O surgimento da Covid-19 e a instauração do estado pandêmico forçou a sociedade global a se isolar em suas casas. Seus dispositivos eletrônicos passaram a ser a forma mais segura de contato com o mundo. Mas mesmo antes de 2020, pessoas físicas e jurídicas já vinham passando por uma transformação específica. Para ressignificar a forma como lidamos com nossas informações pessoais e o ambiente digital.
Chamada de Transformação Digital, essa mudança é mais do que uma nova forma de pensar o papel da tecnologia. Ela se tornou um pilar para que os mais diversos negócios resistissem, despertando incontestáveis inovações num ritmo que parecia impossível antes da pandemia do coronavírus.
E, da mesma forma, aumentou a disposição de usuários e empresas para entregarem seus dados nas mãos invisíveis da Internet.
O outro lado dessa equação é que, à medida que esses ambientes digitais se desenvolvem, os riscos cibernéticos se tornam mais complexos e aterrorizantes. A ponto de as inovações virem recheadas de contras.
O seguro cibernético, portanto, tem o papel primordial de não só combater, mas conscientizar. Para que mais e mais empresas tenham as ferramentas necessárias para prevenir esses riscos. E para que possam não só operar, mas inovar, sabendo que estão amparadas.
Confira, a seguir, um pouco mais sobre a importância do seguro cibernético.
O que é o seguro cibernético
O seguro cibernético é um tipo de seguro de Responsabilidade Civil. Projetado para ajudar empresas a se protegerem contra os efeitos altamente prejudiciais de ataques cibernéticos, como malwares, ransomwares, ataques de engenharia social, ataques distribuídos de negação de serviço (DDoS) ou qualquer outro método usado por criminosos cibernéticos para comprometer uma rede e dados confidenciais, sejam eles corporativos ou domésticos.
Também conhecido como “seguro de risco cibernético” ou “seguro cyber”, esse tipo de seguro normalmente tem o objetivo de ajudar uma empresa a mitigar riscos cibernéticos. E, na maioria das apólices, cobre a responsabilidade que uma empresa tem quando diante de uma violação de dados. Que pode ou não envolver o vazamento de informações confidenciais de clientes, colaboradores e parceiros.
Isso significa que, na prática, caso a empresa segurada seja vítima de uma violação de dados ou de um ataque cibernético, a maioria dos seguros cibernéticos cobrirá os custos da empresa e de terceiros associados à empresa – colaboradores, por exemplo -, se:
- ativos digitais forem danificados ou corrompidos;
- houver extorsão e/ou vazamento de dados;
- a empresa precisar interromper seu funcionamento, incorrendo em lucros cessantes;
- a empresa precisar mobilizar ações para gerenciar sua reputação;
- a empresa precisar indenizar clientes e parceiros pelo comprometimento de seus dados.
Também é da alçada do seguro cibernético auxiliar com a estratégia de segurança da empresa. Expandindo-se por todo o processo de proteção de dados, adequação à Lei Geral de Proteção de Dados (LGPD) e mitigação de riscos cibernéticos à empresa e terceiros. Por fim, é de sua responsabilidade notificar os órgãos responsáveis pela proteção de dados (no Brasil, a Autoridade Nacional de Proteção de Dados) e oferecer suporte na gestão da reputação do negócio.
Portanto, de modo geral, o seguro cibernético existe para ajudar pessoas físicas e jurídicas a assegurar a integridade dos seus dados. Prevenindo ou aplacando uma violação e suas consequências. O segurado é contemplado de diversas formas.
Mas o que é violação de dados? É a mesma coisa que vazamento de dados?
Não!
A violação de dados é definida como a “exposição de informações sensíveis e confidenciais para indivíduos não-autorizados”. Essa violação pode levar a um vazamento de dados. Mas ela não precisa resultar em um, necessariamente, para ser considerada uma violação.
Se, por exemplo, um criminoso tem acesso a informações da empresa porque invadiu o servidor onde esses dados são armazenados. Mas ele não divulgou publicamente esses dados. Portanto, houve uma exposição indevida de informações a uma pessoa não-autorizada. Contudo, não houve vazamento. De todo modo, a empresa está sujeita às sanções da regulamentação de proteção de dados.
Já o vazamento ocorreria se, por exemplo, um cibercriminoso acessasse essa mesma base, extraísse as informações e vendesse os dados em um fórum na dark web. Nesse caso, a empresa afetada teria de notificar não só a violação, mas também o comprometimento dos dados. Uma vez que as informações sensíveis foram a público. E poderiam ser usadas para mobilizar ataques cibernéticos e diferentes tipos de golpes.
Também é importante ter em mente que violações sem vazamento de dados são comuns quando o criminoso quer usar os dados para mobilizar ataques mais lucrativos. Como é o caso dos ataques de ransomware, por exemplo. Ou para a aplicação de golpes de fraude financeira ou identitária.
Ou seja: a violação de dados pode ser só a etapa inicial de um problema ainda maior.
Violação de dados são sempre ataques cibernéticos?
É comum acreditar que toda violação de dados é fruto de uma invasão ou ataque cibernético.
Porém, considerando sua definição literal, a violação de dados pode ocorrer até mesmo por acidente dentro da empresa.
Estes são alguns cenários comuns em que acontece a violação de dados:
- Um colaborador acessa informações confidenciais por acidente: um colaborador abre uma pasta ou o computador de um colega e lê arquivos aos quais ele, em teoria, não deveria ter acesso. A violação não é intencional. Mas, como foram visualizados por um indivíduo não-autorizado, os dados foram comprometidos;
- Roubo ou perda de dispositivos: se um colaborador perde ou tem um dispositivo da empresa roubado – pode ser um celular, um notebook, até mesmo um pen-drive -, e esse dispositivo é acessado por pessoas não-autorizadas, também ocorre a violação de dados;
- Colaborador mal-intencionado: caso um colaborador acesse e/ou compartilhe propositalmente dados. Com a intenção de causar danos a um colega ou empresa. Pode ocorrer, além da violação, um vazamento;
- Ativismo corporativo: há também o outro lado da moeda, que é quando um colaborador acessa e expõe dados da empresa por um bem maior. Foi o que aconteceu recentemente com o Facebook e, há uns anos, no caso do WikiLeaks;
- Cibercriminosos: finalmente, aqui, temos os ataques cibernéticos. Que usam o acesso não-autorizado para roubar, criptografar ou vazar informações de uma empresa ou de um indivíduo da empresa.
Logo, uma boa estratégia de segurança cibernética deve ser capaz de prevenir e remediar todos esses cenários.
A proteção de dados de acordo com a LGPD
A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020 no Brasil, com uma atualização publicada em agosto de 2021. Seguindo os passos do Regulamento Geral de Proteção de Dados da União Europeia, a legislação visa criar uma normativa de segurança jurídica a nível nacional, por meio da padronização de regulações e boas práticas, do tratamento de dados pessoais de todo cidadão em território brasileiro.
De 2020 para cá, porém, poucas foram as empresas que entraram em total conformidade. E é seguro dizer que a grande maioria delas, sobretudo as empresas de pequeno e médio porte, ainda enfrentam dificuldades significativas. Tanto na hora de proteger sua base de dados quanto em estabelecer processos de governança, como previsto em lei.
E, dado o perfil majoritariamente digital dos serviços oferecidos hoje, esse problema não distingue setor. Se uma empresa lida com meia dúzia de informações pessoais que seja, ela deve seguir a lei.
Isso afeta o varejo online, as redes sociais, os bancos, os hospitais, as escolas, os hotéis, as instituições públicas, as concessionárias de automóveis, as agências de marketing e publicidade, as próprias seguradoras…
Imagine que, agora, qualquer solicitação de e-mail para recebimento de mensagens promocionais, por exemplo, requer o claro consentimento, a transparência e a possibilidade de remoção simplificada desse dado da base. E que, por mais simples que seja, esse mesmo dado pode virar um pesadelo. E acarretar em multas milionárias caso uma pessoa não-autorizada tenha acesso à lista de cadastro desses e-mails promocionais.
São complicações financeiras decorrentes da transformação digital e que podem acarretar em elevados custos de defesa.
Com um longo caminho a ser percorrido, e muito a se aprender, as empresas vão precisar de todo o suporte para assegurar que suas bases de dados pessoais estão protegidas.
A importância do seguro cibernético para evitar a violação e o vazamento de dados
É importante compreender que a LGPD determina como deve ser feito o tratamento de dados, quando uma empresa pode ser punida por não seguir a regulamentação e o que está em jogo caso, por qualquer motivo, a empresa não realize o tratamento de dados conforme a lei.
Destacam-se, portanto, os seguintes itens no texto da legislação:
- A Lei Geral de Proteção de Dados estabelece normas igualitárias para o tratamento de dados pessoais. Assim, ela assume um compromisso de segurança jurídica válido para todo o país e para todo cidadão em território brasileiro;
- Sem consentimento, nada feito. A lei determina que, se o titular não consentir com o tratamento de seus dados pessoais, a empresa é impedida, por lei, de coletá-los e utilizá-los. Além disso, para obter esse consentimento, a empresa deve esclarecer a finalidade do tratamento dos dados, bem como seu destino, uma vez atendida a finalidade;
- Sem obscuridades. A lei também estabelece claramente o que são dados pessoais, como eles devem ser tratados, o que significa cada termo associado ao tratamento de dados pessoais e qual é o papel de cada um dos envolvidos no tratamento dos dados;
- Todo cidadão brasileiro ou em território brasileiro tem o direito à proteção de dados. Não importa, portanto, se estamos falando de um estrangeiro, de um cidadão naturalizado no Brasil ou de um cidadão brasileiro. A lei abrange todo e qualquer dado pessoal de indivíduos em território nacional;
- Fiscalização centralizada em autoridade competente. Neste caso, trata-se da Autoridade Nacional de Proteção de Dados (ANPD), cuja missão é assegurar que os dados pessoais estão sendo tratados em conformidade com a lei, bem como investigar contravenções e orientar as empresas sobre como agir no caso de uma operação em não-conformidade;
- A gestão de riscos e falhas é obrigatória. Toda empresa que gere uma base de dados pessoais deve estar ciente dos riscos cibernéticos e potenciais vulnerabilidades de cibersegurança em sua organização, prevenindo-se da melhor forma possível;
- Transparência é a palavra-chave da lei. Seja entre empresas e titulares de dados, ou entre empresas e as autoridades competentes, transparência é o rigor máximo que vai determinar a aplicação de sanções. Esse mesmo princípio determina que toda violação de dados, por menor que seja, deve ser reportada à ANPD e aos titulares dos dados;
- A não-conformidade pode sair caro. Além da multa previstas em lei, que podem chegar a 2% do faturamento de uma empresa, limitada, no total, a R$ 50 milhões por infração, dependendo da gravidade do caso, e da possibilidade de uma multa diária, observado esse mesmo limite, não proteger dados pessoais pode gerar prejuízos acarretados por danos de reputação, ressarcimento de terceiros, lucros cessantes, custos com processos jurídicos e restauração de sistemas, dentre uma série de outros fatores.
Além disso, a empresa deve “demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei”.
