Seguro cibernético e o seu papel crucial na resposta e recuperação no caso de um incidente; especialistas chamam a atenção principalmente para as pequenas e médias empresas sobre a exposição ao risco
Carol Rodrigues
O que você faria se a sua empresa sofresse um ataque cibernético? Essa reflexão pode ser o ponto de partida para pensar em uma série de proteções e gerenciamento do risco e, claro, o seguro faz parte delas.
Afinal, por conta do aumento da dependência tecnológica e da quantidade de tráfego de dados digitais e transações online, as empresas estão cada vez mais vulneráveis a ataques. Por isso, hoje, a segurança cibernética deve constar nas pautas dos c-levels das empresas.
Se ocorrer um ataque, como a direção da empresa deve reagir? Se ela tiver um seguro cibernético contratado, ele desempenhará um papel crucial na resposta e recuperação. É o que diz André Leão, gerente de Seguros Cyber da Marsh.
“O seguro oferece suporte financeiro para cobrir os custos decorrentes de um incidente, tais como lucros cessantes, investigação forense, notificação de violação de dados, recuperação de sistemas, gerenciamento de crises e, até mesmo, possíveis ações judiciais.
Além disso, as apólices de seguro cibernético também podem fornecer assistência especializada em relação à gestão de crises de relações públicas e restauração da reputação da empresa, assim como um painel de fornecedores que podem ser imediatamente acionados para dar todo suporte aos segurados”, menciona Leão.
Mauricio Bandeira, diretor de Linhas Financeiras e Responsabilidade Civil da Lockton Brasil, complementa que o seguro cibernético ajuda as empresas em diversas frentes. “Desde a necessidade imediata de auxílio de consultores em segurança da informação e peritos forenses, na eventualidade de um ataque, passando por questões relacionadas a reclamações de possíveis terceiros afetados pelo problema (incluindo até mesmo cobertura para multas administrativas) e reembolsando a empresa caso a solução mais efetiva seja o pagamento de um resgate no caso de um ataque ransomware”, acrescenta.
Os sinistros relacionados ao seguro cibernético podem incluir desde ataques de ransomware, vazamentos de dados até fraudes cibernéticas.
“Embora os dados específicos possam variar, observamos um aumento nos casos desses eventos. Estes incidentes podem resultar em custos significativos para as empresas, incluindo custos de investigação, notificação de clientes e recuperação de dados. O seguro cobre estes custos e também tem uma parte de cobertura para responsabilidade civil para danos a terceiros (clientes, fornecedores e outros) protegendo as empresas de multas e ações regulatórias em um vazamento de dados, por exemplo”, explica Carla Almeida, diretora de P&C e Resseguros da AXA no Brasil, ao acrescentar que, além disso, custos de defesas, honorários advocatícios e danos morais também são indenizados pela apólice.
Risco em alta
Segundo relatório da Trend Micro, em 2023 foram registrados 161 bilhões de ataques cibernéticos no mundo, um crescimento de 10% em relação a 2022, quando ocorreram 146 bilhões de ataques.
De acordo com o Relatório de Riscos Globais 2024, produzido pela Zurich e parceria com a corretora Marsh e o Fórum Econômico Mundial, os riscos de desinformação e crimes cibernéticos potencializados pelo uso desordenado da AI, estão em primeiro lugar no ranking de riscos globais quando avaliado um cenário de curto prazo (próximos dois anos).
“Por isso, é preciso fomentar a prevenção para além do seguro. Temos estabelecido parcerias com empresas de tecnologia e consultorias de segurança cibernética para oferecer soluções integradas que combinam seguro cibernético com serviços de avaliação de riscos, monitoramento de ameaças e resposta a incidentes”, diz Hellen Fernandes, gerente de Linhas Financeiras da Zurich Seguros.
O Brasil é o país mais vulnerável a ciberataques na América Latina e as empresas precisam ficar atentas. “Temos percebido uma conscientização maior e uma preocupação das empresas. Obviamente ainda temos um longo caminho a percorrer, mas desde a pandemia, como precisamos entrar em um processo de digitalização muito rápido, algumas empresas começaram a se preocupar e a procurarem o seguro”, acrescenta Carol Ayub, superintendente de Produtos Financeiros da Tokio Marine.
O diretor da Lockton destaca que a análise do risco efetivada pelas seguradoras busca entender como a empresa gerencia seu risco cibernético. “Podemos destacar os principais critérios, além de outros: Adoção da Autenticação Multifator para acesso aos sistemas da empresa, proteção dos dispositivos da empresa (endpoint), utilização de backups, como a empresa atualiza seus softwares, educação e treinamento de colaboradores para conscientização dos riscos e como evitar ataques, gerenciamento de senha”, exemplifica.
Proteção em alta
“É um seguro que está em evidência todos os dias. Abrimos o jornal e vemos notícias de ataques espalhados pelo mundo e tem gerado a preocupação das empresas em contratar. Nas grandes empresas isso tem tido um papel mais importante”, diz Carol.
