Embora o seguro cibernético não seja um método de proteção cibernética, ele pode ter um papel importante na estratégia geral de segurança da sua empresa.
À medida que os custos do cibercrime e do ransomware aumentam a cada ano, as empresas estão sendo extorquidas a pagar milhões de dólares a hackers e cibercriminosos. As seguradoras cibernéticas refletem esses dados em seus esforços para motivar seus clientes a adotar medidas preventivas, para que possam, idealmente, evitar essas situações completamente.
Agora, você pode estar se perguntando se o seguro cibernético é a solução certa para sua empresa. Especialmente para pequenos empresários, pode parecer um custo extra que não podem arcar. No entanto, de acordo com a Allianz, o maior risco global para os negócios em 2024 é a ameaça de incidentes cibernéticos.
Fonte: Allianz Risk Barometer 2024
Infelizmente, no caso de um ataque cibernético bem-sucedido, o seguro cibernético pode ser a última medida entre você e o colapso financeiro completo da sua empresa. Por isso, é crucial considerar tanto os benefícios quanto as limitações do seguro cibernético.
O que o seguro cibernético cobre?
Embora os detalhes variem dependendo do provedor, o seguro cibernético é uma apólice que cobre diversas áreas, como interrupção de negócios dependentes, danos aos sistemas, custos de retificação, perda de lucro, aumento do custo de operação, danos à reputação consequenciais, custos de substituição de hardware e muito mais. Essencialmente, ele aborda as consequências de um ataque cibernético depois que ele ocorre.
No entanto, à medida que as ameaças se tornam mais prevalentes e sofisticadas, as seguradoras cibernéticas estão se protegendo ao alterar suas políticas. Essas mudanças incluem a redução dos limites de pagamento para diferentes tipos de perdas, o aumento dos valores que o segurado deve pagar do próprio bolso antes que a cobertura seja acionada, e uma seleção cuidadosa dos riscos que cobrirão, bem como das indústrias que atenderão. Além disso, continuam a enfatizar controles de segurança cibernética proativos para reduzir o risco cibernético.
Portanto, leia sempre cuidadosamente todos os termos e condições da sua apólice para entender quais riscos estão cobertos e quais não estão.
O que pode não estar coberto?
Fraude financeira resultante de ataques de engenharia social – Se um funcionário disbursar voluntariamente fundos devido a um ataque de spear phishing ou comprometimento de e-mail empresarial (BEC), os fundos podem não ser recuperáveis.
Custo de reforço da postura de cibersegurança após um ataque bem-sucedido – O seguro geralmente não cobre os custos de melhorar a segurança da organização após um ataque.
Potential loss of future profits - Because these are difficult to tie exclusively to the attack, they are typically not covered.
Perda potencial de lucros futuros – Como esses danos são difíceis de vincular exclusivamente ao ataque, geralmente não são cobertos.
Diminuição do valor da propriedade intelectual – As perdas relacionadas ao conhecimento proprietário ou soluções tecnológicas da sua empresa normalmente não são cobertas.
Ataques de estados-nação ou atos de guerra – Normalmente, esses eventos não estão cobertos pela apólice de seguro.
Restrições geográficas – Operações fora do país de origem podem não ser cobertas.
Um equívoco comum entre as empresas é pensar que o seguro cibernético é o mesmo que proteção cibernética. A principal diferença é que, enquanto o seguro lida com as consequências de um ataque, a proteção foca nas medidas preventivas. Implementar medidas preventivas é muito menos complexo do que lidar com as consequências de um ataque. Até mesmo as empresas de seguro cibernético destacam a importância da prevenção e exigem que seus clientes adotem tais medidas.
Portanto, um bom primeiro passo antes de solicitar um seguro é avaliar seu risco cibernético. Você pode fazer isso preenchendo questionários padronizados ou participando de sistemas de classificação de cibersegurança confiáveis, como o SecurityScorecard ou o Standardized Information Gathering (SIG) da Shared Assessment. Independentemente da opção escolhida, você conseguirá comparar sua postura de segurança com a de outros, identificar fornecedores e parceiros da cadeia de suprimentos que carecem de medidas de segurança e ter uma ideia dos preços que pode esperar do segurador, com base na sua classificação.
Para melhorar sua classificação e obter preços mais baixos, considere focar nas seguintes áreas:
- Firewalls: Para monitorar e controlar o tráfego de rede.
- Criptografia: Para proteger dados em trânsito e em repouso.
- Autenticação multifatorial: Para segurança adicional além das senhas.
- Política de senhas de melhores práticas, com aplicação: Para prevenir ataques baseados em credenciais.
- Atualizações regulares de software e gerenciamento de patches: Para fechar lacunas de segurança.
- Sistemas de detecção e prevenção de intrusões: Para identificar e mitigar ameaças.
- Programas de treinamento e conscientização para os funcionários: Para reduzir erros humanos.
- Filtros de e-mail e soluções anti-spam: Para prevenir ataques de phishing.
- Segurança de endpoints: Para proteger dispositivos individuais.
- Auditorias e avaliações regulares de segurança: Para identificar vulnerabilidades.
- Soluções de backup e recuperação: Para garantir a continuidade dos negócios.
- Medidas de segurança física: Para proteger infraestruturas críticas.
- Planejamento de resposta a incidentes: Para responder de maneira eficaz a incidentes cibernéticos.
Quanto custa o seguro cibernético?
O valor que você paga pelo seguro cibernético depende dos riscos que sua empresa pode enfrentar. Quanto melhores as suas medidas preventivas, menor será o valor do seguro. As seguradoras cibernéticas podem realizar avaliações detalhadas das medidas de segurança da sua empresa antes de definir o preço, por isso, é importante garantir que as medidas preventivas estejam em vigor. Soluções como o ESET PROTECT e seus módulos estão bem alinhadas com esses requisitos e oferecem excelente cuidado preventivo.
O crime cibernético é um negócio?
Na conferência global de cibersegurança ESET World 2024, Tony Anscombe, evangelista chefe de segurança da ESET, enfatizou que os cibercriminosos operam como empresas comuns. "Eu não acho que eles estejam sentados em salas escuras com capuzes. Acredito que eles trabalham em escritórios. Eles têm gerentes de campanha, analistas de dados, e administram um negócio. Eles provavelmente têm benefícios e salários. É um jogo diferente do que estamos acostumados." Grande parte de sua renda vem de resgates pagos por seguradoras cibernéticas em nome de seus clientes. Sabendo que os clientes segurados têm mais probabilidade de pagar o resgate, os atacantes podem escolher essas vítimas com base no fato de que elas estão mais propensas a ceder.
Alguns países até tornaram ilegal o pagamento de resgates a cibercriminosos, com a premissa de que, ao pagar, as vítimas estão financiando o crime cibernético. Se uma empresa paga o resgate, os atacantes provavelmente encontrarão outra empresa no mesmo setor e lançarão um novo ataque. Antes de decidir pagar o resgate, as empresas devem sempre verificar as listas de sanções e as leis de seus respectivos países para garantir que não enfrentem mais penalidades ou até mesmo prisão caso decidam cooperar com os criminosos. A ESET recomenda não pagar o valor exigido.
Embora ter uma rede de segurança, como o seguro cibernético, seja essencial quando sua empresa se torna um alvo, concentrar-se em medidas preventivas robustas é ainda mais importante. Essas medidas não apenas previnem ataques digitais, mas também reduzem os custos do seguro cibernético ao diminuir o risco de precisar usar a apólice. Ao combinar prevenção e seguro cibernético, você pode ter a certeza de que sua empresa está tão segura quanto possível.