*Por Renan Moreira
É notório que nos últimos anos, os ataques cibernéticos estão cada vez mais comuns e eficientes, e isso se deve à alguns fatores que não abordaremos no artigo de hoje. O que pretendemos abordar, na verdade, é um aspecto que está ganhando espaço com estes ataques: a contratação de apólices de seguro contra crimes cibernéticos, mais especificamente os Ransomwares, pois são o tipo de ameaça digital onde os dados são sequestrados, criptografados, e só é possível recuperá-los, caso souber a chave para desbloqueio.
Uma breve comparação entre bens materiais e imateriais
Um seguro é um mecanismo muito eficaz quando tratamos de bens materiais, como um acidente com seu veículo, onde a seguradora após constatar o fato ocorrido, ressarce o indivíduo afetado. Infelizmente, quando tratamos de bens imateriais, como dados (fatos, conceitos ou estatísticas) e informação (dados processados após análise), uma vez que estes ativos forem lidos ou até mesmo controlados por terceiros indevidos, teremos uma violação de Integridade, este que é um pilar fundamental da Segurança da Informação (Confidencialidade, Integridade e Disponibilidade).
Por que uma apólice de seguro seria incentivadora para os cibercriminosos?
Uma vez que sua empresa possui uma apólice de seguro como essa, na maioria das vezes, a Alta Direção acaba poupando recursos financeiros que seriam alocados para esforços preventivos para um ataque, pois tem a falsa sensação de que estariam seguros caso haja um ataque. Porém, como sabemos, a informação é o bem mais valioso dos últimos tempos, e por mais que seja ressarcida financeiramente (muito provavelmente apenas uma parte do prejuízo, pois um ataque pode chegar a custar milhões de reais para a vítima), a empresa pode parar por muito tempo, podendo levar até mesmo à falência. Isso só seria minimizado caso houver uma equipe responsável por manter cópias de segurança, conhecidas como backup, conforme a real necessidade do ativo.
O incentivo seria necessariamente por parte da empresa, uma vez que o pensamento seria o de: “estamos seguros, afinal teremos respaldo financeiro caso houver um ataque”, ao invés de ter o pensamento de: “caso houver um ataque, estaremos à postos para recuperação dos dados”. Notou a diferença? Em um dos casos a preocupação remanesce apenas no financeiro, onde na verdade, seria necessária na recuperação dos dados, o que abre um leque para atacantes aproveitarem desta brecha.
Segundo o estudo de Jason Nurse, professor sênior de Cibersegurança da Universidade de Kent, o seguro cibernético não é uma bala de prata, como algumas pessoas esperavam ou pensavam. Além disso, Nurse complementa, dizendo que outro ponto que não agrada nos seguros cibernéticos, seria a variação ampla em suas devidas diligências antes de se contratar a apólice, com diferentes empresas solicitando diferentes provas de segurança. Ele ressalta, informando que essa possível falta de padronização aponta o despreparo por parte das equipes envolvidas, o que pode gerar um ambiente não favorável.
Qual estratégia se deve adotar para minimizar os riscos e custos?
Mesmo realizando backups, ainda é possível sofrer um ataque que comprometa até mesmo a restauração, por exemplo, se não for armazenada em local devidamente seguro e isolado da companhia.
A posição mais recomendada seria a contratação de uma consultoria ou acompanhamento de uma equipe de Segurança da Informação, municiada de um Centro de Operações de Segurança (SOC), bem como o apoio de uma equipe de Gestão de Risco e Conformidade (GRC), onde será acompanhado de perto os eventos e ofensas que podem ser danosos para sua empresa, além de fornecer instruções para seus colaboradores a fim de minimizar os riscos.
Vale salientar, que 80% das empresas que consideram pagar o resgate, acabam sendo vítimas novamente, segundo levantamento realizado pela Cybereason. O mesmo estudo aponta que somente 42% das empresas que sofreram um ataque conseguiram recuperar os prejuízos com o uso de seguros contra incidentes cibernéticos.
Existem apólices no mercado, que cobrem até 1 milhão de reais em danos, caso sua empresa possua a solução de defesa onde o cliente paga cerca de 5 mil reais mensais para 300 dispositivos. Já uma consultoria, pode ter seu custo um pouco mais elevado, como por exemplo R$ 5600,00, tendo 40 horas de projeto e sendo a hora de trabalho equivalente a R$ 140,00, segundo a média do mercado. Esses valores variam de acordo com o número de dispositivos, criticidade do ambiente, urgência do projeto, tipo de acompanhamento e alguns outros fatores técnicos, valendo a pena consultar um representante para maiores esclarecimentos.
Portanto, coloque na balança a contratação de um time especializado, contra uma apólice de seguro. Na maioria das vezes, é mais barato ter uma consultoria a seu dispor, do que apenas uma ajuda de custo para reparação dos danos. Caso queira, ainda é possível contratar os dois recursos ao mesmo tempo, porém, os custos seriam muito maiores, e visando a eficiência, mantemos a posição recomendada.
E sua empresa, já possui uma consultoria?
— Renan Moreira é Servicedesk na [SAFEWAY]
Sobre a Safeway:
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 23 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
