Qual é a sua responsabilidade em um mundo hackeado — você está coberto?
SUMÁRIO EXECUTIVO
À medida que os aplicativos migram do data center para a nuvem, as organizações são inevitavelmente forçadas a abordar os riscos de quatro maneiras: mitigação, prevenção, aceitação e transferência. Este artigo é sobre esta última maneira, a transferência de risco — especificamente a necessidade de seguro cibernético. À medida que as violações se tornam comuns — ou inevitáveis — a necessidade de seguro cresce exponencialmente, assim como as habilidades das seguradoras em avaliar riscos e recomendar melhorias. Toda empresa deve considerar adquirir um seguro cibernético.
5 MINUTOS. LER
Toda empresa deve considerar adquirir um seguro cibernético. Você pode se surpreender com o que pode aprender com o processo.
Anos atrás, solicitar um seguro cibernético consistia em preencher um único formulário, responder a algumas perguntas e atestar que sua empresa seguia determinados padrões. Agora, o processo é muito mais oneroso e intenso, mas também é muito mais educativo — não apenas para a seguradora, mas para você. Você pode aprender muito sobre os riscos que sua empresa enfrenta ao reservar um tempo para preencher um requerimento de seguro cibernético.
Resistir ao processo pode ajudar a expor fraquezas e deficiências em sua estratégia.
Alguns riscos são óbvios para qualquer um que leia as manchetes de hoje: violações de dados, interrupção de negócios relacionada à segurança cibernética (ataques DDoS) e extorsão cibernética são os três principais motivos pelos quais as empresas exploram o seguro cibernético.
Mas também há muitos riscos não tão óbvios. Por exemplo, muitas empresas usam seguro cibernético para compensar o risco de não conformidade não intencional com regulamentações. Na verdade, evitar multas e penalidades regulatórias é um dos motivos mais populares pelos quais as empresas compram seguro cibernético. Mesmo que você acredite estar em conformidade com as regulamentações, o risco de não ter pontuado um "i" ou cruzado um "t" pode fazer com que o seguro cibernético valha o prêmio. Não é de surpreender que três setores que provavelmente comprarão mais seguros cibernéticos no futuro também estejam entre os mais regulamentados: serviços profissionais, serviços financeiros e assistência médica.
Por que os aplicativos de seguro são tão úteis? Porque as seguradoras também querem verificar exatamente o que você precisa saber: se você tem uma estratégia e um processo fortes para detectar ataques e limitar danos. Resistir ao processo de explicar as tecnologias, processos e políticas de segurança da sua empresa pode ajudar a expor fraquezas e deficiências em sua estratégia. É um desafio, mas do qual sua empresa sairá mais forte.
Conheça sua pontuação de segurança
As seguradoras estão usando cada vez mais sistemas de pontuação de segurança, como BitSight, SecurityScorecard e até mesmo FICO, que recentemente expandiu seu próprio sistema de pontuação para cobrir segurança. Esses serviços monitoram constantemente eventos visíveis externamente — incluindo retransmissões de spam, computadores comprometidos dentro da rede da sua empresa e portas abertas dentro do espaço de endereço IP da sua empresa — que dão uma dica sobre se a rede da sua empresa foi violada.
US$ 665 mil
O custo médio de uma violação de 2013 a 2015. A perda média de dados foi de mais de dois milhões de registros.
Assim como uma pontuação de crédito, esses serviços fornecem uma visão externa de um estado interno — neste caso, sua postura de segurança. Eles podem até mesmo ajudar a detectar violações e dar à gerência uma indicação de como sua empresa se compara aos seus pares.
Descubra se você está ou não coberto
Infelizmente, muitas empresas não entendem completamente o que seu seguro cobre. Assim como os proprietários podem ficar chocados ao saber que seu seguro residencial não cobre inundações, as empresas podem descobrir que um incidente não está coberto pelo seguro cibernético.
Por esse motivo, pense em conduzir exercícios de simulação que permitam que você analise diferentes cenários de cobertura. Se sua rede for violada devido a falhas de segurança de um aplicativo de terceiros, sua empresa estará coberta pela apólice de seguro em questão? Que tal se um dos seus funcionários pegasse um pen drive no estacionamento da sua empresa, o inserisse no laptop e derrubasse sua rede, fazendo com que seu site de comércio eletrônico ficasse inativo? A receita perdida é coberta?
Muitas seguradoras tentam minimizar seus custos potenciais reduzindo os valores de cobertura ou incluindo exceções em sua cobertura. É importante considerar esses limites ao avaliar políticas e revisar cenários.
Empresas menores e fornecedores também precisam de cobertura
A violação média de 2013 a 2015 consistiu na perda de mais de dois milhões de registros e custou US$ 665.000, de acordo com o NetDiligence Cyber Claims Study 2016 . O estudo descobriu que a maioria das reivindicações é feita por empresas com menos de US$ 2 bilhões em receita.
Como os números mostram, empresas de todos os tamanhos sofrem com eventos cibernéticos e precisam de seguro cibernético, incluindo organizações menores. Grandes empresas devem considerar exigir que seus fornecedores também tenham um certo nível de cobertura.
Por fim, empresas de todos os tamanhos precisam ter certeza de que suas franquias não sejam muito altas e que entendam quais fatores são considerados ao calcular os danos. Se o seu seguro não cobrir um incidente porque ele está incluído na sua franquia, a cobertura não terá valor.
Sara Boddy atualmente lidera o F5 Labs, a divisão de relatórios de inteligência de ameaças da F5 Networks. Ela veio da Demand Media para a F5, onde foi vice-presidente de Segurança da Informação e Inteligência de Negócios. Sara liderou a equipe de segurança na Demand Media por 6 anos. Antes da Demand Media, ela ocupou vários cargos de consultoria em segurança da informação por mais de 11 anos na Network Computing Architects e na Conjungi Networks.