Os dez mandamentos do seguro cibernético

Seguro Cibernético

O novo normal da segurança da informação e proteção de dados exige a contratação de seguro cibernético.

Um pouco de história

No capítulo 6 do livro de Josué está descrita uma das mais significativas conquistas militares do povo hebreu: a tomada da cidade de Jericó. Trata-se da conquista de uma cidade forte onde muralhas – sim, muralhas! Eram duas! – foram derrubadas de maneira surpreendente, para pavor dos que lá habitavam em 1400 A.C. Cabe ressaltar que a cidade dos Cananeus contava com forte aparato bélico e organização militar, como a existência de serviço secreto a disposição do monarca [1].

O que isso tem a ver com os nossos dias? A cidade forte, que após invadida foi queimada, empresta o nome para uma iniciativa surgida nos idos de 2003 que fomentou a discussão sobre a queda do perímetro de segurança nas organizações [2]. Para isso, o Jericho Forum ou em bom português: Fórum Jericó teve a missão de discutir o De-perimeterisation [3] que traduzido para português torna-se algo como: des-perímetro (será que existe essa palavra?). É aqui que começa a nossa jornada rumo ao proposto pelo artigo.

Motivação

Sabemos que a pandemia acelerou a queda do combalido perímetro. O conceito (e a prática também!) dia após dia estava sendo corroído com o alargamento das possibilidades de trabalho para além das fronteiras físicas da organização. Parcerias com fornecedores e clientes, trabalho de campo, home-office, transformação digital, cloud computer e um sem fim de justificativas estendiam cada vez mais os processos do negócio e a infraestrutura de tecnologia da informação para fora, exigindo maior controles de endpoints, usuários e sistemas da organização. Árdua tarefa para a mais competente e abastada das organizações!

seguro-cibernético

Desde que o cenário de exceção em virtude da pandemia tomou lugar nas organizações, o que se viu foi uma verdadeira correria para permitir a continuidade dos processos do negócio. Muito tem se especulado sobre as diversas mudanças e paradigmas que a nova realidade nos apresentará, principalmente em nós, seres humanos, e nossas relações nas mais diversas nuances. No entanto, no que diz respeito aos riscos cibernéticos e relacionados a privacidade dos dados, não cabe especulação. É fato que os ataques aumentaram devido a maior exposição da superfície de exploração e consequentemente o risco relacionado está mais elevado [4].

Além do perímetro, um outro aspecto chama atenção: as regulações de proteção de dados que devido a carga das penalidades e sanções podem imprimir uma espécie de efeito colateral, incentivando a atuação dos atacantes [5].

Nesse contexto, mais do que nunca faz sentido as organizações estabelecerem uma nova linha de defesa, que será acionada quando todas as demais falharem: o seguro cibernético.

Diante dessa opinião, e já que estamos com uma pegada bíblica, estabeleço os 10 mandamentos para aquisição do seguro cibernético. Esses passos devem ser adotados por profissionais que desejam avaliar e adquirir o serviço para as respectivas organizações. Os “mandamentos” estão baseados na minha experiência pessoal e o que tenho aprendido nas discussões sobre o assunto. Convido aos leitores, que desejarem, elencar outras e assim construirmos um conjunto de dicas mais abrangente e ajustado as diversas demandas.

Assista a live sobre Seguro Cibernético: https://youtu.be/HHB2iv8OIOU

Vamos aos mandamentos:

  1. Conheça os teus riscos!

No mundo ideal a gestão dos riscos é o fio da meada para qualquer discussão que exija o entendimento sobre quais as ameaças que podem se manifestar e impactar a operação. Para aquisição do seguro cibernético não é diferente, o processo de gestão de risco instrumentalizará a discussão, extinguindo ambiguidades e dúvidas. Liberará mais tempo para a negociação. Contudo, sabemos que algumas (será muitas?) organizações não possuem a cultura tampouco processo ou conhecimento dos riscos. Nesse contexto a descoberta dos riscos será realizada por meio dos instrumentos utilizados pelo corretor, tal como questionários, port scans e avaliação de reputação cibernética.

A descoberta quando realizada dessa maneira (a fórceps) pode queimar algumas etapas importantes, como análise e avaliação dos riscos e muita conversa com as áreas de negócio. Por esse motivo requererá máxima atenção dos envolvidos para que tenha o menor viés de subjetividade, dentro do possível, e as incertezas não sejam descarregadas no valor do prêmio. Fique atento!

Introduza a cultura de risco na sua organização. Por mais pueril que seja o processo e as ferramentas utilizadas (baseada em planilhas, por exemplo). Quanto mais cedo começar, mais cedo o resultado chegará.

Uma última dica do primeiro mandamento: o seguro cibernético pode ser motivado pelo risco relacionado a manutenção da privacidade dos dados pessoais, mas em absoluto o impacto danoso à organização se limita a esse tipo de ativo. Pense nisso!

