Como aplicar o seguro de Cyber Segurança

Muitas empresas ultimamente sofreram grandes violações de segurança  que expuseram dezenas de milhões de dados pessoais e financeiros confidenciais dos usuários.

Os incidentes cibernéticos de grandes empresas são compreensivelmente dignos de notícia, mas são apenas a ponta do iceberg. A maioria dos incidentes não é divulgada na mídia, mesmo em blogs tecnológicos, porque eles afetam diretamente menos pessoas ou não comprometem sistemas críticos. Ou mesmo sua reputação. Uma decisão sem dúvida alguma digna de discussões.

Um relatório do FBI de 2016 colocou o número médio diário de ataques de ransomware dos EUA em 4.000, um aumento de 300% em relação a 2015. Imagine como está tal numero hoje ? Esse número não conta outros tipos de ataques cibernéticos, como phishing. Verifique sua pasta de spam quando tiver uma chance. Com certeza de que alguns desses e-mails incompletos contêm arquivos ou links maliciosos.

Muitos especialistas dizem que o seguro de segurança cibernética é um equívoco. O seguro de privacidade e segurança é mais preciso. Muitas alegações não têm nada a ver com hacking e sim com alguém que esqueceu de destruir um documento sensível. Para ser breve, chamamos isso de seguro de segurança cibernética. Ela existe porque as políticas gerais de responsabilidade comercial geralmente excluem a privacidade digital e analógica e as ameaças.

Apólices de seguro de segurança cibernética proporcionam reparação financeira para uma ampla gama de ameaças potenciais: o Departamento de Segurança Interna dos EUA cita “custos de destruição de dados e / ou roubo, extorsão, hacking, ataques de negação de serviço, atividade de gerenciamento de crise relacionada a violações de dados, e reivindicações legais por difamação, fraude e violação de privacidade. ”

Muitos proprietários e executivos têm apenas um tênue controle sobre as vulnerabilidades digitais e analógicas de suas empresas.

Algumas empresas acreditam erroneamente que estão adotando medidas adequadas para lidar com as vulnerabilidades percebidas, que podem ou não entender completamente. Outros afirmam evitar diligentemente a suposição não incorreta de que pesquisar ativamente o cenário de ameaças elimina a negação plausível e aumenta a responsabilidade.

É como dizer que você é saudável porque não foi ao médico. A cobertura é cada vez mais comum entre as pequenas e médias empresas. Quando os recursos são limitados, qualquer incidente significativo de segurança cibernética é uma grave ameaça.

Violação de dados? Minimize a exposição e obtenha a resposta correta
O seguro de segurança cibernética sozinho não pode impedir incidentes de privacidade e segurança. As seguradoras exigem, incentivam e recomendam que os segurados tomem medidas para mitigar sua exposição.

Estruturas regulatórias estabelecidas não são negociáveis. Por exemplo, os segurados devem respeitar o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), uma estrutura de segurança de pagamentos eletrônicos apoiada pelos principais emissores de cartões de crédito. Empresas de saúde e finanças devem seguir outras estruturas.

As seguradoras incentivam a adoção de outras salvaguardas, como a criptografia forte. A criptografia é uma das poucas coisas que tem um impacto causal real no preço da política. Quanto melhor sua criptografia, menos você pagará.

Seja honesto sobre suas práticas de segurança de dados e grau de exposição: Em seu aplicativo de seguro de segurança cibernética, divulgue honestamente suas práticas de exposição e mitigação. Mesmo sem uma cláusula de falha na manutenção, uma aplicação enganosa ou incompleta pode levar a uma cobertura inadequada. Além disso, ser reconhecido como líder em segurança de dados beneficia sua organização no mercado.

Não retenha dados desnecessariamente: A maioria das empresas não precisa coletar números do seguro social, e eles certamente não precisam mantê-los em arquivos não criptografados em dispositivos móveis. Somente colete e retenha os dados necessários para funções essenciais de negócios.

Tome especial cuidado com sistemas legados
Muitas empresas executam processos-chave em sistemas de TI funcionalmente obsoletos e sem suporte. Isso é ótimo para todos os tipos de razões, mas a revisão é cara e prejudicial, então acontece. Infelizmente, violações podem causar estragos em sistemas legados, que normalmente precisam ser revisados ​​após o fato, de qualquer maneira.

Conheça as suas obrigações perante a lei
Os requisitos de notificação legalmente obrigatórios podem aumentar bastante os custos pós-violação. As empresas devem obedecer às regras de notificação nas jurisdições domésticas dos indivíduos afetados. Essas regras variam muito, de modo que as empresas geralmente aderem aos padrões no estado mais rígido em que operam. Ainda assim, você precisa de um advogado para trabalhar com uma linguagem regulatória densa. Para lidar com altos volumes de notificação, você precisa contratar uma empresa especializada.

Crie uma equipe de resposta a incidentes
Não espere até que seja tarde demais para criar uma equipe de resposta a incidentes. A pessoa indicada deve ser um advogado com experiência no tratamento de questões de violação de dados, seja em um advogado interno ou em um especialista externo. Adicione pelo menos um membro de RH, TI (interno ou externo), marketing  (interno ou externo), finanças e alta gerência. Defina a função de cada membro no caso de um incidente.

Tenha um plano de resposta a incidentes pronto
Diferentes cenários exigem respostas diferentes, mas sua primeira ligação deve ser sempre para o seu advogado designado. Eles avaliarão rapidamente a gravidade da situação e determinarão o que precisa acontecer a seguir. Se a situação o justificar, “próximo” significa uma ligação para o FBI, que tem uma equipe forense cibernética de primeira linha. “O FBI é muito discreto”, diz Cohen. “Seu negócio não vai vazar só porque eles estão envolvidos.” Eles também podem saber sobre outros incidentes que detêm as suas próprias pistas.

Responsabilidade de segurança e privacidade: Oferece proteção financeira contra reclamações de terceiros alegando “falha na proteção de informações confidenciais ou manutenção de segurança de rede adequada”. Também pode cobrir “violação da política de privacidade do segurado” e “violação de informações corporativas confidenciais” cobertas por confidencialidade ou acordos de não divulgação.

Defesa e Penalidades Regulatórias de Privacidade: Cobre as penalidades e taxas avaliadas pelo regulador, quando permitido por lei, bem como os custos associados ao “cumprimento ou defesa contra uma investigação regulatória relacionada à privacidade” por determinadas agências ou autoridades estaduais e federais.

Custos de violação: cobre os custos diretamente associados à resposta a violações, incluindo notificação a partes potencialmente afetadas, computação forense, despesas legais, campanhas de relações públicas, e proteção e monitoramento de roubo de identidade em andamento.

Responsabilidade Multimídia: Abrange alegações alegando violação de propriedade intelectual, infração de direitos autorais, difamação, direitos de privacidade da lei comum, plágio ou pirataria, apropriação indébita de idéias, decorrentes da publicidade de bens ou serviços de uma empresa, seja online ou offline. ”

 

Interrupção de negócios: Cobre a perda de receita se o segurado não puder realizar negócios “devido a um evento mal-intencionado de invasão de terceiros”.

Recuperação de Dados: Cobre os custos associados à substituição de ativos digitais, como licenças de software e software proprietário. Pode ser combinado com cobertura de interrupção de negócios.

Cyber Extortion: Cobre os custos associados a ataques de ransomware, incluindo investigações para determinar se a ameaça é credível e o custo de cumprir as exigências dos invasores (por exemplo, pagar o resgate).