quero falar com um especialista

Artigos

Poucos minutos todos os dias para manter você atualizado sobre o que acontece na segurança cibernética de todo o mundo.

Como o seguro de risco cibernético protege a empresa? Entenda!

O alto volume e a sofisticação dos recentes ataques cibernéticos, juntamente à responsabilidade pela integridade e confidencialidade dos dados de seus clientes, obrigam as empresas a repensarem quais métodos têm sido mais eficientes para garantir proteção e servir como ação efetiva numa possível gestão de incidentes, como o seguro de risco cibernético.

Essa responsabilidade é reforçada pela Lei Geral de Proteção de Dados (13.709/2018), sancionada em agosto deste ano e em vigor a partir de 2020. A nova lei, entre outras medidas, obriga entidades públicas e privadas a informar aos detentores dos dados que forem coletados ou compartilhados a finalidade e os procedimentos do seu uso.

A nova lei garante, ainda, o direito a esses detentores de solicitar qualquer alteração na eventual imprecisão de seus registros ou ser formalmente notificados caso haja algum roubo ou violação.

Segundo o Global Risk Report 2017, estudo desenvolvido anualmente pelo Fórum Econômico Mundial, o roubo ou violação de dados ocasionado por ataques cibernéticos figura entre as ocorrências mais temidas pelas empresas dentro da categoria de riscos tecnológicos.

No geral, esse temor é reforçado pelo contínuo avanço tecnológico da 4ª revolução industrial, liderado por tendências como a Internet das Coisas (IoT), Cloud Computing, Inteligência Artificial, entre outras.

Na presença de um risco tão iminente, abordamos, neste artigo, um pouco mais sobre uma medida de proteção que pode colaborar fortemente com a eficiência com a qual a empresa responde a esses eventos. Confira!

O que torna as empresas vulneráveis?

Toda empresa detém informação, seja de terceiros ou própria, assim como mantém seus processos em sistemas informatizados, eventualmente conectados à Internet.

O uso da tecnologia como um todo, inclusive da rede mundial de computadores, e a detenção desses dados torna a companhia sujeita a um risco cibernético e, consequentemente, a um impacto em seus negócios.

Antivírus e firewall, as soluções mais conhecidas de proteção, inibem os ataques cibernéticos no dia a dia das empresas, porém, não são suficientes para impedi-los de forma perpétua e ininterrupta, visto que a sofisticação das intrusões também acompanha os avanços tecnológicos — existem, por exemplo, tipos de ameaças amparadas por Inteligência Artificial e Machine Learning.

Assim, o que torna uma empresa vulnerável é a estagnação nos processos de tratamento do risco:
• acreditar que uma medida isolada e/ou pontual seria suficiente para conter as exposições;
• não enxergar a segurança da informação como um investimento;
• ser displicente quanto aos procedimentos necessários para manter uma infraestrutura de TI atualizada;
• ser negligente ao fator humano — a conscientização dos integrantes da empresa, elo mais frágil dessa corrente de segurança.

Os ataques têm ganhado cada vez mais visibilidade na mídia, especialmente quando os alvos são as grandes empresas, como o caso recente do Facebook, que teve um problema de vazamento de dados e precisou requisitar que as senhas de acesso de seus usuários fossem reconfiguradas.

A Netshoes no Brasil também sofreu um ataque no início deste ano que também resultou no vazamento de dados e, por isso, precisou notificar toda a sua base de clientes. Existem, ainda, algumas investigações abertas — da C&A, por exemplo, que teve problemas com seu sistema de cartões-presente.

Mas não é só o ataque em si que pode gerar problemas: o risco cibernético chegou a um patamar tão complexo que a mera alegação de um ataque aliado a disseminação de informação de forma irresponsável pode gerar muita dor de cabeça para as companhias, por exemplo, o caso do Boa Vista Serviços.

Toda empresa, de qualquer tamanho e ramo de atuação, é suscetível ao risco cibernético, principalmente se não adotar métodos efetivos de proteção e achar que esse tipo de problema não poderia afetá-la financeiramente.

Nenhum negócio é desinteressante demais ou pequeno demais para o risco cibernético e pequenas empresas podem ser uma excelente porta de entrada para alcançar as grandes empresas, já que são o elo mais fraco de grandes cadeias de suprimento.

As ameaças podem ser:
internas: perda de dados, envio errôneo de informações, colaboradores negligentes — vítimas de phishing, vishing etc. ou que se apropriam de dados para ter vantagens competitivas, vendê-los a terceiros ou cometer extorsão;
externas: interrupção de rede, roubo de dados, espionagem industrial, acessos desautorizados com entradas por redes sociais, cloud server, data center gerenciado, outros fornecedores etc.

Imagine uma empresa do setor automotivo que sofreu o ataque de um ransomware como o WannaCry, tendo que suspender sua produção por uma semana e arcar com os prejuízos dessa parada não programada, ou o valor pelo dano à reputação de uma rede de laboratórios que não pôde entregar os resultados de exames dos seus pacientes a tempo para a consulta.

Esse tipo de problema pode ocorrer a qualquer momento, em diferentes tipos de empresas. Não é possível saber quando um ataque vai ocorrer, mas é uma certeza que as organizações estão sujeitas aos seus efeitos e podem reduzir seu prejuízo com um seguro de risco cibernético.

O que é o seguro de risco cibernético?

