Uma boa gestão de riscos está incorporada a fatores que minimizam os riscos de ciberataques, assim como o seguro está entre as ferramentas de proteção, principalmente para as companhias brasileiras. Segundo o "Relatório de Seguros Contra Ciberataques: Como otimizar a alocação de capital e mitigar riscos do sistema de informação" da Bravo Research, braço de insights e inteligência da Bravo GRC, empresa pioneira em tecnologia e consultoria especializada na implementação e oferta de soluções de Governança, Riscos, Compliance e ESG, para o ano de 2023 estima-se que US$ 10,429 bilhões serão destinados à responsabilidade cibernética.
Apesar do número crescente de investimento, restam algumas dúvidas e métodos de proteção; o país ocupa o 2º lugar no ranking dos maiores alvos de ciberataques no mundo, ficando atrás apenas dos Estados Unidos, de acordo com um levantamento realizado pela companhia de Produtos de Rede e Cibersegurança Netscout em 2021. Para Claudinei Elias, CEO e Fundador da Bravo GRC, considerar a alocação em cibersegurança como investimento é o ponto inicial. "Os danos financeiros e de imagem causados por uma invasão podem ser irreversíveis. As pautas regulatórias e os índices de ataques, principalmente no Brasil, mostram uma necessidade latente das empresas se protegerem para não lidarem com perdas de cifras incalculáveis, sequestros de dados e uma má reputação", ressalta.
Ainda segundo o relatório, a força da estratégia de seguros se reflete nos números do mercado global, saindo de um valor de US$ 11,924 bilhões em 2022 para expressivos US$ 29,214 bilhões em 2027; a Taxa de Crescimento Anual Composta (CAGR) é de 19,6% por período anual. Porém, por um lado, existem sequestros de dados cada vez mais eficientes com pedidos de resgates, e mesmo assim, alguns dados podem até não ser recuperáveis.
Além disso, ainda de acordo com o relatório, 26% dos dados perdidos em caso de violação de dados se dão a informações pessoalmente identificáveis; já arquivos críticos ficam com 15%, assim como informações de saúde/médicas; e 14% das informações perdidas se devem à indústria de cartões de pagamentos; "outros" atingem a margem de 30%. Elias ainda explica que o seguro contra ciberataque é um instrumento de financiamento de riscos, uma técnica de transferência de parte das exposições que tem o objetivo de minimizar perdas. As apólices de seguro são adaptáveis à exposição da organização, ao seu modelo de negócios e aos seus bens/ativos cibernéticos, porém, quando uma companhia atinge determinado tamanho, sua exposição aumenta significativamente, logo a empresa precisa se defender em várias frentes; malware e sequestro de dados compreendem mais da metade dos ataques cibernéticos, com 55,4%. O crescimento no mercado global de seguros para cibersegurança passará de US$ 3,34 bilhões em 2022 para US$ 8,58 em 2027 nas Pequenas e Médias Empresas (PMEs), enquanto as grandes empresas atingirão US$ 20,56 bilhões em 2027, tendo relatado US$ 8,65 em 2022. Isso mostra que, apesar dos ataques estarem mais associados a empresas de maior porte, as PMEs também são alvo dos criminosos frequentemente. Segundo relatório da Kaspersky, as PMEs sofreram um aumento de 41% no volume de invasões (abril/2022 vs. abril/2021).
A falta de conhecimento no setor é um dos principais desafios para o desenvolvimento, principalmente no Brasil. "Muitos gestores e profissionais não contratam planos de seguro ou serviços de cibersegurança justamente por não terem ciência dos riscos e das ofertas de proteção", explica Elias. Segundo a pesquisa "Security Threats", realizada pelo Greyhound Knowledge Group em 2021, apenas 12% das empresas têm clareza quanto às questões de segurança cibernética. "A proteção oferecida pelas seguradoras auxilia o segurado a entender melhor suas exposições, o que é necessário inclusive para avaliar o escopo e desenhar a proposta. O potencial segurado precisará demonstrar, de forma clara, como protege uma organização dos riscos cibernéticos, quais são as suas reais exposições e eventuais materializações dos riscos.
O segurado garante uma ação capaz de oferecer um grau relevante de proteção contra os riscos envolvidos em ciberataques. Para isso, precisará desenhar bem um programa de seguros ou a sua apólice, de acordo com as reais necessidades da sua empresa. O uso de tecnologias de simulação de ataques e ameaças ajuda muito nessa iniciativa. "Seguro é uma ferramenta a ser utilizada no arsenal dos bons gestores de riscos", pontua o executivo.
