Recentemente estive em uma conferência para CISOs – Chief Information Security Officers, ou diretores de segurança da informação, em português –, que se reuniram para tentar solucionar alguns dos desafios mais comuns do cargo. Um dos tópicos mais abordados foi a segurança cibernética. E fiquei surpreso ao notar que a maioria desses executivos de segurança está protegendo a perda de dados de suas companhias com apólices de seguros contra riscos cibernéticos.
O interesse nesse tipo de seguro corporativo vem crescendo ao longo dos anos, juntamente com o aumento de graves violações de dados. Esta é uma forma de as empresas recuperarem parte dos custos financeiros, quando os dados confidenciais são roubados ou expostos. A violação da Target, em 2013, levantou a importância de se ter um seguro de responsabilidade cibernética. Na época, os custos relacionados com a violação devem ter ultrapassado os US$ 250 milhões, dos quais US$ 90 milhões foram recuperados por meio da cobertura da apólice.
Embora útil, o seguro cibernético não é a salvação que os CISOs esperam. Os custos das apólices estão subindo - às vezes mais de 30% – de acordo com as condições de políticas e isenções. Entretanto, as seguradoras estão elevando as franquias e estabelecendo limites de cobertura. A Reuters relatou que, os preços para varejistas e seguradoras de saúde tiveram o maior aumento, se comparado com outras áreas, devido ao crescente número de caríssimas violações de dados nesses setores.
Os custos de uma violação de dados podem chegar a dezenas ou centenas de milhões de dólares, dependendo da indústria e dos requisitos obrigatórios para a divulgação da violação e de notificações. A Reuters também mostrou que algumas seguradoras oferecem cobertura de US$ 100 milhões para clientes de risco.
O seguro cibernético foi regulamentado em 2007 no Brasil pela Superintendência de Seguros Privados (Susep). Desde 2011, algumas das maiores companhias de seguros mundiais, como Liberty, Zurich, Ace e AIG, oferecem apólice de proteção cibernética personalizada de acordo com a necessidade da contratante. A demanda vem, principalmente, dos setores bancário, imobiliário, de turismo, engenharia e educação.
Em 2011 foram registrados aproximadamente 5,5 mil ataques na América Latina, de acordo com dados coletados por uma seguradora. Os dados mostram ainda que há queda de 5% nas ações das empresas que relatam as falhas de segurança.
Isso não quer dizer que o seguro de responsabilidade cibernética não ocupe uma posição de destaque no mundo corporativo, pois ocupa. Entretanto, o seguro deve ser visto apenas como mais um elemento dentro de uma estratégia de proteção da organização contra violações. Ele não protege contra danos à marca e perda de confiança do consumidor, que podem durar anos, e não salva o trabalho de um CISO caso uma falha grave aconteça.
Uma cobertura legal contra a violação de dados não é o melhor caminho a seguir. Em primeiro lugar, as companhias precisam de um tempo para implantar defesas adequadas de prevenção à violação ou, pelo menos, limitar os efeitos dela. E o melhor caminho para isso é: identificar os ativos críticos de dados, restringir o acesso a eles, aplicar uma abordagem de defesa em camadas, monitorar os ativos de dados para o acesso ou atividade indesejada, e responder prontamente quando algo parecer suspeito. E isso, nenhuma companhia de seguros no mundo pode fazer pela sua empresa.
Observação: Veja outra matéria que publicamos sobre esse mesmo tema em 18/06/2015: http://coutinho.siteseguro.ws/publique/cgi/cgilua.exe/sys/authoring/editor.htm?login=admin
Fique Seguro: Solicite-nos uma proposta de seguro para riscos cibernéticos pelo telefone (11) 5533-8844 ou pelo e-mail cas@caseguros.com.br