Conhece a ti mesmo! Conhecendo teus riscos!

  1. Conheça as tuas apólices!

 Alguns cenários extrapolam a cobertura estipulada na apólice de seguro cibernético. Por isso, antes da contratação é importante avaliar se um determinado sinistro, ainda que esteja relacionado ao ataque cibernético, não será coberto pela apólice em questão. Também é importante avaliar se o sinistro exercitado está previsto no domínio da cobertura de outro tipo de seguro, como por exemplo o de responsabilidade civil.

apólices

Para ficar mais claro: imagine que sua organização é uma indústria que realiza o beneficiamento de cera de carnaúba e produz vernizes de impressão. A empresa é atacada por hackers que chegam a rede de comando do PLC que está em linha com a automação dos moinhos que realizam o processamento da cera. O ciber criminoso provoca uma situação de sobrecarga e danifica o parque fabril, impondo a paralisação imediata. Consequentemente os prazos contratuais junto aos clientes não foram honrados. Além disso, um dos eletricistas sofre danos irreversíveis em virtude da sobrecarga gerada pelo hacker.

No cenário os seguintes tipos de seguro podem ser analisados e harmonizados:

  • Seguro patrimonial: danos patrimoniais (os moinhos)
  • Seguro de responsabilidade civil: danos físicos (o funcionário)
  • Seguro garantia de performance: multas contratuais (o cliente)

O seguro cibernético indenizará a contratação de peritos, custos com recuperação do ambiente tecnológico (incluindo recuperação de dados), lucros cessantes (desde que comprovado que foi em decorrência do ataque), custo com melhorias no projeto de software, indenização de titulares (se contratado e tivesse havido vazamento de PII), acessória de imagem e pagamentos de multas relacionadas ao vazamento dos dados pessoais.

No final do dia, tudo dependerá do que está definido na apólice e principalmente o que foi claramente especificado nas cláusulas excludentes.

Conheça detalhadamente os seguros que sua organização possui e as respectivas coberturas, isso auxiliará você e também o corretor na construção do nível do seguro cibernético ajustado as suas reais necessidades. Desse modo, a contratação não estará onerada por coberturas desnecessárias (redundantes), ou deficiente devido aos gaps. Esses geralmente só são percebidos no momento fatídico.

Promova o entendimento e harmonização das apólices da organização!

  1. Conheça o mercado!

O artigo publicado no site da revista Isto é Dinheiro em 02/08/2019, intitulado: Ciber ameaças. Ciber seguros [4] apresenta um diagnóstico bastante abrangente do mercado de seguros cibernéticos no país. Lá é possível inferir o perfil das seguradoras no que diz respeito ao modelo de negócio bem como as áreas econômicas de interesse e o porte das organizações que as mesmas perseguem como alvo, na ocasião da matéria. É um pontapé inicial para criar uma lista de consultas e focar naquelas que se identificam com a sua organização.

Procure conversar com seguradoras que buscam clientes com o perfil da sua organização. Também procure por seguradoras que já possuem relacionamento com sua organização por meio de outros tipos de seguros. Isso poderá facilitar a conversa inicial. Considere um aquecimento!

Não perca tempo com companhias de seguro que não desejam o perfil da sua organização!

  1. Conheça o que seu corretor sabe sobre cyber risk!

 Como apresentado nos mandamentos anteriores é necessário que a construção da proposta siga o entendimento dos riscos vivenciados pela organização, a harmonização com apólices existentes (outros seguros) e o exercício do inesperado. É preciso que o corretor possua vivência na condução do processo de aquisição de seguro de alto valor agregado, saiba facilitar a discussão para obtenção de riscos diversos e tenha compreensão, pelo menos fundamental, de ciber segurança. É necessário que o corretor consiga tratar com partes interessadas oriundas das áreas: tecnologia da informação, segurança da informação, conformidade, jurídico, governança e privacidade dos dados. Verifique se ele está preparado.

Lembre-se, não conhecer os riscos da organização descarregará toda subjetividade no valor do prêmio ou inviabilizar a contratação.

Não perca tempo com curiosos! Busque corretores que entendam o assunto!

  1. Conheça o que está sendo oferecido!

Existe uma expressão no idioma inglês que é first things, first que se aplica perfeitamente ao que será abordado: antes de prosseguir no quinto mandamento é necessário esclarecer a diferença entre prêmio e indenização. Prêmio é o valor que pagamos para contratar o seguro. Indenização é o valor recebido em virtude de um sinistro e dos fatos encadeados, conforme estipulado na apólice.

Não há como fugir! Muito trabalho lhe aguarda. É necessário mergulhar no clausulado que pode chegar a centenas de páginas. Estabeleça um time multidisciplinar que revise as cláusulas com muita atenção e faça a gestão das notas e apontamentos produzidos pelos membros da equipe. Faça listas de verificação e de controle de revisão. Estabeleça encontros periódicos para trocar percepções e esclarecer pontos junto ao corretor.

