Por Allison (Allie) Pan ,
Senior Vice President, Emerging Risks, Marsh Advisory
23/04/2024 · Leitura de 7 minutos
O mundo de hoje, dependente da tecnologia digital, está repleto de ameaças cibernéticas implacáveis. Ao mesmo tempo, as condições macroeconômicas podem colocar os líderes sob enorme pressão para reduzir riscos enquanto gerenciam orçamentos restritos. Isso pode levar os líderes a considerar se devem investir em controles de cibersegurança ou adquirir cobertura cibernética.
Em vez de uma escolha de tudo ou nada, as organizações devem buscar um equilíbrio por meio de uma abordagem de dupla ação para a resiliência cibernética financeiramente prudente. Isso consiste em investir em controles de cibersegurança ao mesmo tempo em que adquirem um seguro que esteja alinhado com a tolerância ao risco para cobrir perdas decorrentes de um possível incidente cibernético.
O custo médio global de uma violação de dados foi de US$ 4,45 milhões em 2023, aumentando em 15% ao longo de um período de três anos. O custo médio de uma violação de dados nos Estados Unidos foi mais que o dobro, chegando a US$ 9,48 milhões.
Fonte: Relatório de Custo de uma Violação de Dados da IBM 2023 da IMB.
Com os riscos cibernéticos considerados entre os principais desafios, conforme descrito no Relatório de Riscos Globais deste ano, é fundamental para as organizações tomar medidas que possam ajudá-las a mitigar e gerenciar seus riscos cibernéticos e melhorar sua capacidade de se recuperar efetivamente em caso de impacto por um evento cibernético.
Mas quais medidas as organizações podem tomar? As ações necessárias se enquadram em três categorias amplas que compõem a base da gestão de riscos. Clique abaixo para saber mais sobre cada princípio.
Programas de cibersegurança ajudam organizações a reduzir sua superfície de ataque, se defender contra ameaças, proteger e criptografar dados, segmentar ou isolar sistemas críticos e limitar o acesso privilegiado, para citar alguns exemplos. Programas de cibersegurança robustos - e sua governança - são essenciais e, para empresas públicas, não são mais opcionais. No entanto, os orçamentos de cibersegurança frequentemente são insuficientes para cobrir os consideráveis custos não tecnológicos necessários para responder e se recuperar de um incidente cibernético. Além disso, implementar novos controles cibernéticos ou aprimorá-los pode levar anos, o que significa que os investimentos em cibersegurança podem não gerar benefícios imediatos de redução de riscos, deixando uma lacuna que o seguro poderia ajudar a cobrir.
O seguro de erros e omissões cibernéticos e de tecnologia pode fornecer proteção financeira pós-incidente, transferindo uma infinidade de custos associados a falhas de sistema ou violações de segurança do balanço patrimonial da própria organização. É crucial destacar que esses programas de seguro podem cobrir custos não tecnológicos, incluindo responsabilidade legal potencial perante terceiros, custos regulatórios, perda de receita, aumento dos custos de marketing para conter a perda de clientes e custos para cumprir as leis de notificação de violação. A transferência dessas perdas ajuda a proteger o balanço patrimonial e preservar a saúde financeira.
Por fim, as organizações devem avaliar, idealmente de forma quantitativa, seus riscos materiais de cibersegurança ou tecnologia. Essa análise deve avaliar como os controles existentes ou expandidos podem diminuir esse risco implícito, quais programas de transferência são ideais em termos de cobertura e eficiência, e finalmente quantificar o risco residual que podem suportar em seus balanços patrimoniais.
Uma abordagem equilibrada é particularmente importante diante do reconhecimento crescente de que mesmo os controles de segurança mais avançados podem não impedir todos os atores de ameaças ou mitigar todos os erros humanos. Simplificando, os melhores controles podem não ser suficientes. Programas de cibersegurança robustos podem reduzir a probabilidade ou o impacto de um evento cibernético, mas nunca são à prova de eventos. Quando ocorrem perdas, um programa de seguro cibernético adequado fornece mais uma camada de resiliência para ajudar as organizações a responder e se recuperar.
