Seguro cibernético: parceiro na prevenção de riscos

Mesmo antes de 2020, quando a sociedade precisou se isolar e seus dispositivos eletrônicos eram as únicas formas seguras de contato, pessoas físicas e jurídicas já havia uma necessidade de proteção digital, tornando o seguro cibernético uma solução cada vez mais essencial. 

Afinal, ressignificar a forma como lidamos com nossas informações pessoais e o ambiente digital exige mais segurança e precaução.

Chamada de Transformação Digital, essa mudança vai além de repensar a tecnologia. Ela se tornou absolutamente necessária para a sobrevivência dos negócios, fomentando inovações antes inimagináveis

E, da mesma forma, aumentou a disposição de usuários e empresas para entregarem seus dados nas mãos invisíveis da Internet. 

O outro lado dessa equação é que, à medida que esses ambientes digitais se desenvolvem, os riscos cibernéticos se tornam mais complexos e aterrorizantes. A ponto de as inovações virem recheadas de contras.

O seguro cibernético, portanto, tem um papel primordial: combater, mas também conscientizar, para que mais e mais empresas tenham as ferramentas necessárias para prevenir esses riscos. Além disso, permite que possam também inovar, sabendo que estão amparadas.

Confira, a seguir, um pouco mais sobre a importância do seguro cibernético.

O que é o seguro cibernético

O seguro cibernético é um tipo de seguro de responsabilidade civil projetado para ajudar empresas a se protegerem contra os efeitos altamente prejudiciais de ataques cibernéticos, como:

• Malwares, 
• Ransomwares, 
• Ataques de engenharia social, 
• Ataques distribuídos de negação de serviço (DDoS) 
• Ou qualquer outro método usado por criminosos cibernéticos para comprometer uma rede e dados confidenciais, sejam eles corporativos ou domésticos.

Também conhecido como “seguro de risco cibernético” ou “seguro cyber”, esse tipo de seguro tem, normalmente, o objetivo de ajudar uma empresa a mitigar riscos cibernéticos.

Na maioria das apólices, ele cobre a responsabilidade da empresa diante de uma violação de dados, que pode ou não envolver o vazamento de informações confidenciais de clientes, colaboradores e parceiros.

Na prática, caso a empresa segurada seja vítima de uma violação de dados ou de um ataque cibernético, a maioria dos seguros cibernéticos cobrirá os custos da empresa e de terceiros associados à empresa— colaboradores, por exemplo —, se:

• Ativos digitais forem danificados ou corrompidos;
• Houver extorsão e/ou vazamento de dados;
• A empresa precisar interromper seu funcionamento, incorrendo em lucros cessantes;
• Ou precisar mobilizar ações para gerenciar sua reputação;
• Necessário indenizar clientes e parceiros pelo comprometimento de seus dados.

Por fim, é de sua responsabilidade notificar os órgãos responsáveis pela proteção de dados (no Brasil, a Autoridade Nacional de Proteção de Dados) e oferecer suporte na gestão da reputação do negócio.

De modo geral, o seguro cibernético existe para ajudar pessoas físicas e jurídicas a garantir a integridade de seus dados, prevenindo ou minimizando uma violação e suas consequências.

Mas o que é violação de dados? É a mesma coisa que vazamento de dados?

Não!

A violação de dados é definida como a “exposição de informações sensíveis e confidenciais para indivíduos não-autorizados”. Essa violação pode levar a um vazamento de dados, mas não precisa, necessariamente, resultar em um para ser considerada uma violação.

Se, por exemplo, um criminoso invadir um servidor e acessar informações sem divulgá-las, há exposição indevida, mas não vazamento.

De todo modo, a empresa está sujeita às sanções da regulamentação de proteção de dados.

Já o vazamento ocorreria se, por exemplo, um cibercriminoso acessasse essa mesma base, extraísse as informações e vendesse os dados em um fórum na dark web.

Nesse caso, a empresa afetada teria de notificar não só a violação, mas também o comprometimento dos dados, uma vez que as informações sensíveis foram a público e poderiam ser usadas para mobilizar ataques cibernéticos e diferentes tipos de golpes.

Também é importante ter em mente que violações sem vazamento de dados são comuns quando o criminoso quer usar as informações para ataques mais lucrativos, como os de ransomware.

Além disso, esses dados podem ser utilizados para a aplicação de golpes financeiros ou de identidade.

Ou seja, a violação de dados pode ser apenas a etapa inicial de um problema ainda maior.

Violações de dados são sempre ataques cibernéticos?

É comum acreditar que toda violação de dados é fruto de uma invasão ou ataque cibernético.

Porém, considerando sua definição literal, a violação de dados pode ocorrer até mesmo por acidente dentro da empresa.

Estes são alguns cenários comuns em que acontece a violação de dados:

• Informações confidenciais acessadas acidentalmente: um colaborador abre uma pasta ou o computador de um colega e lê arquivos aos quais ele, em teoria, não deveria ter acesso. A violação não é intencional. Mas, como foram visualizados por um indivíduo não-autorizado, os dados foram comprometidos;
• Roubo ou perda de dispositivos: se um colaborador perde ou tem um dispositivo da empresa roubado — pode ser um celular, um notebook, até mesmo um pen-drive —, e esse dispositivo é acessado por pessoas não-autorizadas, também ocorre a violação de dados;
• Colaborador mal-intencionado: caso um colaborador acesse e/ou compartilhe propositalmente dados, com a intenção de causar danos a um colega ou empresa, pode ocorrer, além da violação, um vazamento;
• Ativismo corporativo: há também o outro lado da moeda, que é quando um colaborador acessa e expõe dados da empresa por um bem maior. Foi o que aconteceu recentemente com o Facebook e, há uns anos, no caso do WikiLeaks;
• Cibercriminosos: finalmente, aqui, temos os ataques cibernéticos que usam o acesso não-autorizado para roubar, criptografar ou vazar informações de uma empresa ou de um indivíduo da empresa.

Logo, uma boa estratégia de segurança cibernética deve ser capaz de prevenir e remediar todos esses cenários.

A proteção de dados de acordo com a LGPD

A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020 no Brasil, com uma atualização publicada em agosto de 2021.

Seguindo o Regulamento Geral de Proteção de Dados da União Europeia, a legislação busca padronizar regulações e boas práticas para garantir segurança jurídica no tratamento de dados pessoais no Brasil.

De 2020 para cá, porém, poucas empresas entraram em total conformidade. E é seguro dizer que a grande maioria delas — sobretudo as de pequeno e médio porte — ainda enfrenta dificuldades significativas, tanto para proteger sua base de dados quanto para estabelecer processos de governança, como previsto em lei.

E, dado o perfil, majoritariamente, digital dos serviços oferecidos hoje, esse problema não distingue setor. Isso significa que, se uma empresa lida com meia dúzia de informações pessoais que seja, ela deve seguir a lei.

Logo, isso afeta o varejo online, as redes sociais, os bancos, os hospitais, as escolas, os hotéis, as instituições públicas, as concessionárias de automóveis, as agências de marketing e publicidade, até as próprias seguradoras…

Imagine que, agora, qualquer solicitação de e-mail para recebimento de mensagens promocionais, por exemplo, requer o claro consentimento, a transparência e a possibilidade de remoção simplificada desse dado da base. 

E que, por mais simples que seja, esse mesmo dado pode virar um pesadelo e acarretar em multas milionárias, caso uma pessoa não-autorizada tenha acesso à lista de cadastro desses e-mails promocionais.

Em síntese, são complicações financeiras decorrentes da transformação digital e que podem acarretar em elevados custos de defesa. 

Com um longo caminho a ser percorrido, e muito a se aprender, as empresas vão precisar de todo o suporte necessário para assegurar que suas bases de dados estão protegidas.

A importância do seguro cibernético para evitar a violação e o vazamento de dados

A LGPD define as regras para o tratamento de dados, as penalidades para o não cumprimento e os riscos envolvidos caso a empresa não esteja em conformidade.

Destacam-se, portanto, os seguintes itens no texto da legislação:

• A LGPD estabelece normas igualitárias para o tratamento de dados pessoais. Assim, ela assume um compromisso de segurança jurídica válido para todo o país e para todo cidadão em território brasileiro.
• Sem consentimento, nada feito. Se o titular não consentir com o tratamento de seus dados pessoais, a empresa é impedida, por lei, de coletá-los e utilizá-los. Além disso, para obter esse consentimento, a empresa deve esclarecer a finalidade do tratamento dos dados, bem como seu destino.
• Sem obscuridades. A lei também estabelece claramente o que são dados pessoais, como devem ser tratados e qual é o papel de cada um dos envolvidos no tratamento dessas informações.
• Todo cidadão tem direito à proteção de dados. A lei abrange todo e qualquer dado pessoal de indivíduos em território nacional, seja ele estrangeiro ou brasileiro.
• Fiscalização centralizada em autoridade competente. A ANPD garante a conformidade no tratamento de dados, além de investigar e orientar empresas sobre boas práticas.
• Gestão de riscos e falhas é obrigatória. Toda empresa que gere dados pessoais deve conhecer os riscos cibernéticos e adotar medidas preventivas para evitar vulnerabilidades.
• Transparência é a palavra-chave. A lei exige que qualquer violação de dados seja reportada à ANPD e aos titulares, e que haja comunicação clara entre empresas e autoridades.
• A não conformidade pode sair caro. Além de multas que podem chegar a R$ 50 milhões por infração, as empresas correm risco de prejuízos financeiros, danos à reputação, custos com processos jurídicos e restauração de sistemas.

