Panorama atual do Seguro Cibernético no Brasil – o Relevante Papel do CISO
17 de abril de 2024A crescente demanda por seguro cibernético no Brasil em meio ao aumento de ataques cibernéticos e violações de dados
Por Paulo Pagliusi, Ph.D., CISM, C|CISO. #ComandanteCibernetico
1. Introdução
A tecnologia alterou a maneira como os negócios são feitos e, com ataques virtuais cada vez mais sofisticados, os riscos cibernéticos são uma realidade nas companhias. Uma invasão hacker, vírus ou malware, acesso não autorizado à rede ou vazamento de dados de terceiros pode levar as empresas a acumular grandes prejuízos.
À medida que a frequência e a gravidade dos ataques de ransomware, phishing e negação de serviço aumentaram, a demanda por seguro cibernético também aumentou. Cerca de US$ 6,5 bilhões em prêmios emitidos diretamente foram registrados em 2021, um aumento de 61% em relação ao ano anterior, de acordo com um memorando de outubro de 2022 da Associação Nacional de Comissários de Seguros, com sede nos EUA.
O Brasil tem enfrentado um aumento significativo nos ataques cibernéticos e violações de dados, impulsionando a demanda por soluções de seguro cibernético, exigindo do CISO um papel cada vez mais relevante nesta decisão. Este artigo oferece uma visão abrangente do atual cenário do seguro cibernético no país, destacando as tendências, desafios e oportunidades emergentes neste mercado em constante evolução.
2. Tendências em Segurança Cibernética
Nos últimos anos, o Brasil tem sido alvo de uma escalada sem precedentes nos ataques cibernéticos, enfrentando um aumento significativo no número e na complexidade destes ataques. O Brasil é o segundo país mais impactado por crimes cibernéticos na América Latina. As informações constam em uma pesquisa realizada pela empresa de segurança Fortinet. Segundo os dados, foram cerca de 103,1 bilhões de tentativas de ataques apenas em 2022, superado apenas pelo México, que registrou cerca de 187 bilhões no período.
Conforme dados de pesquisa realizada pela SAS Institute, empresa de business intelligence, a maioria dos consumidores brasileiros (80%) disse ter sofrido algum tipo de fraude digital ao menos uma vez, e os dados pessoais e financeiros dos usuários valem ouro para os cibercriminosos.
De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), houve um aumento de 85% nos incidentes de segurança relatados em 2023 em comparação com o ano anterior. Isso inclui uma variedade de ataques, como phishing, ransomware, ataques de negação de serviço (DDoS) e violações de dados em larga escala.
Por exemplo, em 2021, o vazamento de dados da empresa de varejo brasileira Magalu expôs informações confidenciais de mais de 160 milhões de clientes. Tais dados refletem a crescente sofisticação e diversidade desses ataques, representando uma ameaça significativa à segurança das informações no país.
3. Desafios e Impacto Financeiro
Os ataques cibernéticos não apenas comprometem a segurança dos dados, mas também têm um impacto financeiro substancial para as empresas. De acordo com o Relatório de Custos de Violação de Dados da IBM, o custo médio de uma violação de dados no Brasil aumentou para US$ 1,35 milhão em 2023. Além disso, as empresas enfrentam multas substanciais devido a violações da Lei Geral de Proteção de Dados (LGPD), que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Quando até mesmo os planos de segurança cibernética mais bem estabelecidos falham, o seguro cibernético pode ajudar a mitigar a exposição de uma organização ao risco financeiro e operacional
4. Regulamentação e LGPD
A entrada em vigor da LGPD em 2020 impôs requisitos rigorosos às empresas brasileiras em relação à segurança cibernética e proteção de dados pessoais. Por exemplo, a LGPD exige que as organizações implementem medidas de segurança adequadas para proteger dados pessoais, como o uso de criptografia e o estabelecimento de políticas de acesso. O não cumprimento desses requisitos pode resultar em multas severas, já descritas na seção anterior, sobre impacto financeiro. Em adição a isto, a alta probabilidade de um ataque cibernético causar sérios danos à reputação de uma empresa destaca a importância de se investir em um seguro cibernético – uma estratégia inteligente para proteger seu patrimônio e minimizar riscos, de certa forma, terceirizando-os.
5. Oportunidades no Mercado de Seguros
Apesar dos desafios, o mercado de seguro cibernético no Brasil oferece oportunidades significativas para o setor. O Seguro Cibernético é um protecional adicional às empresas, uma apólice que visa amparar perdas financeiras decorrentes de ataques virtuais maliciosos, ou mesmo de incidentes decorrentes de erros ou negligências causados internamente na companhia, que resultem em vazamento de dados e outros danos ligados ao sigilo da informação. Com o aumento da conscientização sobre os riscos cibernéticos e as exigências regulatórias, as empresas estão buscando cada vez mais cobertura de seguro cibernético para proteger seus ativos digitais.
Por exemplo, a AIG foi a pioneira, sendo a primeira seguradora a oferecer o seguro de responsabilidade cibernética no Brasil, o “CyberEdge”, em 2012. Tal protagonismo levou a seguradora a ocupar a posição de líder de mercado, oferecendo diversas assistências agregadas, que vão além das coberturas por perdas financeiras tradicionais, dando aos clientes recursos para prevenção de riscos e gerenciamento de crises na rede. Já a Porto Seguro lançou recentemente o “Cyber Security Insurance”, um produto que oferece cobertura para empresas contra uma ampla gama de riscos cibernéticos, incluindo violações de dados e interrupções de serviços. A Zurich também lançou o seguro “Zurich Cyber Solutions”, para as companhias que se preocupam com a privacidade e segurança dos seus dados.
7. Papel do CISO na Apólice de Seguro Cibernético
Nos últimos anos, tanto no Brasil quanto no exterior, as seguradoras têm aumentado seus critérios para apólices de seguro cibernético, exigindo que as organizações demonstrem controles de segurança robustos, como autenticação multifator e planos de resposta a incidentes. Essa elevação de padrões tem gerado maior envolvimento dos líderes de segurança empresarial no processo de aquisição de seguros, demandando ajustes nas estratégias para atender às novas exigências das seguradoras. Como resultado, o seguro cibernético pode não estar prontamente disponível para todos, com os custos das apólices aumentando e as seguradoras solicitando mais evidências de estratégias eficazes de segurança cibernética antes de fornecer cobertura, o que tem levado muitas empresas a se adaptarem para atender a esses termos.
Essa mudança no mercado tem ampliado o papel dos CISOs nas discussões e aquisições de apólices de seguro cibernético, exigindo uma abordagem mais ampla no nível executivo, com participação do CEO, gestão de riscos e CISO. Além disso, as seguradoras impõem requisitos rigorosos de documentação e procedimentos para cobrir perdas, exigindo que as organizações demonstrem a manutenção contínua dos níveis de segurança descritos ao receber suas apólices. Portanto, as equipes de segurança devem compreender e incorporar esses requisitos em suas práticas para garantir cobertura adequada em caso de incidentes.
8. Conclusão
Em resumo, o panorama atual do seguro cibernético no Brasil é marcado por desafios significativos, mas também por oportunidades de crescimento e inovação. Com a crescente ameaça de ataques cibernéticos e as exigências regulatórias cada vez mais rigorosas, o seguro cibernético tornou-se uma parte essencial da estratégia de gestão de riscos para as empresas brasileiras. Ao compreender e responder adequadamente a esses desafios, e ao levar em conta o relevante papel do CISO no atendimento dos critérios para apólice de seguro cibernético, as empresas do setor de seguros podem se posicionar para capitalizar as oportunidades emergentes e oferecer soluções eficazes, que atendam às necessidades deste mercado em evolução.
Referências Bibliográficas
- AIG (2024). CyberEdge – Responsabilidade Cibernética. Recuperado de https://www.aig.com.br/home/seguros/cibernetico
- CERT.br. (2023). Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Recuperado de https://www.cert.br
- Correio Braziliense (2024). Crimes cibernéticos avançam no Brasil e aceleram com a tecnologia. Recuperado de https://www.correiobraziliense.com.br/economia/2024/03/6824212-crimes-ciberneticos-avancam-no-brasil-e-aceleram-com-a-tecnologia.html
- CSO Online (2022). What you should know when considering cyber insurance in 2023. Recuperado de https://www.csoonline.com/article/574157/what-you-should-know-when-considering-cyber-insurance-in-2023.html
- IBM Security. (2023). IBM Security. Recuperado de https://www.ibm.com/security
- Lei Geral de Proteção de Dados (LGPD). Lei nº 13.709, de 14 de agosto de 2018. Recuperado de http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- Olhar Digital (2024). Brasil é o segundo maior alvo de crimes cibernéticos na América Latina. Recuperado de https://olhardigital.com.br/2024/02/02/seguranca/brasil-e-o-segundo-maior-alvo-de-crimes-ciberneticos-na-america-latina/
- Porto Seguro. (2023). Seguro Empresarial – Cyber. Recuperado de https://www.portoseguro.com.br/seguro-empresarial/cyber
- Zurich (2024). Seguro para Riscos Cibernéticos. Recuperado de https://www.zurich.com.br/pt-br/seguros-empresariais/protecao-digital
Sobre Paulo Pagliusi
Paulo Pagliusi é Sócio Executivo da Pagliusi Inteligência em Cibersegurança. Ph.D. in Information Security pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP e pós-graduado em Análises de Sistemas pela PUC – Rio. Capitão-de-Mar-e-Guerra da reserva remunerada da Marinha, possui certificação internacional CISM (Certified Information Security Manager).
Atualmente, exerce também os cargos de Diretor da ISACA Rio de Janeiro Chapter e de Pesquisador Sênior de TIC – Segurança Cibernética – Futuro da Defesa, no Laboratório de Simulações e Cenários (LSC) da Escola de Guerra Naval, tendo sido ao longo da carreira CIO da Apex-Brasil, Sócio de Technology Risk da KPMG e Diretor de Cyber Risk da Deloitte. É considerado um dos consultores mais renomados do País em gestão estratégica de TI e riscos tecnológicos, área em que atua há mais de 30 anos, ajudando clientes globais a avaliar, gerenciar e superar riscos emergentes em seus negócios.
Com experiência acadêmica como professor de graduação e pós-graduação, em instituições como IBMEC, PUC-Rio, Marinha do Brasil e Universidade Damásio, é articulista ativo e autor de livro sobre autenticação criptográfica na Internet. É um dos palestrantes mais requisitados atualmente, tendo se apresentado em mais de 200 eventos no Brasil e no exterior, e concedido mais de 100 entrevistas a mídias nacionais e internacionais.
Acompanhe a Coluna de Paulo Pagliusi aqui no Crypto ID!
[paulo@pagliusi.com.br | www.pagliusi.com.br]
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.