Quase três quartos das violações de dados incluem um elemento humano. Os seres humanos são falíveis e algum grau de risco cibernético é inevitável, destacando a ideia de que o risco nunca pode ser completamente mitigado.
Fonte: Relatório de Investigação de Violações de Dados (DBIR) de 2023 da Verizon.
Uma organização de saúde investiu US$ 7 milhões para aprimorar os controles e práticas de cibersegurança, elevando com sucesso seu nível de maturidade, de acordo com os padrões do Instituto Nacional de Padrões e Tecnologia (NIST). A redução de riscos alcançada foi calculada como tendo economizado aproximadamente US$ 25 milhões para a organização e foi necessária para atender aos requisitos das seguradoras, que parecem estar cada vez mais avaliando as medidas de cibersegurança das organizações antes de fornecer uma cotação.
Os líderes da organização reconheceram que não era possível eliminar todas as ameaças cibernéticas e que um risco residual permaneceria, apesar dos investimentos em cibersegurança. Eles decidiram complementar os esforços de segurança investindo US$ 1,3 milhão em seguro cibernético, o que também era exigido do ponto de vista de conformidade.
A decisão de adquirir um limite bastante alto permitiu que a organização transferisse US$ 56 milhões em risco cibernético potencial de seu balanço patrimonial - uma redução de custos que não poderia ser alcançada investindo a mesma quantia em controles cibernéticos. Ciente dos benefícios potenciais do seguro cibernético, o diretor de segurança da informação (CISO) defendeu um aumento de limite de US$ 10 milhões, que fornecia fundos de emergência que poderiam ser utilizados em caso de um incidente cibernético.
Ter um programa de seguro cibernético em vigor permitiu que a organização continuasse sua estratégia de investimento plurianual para melhorar seus processos de cibersegurança já abrangentes.
Considerando o que está em jogo, como as organizações podem tomar decisões informadas e financeiramente prudentes de gerenciamento de riscos cibernéticos, especialmente quando especialistas em segurança e profissionais de gerenciamento de riscos podem discordar sobre como alocar um orçamento limitado entre soluções de segurança e produtos de transferência de risco? Para ajudar a tomar decisões objetivas e informadas, os líderes devem considerar as seguintes perguntas.
Um evento cibernético geralmente é uma despesa não planejada para as organizações, com ramificações financeiras à medida que as organizações trabalham para identificar e interromper a ameaça, além de se recuperar do evento. Considere não apenas os custos tecnológicos, mas também outras despesas de remediação, incluindo possíveis custos legais e responsabilidade perante terceiros. A organização seria capaz de financiar esses custos sem impacto significativo em seus resultados financeiros ou a necessidade de obter financiamento adicional?
Trabalhe com seu consultor de riscos para esclarecer quaisquer equívocos sobre o seguro cibernético e obter uma compreensão clara do que geralmente é coberto. Seu consultor deve ser capaz de esclarecer os serviços que o seguro cibernético normalmente paga após uma violação, como os custos incorridos para notificar clientes ou reguladores, e quais seriam absorvidos pela sua organização na ausência de cobertura. É importante observar que a maioria das seguradoras continua fornecendo uma cobertura robusta que deve responder bem aos ciberataques.
Muitas vezes, existem equívocos associados ao custo de limites adequados de seguro cibernético. Embora o seguro possa parecer caro, adquirir um programa com limites adequados para cobrir despesas após uma violação geralmente representa apenas uma fração dos custos associados à recuperação. Além disso, observe que as economias de custo obtidas ao contratar menos cobertura podem não ser suficientes para permitir que uma organização faça melhorias significativas e rápidas em sua postura de cibersegurança.
Embora o preenchimento do formulário de seguro cibernético possa levar tempo, as informações detalhadas geralmente necessárias já estão disponíveis. Os formulários de seguro cibernético normalmente estão em linha com outras solicitações de dados de clientes, credores ou outros. Além disso, embora possa ser trabalhoso reunir os dados pela primeira vez, isso geralmente se torna mais fácil nas renovações subsequentes. Seu consultor de seguros pode orientá-lo a responder às perguntas e fornecer às seguradoras todas as informações relevantes para facilitar o processo de inscrição.