Ainda de acordo com o Fórum Econômico Mundial, o Brasil é o segundo país no ranking em ciberataques. Apesar disso, as empresas brasileiras têm tido dificuldades em lidar de forma efetiva contra essa estatística, muito devido ao fato de não compreenderem na totalidade os desdobramentos possíveis de um ataque, bem como as ferramentas e medidas disponíveis para mitigá-los.

Mesmo com a atual situação econômica do país, em que muitas organizações têm uma forte restrição em assumir novos custos, o seguro de risco cibernético pode ser um investimento em longo prazo, pois reembolsa a empresa em inúmeras despesas e, em alguns casos, repõe até uma possível perda de receita, caso ocorra uma intrusão. Além disso, aproxima empresas de seus fornecedores de forma a otimizar o combate ao risco.

A apólice se diferencia de boa parte dos seguros, pois, contempla um espectro de perdas de primeira parte, além das perdas de terceira parte. Funciona como uma ferramenta de mitigação, que entrega ao cliente uma cobertura ampla contra diferentes ameaças e pode atuar em todos os processos pertinentes ao tratamento do risco.

Com esse tipo de apólice, é possível minimizar ou eliminar os efeitos de um ataque cibernético, protegendo o balanço da empresa no que tange a sua reserva para perdas decorrentes de eventos como esse.

Lembrando que mesmo tendo uma política forte em relação à segurança da informação, com aquisição dos melhores softwares, hardwares, antivírus e firewalls, treinamento de funcionários e práticas preventivas, sempre pode haver uma "porta aberta" que aumenta a vulnerabilidade organizacional.

De que maneira o seguro de risco cibernético protege a empresa?

A apólice complementa a proteção das empresas e pode cobrir, através de suas coberturas de primeira e terceira parte, muitos dos desdobramentos de um ataque cibernético, por vezes reembolsando as organizações pelas despesas relacionadas a uma eventual violação e divulgação não autorizada de dados sob sua custódia e de seus provedores de serviço.

Existem coberturas como:
• custos de defesa;
• custos relacionados a uma investigação administrativa;
• despesas com peritos forenses;
• pagamento de indenizações aos clientes prejudicados onde a empresa seja responsabilizada;
• pagamento de resgate em caso de sequestro de dados;
• despesas para restauração de dados;
• custo com notificação e monitoramento de dados de clientes afetados;
• assessoria de imprensa para agir na recuperação da sua reputação no mercado;
• lucros cessante devido a uma interrupção de rede.

Dessa forma, o seguro age no cenário de preparação da empresa, permitindo que por meio dele a resposta seja mais rápida, eficiente e menos custosa. O processo de contratação é relativamente simples, depende apenas do envio de algumas informações pertinentes à empresa.

As seguradoras têm tentado atender, na medida do possível, todas as demandas. Isso é um desafio, já que os níveis de maturidade e segurança da informação implementados variam muito de uma empresa para outra.

É importante lembrar que o fornecimento de informações adicionais, como os números da empresa e detalhamento de processos e procedimentos relacionados ao assunto podem ajudar a obter melhores condições para si.

Por meio de um questionário, com perguntas sobre o controle e a proteção implementados, relacionados a infraestrutura de TI, treinamento, conscientização de funcionários e faturamento da empresa, a seguradora tem uma boa base para analisar o risco e oferecer condições de contratação adequadas.

Com o decorrer do tempo, o intuito é que as seguradoras e as empresas se aproximem, permitindo que a seguradora conheça cada vez mais a empresa e observe sua evolução, ajustando ano a ano as condições ofertadas.

Caso a organização precise acionar o seguro, haverá uma equipe devidamente preparada para resolver o chamado: entender o fato e tomar as primeiras providências necessárias, num prazo predeterminado, até que um plano de ação mais abrangente seja implementado.

Nesse contexto, é preciso comprovar a veracidade do fato e os gastos originados por ele, sempre após tomadas as primeiras ações, para mitigar a ameaça o quanto antes, a fim de que suas consequências sejam sempre as mínimas possíveis.

O custo do seguro varia conforme a política de proteção da empresa: quanto maior a segurança dos dados, melhores serão as condições ofertadas e menores as franquias aplicadas, com uma boa chance de que as taxas também sofram um impacto positivo. O comissionamento do corretor gira em torno de 15% a 20%.

A Aon é uma das corretoras cujo foco é o seguro de risco cibernético. Com um cyber development 100% dedicado a questões relacionadas ao desenvolvimento de um produto que se adéque à necessidade dos seus clientes, parcerias estratégicas com empresas de renome internacional, como a Pricewaterhouse (PwC), um escritório de direito digital com especialização em segurança da informação — Baptista Luz —, uma empresa de relações públicas especialista em casos de vazamento de informação — Brunswick — e a Syamantec, entende tudo o que envolve a segurança de informação.

Entre em contato com a Aon, conheça nosso seguro de risco cibernético e saiba como se proteger.

Anteriores

Fale com a Aon

Nossos especialistas estão prontos para ouvi-los e conversar sobre os Riscos Cibernéticos
e as possíveis soluções que o mercado de seguros pode oferecer.

A Aon e outras empresas do grupo usarão suas informações pessoais para contatá-lo eventualmente sobre produtos, serviços e eventos que acreditamos ser de seu interesse. Toda informação coletada é usada de acordo com nossa Política de Privacidade.

Ao preencher os dados, você autoriza expressamente a Aon a coletar, usar, armazenar, transferir e processar seus dados pessoais conforme previsto em tal Política de Privacidade. Por favor assinale este campo caso NÃO deseje receber estes comunicados.