O seguro cibernético é um desafio. O cenário de ameaças em expansão, combinado à constante evolução da tecnologia, torna tudo muito imprevisível e complexo para os modelos tradicionais das seguradoras. Para apólices comerciais tradicionais, são utilizados modelos atuariais baseados em dados históricos de décadas e até séculos, que permitem que as seguradoras prevejam riscos e forneçam cobertura com base em prêmios altamente calculados.
As complexidades das políticas de riscos
Ao selecionar uma seguradora, as empresas precisam considerar uma série de fatores dinâmicos, cada um com seu próprio perfil de risco, afinal, o universo dos seguros é inundado com uma variedade de produtos de cobertura e de responsabilidades. Um plano pode proteger o provedor de tecnologia durante uma falha de serviço ou produto, por exemplo, mas esse mesmo contrato pode não cobrir uma falha de serviço causada por um evento independente.
As organizações devem entender essa distinção e garantir que o seguro escolhido cubra também erros de tecnologia e omissões. Isso garante a cobertura das falhas do produto, sejam elas resultado de um evento cibernético ou não. Além disso, é fundamental garantir a cobertura para ransomware, violação de dados e outros tipos de ataques.
Qual a melhor escolha?
O mercado de seguros cibernéticos é complexo e confuso também para o comprador. Dadas as complexidades dessa escolha, compartilho abaixo quatro dicas para que os compradores, líderes e as equipes de segurança tomem decisões mais assertivas ao buscar a melhor cobertura e o melhor preço.
1 – Melhore sua proteção cibernética e avalie sua arquitetura
Avalie a superfície de ataque da sua empresa usando ferramentas ou serviços específicos para isso. Crie uma lista de riscos que devem ser melhorados por meio de patches, configurações e outros meios de correção. À medida que as empresas transformam e adotam rapidamente novas tecnologias, elas devem reavaliar suas arquiteturas. Implemente modelos de confiança adaptativos e orientados ao contexto, onde quer que os dados e recursos estejam localizados, para permitir a remoção da confiança implícita e limitar o impacto de um possível ataque. Uma boa revisão de segurança e princípios de zero trust são recomendáveis.
2 – Entenda seu risco com terceiros
No mundo interconectado de hoje, o risco se estende além dos perímetros tradicionais da tecnologia. Um programa de gerenciamento de risco de terceiros é fundamental para entender os riscos da cadeia de suprimentos e coletar os sinais relevantes para informar as empresas sobre sua superfície de ataque, revisão de segurança, coberturas de seguro, proteção de dados e práticas de privacidade. Avalie continuamente os parceiros da cadeia de suprimentos, garantindo que os recursos de segurança e privacidade estejam atualizados. Determine se os dados que um fornecedor processa devem ser limitados e se os fornecedores devem ser alterados.
Ao avaliar fornecedores, é importante não esquecer das seguradoras. Elas fazem parte da cadeia de valor e são um alvo tentador para os criminosos. Se os agentes de ameaças puderem comprometer uma seguradora, eles terão acesso aos dados e limites da apólice dos clientes da empresa. Uma avaliação de risco do fornecedor deve examinar atentamente a própria segurança, governança, políticas e controles da seguradora.
3 – Escolha seu provedor com cuidado
Muitas das grandes e tradicionais seguradoras ainda usam abordagens manuais baseadas em questionários para medir o risco de uma empresa. Essas avaliações pontuais são ineficazes por várias razões, uma delas é que o indivíduo encarregado de preencher o questionário geralmente não sabe as respostas às perguntas. Grande parte da inovação nesse espaço vem de novos participantes no mercado de seguros cibernéticos, que adotam tecnologias orientadas por dados. Esses disruptores podem ser muito mais consultivos para as empresas, ajudando a mitigar os riscos antes e durante a vigência da apólice, permitindo que elas personalizem produtos que atendam às necessidades dos clientes.
É importante que corretores e seguradoras entendam o negócio do cliente. As seguradoras devem fazer perguntas e se aprofundar no core business e quais são seus riscos, garantindo que as coberturas da apólice estejam alinhadas com os riscos e plano de resposta a incidentes.
4 – Automatizar é mais do que uma tendência
Para garantir a eficiência em todo o processo, desde o monitoramento da superfície de ataque e gerenciamento de riscos de terceiros até a parceria com seguradoras, automatize o máximo possível. Em um mundo ideal, uma empresa deve ser capaz de manter a operação e colaborar em torno de sua postura de segurança e dados de risco da cadeia de suprimentos a qualquer momento. A tecnologia pode ajudar a atingir esse objetivo, desde a capacidade de avaliar automaticamente configurações e controles em um ambiente de nuvem e entender os riscos em uma cadeia de suprimentos, até compreender a empresa sob uma perspectiva de superfície de ataque.
Os líderes que alterarem sua perspectiva sobre segurança cibernética, migrarem para tecnologias que permitem a avaliação contínua de risco e fecharem parceria com as seguradoras certas estarão mais preparados para se proteger dos piores cenários.
* Por Nate Smolenski, diretor de Estratégia de Inteligência Cibernética na Netskope