Comparar os produtos ofertados pelas seguradoras requer habilidades de tradutor e muito raciocínio interpretativo, afinal cada empresa possui termos e expressões próprios. Não há compromisso com a padronização por ora. Post-it e o Excel serão ferramentas valiosas para essa atividade.

As cláusulas apresentarão as exclusões, obrigações e perdas de direito. Todos esses itens podem ser uma fonte de problema no futuro se não compreendidos na essência por meio da interpretação técnica pelos componentes do time de revisão.

Fique atento aos serviços e benefícios ofertados por cada uma das seguradoras, algumas poderão apresentar um conjunto de recursos que pode ser mais aderente ao tipo de operação da sua organização. Leve em consideração o local onde está a operação e os parceiros que compõe o portfólio.

Só quem viveu o infortúnio de um ciber incidente, sabe que a indenização é apenas um detalhe entre outros de muito maior relevância. O seguro cibernético deve ser compreendido como um importante aliado para o momento de exceção. Para algumas organizações que não possuem estrutura dedicada para debelar emergências cibernéticas, os benefícios trazidos pela contratação do seguro conferirão tranquilidade, uma vez que haverá auxílio para retornar a operação ao normal.

Lembre-se:

  • aquilo que não foi considerado na zona de exclusão, está coberto!
  • adquirir um seguro cibernético não é só contar com a indenização, mas com todo suporte que o serviço poderá trazer durante o sinistro!

Não tente empreender a revisão sozinho, você não conseguirá!!

  1. Esteja preparado para os procedimentos de verificação!

 Qual é a sua reputação cibernética? Mais e mais as seguradoras executam ferramentas de verificação de reputação cibernética. Essas ferramentas correm a Internet em busca de vestígios que podem evidenciar o desleixo da organização postulante ao seguro no mundo digital. Web pages vulneráveis, banners de serviços e servidores denunciando soluções tecnológicas utilizadas e outros fatores que podem ser o fio da meada para enumeração e consequentemente invasão. Após a análise, a ferramenta estabelece um score com base nos findings. Um exemplo de ferramenta utilizada com essa finalidade é a SecuryScoreCard.

Outras, praticam, a verificação de portas IP [6] disponíveis pela organização na Internet. Essas, executam o bom e velho Nmap.

verificação

Obviamente organizações que se preocupam com a reputação cibernética e fazem dessa prática uma bandeira deverão passar no teste sem maiores problemas. O que isso quer dizer? Que por possuírem o risk score baixo, consequentemente obterão o valor do prêmio mais favorável. Em última análise, organizações com o risk score alto terão a proposta recusada.

Diga-me as portas que estão abertas e eu lhe direi quem és!

  1. Andarás na linha a todo tempo!

 Sou da velha escola de segurança da informação onde o ensinamento sobre risco vaticinava: risco pode ser transferido, mas a responsabilidade do risco não! E essa frase se aplica nesse mandamento. A transferência do risco não exime a organização de desenvolver boas prática e primar pelo ambiente de controles saudáveis. O seguro deve ser encarado como a última fronteira a ser ultrapassada, quando outras de caráter prático e imediato sucumbirem. Estabelecer o SGSI ou SGPI é mandatório para aqueles que tem como objetivo tratar o risco com diligência e responsabilidade e não se livrar do mesmo.

Lembre-se que ter um bom nível de maturidade na gestão da segurança da informação poderá refletir taxas de risco mais baixa e consequentemente o prêmio menor.

Além disso, certamente hábitos negligentes serão contestados diante de um sinistro, atrasando ou inviabilizando a indenização. Sendo possível a judicialização nesse cenário.

Risco se transfere, a responsabilidade não!

  1. Não basta ser, tem que parecer!

Todas as atividades de SecOp devem ser registradas. Além da finalidade óbvia que o registro dos eventos de segurança confere, poderá ser necessário comprovar que não houve negligência por parte da organização diante do questionamento da seguradora após o sinistro. Contudo, perceba que de nada valerá o registro se os processos básicos de operação de segurança não estiverem saudáveis. Questões como ter um processo de patch management funcional e dentro dos limiares de desvio evitarão possíveis questionamentos da seguradora (negativa de sinistro). Isso para citar um exemplo corriqueiro.

Isso vale também para a sala de guerra durante o sinistro, registre as decisões, movimentações, horas extras, comunicações, compras de pizza, utilização de táxi e recursos em geral. Por mais simples que possa parecer, essa postura demonstra que a organização não está medindo esforços para reverter uma situação de exceção.

E quanto as decisões no nível tático e estratégico? Essas também devem ser registradas por meio de atas, comunicados, painéis e etc.

