Entender o que o seguro pode ou não fazer pelos seus negócios é essencial para tirar o máximo proveito de uma apólice
Você deixa panos encharcados de querosene por toda a casa. Um dia, enquanto relaxa diante de um episódio de CSI, a sua mão escorrega e um cigarro aceso incendeia o seu sofá. Sua casa pega fogo. A companhia de seguros paga o estrago.
Hoje, os seguros cibernéticos também têm sido procurados e, como deveria ser óbvio, esse tipo de situação não pode se manter por muito tempo. Em algum momento, as companhias de seguros deixarão de pagar por negligências graves e os avaliadores de seguros examinarão os seus registros com um pente digital fino.
O seguro cibernético pode ser uma parte importante e valiosa do gerenciamento de riscos corporativos. Compreender o que pode e o que não pode ser feito – e a direção que o setor de seguros cibernéticos está seguindo – é fundamental para tirar o máximo proveito de uma apólice. Confira as cinco considerações mais importantes sobre o assunto:
O seguro não é uma varinha mágica que faz com que todos os seus problemas desapareçam. Uma apólice não substitui a criação de um departamento de segurança eficaz.
Até recentemente, muitos executivos não técnicos, sem treinamento ou formação em segurança cibernética, subestimavam os riscos. Bem, os Cassandras estavam certos e, embora seu seguro cibernético possa cobrir relações públicas e resposta a incidentes, ele não cobrirá nem uma fração das perdas se você tiver problemas graves.
Então, quanto de risco você pode garantir com a cobertura? Esse é um assunto privado entre uma seguradora e segurado, mas normalmente as apólices cobrem apenas uma fração do total das perdas. A Equifax estimou as suas perdas em quase um bilhão de dólares, mas recebeu um pagamento de seguro de cerca de US$ 100 milhões.
A maioria das políticas das seguradoras abrange o gerenciamento de crises, alguns trabalhos de resposta a incidentes, incluindo consultoria técnica e algumas perdas. No caso de um grande incidente de segurança, no entanto, o seguro cibernético será um band-aid em um corte feito por um machado.
A utilidade real do seguro cibernético pode ser o trabalho necessário para obter políticas em primeiro lugar. A maioria das apólices de seguro inclui questionários longos com consultas cada vez mais detalhadas sobre controles de segurança específicos em vigor na sua organização. Isso significa que, mesmo para obter um seguro cibernético, é necessário realizar uma auditoria de ativos e processos, que darão a você (e à companhia de seguros) informações.
O cenário de ameaças em constante mudança significa que é difícil definir riscos. Além disso, como você classifica os riscos? Nenhum ser humano com intenções maliciosas causa terremotos e, embora existam incêndios criminosos, é raro se comparado a incêndios acidentais.
Se você fosse a Sony em 2014, por exemplo, como você mediria o risco das forças armadas norte-coreanas invadirem suas redes, destruírem suas coisas e despejarem sua propriedade intelectual – e e-mails confidenciais – na Internet? As companhias de seguros estão bem conscientes da necessidade de quantificar os riscos de maneira mais científica e estão trabalhando duro, mas isso está longe de ser um problema resolvido.
Em 2017, o wiperware NotPetya, que se acredita ser o trabalho de invasores patrocinados pela Rússia, destruiu dados em 1.700 servidores e 24 mil laptops no Mendelez International. A companhia entrou com um pedido de US$ 100 milhões na sua seguradora, a Zurich American Insurance Company, que negou a alegação, dizendo que o NotPetya era uma “ação hostil ou bélica” da Rússia. A Mendelez está atualmente processando a Zurique.
A guerra nunca foi segurável e as apólices tradicionalmente excluíram as reivindicações causadas por atos de guerra. Há advertências: a pirataria é segurável há muito tempo, mas quem decide o que é um “ato de guerra”?
Ao negociar uma apólice de seguro de cibersegurança, identifique o que a sua apólice cobre ou não. Você não quer ser outro Mendelez.
Quando se trata de uma apólice de seguro cibernético, tudo é negociável. O seguro cibernético, como tudo no domínio cibernético, continua sendo um cavalo selvagem. Muitas pessoas estão trabalhando para domá-lo, mas ainda não chegamos a esse ponto.
Além disso, as empresas de seguros cibernéticos ainda estão trabalhando para construir um mercado. Atualmente, o tamanho atual do setor é provavelmente inferior a 10% do que será no futuro. Isso significa que tudo é negociável – termos e, principalmente, preços.
O que a sua empresa precisa de uma apólice de seguro cibernético? Nem tudo serve para todos. Qual é a sua vertical? Com o que você está preocupado? Quais riscos específicos você deseja que o seguro cubra? Como é o seu modelo de ameaça? Como os diferentes incidentes de segurança cibernética afetariam a sua empresa?
Essas perguntas só podem ser respondidas internamente por pessoas com conhecimento profundo e amplo das redes, sistemas, controles, processos e riscos da sua empresa. Encontre-os e os envolva na compra do seu seguro.
Escritórios modernos contêm sistemas avançados de supressão de incêndio. Por quê? Porque as empresas de seguro contra incêndio se esforçaram ao máximo e ofereceram descontos premium significativos para os segurados que realizaram a devida diligência e implantaram essa tecnologia. Assim, os prédios ficaram mais seguros.
Da mesma forma, em um futuro não muito distante, as empresas de seguros cibernéticos exigirão processos e controles e funcionários de segurança cada vez mais robustos.
Já estamos lá? Não. Nós nem entendemos completamente o risco de segurança cibernética e como medi-lo. Muitas pessoas inteligentes estão trabalhando no problema e, à medida que geramos mais dados, o delta de incógnitas diminuirá. No entanto, o seguro não é mágico. O restante do trabalho continua sendo seu, você goste ou não.
