Seguro ajuda a reduzir custo real do cibercrime

Fonte: Valor Econômico
Por Ana Lúcia Moura Fé | Para o Valor, de São Paulo

Há cerca de quatro anos, quando descobriu vazamento de dados de mais de 100 milhões de clientes, a varejista americana Target tinha US$ 100 milhões em ciberseguro, apólice que cobre custos decorrentes de ataques de hackers, violações de dados e outros riscos cibernéticos. Em meados de 2017, os prejuízos com o evento superavam US$ 450 milhões, com estimativa de que atingissem US$ 1 bilhão até o fim daquele ano, segundo a imprensa dos Estados Unidos.

A discrepância ilustra a dificuldade de se avaliar o impacto do cibercrime nos negócios. Segundo a Deloitte, custos cobertos por seguro são muitas vezes apenas a ponta de um iceberg. Abordagens tradicionais para cálculo, diz a consultoria, enfatizam os mais fáceis de quantificar, deixando de fora os intangíveis, como desvalorização do nome comercial. Além disso, focam mais o roubo de dados pessoais, sem considerar incidentes graves que não envolvem necessariamente violação de registros.

No Brasil, a parte visível do iceberg é mensurada pelo Ponemon Institute, que avalia custos reais de companhias que sofreram perda ou roubo de dados. Os custos organizacionais atingiram, em média, R$ 4,72 milhões em 2017. As companhias avaliadas tiveram entre 2 mil e 97 mil registros comprometidos, com custo médio por registro de R$ 246,00, ou 9% a mais do que em 2016.

O estudo não cobre custos relacionados a perda de propriedade intelectual, segredos comerciais e informações confidenciais de negócio. Considera apenas gastos tangíveis, como contratação de especialista forense, linha direta para suporte terceirizado, relações-públicas e investigações internas, entre outros. Segundo Flávio Sá, gerente de linhas financeiras da AIG Brasil, o seguro não ampara danos à imagem por serem subjetivos, mas o fator é considerado para efeito de análise de risco. "Porque o tamanho da empresa e sua reputação são motivadores para ataques."

Uma vantagem do seguro, segundo ele, é que as empresas ficam mais aptas a mitigar os efeitos da crise de imagem e a normalizar a operação mais rapidamente. "Só a notificação aos clientes e o monitoramento para verificar se dados violados não estão sendo usados para fraudes podem custar entre US$ 250 e US$ 500 por registro, gasto que o seguro cobre", diz Sá, lembrando que, no Brasil, o Ministério Público vem obrigando empresas a notificarem clientes vítimas de vazamentos.

Roberto Hernández, diretor de sinistros da Zurich no Brasil, salienta a importância de resposta eficaz nas primeiras 24 horas após o evento, como forma de conter a escalada de custos. "É crucial que nesse período já se disponha de plano com todas as ações a serem implementadas e respectivos responsáveis". A seguradora desenvolveu protocolos para resposta imediata que podem ser adequados à realidade de cada empresa, diz o diretor.

Rafael Venâncio, diretor de canais e alianças da F5 Networks Brasil, destaca a necessidade de regulamentação específica de proteção de dados para dar às organizações visão mais clara sobre custos e obrigações. "Um padrão de proteção da informação traria diretriz sobre o que precisa ser feito antes e depois de ataques". Enquanto isso, as empresas devem incrementar a segurança. "Cerca de 90% do investimento ainda está na camada de redes, deixando vulnerável a camada de aplicações".

Renato Santos, especialista em segurança da Trend Micro, questiona a necessidade de armazenamento de todas as informações dos clientes. "Manter dados desnecessários, de cadastro ou de transação, só aumenta a superfície de ataque."

Na Microsoft, Andrés Rengifo, diretor da unidade de crimes digitais para a América Latina, defende a adoção de múltiplos fatores de autenticação para reduzir ou riscos. "Isso significa usar reconhecimento facial ou impressão digital para acessar rede ou e-mail, além da senha tradicional". Ele também incentiva a atualização e correção frequente de sistemas. "As empresas não vão vencer ameaças cada vez mais sofisticadas com ferramentas do passado."