Ou seja, além das taxas e despesas legais derivadas da mitigação de um ataque cibernético, o seguro cibernético geralmente ajuda:
- Notificando clientes, colaboradores, parceiros e entidades de segurança sobre uma violação e/ou vazamento de dados confidenciais;
- Cobrindo parte das despesas com a restauração de sistemas e equipamentos comprometidos;
- Cobrindo parte das despesas com a recuperação de dados perdidos, comprometidos ou criptografados;
- Cobrindo parte das despesas com ações legais mobilizadas por terceiros em decorrência da violação de dados;
- Indenizando os prejuízos acarretados pela interrupção do funcionamento de uma empresa por conta do ataque cibernético (lucros cessantes);
- Oferecendo assessoria jurídica para a condução dos processos legais junto às entidades legislativas de proteção de dados;
- Oferecendo assessoria para a prevenção e mitigação dos riscos cibernéticos.
Além disso, algumas apólices chegam a incluir uma equipe de peritos forenses, cobertura para ações de comunicação para gestão de crise e até mesmo suporte para atender a demandas e reclamações no caso de violação de dados de clientes.
O que acontece se a empresa não seguir a lei e se proteger
Além das consequências imediatas de uma violação de dados, como o comprometimento de sistemas e o acesso a informações confidenciais de uma empresa, no longo prazo, os efeitos de ataques virtuais podem ser ainda mais catastróficos.
Uma empresa que não se mobilize rapidamente para restaurar sua segurança pode correr ainda mais riscos cibernéticos e, em alguns casos, precisar interromper parcial ou totalmente o seu funcionamento, acarretando em lucros cessantes.
Lucros cessantes se referem ao que uma empresa deixa de lucrar em função da interrupção de suas atividades.
Um exemplo é o que aconteceu com as Lojas Renner em 2021: após um ataque de ransomware, que paralisou os sistemas de sua loja online, a varejista foi forçada a operar apenas com os sistemas das lojas físicas por dois dias. Com cerca de 10% da sua receita vinda de ambientes digitais, dá para imaginar o prejuízo?
O seguro cibernético é uma camada a mais de proteção para as empresas
Nesse contexto, o seguro cibernético, além de ajudar as empresas a estarem mais em conformidade com a legislação de proteção de dados, traz segurança jurídica e financeira aos negócios sujeitos a violações de dados e ataques cibernéticos dos mais diversos, uma vez que a maioria das apólices cobre as principais ameaças cibernéticas existentes na atualidade.
Também vale ressaltar que, para a contratação de um seguro cibernético, é necessário que a empresa interessada já tenha ações preventivas e de governança mobilizadas. Isso porque a seguradora não se responsabilizará por restaurar os dados e sistemas caso ocorra um ataque, por exemplo. E tampouco está em seu escopo o tratamento de dados pessoais e corporativos da base da empresa.
Por isso, a cotação do seguro cibernético é feita através de um questionário junto às seguradoras que atuam no ramo, com possibilidade de taxas menores para as empresas que estiverem em melhor conformidade com a LGPD.
O apoio da Rede Lojacorr a corretoras de seguro e profissionais do setor
Compartilhar: essa é a palavra-chave da Rede Lojacorr e da nossa missão em unir especialistas de diversas áreas, corretores e seguradoras em uma única rede.
A Rede Lojacorr atua há mais de 25 anos no mercado de seguros, sendo a maior rede de corretoras do Brasil! Estamos presentes em 26 estados e no Distrito Federal, com 56 unidades de negócios e mais de 4.600 profissionais na força de vendas.
Além disso, temos mais de 75 empresas que agregam valor à nossa rede, oferecendo soluções inteligentes para corretoras de seguros e ajudando você a alavancar o seu negócio!
E, diante de um assunto tão complexo quanto o seguro cibernético, a nossa Rede está preparada para te dar todo o apoio necessário, seja se adequando à Lei Geral de Proteção de Dados ou auxiliando em um entendimento mais profundo do tema, capacitando corretores para vendas consultivas nesse mercado em constante crescimento.
Acesse nosso Hub, conheça nossos serviços e nos diga como podemos te ajudar!