A Tokio começou a operar com o produto há cerca de três anos e no início percebeu que as empresas não tinham sequer orçamento para a contratação do seguro. “Hoje, elas não só têm, como ao longo dos dois últimos anos, inclusive, aumentaram a verba para a contratação desse seguro”.
“A segurança cibernética nunca esteve tão em destaque nas organizações”, comenta Raquel Cerqueira, superintendente Executiva de Ramos Elementares da Bradesco Seguros. “Além de trazer mais segurança financeira ao patrimônio do segurado por meio das coberturas contratadas, o seguro também faz com que ele tenha seu risco cibernético monitorado constantemente por uma empresa de segurança de dados, que os orientará sobre as melhorias necessárias para reduzir o risco de ataque”, diz a superintendente da Bradesco.
Segundo dados da Confederação Nacional das Seguradoras (CNseg), a procura por proteção a riscos cibernéticos cresceu 880% nos últimos cinco anos. Em 2023, o crescimento foi de 17%.
“Quase seis em cada dez empresas brasileiras sofreram ataques ou incidentes cibernéticos que impediram o acesso aos seus dados em 2023, de acordo com o Índice Global de Proteção de Dados (GDPI). O aumento de casos de vazamentos de dados pessoais nos últimos anos tem jogado luz sobre esses desafios de responsabilidade civil, de segurança e proteção de dados frente as ameaças cada vez mais presentes no dia a dia de empresas e pessoa”, ressalta Hellen.
“Cada vez mais recebemos consultas de empresas que buscam a proteção por meio do seguro, a percepção quanto ao risco cibernético é hoje muito mais clara para os gestores, e mesmo com um investimento alto na política de segurança da informação, não há como obter 100% de garantia que a empresa está imune a ataques”, observa Bandeira.
Carla lembra que a primeira apólice de seguro cibernético foi vendida no Brasil em 2017. “O mercado de seguro cibernético no Brasil tem mostrado um crescimento significativo nos últimos anos, crescendo 94% desde 2021, impulsionado pelo aumento das ameaças e pela maior conscientização das empresas sobre a importância da proteção de dados. Existe um potencial enorme para que esse tema se desenvolva mais no país. Hoje, temos seis players que oferecem seguro cibernético no País”.
“No Brasil, o mercado vem apresentando um forte crescimento em volume de prêmios, aumento de capacidades e ampliação de coberturas. Em 2024, notamos novas seguradoras oferecendo o produto localmente, com condições mais atrativas em relação aos anos anteriores”, observa o gerente da Marsh.
“Estamos monitorando um interesse maior de seguradoras que ainda não operam nessa linha de seguros, temos expectativas de pelo menos mais três seguradoras iniciando sua operação até o final de 2024”, destaca o diretor da Lockton.
No entanto, a diretora da AXA relata que há ainda um longo caminho a percorrer em termos de adoção de medidas proativas de segurança cibernética.
“Muitas companhias subestimam os riscos associados aos ataques cibernéticos, bem como o gerenciamento desses riscos. Em alguns casos, o cliente não entende porque trazemos questionários tão extensos para esse produto. Precisamos mapear todos os possíveis riscos e até recomendar algumas medidas antes mesmo da contratação do seguro a depender do que encontramos. O seguro mitiga as perdas de um ataque cibernético e permite que uma operação possa se restabelecer de maneira mais ágil, porém, ele não previne o ataque. Ele é uma solução complementar a um bom plano de gerenciamento de riscos cibernéticos”, explica.
Atenção especial às PMEs
Se as grandes empresas já possuem a cultura de proteção, as PMEs vivem outra realidade.
“Por conta da nossa experiência no mercado brasileiro, sabemos que essa não é a realidade de empresas de pequeno e médio portes no País”, ressalta Raquel.
“As pequenas e médias empresas ainda acham que não estão expostas e não têm tanto risco e que não irá acontecer com elas. Não é assim. Todas as empresas estão expostas, não somente para um ataque como também a questão de transação de informações ou seja, de dados sensíveis das pessoas”, assinala a superintendente da Tokio.
O diretor da Lockton também observa um gap relevante nas pequenas e médias empresas por conta do ambiente econômico local, em que diversas empresas lutam pela simples sobrevivência, com restrições relevantes de alocação de recursos nessa área.
“No caso das pequenas e médias empresas, falta de pessoal experiente em operações de segurança, subinvestimento em segurança cibernética e orçamentos menores para tecnologia da informação, em geral, são fatores que contribuem para este nível de vulnerabilidade”, comenta Hellen.
“E quando são atingidos por ataques cibernéticos, os custos da recuperação podem até forçar o encerramento de muitas pequenas empresas. E isso não é um problema pequeno: de acordo com o Banco Mundial, mais de 90% das empresas mundiais são organizações de pequeno e médio porte e representam mais de 50% do emprego em todo o mundo. O impacto de incidentes nessas empresas pode ser muito grande”, acrescenta.
