A partir desse ponto também é possível definir o apetite que se tem para reter o risco internamente e o apetite de transferência do risco para uma apólice de seguros.

A demanda por seguros para riscos cibernéticos não para de crescer depois que a Lei Geral de Proteção de Dados (LGPD) brasileira entrou em vigor, em 18 de setembro. Mas como calcular o risco? E se o banco de dados usado pela empresa tiver sido comprado de terceiros? O seguro cobre todos os riscos? O que muda com as novas regras da Superintendência de Seguros Privados (Susep)? “Sim, a Zurich Brasil Seguros está totalmente adequada às determinações do órgão regulador”, conta Fernando Saccon, superintendente de Linhas Financeiras e Seguro Garantia da Zurich no Brasil. Leia como o seguro pode ajudar empresas a mitigar o risco de ataques cibernéticos na entrevista concedida pelo executivo ao blog Sonho Seguro.

As perdas em ataques de hackers são incalculáveis. Como fazer o seguro sem ter previsibilidade? Ou como ter previsibilidade?

O seguro é um dos itens de gestão do risco cibernético; uma estratégia bem-sucedida de gestão passa por conhecer os riscos que se tem internamente. As empresas podem recorrer a metodologias de análise de risco de segurança, como a NIST ou a ISO 27001, por exemplo, ou até a uma análise de impacto de negócio, na qual cada risco organizacional é avaliado quanto à probabilidade de ocorrer e o impacto que poderia causar à companhia. Mas mapear todas essas informações não é sempre é uma tarefa fácil. Pensando nisso, a Zurich, por meio de seus engenheiros especializados em Riscos Cibernéticos, performa junto às empresas uma avaliação de riscos, ajudando-as a identificá-los e propondo melhores práticas de gestão.

O seguro da Zurich, o “Zurich Proteção Digital”, também conta com uma ferramenta bastante efetiva para isso. Trata-se de um aplicativo, o Zurich Risk Advisor (ZRA), que possibilita que sejam feitas avaliações de riscos à distância, em tempo real e em qualquer parte do mundo. Recentemente, o app ZRA foi incrementado com a adição do módulo Self Risk Assessment, totalmente voltado aos riscos cibernéticos, o que o torna ainda mais eficiente para esse tipo de avaliação.

O app possibilita uma avaliação rápida, simples e ampla para identificar os riscos nos ativos físicos e de software, assim como os controles de proteção em torno dos recursos organizacionais, sistemas de detecção de segurança cibernética, processos e procedimentos de planejamento de respostas e de recuperação de dados.

Como o cliente pode saber qual a parte do risco que ele pode transferir para seguros e qual ele terá de assumir?

Conhecendo o próprio risco e lançando mão de ferramentas e metodologias respeitadas, fica mais fácil endereçar estrategicamente cada vulnerabilidade para mitigar e endereçar cada risco. A partir desse ponto também é possível definir o apetite que se tem para reter o risco internamente e o apetite de transferência do risco para uma apólice de seguros. Assim, torna-se importante conhecer as soluções e coberturas disponíveis no mercado segurador para o risco cibernético.

Para tal, é preciso avaliar em quais frentes o seguro de risco cibernético atua. Há duas frentes em que o seguro da Zurich age:

• A primeira frente é sobre questões de responsabilidade civil perante as pessoas afetadas, sejam clientes ou funcionários das empresas, ou instituições que os representem por conta do vazamento indevido de seus dados pessoais. Neste caso, o seguro permite o pagamento dos custos de ação civil, coletivas ou individuais, incluindo advogados, para a defesa da instituição e prejuízos financeiros causados às pessoas afetadas, inclusive danos morais. Já a segunda frente é para o pagamento de custos e despesas para ajudar a empresa a lidar com a crise causada pelo vazamento de dados. Neste caso, há a necessidade de contratar especialistas para determinar a extensão do dano, seja em aspectos contábeis, técnicos ou mesmo de imagem. O objetivo aqui é reduzir os efeitos negativos à reputação da empresa.

Dentro da Circular 621, o cyber será incluído em outra cobertura, como incêndio?

O seguro de risco cibernético é um produto específico e segregado; um seguro de proteção de dados que foi concebido para cobrir privacidade, segurança e dependência de dados. Isto significa que todas as coberturas transitam nesse entorno; não, cobrem, portanto, bens materiais, relativos à propriedade.

Como separar os valores de indenização para cada cobertura dentro de uma única apólice para que fique claro ao cliente?

Hoje as apólices de cyber já respondem com suas indenizações, respeitando as coberturas e seus respectivos limites máximos de indenização ou sublimites por cobertura. Assim, há as coberturas básicas (como, por exemplo, em caso de um vazamento de dados e o cliente processar a empresa por isso, o seguro atuará nessa frente), assim como há as coberturas adicionais. Estas são contratadas pelo cliente de acordo com suas necessidades específicas.

Praticamente todas as empresas compram dados de outras empresas. Se houver vazamento, o seguro cobrirá se os dados foram comprados de terceiros? Se não, isto está claro na apólice?

Aqui é importante lembrar que a Lei Geral de Proteção de Dados Pessoais (LGPD) impõe deveres às empresas que coletam dados pessoais. Tanto com relação à finalidade da coleta, uso e compartilhamento e proteção desses dados. Com isso, as empresas devem procurar ferramentas para gerir essa questão de maneira adequada e eficiente, buscando conhecimento e proteções de acordo com a legislação e com cada modelo de negócio.

Uma estratégia bem-sucedida de segurança e privacidade de dados passa por criar a consciência dos riscos dentro da instituição e garantir que haja um engajamento da alta administração para garantir que toda a estratégia seja colocada em prática. Uma companhia pode educar seus funcionários e ter os melhores firewalls e software de detecção de intrusões, mas no final do dia ainda pode ocorrer um incidente que afete sua rede e cause uma violação de dados. No caso de um incidente, é necessário que ela possa, com rapidez, mitigar os danos causados à empresa e às pessoas que tiveram seus dados expostos.

Nesse sentido, a apólice de seguros inclui coberturas de pagamento de custos e despesas para ajudar a companhia a lidar com a crise causada por esse vazamento de dados e cumprir com suas responsabilidades perante as pessoas físicas atingidas. Nesses casos, há a necessidade de contratar técnicos para determinar a extensão desse dano, especialistas para mitigar as exposições e para auxiliar a empresa a cumprir seu dever de transparência/notificação com relação às pessoas físicas. O objetivo aqui é reduzir os efeitos negativos do vazamento.

Fonte: Sonho Seguro - SindsegRS