*Daren Glenister
Recentemente estive em uma conferência para CISOs – Chief Information Security Officers, ou diretores de segurança da informação, em português –, que se reuniram para tentar solucionar alguns dos desafios mais comuns do cargo. Um dos tópicos mais abordados foi a segurança cibernética. E fiquei surpreso ao notar que a maioria desses executivos de segurança está protegendo a perda de dados de suas companhias com apólices de seguros cibernéticos.
O interesse nesse tipo de seguro corporativo vem crescendo ao longo dos anos, juntamente com o aumento de graves violações de dados. Esta é uma forma de as empresas recuperarem parte dos custos financeiros, quando os dados confidenciais são roubados ou expostos. A violação da Target, em 2013, levantou a importância de se um ter seguro de responsabilidade cibernética. Na época, os custos relacionados com a violação devem ter ultrapassado os US$ 250 milhões, dos quais US$ 90 milhões foram recuperados por meio da cobertura da apólice.
Embora útil, o seguro cibernético não é a salvação que os CISOs esperam. Os prêmios estão subindo - às vezes mais de 30% – de acordo com as condições de políticas e isenções. Entretanto, as seguradoras estão elevando as franquias e estabelecendo limites de cobertura. A Reuters relatou que, os prêmios para varejistas e seguradoras de saúde tiveram o maior aumento, se comparado com outras áreas, devido ao crescente número de caríssimas violações de dados nesses setores.
Os custos de uma violação de dados podem chegar a dezenas ou centenas de milhões de dólares, dependendo da indústria e dos requisitos obrigatórios para a divulgação da violação e de notificações. A Reuters também mostrou que algumas seguradoras oferecem cobertura de US$ 100 milhões para clientes de risco. Assim, o pagamento do seguro só pode cobrir uma parte dos custos, que na maioria das vezes incluem:
- Envio de notificações aos consumidores afetados;
- Serviços de monitoramento de crédito voluntário ou obrigatório;
- Serviços de PR e comunicação;
- Investigação forense;
- Ações jurídicas;
- Correção de TI;
- Multas e outras punições;
- Reputação da marca aos danos;
- Danos à reputação e à marca;
- Perda no mercado de capitais.
O seguro cibernético foi regulamentado em 2007 no Brasil pela Superintendência de Seguros Privados (Susep). Desde 2011, algumas das maiores companhias de seguros mundiais, como Liberty, Zurich, Ace e Chartis (Grupo AIG), oferecem apólices de proteção cibernética personalizada de acordo com a necessidade da contratante. A demanda vem, principalmente, dos setores bancário, imobiliário, de turismo, engenharia e educação.
Em 2011 foram registrados aproximadamente 5,5 mil ataques na América Latina, de acordo com dados coletados por uma seguradora. Os dados mostram ainda que há queda de 5% nas ações das empresas que relatam as falhas de segurança.
Isso não quer dizer que o seguro de responsabilidade cibernética não ocupe uma posição de destaque no mundo corporativo, pois ocupa. Entretanto, o seguro deve ser visto apenas como mais um elemento dentro de uma estratégia de proteção da organização contra violações. Ele não protege contra danos à marca e perda de confiança do consumidor, que podem durar anos, e não salva o trabalho de um CISO caso uma falha grave aconteça.
Uma cobertura legal contra a violação de dados não é o melhor caminho a seguir. Em primeiro lugar, as companhias precisam de um tempo para implantar defesas adequadas de prevenção à violação ou, pelo menos, limitar os efeitos dela. E o melhor caminho para isso é: identificar os ativos críticos de dados, restringir o acesso a eles, aplicar uma abordagem de defesa em camadas, monitorar os ativos de dados para o acesso ou atividade indesejada, e responder prontamente quando algo parecer suspeito. E isso, nenhuma companhia de seguros no mundo pode fazer pela sua empresa.
*Daren Glenister, Field CTO da Intralinks