Opinião do Especialista Segurança da Informação

Panorama Atual do Seguro Cibernético no Brasil – o Relevante Papel do CISO

Publicado por Paulo Pagliusi

1. Introdução

A tecnologia alterou a maneira como os negócios são feitos e, com ataques virtuais cada vez mais sofisticados, os riscos cibernéticos são uma realidade nas companhias. Uma invasão hacker, vírus ou malware, acesso não autorizado à rede ou vazamento de dados de terceiros pode levar as empresas a acumular grandes prejuízos.

À medida que a frequência e a gravidade dos ataques de ransomware, phishing e negação de serviço aumentaram, a demanda por seguro cibernético também aumentou. Cerca de US$ 6,5 bilhões em prêmios emitidos diretamente foram registrados em 2021, um aumento de 61% em relação ao ano anterior, de acordo com um memorando de outubro de 2022 da Associação Nacional de Comissários de Seguros, com sede nos EUA.

O Brasil tem enfrentado um aumento significativo nos ataques cibernéticos e violações de dados, impulsionando a demanda por soluções de seguro cibernético, exigindo do CISO um papel cada vez mais relevante nesta decisão. Este artigo oferece uma visão abrangente do atual cenário do seguro cibernético no país, destacando as tendências, desafios e oportunidades emergentes neste mercado em constante evolução.

2. Tendências em Segurança Cibernética

Nos últimos anos, o Brasil tem sido alvo de uma escalada sem precedentes nos ataques cibernéticos, enfrentando um aumento significativo no número e na complexidade destes ataques. O Brasil é o segundo país mais impactado por crimes cibernéticos na América Latina. As informações constam em uma pesquisa realizada pela empresa de segurança Fortinet. Segundo os dados, foram cerca de 103,1 bilhões de tentativas de ataques apenas em 2022, superado apenas pelo México, que registrou cerca de 187 bilhões no período.

Conforme dados de pesquisa realizada pela SAS Institute, empresa de business intelligence, a maioria dos consumidores brasileiros (80%) disse ter sofrido algum tipo de fraude digital ao menos uma vez, e os dados pessoais e financeiros dos usuários valem ouro para os cibercriminosos.

De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), houve um aumento de 85% nos incidentes de segurança relatados em 2023 em comparação com o ano anterior. Isso inclui uma variedade de ataques, como phishing, ransomware, ataques de negação de serviço (DDoS) e violações de dados em larga escala.

Por exemplo, em 2021, o vazamento de dados da empresa de varejo brasileira Magalu expôs informações confidenciais de mais de 160 milhões de clientes. Tais dados refletem a crescente sofisticação e diversidade desses ataques, representando uma ameaça significativa à segurança das informações no país.

3. Desafios e Impacto Financeiro

Os ataques cibernéticos não apenas comprometem a segurança dos dados, mas também têm um impacto financeiro substancial para as empresas. De acordo com o Relatório de Custos de Violação de Dados da IBM, o custo médio de uma violação de dados no Brasil aumentou para US$ 1,35 milhão em 2023. Além disso, as empresas enfrentam multas substanciais devido a violações da Lei Geral de Proteção de Dados (LGPD), que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Quando até mesmo os planos de segurança cibernética mais bem estabelecidos falham, o seguro cibernético pode ajudar a mitigar a exposição de uma organização ao risco financeiro e operacional

4. Regulamentação e LGPD

A entrada em vigor da LGPD em 2020 impôs requisitos rigorosos às empresas brasileiras em relação à segurança cibernética e proteção de dados pessoais. Por exemplo, a LGPD exige que as organizações implementem medidas de segurança adequadas para proteger dados pessoais, como o uso de criptografia e o estabelecimento de políticas de acesso. O não cumprimento desses requisitos pode resultar em multas severas, já descritas na seção anterior, sobre impacto financeiro. Em adição a isto, a alta probabilidade de um ataque cibernético causar sérios danos à reputação de uma empresa destaca a importância de se investir em um seguro cibernético – uma estratégia inteligente para proteger seu patrimônio e minimizar riscos, de certa forma, terceirizando-os.

5. Oportunidades no Mercado de Seguros

Apesar dos desafios, o mercado de seguro cibernético no Brasil oferece oportunidades significativas para o setor. O Seguro Cibernético é um protecional adicional às empresas, uma apólice que visa amparar perdas financeiras decorrentes de ataques virtuais maliciosos, ou mesmo de incidentes decorrentes de erros ou negligências causados internamente na companhia, que resultem em vazamento de dados e outros danos ligados ao sigilo da informação. Com o aumento da conscientização sobre os riscos cibernéticos e as exigências regulatórias, as empresas estão buscando cada vez mais cobertura de seguro cibernético para proteger seus ativos digitais.

