulnerabilidades antes dos criminosos, está em jogo a reputação do seu negócio, processos de aquisição, abertura de capital , confiança dos steakeholders, multas contratuais por não proteção de dados, são tantas as variáveis do risco e de proteção e prevenção dos dados e o “seguro cyber” deveria ser a última camada de proteção em uma empresa.
Mas a LGPD pode provocar no Brasil uma corrida maluca por um seguro cibernético com a finalidade de se resguardar sobre possíveis ações reparatórias e prejuízos que as empresas possam vir a ter a partir da entrada em vigor da Lei de proteção de dados, e isso pode ser um grande tiro no pé se não for realizado de forma planejada e consciente.
Mensurar o risco cibernético hoje é o maior desafio e consequentemente precificar o seguro e o prêmio se torna igualmente desafiador, toda empresa em qualquer segmento precisa se preocupar com o risco cibernético.
Um seguro sobre incêndio é comum, mas a probabilidade de acontecer é mínima, não temos comunidade de incendiários pensando em como colocar fogo em sua empresa e são tomados todos os cuidados preventivos, enquanto que o risco cibernético é altamente provável, fato é que há uma comunidade de criminosos cibernéticos pensando 24hs por dia em como encontrar vulnerabilidades e de outro lado temos as empresas com total falta de cuidados com a proteção.
Nesse momento sua empresa pode ter um criminoso silencioso em sua rede acompanhando toda a movimentação e aguardando o melhor momento para atacar e a maioria absoluta das empresas não estão preparadas para se proteger, não conhecem as dimensões do risco e principalmente não estão preparadas para responder ao incidente cibernético.
Falando de ataques, os mais comuns em empresas são o phishing que através de mensagens falsas os criminosos podem conseguir nomes de usuários e senhas de um site qualquer, dados de contas bancárias e cartões de crédito e o ransomware que sequestra o computador criptografa os arquivos e exige um resgate para a liberação.
O pensamento da maioria pode ser contratar um seguro cibernético e não se adequar a LGPD, assim lá na frente se algo acontecer o seguro irá cobrir os prejuízos, esse certamente não é o melhor caminho. Não adianta contratar um seguro e não se adequar a LGPD, não cuidar da segurança, a seguradora avalia a maturidade da empresa, faz uma análise do nível de engajamento com a segurança dos dados.
Sim o seguro é necessário mas para contratar uma apólice robusta, confiável e eficaz é preciso muito cuidado, muita análise e o envolvimento da diretoria da empresa para uma tomada de decisão não só financeira mas estratégica, várias pesquisas mostram que em casos de incidentes cibernéticos o seguro cobriu parcialmente os prejuízos pois na aquisição da apólice não foi possível mensurar a real extensão dos riscos.
Obviamente que se a empresa já possuir uma estrutura de segurança da informação robusta, envolvimento de toda a empresa e não só a área de TI o seu seguro será mais barato, de outro lado se a empresa estiver no zero em segurança da informação, a seguradora precisará fazer junto com a empresa o levantamento dos riscos, mapeamento, diagnóstico da extensão dos danos de acordo com as informações que a empresa possui e as consequências de seu vazamento, e o seguro nesse caso será bem mais oneroso.
Fato é que quando ocorre um incidente cibernético a seguradora irá abrir um sinistro, se você tiver que pagar uma multa e não houver cobertura para esse item em sua apólice a seguradora não vai pagar, igualmente se você infringiu a lei ou alguma letrinha miúda do contrato do seguro a seguradora também não vai pagar.
Portanto não adianta contratar somente o seguro e seguir a vida, o ideal é que a empresa realize a estruturação, possua um plano de resposta de incidentes eficiente e o seguro é parte importante desse plano, a idéia geral no caso do ransomware é usar o seguro para pagar o resgate e abafar o caso, aqui ligamos alerta vermelho piscante, esse é o pior caminho pois a LGPD obriga a informar incidentes a autoridade e ao titular, se houver uma investigação e a autoridade descobrir o encobrimento a empresa cometerá falta gravíssima. Outro ponto é sobre o pagamento do resgate, isso além de alimentar o comercio criminoso, não é garantia de que os dados serão liberados, o ideal é ter uma resposta a incidente já estruturada e seguir o plano, nesse plano pode ter um backup de segurança além dos padrões, criptografar os arquivos sequestrados que passaria a ter duas chaves e portanto o hacker para ter acesso aos dados precisaria quebrar a chave da empresa e os riscos estariam minimizados, entre outras ações, pagar o resgate não deveria ser uma opção se você possuir um plano de resposta a incidente eficiente.
O seguro cibernético pode estar incluído em uma apólice geral da empresa, ou em uma apólice específica, o importante é que a empresa revise a política de seguros para que o olhar ao seguro cibernético seja mais criterioso e abrangente, com uma equipe multidisciplinar para dimensionar quantos dados a empresa tem, de quem são, de que forma são amarzenados e se os dados forem afetados é possível entender o prejuízo, não é só a seguradora que avalia é importante construir a precificação envolvendo todos ligados a segurança da informação da empresa,
A Dark web não é ficção de série americana, ela é real e o que especula-se é que os criminosos estão fazendo uma poupança de dados para usar assim que a LGPD vigorar, na Europa houve um aumento de ataques cibernéticos pós GDPR, portanto devemos sim nos preocupar e nos preparar.
O ideal é que a empresa se adeque a LGPD, tenha um time engajado com a segurança da informação, possua um plano de resposta a incidentes cibernéticos robusto e que possua um seguro cibernético bem estruturado, num mundo perfeito a resposta a incidente deveria ocorrer em até 72 hs para mitigar os riscos.
Portanto não saia numa corrida maluca em busca de um seguro, faça um plano, procure empresas preparadas e informe-se muito sobre o seu negócio, conheça suas vulnerabilidades e a extensão dos riscos.
