Temendo riscos, empresários despertam para necessidade de seguros cibernéticos

O mercado de seguro cibernético está a todo vapor no Brasil. Surgido em 2012, ele só ganhou impulso com os recentes incidentes envolvendo vazamento de dados, como no caso do Facebook–Cambridge Analytica , que ajudou a chamar atenção do mercado para o problema. Agora, o ambiente regulatório, também levanta esta bandeira. Temendo multas e exposições na mídia, as empresas começam a contratar apólices para se proteger de eventuais problemas advindos do roubo de dados.

A norte-americana AIG Seguros, uma das maiores empresas seguradora dos Estados Unidos é uma das pioneiras no mercado de cobertura de risco cibernético no Brasil, com mais de 50% de market share. “O seguro responde a situações decorrentes de desconformidades com a LGPD ou sinistros”, explica Victor Perego, subscritor de risco cibernético da seguradora AIG. Em outras palavras, a cobertura vai desde a destruição de dados por um incêndio, por exemplo, a uma invasão cibernética com roubo e pedidos de resgate. Cobre ainda danos a terceiros que recorram a ações judiciais para receber indenizações por danos morais.  

E quanto mais cuidados com os dados, mais barata fica apólice. “Então, se a empresa contrata um data center certificado para armazenar seus dados, com todos os requisitos de garantia, com redundância, controle de segurança, entre outras coisas, a apólice logicamente vai ficar mais barata. É isso que observamos quando vamos analisar o ambiente do cliente para precificar a apólice”, explica Perego.

Os valores das apólices variam entre 1,5% a 2% em relação ao limite contratado. Se um hospital contrata um prêmio de R$ 10 milhões, a apólice será de R$ 200 mil, porque nesse segmento a taxa é de 2%. Setores que trabalham com mais requisitos de segurança, como o de TI, a apólice fica em 1,5%.

O mercado nacional para este tipo de seguro cresceu lentamente entre 2012 e 2013, com cerca de R$ 3 milhões de prêmios emitidos. Mas de 2013 a 2017, dobrou de tamanho. E voltou a dobrar mais uma vez de 2017 para cá, alcançado R$ 16 milhões em apólices. O sudeste é disparada a região que mais contrata seguros dessa natureza. “Mas o Nordeste é um mercado muito promissor e na região Recife e Salvador têm puxado a vendas”, revela Perego”, diz Victor. Em geral, os setores de tecnologia e financeiro são os mais preocupados com o tema, segundo ele.

Data center Surfix

Paulo Fragoso, o engenheiro responsável pela arquitetura de segurança da rede da Surfix”, empresa sediada no Recife e que detém único Data Center corporativo em conformidade com a LGPD em Pernambuco, lembra que as empresas precisam realmente parar para pensar nos seus orçamentos com um olhar mais atencioso para a segurança cibernética.

 “O ponto mais crítico da lei de proteção de dados no Brasil é que ela sai literalmente do zero para o 1”, comenta Fragoso, fazendo uma alusão ao sistema binário. De fato, a Europa levou anos para amadurecer  o conceito da legislação que protege os dados de seus cidadãos e, no Brasil, a sociedade se vê, de uma hora para outra, tendo que se ajustar a uma lei que ainda é desconhecida da maioria das pessoas.

Para Fragoso, o armazenado de dados é um detalhe muito importante na questão da segurança. “Empresários no comando de negócios de pequeno e médio portes que não possuem área de TI em sua empresa podem ir direto a um data center, que oferece suporte tecnológico e consultoria para tratar os dados sensíveis de uma empresa”, orienta

No continente europeu, a Diretiva de Proteção de Dados Pessoais foi elaborada em 1995, época em que a internet começava a se popularizar. Ela foi substituída pela legislação atual, o Regulamento Geral sobre Proteção de Dados (RGPD), em 2018, que vinha sendo discutido desde 2012, numa evolução de debates e disseminação de informações que ajudaram na tomada de consciência. Diferente do que acontece no Brasil, onde o tema ainda é desconhecido por muita gente.

A pesquisa "Tendências em Gestão de Riscos Cibernéticos e Segurança da Informação na América Latina e Caribe 2019", feita pela Deloitte junto a 150 organizações de 12 países da América Latina e Caribe, mostra que, embora as empresas saibam da relevância da segurança cibernética, boa parte não imprime essa importância nos seus orçamentos. Além disso, o nível de maturidade de suas práticas de gestão nessa área deixa a desejar, assim como a atualização de ferramentas para a proteção de dados, como um data center certificado, que permitam diminuir os riscos de incidentes.

A pesquisa da Deloitte revelou que quatro de cada 10 organizações sofreram um incidente de segurança cibernética nos últimos 24 meses. Entre os entrevistados, 70% afirmam não ter certeza da eficácia de seu processo de resposta diante de desses incidentes e apenas 3% realizam simulações para testar suas capacidades efetivas de resposta. Apenas 31% das empresas colocam em prática medidas de inteligência para detectar riscos e compartilham ameaças com outras organizações.