Seguro contra riscos cibernéticos

Vazamento de dados pessoais de clientes e colaboradores, indisponibilidade de ativos críticos, sequestro de informações, mineração de criptomoedas e roubo de credenciais de acesso são apenas alguns dos eventos indesejados que podem resultar em diferentes tipos de impactos – financeiro, legal e operacional, por exemplo – e até mesmo comprometer a imagem da instituição.

Somado a esse cenário caracterizado pelo aumento do número de incidentes de segurança, temos em curso a quarta revolução industrial, que se distingue, entre outros aspectos, pelo uso massivo de tecnologias (impressão 3D, internet das coisas, realidade aumentada, computação em nuvem) nos mais variados segmentos de mercado, como saúde, educação, manufatura e serviços. Logo, a tendência é que tenhamos o aumento da exposição das empresas às ameaças já mencionadas e, ainda, a novos riscos que surgem conforme tecnologias e novos modelos de negócios são desenvolvidos.

Para que as organizações identifiquem os eventos que possam comprometer os objetivos e a continuidade dos negócios, a definição de uma estratégia de segurança alinhada com o processo sistemático de gestão de riscos é fundamental. É nesse contexto que surge no Brasil, há pelo menos quatro anos, a oferta de seguro cibernético, que consiste em uma ação de compartilhamento de riscos entre a empresa contratante e a seguradora, cujo objetivo é minimizar os impactos decorrentes de ataque cibernético.

De forma análoga ao que ocorre na contratação de seguro para casa ou carro, a seguradora deve fazer uma avaliação do grau de exposição da empresa aos riscos cibernéticos. Aí começam os desafios, já que a empresa que busca a contratação do seguro precisa ter feito a lição de casa, ou seja, implementado a estratégia de segurança cibernética. Portanto, a contratação do seguro para ataques cibernéticos não é a bala de prata. Por outro lado, a estimativa do valor do seguro ainda gera muitas discussões tanto na indústria quanto no âmbito acadêmico.

Mas no que consiste a cobertura de uma apólice de seguro cibernético? A resposta pode variar conforme diversos fatores que não serão explorados neste texto, mas de forma geral as seguradoras contemplam nas apólices cobertura a terceiros e ao segurado, e reembolsa custos decorrentes de um incidente de segurança. Por exemplo, custo com a substituição e restauração de ativos, despesas com investigações, indenizações, em casos específicos, e apoio na gestão da crise; além dos prejuízos indenizáveis decorrentes de indisponibilidade de serviços (ataques de negação de serviços) e resgate de informações (ataques de ransomware).

De acordo com as previsões realizadas pelo Gartner, as empresas do mundo todo devem investir em 2019 algo em torno de US$ 124 bilhões em tecnologia para proteção contra ataques cibernéticos, um aumento de aproximadamente 9% em relação ao montante empregado no ano anterior. Entretanto, o custo com o crime cibernético, que já atinge o patamar de US$ 600 bilhões ao ano, tende a aumentar. Fica claro que o investimento em tecnologias de proteção, embora fundamental, não é o bastante para eliminar a possibilidade de que ataques sejam bem-sucedidos.

Quando voltamos a atenção para o Brasil – um dos líderes mundiais em número de crimes cibernéticos – constata-se, segundo informes recentes de seguradoras, o aumento na procura pelo seguro para riscos dessa natureza. Os vazamentos de dados dos quais foram vítimas recentemente inúmeras empresas nacionais, as resoluções impostas pelo Banco Central e a Lei Brasileira de Proteção de Dados Pessoais (LPDP) devem dar ainda mais visibilidade para esse tipo de seguro.

Os principais clientes brasileiros das seguradoras são instituições financeiras, de saúde, prestadores de serviços de tecnologia e indústrias. Trata-se de um mercado em crescimento e, portanto, ainda com muitas oportunidades a ser desenvolvidas.

Em hipótese alguma a contratação de um seguro cibernético, independentemente do que esteja previsto na cobertura, substituirá a definição e implementação de uma estratégia de segurança que esteja alinhada com os objetivos da organização.

(*) Leonardo Lemes é diretor de Segurança Cibernética da Service IT, integradora de soluções e serviços de TI especializada em outsourcing e consultoria.