A falta de conhecimento técnico, a ausência de medidas efetivas de adequação à LGPD e o baixo nível de investimentos em segurança da informação pelas empresas têm sido um facilitador para a ocorrência de ataques cibernéticos.
Ao mesmo tempo, não podemos omitir a criatividade e a inventividade dos criminosos, que trabalham continuamente na sofisticação dos mecanismos de invasão, seja na intrusão técnica de plataformas físicas e software, ou na manipulação de usuários por engenharia social.
O Brasil está tão inserido neste contexto como qualquer outro país
O crime cibernético tem avançado de forma exponencial, sem fronteiras para atuação e utilizando-se das mais diferentes tecnologias e metodologias de invasão. Entre os impulsionadores desse mercado no mundo, vale citar:
- Expansão do trabalho remoto durante a pandemia;
- Ampliação do uso de soluções em nuvem;
- Aumento dos golpes utilizando perfis falsos;
- Expansão de conflitos cibernéticos, como o da guerra entre Rússia e Ucrânia e os impasses entre China e Taiwan;
- Baixo nível de orçamento dedicado ao TI nas empresas.
Nós, usuários, somos o elo mais fraco da cadeia de segurança da informação e, por isso, o alvo mais fácil para ser usado como porta de entrada para o ambiente tecnológico da empresa em que trabalhamos.
Por esse motivo, é fundamental que o RH invista, com o suporte da equipe de TI e jurídica, na educação e conscientização dos funcionários, contemplando a criação de políticas, procedimentos e ferramentas tais como:
- Firewall e Antivírus
- Múltiplo Fator de Autenticação (MFA)
- Rede Privada Virtual (VPN)
- Protocolo de Desktop Remoto (RDP)
- Detecção e Resposta de Endpoint (EDR)
- Planejamento de Resposta a Incidentes
- Infraestrutura e Segmentação
- Backups e Controle de Acesso
- Gerenciamento de Senhas, Treinamento de Cultura de Segurança e Higiene da Lista de E-mails
Seguro cibernético ganha protagonismo com o aumento de ataques cibernéticos
O mercado mundial de seguros cibernéticos tem crescido de forma acelerada nos últimos anos em função do cenário crescente de ataques, fazendo com que as seguradoras trabalhem continuamente na calibragem do processo de aceitação de riscos e na composição dos produtos, em termos de coberturas e limites.
O seguro cobre, fundamentalmente, o ressarcimento de custos relativos a incidentes com dados pessoais e confidenciais sob responsabilidade da companhia, incluindo situações com terceiros como vazamento, roubo, sequestro, extravio ou deleção de: pastas de dados de clientes, informações de meios de pagamento utilizados, condições de saúde de funcionários, contratos comerciais particulares, fórmulas secretas, codificação de sistemas, parte de sistemas operacionais que inviabilizam a condução dos negócios, entre outros.
O seguro cobrirá, até o limite da importância segurada, os custos relacionados à resposta aos incidentes (investigação e mitigação), notificação da ANPD, ramsonware, extorsão, lucros cessantes, perito forense de TI, relações públicas para cuidado com imagem, comunicação dos impactados, multas, indenizações de danos morais, indenizações de patrimônio intelectual, defesa jurídica, entre outras.
Os limites contratados variam conforme o setor de exposição ao risco, sendo que as grandes empresas têm contratado entre R$ 5 milhões e R$ 20 milhões de importância segurada. Por outro lado, estamos acompanhando um movimento de algumas seguradoras ofertando produtos mais simplificados para empresas com faturamento até R$ 100 mil, flexibilizando as condições mínimas de aceitação.
O segmento PME, mais exposto aos riscos cibernéticos por falta de investimentos, raramente possuem profissionais especializados em segurança da informação. Além disso, as pequenas e médias empresas podem estar conectadas a grandes empresas e servirem como porta de entrada para hackers.
Paralelamente à contratação do seguro, orientamos nossos clientes a buscarem consultorias especializadas em segurança da informação para avaliarem seus estágios de maturidade e, assim, construírem um plano de melhorias contínuas nos protocolos de proteção. Isso é essencial para ter aceitação nas seguradoras, obter melhores taxas de precificação de seus riscos seguráveis e manter-se longe dos ataques cibernéticos.
Escrito por Danilo Seixas, diretor de planejamento estratégico na It’sSeg, e Karina Andrade, diretora de ramos elementares na It’sSeg.
