Apesar de ataques cibernéticos serem um dos principais riscos identificados pelo Relatório Global de Riscos, a grande maioria das organizações ainda está despreparada para responder adequadamente aos incidentes de segurança cibernética. Esta é uma das conclusões do estudo, que é divulgado anualmente pelo Fórum Econômico Mundial com o objetivo de estudar a interconexão do nosso mundo e o impacto que ações podem ter em escala global.
Outro estudo global, conduzido pelo Instituto Ponemon e encomendado pela área de Segurança da IBM, divulgado em abril, descobriu que 77% dos entrevistados declararam não possuir um plano de resposta aplicado consistentemente em toda a empresa, ou seja, para resistir e se recuperar caso incidentes ocorram, e 54% não realizam testes regularmente , o que pode deixá-los menos preparados para gerenciar com eficácia os processos complexos e a coordenação que devem ocorrer após um ataque (fonte ibm).
De acordo com o estudo do Instituto Ponemon, que traz insights de mais de 3,6 mil profissionais de segurança e TI de todo o mundo, incluindo Estados Unidos, Canadá, Reino Unido, França, Alemanha, Brasil, Austrália, Oriente Médio e região Ásia Pacífico, menos de um quarto dos entrevistados afirmou que sua organização usa significativamente tecnologias de automação, como gerenciamento e autenticação de identidades, plataformas de resposta a incidentes, e ferramentas de gerenciamento de eventos e informações de segurança (SIEM) em seu processo de resposta. Além disso, apenas 30% dos entrevistados relataram que sua equipe de segurança é suficiente para alcançar um alto nível de resiliência cibernética e 62% indicaram que o alinhamento das funções de privacidade e segurança é essencial ou muito importante para alcançar a resiliência em suas organizações.
Segurança no Brasil
Sancionada em agosto de 2018 pelo presidente Michel Temer, com o objetivo de aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações no Brasil, a Lei Geral de Proteção de Dados, que entrará em vigor em fevereiro de 2020, obriga as empresas que, de alguma forma, coletam, armazenam e tratam informações de clientes no Brasil, independentemente de seu segmento de atuação, porte ou faturamento, oferecerem medidas para proteção dos dados dos cientes.
Vale destacar que, segundo a Kaspersky, empresa especializada em segurança da informação, o Brasil é um dos países mais atacados por hackers no mundo. Por isso, mesmo com todas as medidas a serem tomadas com a nova lei, as organizações devem se preparar para o fato de que é praticamente impossível ter sistemas 100% seguros. Uma camada extra de proteção vale a pena, como um seguro de riscos cibernéticos que tenha coberturas específicas para diferentes situações em que os dados da empresa são expostos a terceiros.
“Importante ter consciência da importância de ferramentas de proteção, mas também do seguro. Dos pequenos negócios que armazenam números de telefones e endereços a grandes empresas e e-commerce que trabalham com dados bancários dos clientes, todos podem ser alvos de ataques capazes de arruinar finanças e reputação”, alerta Victor Perego, especialista em Riscos Cibernéticos da AIG, pioneira no lançamento desse seguro no Brasil.
O Seguro de Riscos Cibernéticos da AIG cobre diferentes situações em que as empresas se veem expostas aos crimes de vazamento de dados e ransomware (sequestro de dados). Além disso, oferece ampla cobertura em caso de vazamento de dados armazenados por uma empresa, inclusive contempla o pagamento de multas, como será agora exigido pela nova legislação. Outras coberturas também são oferecidas: custos de notificação da empresa a seus clientes, e responsabilidade pela segurança de dados, ato, erro ou omissão que resulte na divulgação dessas informações devido a uma violação de segurança, além de ressarcimento por lucros cessantes.
Principais situações e coberturas
Ocorrência |
Consequência |
Apólice |
Destruição de base de dados | Prejuízo operacional e financeiro da empresa | Custos e despesas para determinar se os dados eletrônicos podem ser ou não restaurados, restabelecidos ou recriados; ou restaurar, restabelecer ou recriar os dados eletrônicos, quando possível |
Perdas causadas a terceiros em decorrência de ataque cibernético | Reclamação de terceiros por prejuízos sofridos em decorrência de um ataque cibernético, que podem envolver a violação de privacidade, roubo de código de acesso ou a contaminação por malware | Pagamento das perdas devido a terceiros | acordos e/ou indenizações | custo de defesa |
Violação de segurança e vazamento de dados | Reclamação de terceiros por prejuízos sofridos | Pagamento das perdas devido a terceiros | acordos e/ou indenizações | custo de defesa |
Destruição ou contaminação de bancos de dados | Destruição de bases de dados cadastrais ou transacionais em decorrência de ataque cibernético, causando prejuízos operacionais e/ou financeiros à organização | Os custos para restaurar ou recriar os bancos de dados danificados ou destruídos são pagos pela apólice do CyberEdge |
Extorsão ou ransomware | Destruição de bases de dados cadastrais ou transacionais em decorrência de ataque cibernético, causando prejuízos operacionais e/ou financeiros à organização | Os custos para restaurar ou recriar os bancos de dados danificados ou destruídos são pagos pela apólice do CyberEdge |
Interrupção de rede decorrente de violação de segurança | Lucros cessantes do segurado | A seguradora pagará o lucro líquido que teria sido ganho ou despesas operacionais contínuas incorridas durante a interrupção material, incluindo gastos com folhas de pagamento |
Violação de segurança e vazamento de dados | Investigação administrativa | Honorário, custos e gastos que o segurado incorra, para o assessoramento legal e a representação relacionados a uma investigação |
Violação de privacidade | Danos à imagem da organização e à reputação dos responsáveis pela proteção de dados, investigações administrativas de órgãos reguladores, multas e penalidades previstas nas leis de proteção de dados | Os custos decorrentes de investigações administrativas e regulatórias, assim como o custo com peritos forenses computacionais e o pagamento de multas relacionadas à violação de leis de proteção de dados podem ser transferidos para a apólice de seguros |
Vazamento de informações | Perda de confiança dos clientes, impacto negativo na reputação da organização | Gastos relacionados com a gestão da crise, custo de equipe de relações públicas que atuará na definição de estratégias, bem como o custeio das notificações a serem realizadas aos indivíduos que tiveram dados vazados |
Leia mais artigos em nosso blog: