O cenário dramático de ataques cibernéticos marcou o setor de Segurança da Informação ao longo dos últimos meses. Inúmeras organizações sofreram impactos e interrupções por conta das ações dos cibercriminosos, o que fez aumentar a procura por seguros cibernéticos para proteção digital.
Segundo levantamento baseado nos dados da Superintendência de Seguros Privados (Susep), até setembro deste ano foram emitidos R$ 130 milhões em prêmio de seguro cyber, 22,8% acima do registrado em 2021, quando o setor alcançou R$ 105,8 milhões.
Quando esses dados são comparados a 2020, o crescimento e a evolução deste nicho de mercado ficam ainda mais evidentes. De acordo com a Susep, naquele ano o segmento gerou cerca de R$ 43 milhões de prêmio e teve R$ 32 milhões em sinistros indenizados.
Por outro lado, o estudo indicou um efeito indireto no setor, apresentando uma queda do percentual de sinistralidade. Se no ano passado as seguradoras gastaram R$ 74,5 milhões em indenizações, este ano o montante de sinistros até setembro é de aproximadamente R$ 20 milhões, uma redução de 73,1%.
Márcio Santos, Data Analytics & Risk Engineering na Horiens, empresa do ramo de seguros especializada em gerenciamento de risco, avalia que esse mercado de Seguro Cyber, além de desafiador, segue com limitação de capacidade. Na visão do executivo, muitas seguradoras não estão dispostas a ofertar produtos relevantes, já que entendem um risco muito considerável para ser precificado.
“Existe uma série de GAPs, assimetrias e algumas deficiências também na parte de Segurança, na avaliação interna dos riscos e até mesmo na implantação dos frameworks, mas muito além disso, a própria incapacidade de especificar esse risco para o mercado segurador. Com isso, é mais complexo para uma seguradora ofertar um seguro que ela não consegue dar preço, isso traduz muito o que está acontecendo no mercado de cyber”, explica Santos em entrevista concedida à Security Report.
O papel do CISO na maturidade cyber
Na visão de Ronaldo Andrade, CISO na Horiens e que está nessa linha de defesa dos ataques cibernéticos, o board da companhia também precisa ter o próprio seguro de responsabilidade. “Existem empresas que não têm essa possibilidade, seja por pouco apetite ao risco ou por falta de conhecimento sobre o assunto”, pontua Andrade e acrescenta que o problema será resolvido quando as organizações forem mais especializadas na gestão e análise dos riscos cibernéticos alinhados com riscos de negócio.
De acordo com Andrade, se uma empresa não faz o básico da Segurança, a contratação do seguro cyber também será mais desafiadora. “Se até mesmo para as organizações mais maduras no tema de Cibersegurança contratar seguro está difícil, imagina para as empresas que não olham para a SI como deveriam? Nós, como CISOs, temos a missão de trazer essa maturidade para nossa companhia e disseminar essa cultura em todo o Brasil, para que todas as empresas alcancem o nível mais adequado de proteção e contem com os recursos de seguro cibernético”, completa Ronaldo.
Para se ter uma ideia desse cenário no exterior, nos Estados Unidos, por exemplo, um dos mercados mais evoluídos em seguro Cyber no mundo, o número de apólices emitidas duplicou em cinco anos, passando de 2,1 milhões de apólices em 2016, para mais de 4 milhões em 2020. Ainda segundo o levantamento da National Association of Insurance Commissioners, seguradoras domiciliadas naquele país emitiram cerca de US$ 2,75 bilhões em prêmios diretos.
Apesar das diferenças econômicas, o Brasil parece seguir essa mesma tendência, já que a expectativa é que o setor movimente R$ 1,7 bilhão até 2025. Para Márcio Santos, o seguro cyber tem que fazer parte dos processos e os profissionais de SI precisam disseminar essa cultura. Além disso, a equalização da linguagem precisa ser um ponto principal do CISO junto ao corpo diretivo da organização.
“É preciso que todos falem a língua do negócio para que haja um alinhamento sobre o tema de proteção e seguro cyber”, enfatiza o executivo. Olhando para 2023, ele acredita que o cenário de ataques cibernéticos deve ser ainda mais desafiador, com um acréscimo no número de incidentes e exposição de dados sensíveis. “Devemos nos preparar para lidar com esse cenário”, finaliza Santos.
Seguro em dia dos líderes
Esse assunto também foi destaque durante o painel de debates promovido na edição nacional do Congresso Security Leaders. Os líderes de Segurança questionaram a real importância da contratação de uma apólice de seguros para os dados da companhia, considerando o quanto, de fato, aquele valor pode ajudar no momento de um incidente. Para os profissionais, o ambiente de insegurança diante da frequência de ataques fez os valores das seguradoras subir além daquilo que seria proporcional a uma empresa pagar.
“Se levarmos em conta os últimos dois anos, os índices de sinistralidade cresceram exponencialmente. Isso fez o valor do prêmio também subir. Então, se há três anos você fazia, por exemplo, um seguro de prêmio de um milhão ao ano, hoje você faz com 15 milhões. É um preço absurdamente elevado”, pontuou João Back, CISO na Crefisa. De acordo com o executivo, altos volumes de ataques e prejuízos causados por eles são os responsáveis por esse avanço nos preços.
Para Douglas Rocha, Gerente Executivo de SI no Banco Inter, por mais importante que seja, um seguro cibernético não é crucial para a proteção de todo o sistema da companhia, pois o valor não tratará de outros problemas acarretados pelo ataque. Ele também chama atenção para mais um parceiro agregado ao ecossistema da Segurança, o que exige atenção redobrada nos riscos.
“Podemos analisar o seguinte: para ter um seguro, ele precisa ser viável. Mas isso não significa que você tenha que renunciar à sua proteção. Então, melhor que se esteja protegido, com um time de resposta a incidentes, consultorias e parceiros já contratados para investigação como parte do seu plano e contar com o seguro apenas como um complemento. Isso sim é resiliência”, concluiu Rocha.
