Cyber Segurança e os impactos na contratação de Cyber Seguros

A Cyber Segurança tem sido um tema cada vez mais crítico no planejamento e direcionamento estratégico das empresas no Brasil. Riscos como vazamentos de dados, ataques cibernéticos, danos a reputação entre outros são fatores que passam a ser discutidos pelo Board das companhias Brasileiras em geral.

O fato é como podemos traçar estratégias para equalizar as atividades das empresas frente ao risco de exposição técnica e funcional que é eminente para as operações? Um fator relevante é ter uma visão cada vez mais minuciosa de todo o landscape tecnológico e assim podermos mensurar em que estágio de maturidade cibernética estamos neste exato momento em nossas empresas.

É um trabalho árduo, e geralmente depende do apetite de risco, orçamento, equipe e, principalmente, conhecimento minucioso das operações para termos priorizações assertivas nessa jornada de adequação. Muitas empresas realizam essa jornada contratando consultorias para realizar um mapeamento geral das vulnerabilidades (Pentest e Assessment) para tratar os pontos mais críticos de exposição.

Estas ações jamais devem ser isoladas ou pontuais, pois um roadmap de melhorias e controles deve ser instituído e assim a cultura de Cyber Segurança ser multiplicada internamente e com os parceiros de negócios.

Podemos tranquilamente afirmar que uma empresa com baixa reputação cibernética ou um Score de segurança questionável já encontra grandes dificuldades de realizar parcerias e até mesmo já estão perdendo negócios importantes, pois acabam transbordando o risco de suas operações para terceiros.

Existem atualmente várias ferramentas no mercado que monitoram o Score de segurança das empresas e de toda a cadeia de fornecimento e futuros clientes, trazendo relatórios completos, do mais técnico à visão executiva de cada uma das vulnerabilidades cibernéticas de nossas empresas, e isso ao alcance de um click em uma destas plataformas. Particularmente vemos com bons olhos o monitoramento pois isso contribui para um ambiente cada dia mais adequado e seguro. Como a organização está se posicionando no mercado? Ou melhor, como está a reputação cibernética aos olhos de parceiros e clientes? Isso deve ser uma preocupação constante.

Depois de um mergulho na operação, quais outras ações e boas práticas o mercado vem direcionando e medindo?

Um dos pontos mais importantes a serem analisados com bastante atenção como como estratégia de mitigação de riscos é a contratação de um seguro cibernético. Recorrentemente é um fator avaliado pelo mercado, impactando na concretização de parcerias e novos negócios como veremos a seguir.

Dados da Superintendência de Seguros Privados (Susep) mostram que a carteira de Seguro Cyber apresentou, como esperado, um crescimento exponencial de janeiro a agosto de 2022, fechando o período com mais de R$ 110 milhões em prêmios emitidos. Isso representa um aumento de mais de 73% em relação ao mesmo período de 2021, quando foi registrado o valor de cerca R$ 63 milhões em prêmios. Segundo a instituição, esse modelo atingiu três dígitos de crescimento em 2020 (130,8%) e em 2021 (173,7%).

Estes dados demonstram a relevância e importância do tema de seguro cibernético no Brasil, já que para o ano de 2023 devemos ter números mais exponenciais devido ao cenário de ciberataques observados no início deste.

Muitas empresas são determinantemente críticas em sua natureza de operações e cada vez mais distantes dos olhos das companhias de seguros, por falta de visibilidade do Score de segurança controlado e estável. Quais são as alternativas para que as organizações tenham as avaliações ou cotações das seguradoras?

As seguradoras exigem cada vez mais demonstrações e comprovações de maturidade de infraestrutura, sistemas e processos para que seja gerado um orçamento e não devemos esquecer que toda esta operação é baseada em riscos.

Fatores como ter um BIA atualizado, um DPIA recente, demonstrativos de resultados de auditorias internas e externas e demais pontos de Compliance Cibernético, como por exemplo, empresas certificadas com o selo da ISO 27001, ISO 27701, PCI vêm sendo amplamente analisado pelas seguradoras no momento inicial, no questionário padrão de cotação.

Uma análise detalhada em todo processo de desenvolvimento de software, integrações, toda a infraestrutura e políticas corporativas como Privacidade, Backup, Gestão de Acessos, Resposta a Incidentes, Continuidade de Negócios, Segurança da Informação entre outras, são cada vez mais solicitadas pelas seguradoras como pontos principais da análise da tomada de riscos.

Um outro ponto que observamos atualmente é a convergência dos fatores de cyber segurança com todo processo de implementação e adequação as leis de Privacidade como LGPD, GDPR entre outras dependendo da atividade das empresas. Demonstrações de mapeamento de dados, classificação de dados entre outros, também são apontados nos questionários das seguradoras e nas reuniões de avaliações de riscos.

Com todo esse cenário crítico sendo analisado e cada vez mais e mais exigências de conformidade sendo colocadas pelas seguradoras, estamos diante de um grande desafio em nossos negócios.

Precisamos estar cada vez mais em linha com as melhores práticas e frameworks de segurança para que o mercado de seguros veja maturidade do cenário corporativo nacional. Desta forma teremos mais ofertas das companhias de seguros e assim conseguiremos ter um ecossistema cibernético cada dia mais resiliente sem impactos nas operações naturais de cada empresa.

Para refletirmos como decisores estratégicos de tecnologia e cibernética das organizações: estamos alinhando as estratégias organizacionais à crescente importância da cibersegurança para os negócios? Como as estratégias para mitigar os riscos de exposição técnica e funcional estão sendo traçadas? Estamos verificando de forma minuciosa o cenário tecnológico e a identificação das vulnerabilidades, versus a correção em tempo hábil?

Acreditamos que poucas organizações dão a devida importância de monitorarem o score de segurança e da sua cadeia de fornecimento, a fim de garantir um ambiente mais seguro e adequado. Para finalizar, estamos preparados para começar a contratar um seguro cibernético na nossa organização, demonstrando as comprovações de maturidade necessárias para a cotação do serviço pelas seguradoras?

Nota – artigo gentilmente cedido ao EXIN por Paulo Baldin e Ronaldo Andrade. Deixamos alguns links no texto sobre programas de certificação EXIN relacionados aos temas abordados!