É fundamental considerar os desafios e as implicações éticas ao contribuir para o pagamento de demandas de extorsão feitas por cibercriminosos. Qualquer empresa que contrata um seguro cibernético, mesmo que não tenha sofrido um incidente, pode estar ajudando a financiar o fundo utilizado para pagar extorsões de outras organizações. Assim como em um sistema de financiamento coletivo, todos os segurados colaboram para cobrir os sinistros.
Por outro lado, o processo de preparação para se tornar elegível ao seguro cibernético é vantajoso para todas as empresas, mesmo que optem por não contratar a apólice. Esse processo exige uma auditoria completa do ambiente digital, proporciona uma melhor compreensão dos riscos e incentiva a melhoria da postura de cibersegurança sempre que necessário.
Os riscos cibernéticos que as empresas podem sofrer
O risco mais comum, entre os muitos que uma empresa pode enfrentar, chega às caixas de entrada de e-mails na forma de golpes de phishing. Essa ameaça se estende ao ransomware e pode culminar no comprometimento do e-mail corporativo.
Portanto, quando uma empresa decide que o seguro cibernético deve fazer parte de seu plano de resiliência, o primeiro passo é entender o ambiente atual em que opera: onde e que tipo de dados são processados e armazenados, qual seria o impacto de uma interrupção no negócio caso perdessem acesso aos sistemas e dados, além de avaliar sua postura atual de cibersegurança. Isso permitirá identificar melhorias ou mudanças imediatas que possam ser adotadas para fortalecer a segurança cibernética, como a implementação da autenticação em dois fatores, adicionando uma camada extra de proteção às contas corporativas.
Selecionar uma seguradora que compreenda seu negócio e tenha ampla experiência em riscos e seguros voltados para a cibersegurança pode reduzir significativamente os esforços para preencher os questionários preliminares e garantir que as exigências da sua empresa estejam alinhadas com a melhor opção de seguradora disponível.
Normalmente, uma seguradora solicitará informações abrangentes sobre as operações digitais da empresa, o que pode incluir a varredura dos ativos de rede externos para avaliar os riscos, especialmente a identificação de servidores não atualizados que reflitam a política geral de atualização da empresa. Essas informações permitem que a seguradora avalie a seriedade com que a empresa trata a cibersegurança, possibilitando uma estimativa informada do risco potencial e, consequentemente, o cálculo de um valor justo para a apólice.
No entanto, uma oferta de seguro pode estar condicionada a requisitos adicionais de cibersegurança. Por exemplo, é comum que uma seguradora exija que a empresa implemente tecnologias avançadas de cibersegurança, como o Endpoint Detection and Response (EDR). Esse requisito pode se estender à necessidade de que o serviço seja gerenciado por um terceiro, caso a seguradora considere que a empresa não possui os recursos adequados para lidar com as alertas e os resultados gerados por um sistema desse tipo.
Em alguns casos, a seguradora pode solicitar a apresentação dos relatórios gerados pelos sistemas de gestão de cibersegurança para demonstrar que não apenas existem, mas que também estão sendo gerenciados e funcionando de maneira eficaz. Lembre-se de que as seguradoras também desejam proteger seus resultados financeiros: não se trata apenas da segurança do seu negócio, mas de benefícios mútuos.
O seguro é uma questão de confiança
É altamente provável que os requisitos de cibersegurança exigidos pelas seguradoras continuem aumentando à medida que o panorama de ameaças se torna mais complexo e as seguradoras coletam mais dados sobre os riscos apresentados em cenários e segmentos de negócios específicos.
Portanto, a escolha de um corretor e de uma seguradora de confiança é extremamente importante. No infeliz caso de a sua empresa ser vítima de um ciberataque, é essencial saber que a seguradora está ao seu lado e fornecerá os serviços e a assistência descritos na apólice. Felizmente, a maioria das apólices oferece às empresas a experiência e os serviços externos necessários para responder de maneira eficaz a um incidente cibernético no momento em que for necessário, garantindo que todas as bases sejam cobertas.