Registre absolutamente tudo em tempo de bonança (business as usual) ou no meio da tempestade (incidente)!

  1. Cuidado com o seu passado. Ele pode lhe condenar!

Se há episódios na ciber vida da sua organização que podem ter deixado marcas profundas (na infraestrutura?) avalie! Considere realizar uma verificação profunda na sua infraestrutura a fim de procurar por ameaças que estão latentes, adormecidas esperando para dar o bote. Vi recentemente uma organização onde a contaminação é tão recorrente que já é tida como algo normal. Inadmissível!

Tal como as doenças pré-existentes não informadas no questionário de contratação do seguro saúde, as ameaças dormentes que se instalaram na infraestrutura da organização, em um momento prévio a contratação do seguro, poderão ficar evidentes durante uma perícia promovida pela seguradora por ocasião do sinistro. Nesse contexto poderá haver a negativa do sinistro e consequentemente a indenização poderá ser reduzida ou não liquidada.

Se o passado ainda lhe apavora considere negociar cláusulas que assegurem a retroatividade, por um período estipulado. Certamente alguns mil ou milhares de reais, dependendo do cenário, serão acrescidos ao valor do prêmio, porém trará alguma segurança com relação a invasões pré-existentes, a iminência de vazamento e o pagamento de multas e indenizações.

Pague os débitos do passado e então siga em paz!

  1. Nunca fraudaras!

 Algumas organizações diante da iminência de inspeção, auditoria, verificação do cliente/contratante, ou algo semelhante, realizam uma faxina geral e exibem ambientes, processos e postura que não é a realidade dos dias “normais”. Não diferente, alguns por ocasião da contração do seguro do automóvel ou seguro saúde, omitem informações relevantes na expectativa de não elevar o valor do prêmio. Em cyber security é uma prática perigosa que tende a não se sustentar por muito tempo. Reflita: se a seguradora realiza investigação para indenizar o furto de um veículo, imagina para liberar a indenização de algumas dezenas de milhões de reais.

Não demonstre a segurança que você não vive no cotidiano. Exercite o princípio da boa-fé!!

Missão dada é missão cumprida!

aperto-de-mãoEspero que o presente artigo seja útil para estabelecer o roteiro com passos relevantes e prévios a contratação do seguro cibernético. Lembre-se: analisar propostas de seguro cibernético não é como analisar a proposta de seguro do seu automóvel! Por mais que se trate de um serviço regulado, a terminologia pode variar de uma empresa para outra, o formato, o clausulado, a abordagem, benefícios, níveis de indenização e etc. Enfim, procure organizar um time multidisciplinar para analisar as propostas, planifique a compressão com o auxílio de planilhas, muito bate-papo com seu corretor e colegas profissionais, mais experientes no assunto, que já tenham passado por esse processo em outras organizações. Compare! Por falar em processo, tenha em mente que geralmente trata-se de uma longa negociação até que a decisão seja tomada, a apólice seja emitida e a organização esteja segurada. Contudo, quanto mais estruturada e metódica a condução do assunto, mais limpa a comparação e consequentemente mais rápida a tomada de decisão. Tenha fé!

Um abraço,

Alexandre Prata

Fontes:

[1] https://www.youtube.com/watch?v=E4WXFsyzH1U&t=337s

[2] https://en.wikipedia.org/wiki/Jericho_Forum

[3] https://ccskguide.org/jericho-forum-commandments/

[3] https://en.wikipedia.org/wiki/De-perimeterisation

[4] https://www.financialexpress.com/industry/technology/cyber-attacks-are-on-the-rise-but-you-can-protect-yourself-from-hackers-heres-how/2013296/

[5] https://www.istoedinheiro.com.br/ciber-ameacas-ciber-seguros/

[6] https://pt.wikipedia.org/wiki/Porta_(redes_de_computadores)

Para quem quiser conhecer mais.

Live promovida pela Ventura Academy com muitas informações sobre o tema:

Especialista em Gestão de Segurança da Informação, Gestão de Projetos, MBA em Governança de TI e graduado em Sistemas de Informação. Ao longo da carreira obteve as principais certificações de tecnologia, relacionadas a cyber security (CISSP, CISM e ISO 27001 LA), gestão de serviços de TI e outras da indústria (ITIL Expert, TOGAF, COBIT, ABCP DRII, DevOps e Privacy and Data Protection). Com mais de 25 anos de experiência tem atuado em grandes empresas nacionais e estrangeiras de diversos segmentos, tais como: tintas de segurança para moeda e documentos (SICPA), broadcast (TV Globo) e processamento de bilhetagem eletrônica para mobilidade urbana (RIOCARD) e healthcare. É coautor do livro LGPD – Lei Geral de Proteção de Dados – Manual de Implantação, lançado pela editora Revista dos Tribunais/Thonsom Reuters.