0
0
Nas palavras do ex-diretor do FBI, Robert Mueller, “Há apenas dois tipos de empresas: as que foram hackeadas e as que serão.”
Essa verdade inevitável, juntamente com a crescente conscientização e a crescente frequência de ataques, levou a um aumento constante no seguro cibernético nos últimos anos. De fato, os clientes de seguros que optam pela cobertura cibernética subiram de 26% em 2016 para 47% em 2020, de acordo com relatório do Escritório de Contabilidade do Governo dos EUA (GAO).
Dado o conflito atual na Ucrânia, a indústria de seguros está enfrentando uma pressão crescente e preocupações de que um aumento nos ataques leve a um aumento de sinistros. Embora seja inegável que os atores de ameaças do Estado-nação intensificaram seu jogo para capitalizar o caos provocado pelo conflito Ucrânia-Rússia, o seguro cibernético não é a resposta para a crescente ameaça.
Repensando o seguro cibernético
Quando o seguro cibernético entrou em cena no final da década de 1990, as restrições eram poucas e a cobertura generosa, mas essa tendência mudou nos últimos anos. Há uma forte tendência entre as indústrias de abordar um problema de forma diferente assim que colocarmos a palavra “cyber” na frente dele. Tratar o “cibernético” como diferente e, de certa forma, totalmente desvinculado da fraude tradicional ofusca os fundamentos.
Aspectos da indústria de seguros inicialmente caíram nessa armadilha. No entanto, estamos vendo agora uma mudança para a medição de risco tradicional, com subscritores abordando o seguro cibernético de forma semelhante ao seguro físico – avaliando onde estão os maiores riscos e determinando se eles devem excluir certos riscos da cobertura, bem como estabelecer uma barra para definir o que constitui cuidados razoáveis. Ao mesmo tempo, estamos vendo os prêmios de cobertura dispararem. Até o final de 2020, mais da metade dos detentores de apólices de seguro cibernético viram o preço de sua cobertura subir até 30%, de acordo com o GAO.
Embora o conflito atual na Ucrânia provavelmente leve a um aumento nas compras de seguros cibernéticos, a dura realidade é que a maioria da cobertura não protegerá as empresas contra ataques do Estado-nação ou mesmo ransomware. Na verdade, a maioria das apólices de seguro cibernético já incluem cláusulas para excluir atos de guerra, e após a luta atual, provavelmente veremos um refinamento adicional da linguagem e uma expansão no número de exclusões de cobertura à medida que as seguradoras procuram cobrir seus riscos. Com as companhias de seguros apertando suas bolsas e os atacantes dobrando seus esforços, qual é a resposta para as organizações que buscam mitigar o risco?
Mitigar riscos, não ameaças
A conclusão é que se você está comprando seguros cibernéticos apenas porque espera experimentar um ataque cibernético e não tem certeza se você tem controles adequados no local ou o planejamento certo em torno da recuperação de desastres, você não está investindo como deveria. O primeiro passo antes de comprar uma apólice de seguro cibernético deve ser uma avaliação de risco.
Você não pode fazer as contas sobre se o seguro vale o custo sem determinar o impacto antecipado de um incidente cibernético – e a matemática requer números, o que significa que o risco precisa ser claramente quantificado. Uma abordagem analítica aprofundada provavelmente será o padrão em andamento, com as próprias seguradoras concluindo avaliações para determinar se concordariam em subscrever uma apólice.
Quando o seguro faz mais sentido
Dito isto, o seguro é um componente importante da gestão de riscos. Onde um risco pode ser de alto impacto, mas baixa probabilidade de que isso aconteça, o seguro faz sentido. Entrelaça isso com o custo de mitigar o risco versus a probabilidade de que isso aconteça, e você encontrará altos custos de mitigação com baixa probabilidade de tornar o seguro uma decisão inteligente.
Para muitas organizações, existem medidas básicas que devem tomar para reforçar sua segurança – o dever padrão de cuidado – que devem ser abordados. Se uma avaliação de risco revelar buracos gritantes em sua pilha de segurança, é hora de voltar ao básico e melhorar a higiene cibernética. Dado que muitos departamentos de TI estão com falta de pessoal e sem recursos, é importante automatizar o monitoramento de riscos sempre que possível para identificar e remediar ameaças continuamente e em tempo real.
Mas implantar mais soluções pontuais em toda a sua organização não será feito a menos que você possa ver e controlar toda essa tecnologia quando e onde. Considere consolidar suas ferramentas de segurança sempre que possível para aumentar a visibilidade em toda a sua propriedade de TI. Uma vez que você tenha realizado uma avaliação completa de riscos, estabeleceu uma forte base de segurança e conduziu uma análise clara de custo-benefício – que requer comunicação aberta do CISO ao CFO e até mesmo ao conselho – só então você deve considerar investir em seguros cibernéticos.
Impressão fina do seguro cibernético
À medida que a guerra Rússia-Ucrânia trava e outros estados-nação e criminosos exploram o caos, provavelmente continuaremos a ver o interesse pelo seguro cibernético crescer, mas aposto que as empresas que se inscreverem para apólices serão as que não lerem as letras miúdas.
Assim como vimos um esclarecimento das apólices de seguro cibernético na esteira da NotPetya, o futuro iniciará mais revisão e reescrita de cláusulas de exclusão. Com as seguradoras improváveis de pagar quando se trata de ataques de ransomware em tempos de guerra, as organizações devem se concentrar em higiene cibernética proativa.
Assim como você geralmente pode evitar um acidente de carro se você manter seu carro e dirigir com segurança – tendo uma imagem clara do seu risco e tomando medidas para enfrentá-lo, você pode mitigar a probabilidade de um ataque cibernético devastador. Afinal, o melhor seguro contra um ataque cibernético não é uma apólice, mas uma forte base de segurança.
FONTE: THREATPOST