Segundo Hellen, as empresas que estão mais próximas do mercado de seguros têm evoluído em sua maturidade de gestão de risco. Um levantamento da Zurich que considerou as avaliações de empresas que procuraram o seguro e clientes de sua carteira, mostrou que, de 2022 para 2023, a gestão da segurança da informação de clientes e prospects melhorou em 17%. “Essas empresas estão mais sensibilizadas sobre a importância de um plano preventivo robusto e equipadas com orientações e ferramentas nessa direção”.
E quem já sofreu um ataque?
De certa forma, as empresas que já foram vítimas de ataques estão mais propensas a contratarem seguros. “Certamente, já que conhecem a magnitude das perdas geradas por ataques. No entanto, grandes empresas possuem departamentos de proteção digital com especialistas de ponta e grandes investimentos em tecnologia e segurança”, comenta Raquel.
“Essa experiência traumática serve como um lembrete poderoso dos danos que podem ser causados por um ataque e da importância de estar preparado. Outro fator que impulsiona a busca por apólice são os incidentes de grande magnitude em empresas conhecidas”, destaca Leão.
Além disso, conforme ele, as seguradoras podem oferecer condições mais favoráveis para empresas que demonstram um compromisso sério com a segurança cibernética, implementando medidas de proteção adequadas. “A contratação de um seguro cibernético após um ataque também pode ser vista como uma medida de responsabilidade corporativa, transmitindo confiança aos clientes e parceiros de negócios”, diz o gerente da Marsh.
Leão observa que, no Brasil, as empresas têm se esforçado para avançar na proteção cibernética. “Com a implementação da Lei Geral de Proteção de Dados (LGPD), as organizações estão mais conscientes da necessidade de proteger os dados pessoais dos indivíduos. Isso tem impulsionado investimentos em segurança cibernética e levado a uma maior adoção de medidas de proteção, incluindo a contratação de seguro cibernético”, comenta.
Além disso, o aumento da conscientização sobre os riscos cibernéticos tem levado a uma maior colaboração entre as empresas, governos e especialistas em segurança cibernética para compartilhar informações e melhores práticas.
“Segundo estudo do International Business Report (IBR), mais de 80% das empresas de médio porte brasileiras já estão investindo ou ainda investirão na proteção contra ataques cibernéticos em 2024”, destaca Raquel.
Especializações e treinamentos para o corretor
Seguros cyber envolvem terminologias e conceitos técnicos, como malware, phishing, ransomware, criptografia, e normas de conformidade como GDPR e LGPD, que podem ser mais complexas de entender completamente. “Por isso, os corretores precisam investir em educação contínua e especialização para entender as nuances dos riscos cibernéticos e as coberturas oferecidas pelas apólices. Outro ponto importante é que as ameaças cibernéticas estão em constante evolução, com novas formas de ataques e vulnerabilidades surgindo regularmente. Isso exige que os corretores estejam sempre atualizados sobre tendências e desenvolvimentos”, recomenda a gerente da Zurich.
A Zurich conta com a experiência de subscritores da área de engenharia de riscos com especialistas em gestão de segurança da informação e no Seguro de Riscos Cibernéticos, que podem apoiar os corretores nesse processo junto aos clientes.
Conforme Raquel, a Bradesco Seguros está atenta às demandas e anseios de todos os seus corretores e, por conta disso, possui canais de apoio comercial, com profissionais capacitados, para apoiar em caso de dúvida durante o processo de cotação e/ou contratação. “Além disso, temos uma plataforma de treinamento para os corretores. Nesse espaço, reunimos cursos e informações essenciais para que o profissional de vendas possa assumir o papel de consultor, indicando as melhores opções de acordo com a necessidade de cada cliente”.
“O Brasil ainda está em desenvolvimento na carteira de cibersegurança. Temos alguns corretores especializados no tema. A AXA tem a vantagem de fazer parte de um grupo com atuação mundial e fazemos parte de um hub em que podemos trocar experiências e aprender com especialistas no mundo inteiro. Isso nos permite contribuir com os corretores para entender melhor o cliente, modular à solução para a sua necessidade e também colocar nosso conhecimento à disposição para atuarmos em parceria nesse mercado”, descreve a diretora da companhia.
Para facilitar a atuação do corretor com essa modalidade de seguros, a Tokio desenvolveu uma plataforma de contratação na ponta. “São perguntas simples para empresas menores, em que o corretor ou o próprio cliente pode entrar e preencher o questionário e obter a cotação na hora. Temos facilitado cada vez mais as ferramentas para colher informações sobre os sistemas de segurança que essas empresas têm para que possamos oferecer uma cotação rápida”. As empresas com faturamento acima de R$ 100 milhões e importância segurada acima de R$ 10 milhões contam com um questionário mais detalhado.
“Temos investido muito em treinamento para os corretores para que tenham segurança para falar desses produtos e instruir o próprio cliente dos riscos aos quais estão expostos de maneira geral, fazendo uma análise mais profunda de tudo a que a empresa está exposta”, conclui Carol Ayub.
Conteúdo da edição de agosto (267) da Revista Cobertura