Busca por seguro cibernético aumenta, mas falta maturidade às empresas

A pandemia forçou praticamente todas as empresas do mundo a se digitalizar rapidamente e muitos colaboradores foram trabalhar remotamente. Se a produtividade se provou positiva nesse cenário, a segurança se tornou uma preocupação da maior parte das companhias.

Essa é a opinião de Marta Schuh, diretora de Cyber Risk da consultoria de risco e corretora Marsh Brasil, que contou com exclusividade ao IT Forum que a área de risco cibernético da Marsh cresceu 300% no último – e a área dobrou de equipe para conseguir atender toda a demanda.

Confira a entrevista completa:

IT Forum: Como a pandemia mudou a área de segurança?

Marta Schuh: A pandemia trouxe toda a evolução em consequência de praticamente todo mundo migrar para o digital. Até as empresas que viam os canais digitais como uma segunda opção ou não os priorizavam, tiveram que se digitalizar. Mas essa evolução foi muito rápida, trazendo muitos incidentes.

IT Forum: A procura por seguro cibernético aumentou?

Marta Schuh: Existe uma procura enorme por seguro, mas ainda há um grande percentual de recusas pelo lado das seguradoras porque as empresas não estão em dia com tecnologias e processos que a tornem segura. Inclusive, há empresas gigantescas, com capital aberto, que não estão preparadas.

IT Forum: Quais são as exigências feitas pelas seguradoras?

Marta Schuh: É necessário que o cliente também seja responsável pela sua gestão de risco – e a seguradora se torna uma “sócia” desse risco. Fazendo um paralelo, é como pedir um empréstimo para o banco e ele avaliar os riscos.

A seguradora olha para os elementos que possam evitar que se tenha uma frequência de ataques ou, se acontecer um incidente, que a companhia terá maneiras de contê-lo antes de tornar-se catastrófico.

Processos, ferramentas, práticas (teste de resposta, por exemplo) e outras questões são levadas em conta na análise de cada cliente. E vai muito além da tecnologia – se uma empresa não faz treinamentos para sua equipe, por exemplo, poderá ter uma análise negada.

Fazendo um paralelo com uma apólice para automóvel. Se alguém dá uma pequena batida, provavelmente não acionará o seguro – pois a franquia e o preço de renovação posterior não compensam. Os ciberseguros são feitos para situações mais severas e não para a recorrência do dia a dia.

Desde escritório de advocacia a empresas que fazem perícia digital. Existem tabelas com as seguradoras para ser atendido o mais breve possível. Do que contratar com tomada de preço para ajudar. Além dos reembolsos de todas as despesas, se tiver perda de receita, hora extra dentro da equipe.

Os serviços na prateleira estão disponíveis com especialistas de outras áreas – como escritório de advocacia e perícia digital. Mas o cliente não é obrigado a fechar isso.

IT Forum: Apenas empresas grandes podem fazer o seguro?

Marta Schuh: Hoje, temos seguros que atendem desde micro empresas até as maiores (são consideradas pequenas empresas aquelas de até R$ 100 milhões). Inclusive, para as empresas de menor porte, como nem sempre há um sistema robusto de tecnologia, as seguradoras oferecem gratuitamente alguns serviços para ajudar na gestão de segurança.

IT Forum: Como funciona o sistema de “torre” para o contrato de seguradoras?

Marta Schuh: As seguradoras têm um percentual de aceitação para o risco. No Brasil, o mais comum é cada uma deas aceite R$ 25 milhões. Mas, vamos supor, que uma empresa queira R$ 100 milhões em sua apólice.

Nesses casos, há duas maneiras. Na primeira (normalmente mais vantajosa tanto para o cliente quanto para a empresa), há uma seguradora primária que emite o papel com R$ 25 milhões e outras seguradoras “por trás” que completarão o total. Caso aconteça um incidente, todas essas seguradoras dividem igualmente o valor a ser ressarcido.

Na segunda forma, é necessário compor ao excesso. Ou seja, a seguradora primária terá R$ 25 milhões e em outros “degraus”, há outras seguradoras. Caso o incidente seja de R$ 20 milhões, apenas a primeira companhia arca com o valor. Por isso, é comum que essa primeira seguradora aumente o valor para a contratação.

Normalmente, essa segunda opção acontece quando o cliente não tem uma boa maturidade ou não tem apetite para aquela indústria (como meios de pagamento).

IT Forum: Quanto custa um seguro para cibersegurança?

Marta Schuh: Depende de vários fatores, como indústria, faturamento, se lida muitos dados (um varejista ou empresa de saúde, por exemplo). Além de todas as questões de processos e ferramentas. A média do que tem custado uma apólice hoje é entre 2% a 4% do capital assegurado por ano.

O que também influencia é o fator de que o seguro para cibersegurança é uma espécie de “clube” para quem o contrata. Ou seja, quando necessário, todos precisam pagar a mais. Em 2020, as apólices custavam entre 1% e 1,5%. Porém, tivemos muitos incidentes que as seguradoras tiveram que reaver, então todos sofreram com o crescimento do porcentual. Porém, a gente espera um cenário mais positivo para 2022.

IT Forum: As mudanças de câmbio influenciam no mercado de seguradoras?

Marta Schuh: Sim! Se a gente tiver uma condição de R$ 25 milhões e colocar a franquia em R$ 1 milhão, fará sentido para o cliente. Mas se os 25 milhões estão em dólar e a franquia também for US$ 1 milhão, isso se torna R$ 5 milhões hoje.

IT Forum: Como é o processo no caso de um ataque?

Marta Schuh: Quando acontece um incidente, a nossa prioridade é que ele seja resolvido. É como um incêndio, quanto mais tempo demorar para resolver, mais vai ter consequências. Após resolvê-lo, começamos a buscar evidências e perdas (logs, encontrar a causa-raiz, extensão de danos, quais ambientes que foram afetados, entre outros). Então entra o desafio para a área financeira de calcular a perda de receitas, impactos, horas trabalhadas, entre outros.

IT Forum: Como é feito o cálculo de reembolso no caso de ataques?

Marta Schuh: O cálculo é feito em cima do que estava sendo realizado nos últimos três meses e das projeções do período. No caso de uma data sazonal, como Black Friday, não são usadas informações de percentual de venda dos últimos três meses porque não vai refletir. O cliente traz esse cálculo, mas a gente dá a “fórmula” para que ele possa trazer o valor final e os números de projeção que provam isso.

IT Forum: Quanto tempo demora para o reembolso ser pago?

Marta Schuh: A média de reembolso tem sido de nove meses. A primeira parte normalmente a ter as informações são os prestados de serviços, pois têm nota fiscal e escopo de serviços. Mas depende de quanto tempo o cliente vai entregar as provas de todos os cálculos. Eu já tive experiencia de começar a pagar em seis semanas – após a empresa entregar todos os documentos.