Cyber Seguro: é bom ter, mas não vai proteger a reputação da sua empresa

Por Daren Glenister *
14/12/2015 - 08h30
O seguro deve ser visto como mais um elemento dentro de uma estratégia abrangente de prevenção e proteção da organização contra violações

Recentemente estive em uma conferência para CISOs – Chief Information Security Officers (diretores de segurança da informação) – que se reuniram para tentar solucionar alguns dos desafios mais comuns do cargo. Um dos tópicos mais abordados foi a segurança cibernética. E fiquei surpreso ao notar que a maioria desses executivos de segurança está protegendo a perda de dados de suas companhias com apólices de seguro cibernético.

O interesse nesse tipo de seguro corporativo vem crescendo ao longo dos anos, juntamente com o aumento de graves violações de dados. Esta é uma forma de as empresas recuperarem parte dos custos financeiros, quando os dados confidenciais são roubados ou expostos. A violação da base de dados da rede de lojas Target, em 2013, nos EUA, levantou a importância de se um ter seguro de responsabilidade cibernética. Na época, os custos relacionados com a violação devem ter ultrapassado os US$ 250 milhões, dos quais US$ 90 milhões foram recuperados por meio da cobertura da apólice.

Embora útil, o seguro cibernético não é a salvação que os CISOs esperam.  Os prêmios estão subindo - às vezes mais de 30% – de acordo com as condições de políticas e isenções. Entretanto, as seguradoras estão elevando as franquias e estabelecendo limites de cobertura. A Reuters relatou que, os prêmios para varejistas e seguradoras de saúde tiveram o maior aumento, se comparado com outras áreas, devido ao crescente número de caríssimas violações de dados nesses setores.

Os custos de uma violação de dados podem chegar a dezenas ou centenas de milhões de dólares, dependendo da indústria e dos requisitos obrigatórios para a divulgação da violação e de notificações. A Reuters também mostrou que algumas seguradoras oferecem cobertura de US$ 100 milhões para clientes de risco. Assim, o pagamento do seguro só pode cobrir uma parte dos custos, que na maioria das vezes incluem:

- Envio de notificações aos consumidores afetados; 

- Serviços de monitoramento de crédito voluntário ou obrigatório; 

- Serviços de PR e comunicação;

- Investigação forense; 

- Ações jurídicas;

- Correção de TI; 

- Multas e outras punições;

- Reputação da marca aos danos; 

- Danos à reputação e à marca; 

- Perda no mercado de capitais.

O seguro cibernético foi regulamentado em 2007 no Brasil pela Superintendência de Seguros Privados (Susep). Desde 2011, algumas das maiores companhias de seguros mundiais, como Liberty, Zurich, Ace e AIG, oferecem apólices de proteção cibernética personalizada de acordo com a necessidade da contratante. A demanda vem, principalmente, dos setores bancário, imobiliário, de turismo, engenharia e educação.

Em 2011 foram registrados aproximadamente 5,5 mil ataques na América Latina, de acordo com dados coletados por uma seguradora. Os dados mostram ainda que há queda de 5% nas ações das empresas que relatam as falhas de segurança.

Isso não quer dizer que o seguro de responsabilidade cibernética não ocupe uma posição de destaque no mundo corporativo, pois ocupa. Entretanto, o seguro deve ser visto apenas como mais um elemento dentro de uma estratégia de proteção da organização contra violações.  Ele não protege contra danos à marca e perda de confiança do consumidor, que podem durar anos, e não salva o trabalho de um CISO caso uma falha grave aconteça.

Uma cobertura legal contra a violação de dados não é o melhor caminho a seguir. Em primeiro lugar, as companhias precisam de um tempo para implantar defesas adequadas de prevenção à violação ou, pelo menos, limitar os efeitos dela. E o melhor caminho para isso é: identificar os ativos críticos de dados, restringir o acesso a eles, aplicar uma abordagem de defesa em camadas, monitorar os ativos de dados para o acesso ou atividade indesejada, e responder prontamente quando algo parecer suspeito. E isso, nenhuma companhia de seguros no mundo pode fazer pela sua empresa.

* Daren Glenister é Field CTO da Intralinks