As apólices de seguro permitem transferir o risco para terceiros e manter o negócio relativamente estável na eventualidade de um ataque
|
Apesar de não protegerem as organizações de ciberataques, os seguros cibernéticos apresentam-se como uma possível mais-valia para as organizações manterem as operações estáveis e em andamento, na eventualidade de um ataque. As apólices de seguro cibernético estão a tornar-se mais diversificadas à medida que o mercado amadurece, explica a CSO, contudo, Lori Bailey, diretora de seguros da seguradora comercial Corvus afirma que existem pontos comuns na maioria das apólices de seguro. Por um lado, são utilizados para perdas resultantes da interrupção do negócio, para interrupções contingentes (caso o ataque seja dentro do seu ecossistema), em casos de destruição de ativos digitais, para custos de recuperação de dados e restauro do sistema, falha do sistema, despesas de extorsão (ransomware), despesas de resposta à violação e reparação, e engenharia social e cibercrime, e segurança da rede e responsabilidade de privacidade. Richard Hodson, diretor e corretor de seguros do UKGlobal Broking Group, acrescenta que as apólices também cobrem normalmente comunicações e relações públicas após incidentes, parte essencial para recuperar a imagem da empresa – “estamos agora a ver cada vez mais políticas que oferecem fundos de pós-violação, que incluem formação para evitar repetições de ocorrências e diagnósticos completos do sistema”, explica. Todavia, é de notar que nem todas as políticas são iguais, pelo que as coberturas enumeradas seriam incluídas em políticas cibernéticas abrangentes e autónomas, mas “não necessariamente na cobertura cibernética que é adicionada a uma política de pacotes”, acrescenta Lori Bailey. Adicionalmente, as formas de risco cibernético não estão todas cobertas pelo seguro. Richard Hodson exemplifica: “os danos financeiros causados pela guerra e/ou terrorismo ou falhas de infraestruturas internas não seriam cobertos, nem os custos de reputação que podem ocorrer na sequência de um ataque". Da mesma forma, um vírus que não tenha sido especificamente detalhado no plano de seguro, pode ser excluído, diz Hodson. O aumento do cibercrime e as rápidas mudanças nas variantes de ataque, hoje em dia, com ameaças cada vez mais diversas e sofisticadas, tem levado as organizações a investir mais em apólices de seguro e as seguradoras a abrirem o seu portfólio para responder a novas problemáticas. A tendência é particularmente notória em relação a ransomware, a ameaça mais dispendiosa. O aumento do ransomware levou a que mais organizações considerassem investimentos em seguros cibernéticos, uma vez que muitos viram o custo do ransomware causar enormes perturbações financeiras noutras empresas, assegura Lori Bailey – “além dos custos diretos de um resgate, recuperar destes ataques é dispendioso. Em 2021, os custos de resposta à violação aumentaram de 29% para 52% dos custos globais de reclamação”, completa. Além disso, “as seguradoras estão a aumentar as taxas e padrões para os riscos que estão dispostos a cobrir. Em termos da cobertura em si, algumas seguradoras recuaram no quanto vão cobrir um ataque de ransomware ou reduziram o limite global que estão a oferecer para empresas de uma certa dimensão", diz a diretora de seguros da seguradora comercial Corvus. Mais, “mesmo que as seguradoras não tenham alterado significativamente a cobertura, provavelmente terão instituídas subjetividades nas suas políticas que exigem o cumprimento de certas medidas de segurança fundamentais como condição da política”, conclui. A seguradora Beazley lançou, recentemente, dados que mostram que os preços dos seguros cibernéticos estão a subir exponencialmente. "A pandemia aumentou a vulnerabilidade de muitas organizações ao risco, à medida que milhares de sistemas se deslocavam para plataformas baseadas na cloud para permitir uma força de trabalho remota", diz o CISO da Proofpoint, Andrew Rose, acrescentando que “durante este período, as empresas de seguros cibernéticos urgiram as empresas a reavaliar as suas apólices de seguro, uma vez que a evolução dos seus conjuntos de ferramentas e práticas de trabalho, e as ameaças que lhes são aplicáveis, podem não estar representadas na sua cobertura existente, deixando lacunas e insuficiências inesperadas que podem ser catastróficas". A organização poderá, então, explorar a apólice mais benéfica para o seu negócio tendo percebido o atual estado do mercado de seguros cibernéticos e o âmbito de cobertura. “Cada empresa deve fazer a própria matemática, para equilibrar o custo do seguro, contra o custo do evento, e o custo de oportunidade do dinheiro gasto em prémios anuais. Identifique o que precisa de ser mais protegido. Aplicar limites à cobertura pode reduzir o risco e ajudar a equilibrar o caso do negócio para esta cobertura cada vez mais essencial”, nota Andrew Rose. Andrew Rose e Lori Bailey concordam que é importante que as organizações vejam uma apólice de seguro cibernético como uma oportunidade de parceria para melhorar as estratégias globais de risco de segurança. "Pode ser muito mais do que apenas uma transferência de risco", comenta Bailey. É relevante lembrar que para obter uma apólice de segura as empresas devem ser capazes de mostrar que cumprem uma série de requisitos de segurança, fator tido em conta pelas seguradoras. Por um lado, uma boa higiene cibernética é fundamental, diz Bailey: “Isto inclui uma estratégia de backup robusta, autenticação multi-fator em todos os pontos de acesso críticos, e uma forte gestão de patch. Também continuamos a ver o poder de digitalizar tecnologias e a reforçar proativamente as vulnerabilidades”. Quanto maior for a organização, mais riscos apresenta, pelo que a análise de requisitos deverá ser reforçada. |
Receba todas as novidades na sua caixa de correio!
