Sua empresa deve contratar um seguro para riscos cibernéticos?

Fonte: CIO

À medida em que os dados se tornam cada vez mais importantes para as empresas, as consequências de invasões podem ser ainda mais desastrosas

Foto: Shutterstock 

Atualmente, a segurança cibernética é uma das maiores prioridades das empresas. Apesar de alguns tipos específicos de ataques estarem diminuindo, não faltam histórias sobre companhias que sofrem violações de dados.

No mês passado, a Norsk Hydro, conglomerado industrial norueguês com empresas de produção de alumínio e energia renovável, teve 22 mil computadores desligados em 170 locais diferentes em todo o mundo após um ataque de ransomware. Embora a empresa tenha optado por não ceder às exigências de resgate dos hackers, a retomada da operação custou à companhia mais de 57 milhões de dólares.

À medida em que os dados se tornam cada vez mais importantes para as empresas, as consequências de invasões podem ser ainda mais desastrosas. Infelizmente, as medidas tradicionais de segurança nem sempre são adequadas, já que o que se observa são ataques cada vez mais sofisticados e direcionados.

Diante de todo esse cenário, afinal, qual é a solução? Empresas que tem seus bens físicos roubados geralmente têm seguro para cobrir os danos. O mesmo pode ser feito em casos de violação de dados? E os seguros de riscos cibernéticos são capazes de atenuar os danos causados por ataques de escala como foram os da Norsk Hydro?

O que é o seguro de riscos cibernéticos

O seguro cibernético não é um conceito novo. Ele apareceu pela primeira vez na década de 1990 e continuou a ganhar popularidade desde então. No entanto, apesar de um relatório recente da Telstra Security alegar que 36% das empresas atualmente têm esse tipo de seguro, ainda há várias dúvidas sobre quais proteções as seguradores devem oferecer em casos de ataques.

No início deste ano, foi relatado que a Zurich American Insurance Companyse recusou a pagar uma apólice depois que a empresa americana de alimentos Mondelez perdeu 1.700 servidores e 24.000 laptops durante o ataque NotPetya, em 2017. Por outro lado, a violação de dados da Equifax, que afetou mais de 147 milhões de pessoas e custou à empresa US$ 439 milhões, foi parcialmente coberta pelo seguro.

"O recente crescimento de seguros cibernéticos chegando ao mercado mostra que milhares de pequenas e médias empresas estão contratando produtos cheios de contingências técnicas que poderiam - e frequentemente fazem - anular suas reivindicações", explicou Michael Mittel, presidente e gerente geral da especialista em segurança cibernética RapidFire Tools.

Ao adquirir um seguro sem clareza sobre o que é coberto pelas companhias, as organizações dificilmente sabem em quais situações seriam reembolsadas.

Existem maneiras melhores de gerenciar riscos?

Depois dos ataques contra a Norsk Hydro, diversos porta-vozes da empresa fizeram declarações públicas alegando que a companhia contava com uma robusta política de seguro cibernético. Apesar disso, Eivind Kallevik, diretor financeiro, explicou em coletiva de imprensa que o seguro tem um "teto", sem especificar o valor.

Calcular o risco para empresas de variados setores não é tarefa simples e, com poucas pessoas dispostas a declarar publicamente casos de violação de seus dados, as seguradoras que buscam entrar no mercado de seguros cibernéticos lutam para encontrar informações que respaldem suas políticas de cobertura.

Outra questão importante é que, em geral, a contratação de seguros fica nas mãos do CFO, o que significa que os profissionais de segurança podem acabar tendo pouco envolvimento na seleção das apólices. Como resultado, os seguros contratados raramente oferecem às empresas o nível de cobertura de que precisam, deixando mais lacunas nas suas estratégias de segurança.

“As empresas ainda giram em torno das cinco classes de ativos clássicos: monetária, física, relacional, organizacional e humana, que imagino que terão seguro para proteger. E, no entanto, eles não colocam a segurança de dados nessa categoria", afirmou George Marcotte, diretor da Accenture Digital. “São apenas as novas empresas que veem os dados como uma sexta classe de ativos. Como os dados se tornam mais vitais para o sucesso dos negócios, não tomar todas as medidas para protegê-los é como esquecer-se de manter as jóias na coroa”, completou.

Um ponto positivo para a recente adoção de seguros cibernéticos é a exigência de que as empresas façam uma avaliação de risco de segurança antes da contratação. Apesar desses testes ainda variarem, fazer com que uma outra companhia analise as estratégias de segurança e se certifique de que medidas básicas, como criptografia, estejam sendo aplicadas pode ajudar a reduzir os riscos a longo prazo.

É claro que os seguros cibernéticos têm sua importância, mas ainda há muito trabalho a ser feito por parte das seguradoras e contratantes antes que essas soluções sejam realmente adequadas. Para além da aquisição de apólices, é fundamental que as companhias invistam em tecnologias para a prevenção e redução de riscos, trabalhando fortemente em parceria com equipes especializadas em segurança.