Por exemplo, a AIG foi a pioneira, sendo a primeira seguradora a oferecer o seguro de responsabilidade cibernética no Brasil, o “CyberEdge”, em 2012. Tal protagonismo levou a seguradora a ocupar a posição de líder de mercado, oferecendo diversas assistências agregadas, que vão além das coberturas por perdas financeiras tradicionais, dando aos clientes recursos para prevenção de riscos e gerenciamento de crises na rede. Já a Porto Seguro lançou recentemente o “Cyber Security Insurance”, um produto que oferece cobertura para empresas contra uma ampla gama de riscos cibernéticos, incluindo violações de dados e interrupções de serviços. A Zurich também lançou o seguro “Zurich Cyber Solutions”, para as companhias que se preocupam com a privacidade e segurança dos seus dados.

7. Papel do CISO na Apólice de Seguro Cibernético

Nos últimos anos, tanto no Brasil quanto no exterior, as seguradoras têm aumentado seus critérios para apólices de seguro cibernético, exigindo que as organizações demonstrem controles de segurança robustos, como autenticação multifator e planos de resposta a incidentes. Essa elevação de padrões tem gerado maior envolvimento dos líderes de segurança empresarial no processo de aquisição de seguros, demandando ajustes nas estratégias para atender às novas exigências das seguradoras. Como resultado, o seguro cibernético pode não estar prontamente disponível para todos, com os custos das apólices aumentando e as seguradoras solicitando mais evidências de estratégias eficazes de segurança cibernética antes de fornecer cobertura, o que tem levado muitas empresas a se adaptarem para atender a esses termos.

Essa mudança no mercado tem ampliado o papel dos CISOs nas discussões e aquisições de apólices de seguro cibernético, exigindo uma abordagem mais ampla no nível executivo, com participação do CEO, gestão de riscos e CISO. Além disso, as seguradoras impõem requisitos rigorosos de documentação e procedimentos para cobrir perdas, exigindo que as organizações demonstrem a manutenção contínua dos níveis de segurança descritos ao receber suas apólices. Portanto, as equipes de segurança devem compreender e incorporar esses requisitos em suas práticas para garantir cobertura adequada em caso de incidentes.

8. Conclusão

Em resumo, o panorama atual do seguro cibernético no Brasil é marcado por desafios significativos, mas também por oportunidades de crescimento e inovação. Com a crescente ameaça de ataques cibernéticos e as exigências regulatórias cada vez mais rigorosas, o seguro cibernético tornou-se uma parte essencial da estratégia de gestão de riscos para as empresas brasileiras. Ao compreender e responder adequadamente a esses desafios, e ao levar em conta o relevante papel do CISO no atendimento dos critérios para apólice de seguro cibernético, as empresas do setor de seguros podem se posicionar para capitalizar as oportunidades emergentes e oferecer soluções eficazes, que atendam às necessidades deste mercado em evolução.

Referências Bibliográficas

Sobre o autor

Paulo Pagliusi

Paulo Pagliusi, Ph.D., CISM
Ph.D. in Information Security
Pagliusi Inteligência em Cibersegurança

Sócio de Technology Risk Consulting da KPMG
Chairperson do Comitê de Segurança da ABINC
Diretor da ISACA Rio de Janeiro Chapter

Paulo Pagliusi é um dos palestrantes mais requisitados atualmente, tendo se apresentado em mais de 200 eventos.

Consultor Ph.D. in Information Security, pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP, Pós-Graduado em Análises de Sistemas, pela PUC - RJ, Paulo Pagliusi é também CEO da Pagliusi Cibersecurity, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association), Rio de Janeiro, onde obteve a certificação internacional CISM (Certified Information Security Manager).

Atua há mais de 20 anos com segurança da informação, como coordenador e consultor em projetos, cursos e eventos, em organizações como: ITI e GSI - Presidência da República, Ministério da Defesa, Marinha, Petrobras, FINEP, AGU, Receita Federal, SERPRO, IRB-Brasil Resseguros, Fundação Atech e Ezute, nos temas de: governança de segurança da informação, gestão de riscos e auditoria de TI, estratégia e gestão de riscos cibernéticos, privacidade & proteção de dados, consciência situacional cibernética para Conselhos, resiliência de sistemas de informação, cloud computing e fraudes na Internet.

Vencedor do 8º Concurso Inovação na Gestão Pública Federal, recebedor do 5ª Prêmio “A Nata dos Profissionais de Segurança da Informação”, e dos Prêmios “Personalidade Brasileira Dos 500 Anos” e “Destaque Profissional 500 Anos de Brasil”. Com nome citado na RFC (Request for Comments) 5106 (2008), da IETF (Internet Engineering Task Force), é autor de vários artigos especializados e também do livro: Internet Authentication for Remote Access - Authentication Solutions for Internet Remote Access Networks Aiming Ubiquitous Mobility. Scholar's Press, Alemanha, 2013. Referência para o governo brasileiro como especialista no caso Snowden, durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana. É um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos.

Comente

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.