Como o seguro cibernético ajuda sua empresa a lidar com ataques e violações de dados

Além das penalidades e despesas legais, a LGPD exige que a empresa comprove a efetividade de seu programa de governança sempre que solicitado.

Ou seja, além de exigir medidas preventivas, a regulamentação impõe uma resposta rápida e organizada no caso de incidentes. E é aí que entra o seguro cibernético.

Uma apólice de seguro cibernético pode cobrir:

• Notificação de clientes, colaboradores e autoridades competentes sobre violações de dados;
• Despesas com a restauração de sistemas e recuperação de dados comprometidos;
• Custos com ações judiciais movidas por terceiros devido ao vazamento de informações;

• Indenização por lucros cessantes causados pela interrupção das atividades da empresa;

• Assessoria jurídica para lidar com processos de conformidade e segurança;

• Consultoria para prevenção e mitigação de riscos cibernéticos.

Algumas apólices incluem, até mesmo, uma equipe de peritos forenses, cobertura para ações de comunicação na gestão de crise e, suporte para atender demandas e reclamações relacionadas à violação de dados de clientes.

Com o aumento das ameaças digitais e a rigidez da legislação, o seguro cibernético se tornou uma ferramenta indispensável para qualquer empresa que lida com dados pessoais e informações sensíveis.

O que acontece se a empresa não seguir a lei e se proteger

Além das consequências imediatas de uma violação de dados, como o comprometimento de sistemas e o acesso a informações confidenciais de uma empresa, no longo prazo, os efeitos de ataques virtuais podem ser ainda mais catastróficos.

Uma empresa que não se mobilize rapidamente para restaurar sua segurança pode correr ainda mais riscos cibernéticos e, em alguns casos, precisar interromper parcial ou totalmente o seu funcionamento, acarretando em lucros cessantes. 

Sendo que, lucros cessantes se referem ao que uma empresa deixa de lucrar em função da interrupção de suas atividades.

Um exemplo é o que aconteceu com as Lojas Renner em 2021: após um ataque de ransomware, que paralisou os sistemas de sua loja online, a varejista foi forçada a operar apenas com os sistemas das lojas físicas por dois dias. 

Como resultado, com cerca de 10% da sua receita vinda de ambientes digitais, dá para imaginar o prejuízo?

O seguro cibernético é uma camada a mais de proteção para as empresas

Nesse contexto, o seguro cibernético, além de ajudar as empresas a estarem mais em conformidade com a legislação de proteção de dados, traz segurança jurídica e financeira aos negócios sujeitos a violações de dados e ataques cibernéticos dos mais diversos, uma vez que a maioria das apólices cobre as principais ameaças cibernéticas existentes na atualidade.

Também vale ressaltar que, para a contratação de um seguro cibernético, é necessário que a empresa interessada já tenha ações preventivas e de governança mobilizadas.

Isso porque a seguradora não se responsabilizará por restaurar os dados e sistemas caso ocorra um ataque, por exemplo. E, tampouco está em seu escopo o tratamento de dados pessoais e corporativos da base da empresa.

Por isso, a cotação do seguro cibernético é feita através de um questionário junto às seguradoras que atuam no ramo, com possibilidade de taxas menores para as empresas que estiverem em melhor conformidade com a LGPD.

O apoio da Lojacorr a corretoras de seguro e profissionais do setor

Compartilhar: essa é a palavra-chave da Lojacorr, e da nossa missão em unir especialistas de diversas áreas, corretores e seguradoras em uma única rede.

A Lojacorr atua há quase 30 anos no mercado de seguros, sendo a maior rede de corretoras do Brasil! Estamos presentes em 26 estados e no Distrito Federal, com 61 unidades de negócios e mais de 5.000 profissionais na força de vendas. 

Além disso, temos mais de 75 empresas que agregam valor à nossa rede, oferecendo soluções inteligentes para corretoras de seguros e ajudando você a alavancar o seu negócio!

E, diante de um assunto tão complexo quanto o seguro cibernético, a nossa rede está preparada para te dar todo o apoio necessário, seja se adequando à Lei Geral de Proteção de Dados, auxiliando em um entendimento mais profundo do tema ou capacitando corretores para vendas consultivas nesse mercado em constante crescimento.

Acesse nosso Hub, conheça nossos serviços e nos diga como podemos te ajudar!