Como encarar seguro de cyber segurança

Conforme estudos relacionados com diversas empresas que hoje praticam seguros contra cyber segurança nos EUA e EU, os valores podem tripiclar para mais de US $ 7,5 bilhões até 2020.

As empresas estão acordando para o fato de que o risco cibernético é igual ao risco do negócio. Como as apólices típicas de seguro empresarial excluem eventos cibernéticos, as empresas estão cada vez mais comprando linhas de cobertura de seguro cibernético. Quanto de seguro cibernético para compra gira em torno da discussão sobre risco e o custo de mitigar os ataques e suas conseqüências ?

A abordagem padrão de gerenciamento de riscos corporativos para seguros aplica os princípios básicos de: tratar, transferir, tolerar ou encerrar. Tais princípios assumem que uma organização pode estimar a probabilidade e o custo das perdas associadas a um evento negativo. Eles também ajudam a colorir uma discussão baseada em fatos sobre comprar ou não comprar um seguro.

No contexto da segurança cibernética, essas conversas de risco geralmente atingem um limite quando atingem o departamento de segurança da informação. Gestores típicos de segurança não têm as ferramentas, os modelos ou os dados para responder a estas perguntas:

  • Quanto risco cibernético nós temos?
  • Quais são os principais riscos que temos?
  • Qual seria o nosso retorno sobre o investimento para mitigar qualquer um dos nossos riscos?
  • Quanto seguro cibernético precisamos?

Em vez disso, os “CISOS” de segurança cibernética se tornaram especialistas em mudar o assunto. “O risco cibernético não é como outros riscos empresariais. É tão complexo e muda tão rápido que simplesmente não é mensurável. O melhor que podemos fazer é gastar em controles de segurança cibernética e assumir que reduz o risco proporcionalmente ”, é um refrão comum.

Isso geralmente é seguido pelo comparativo com o que as empresas parceiras estão gastando em segurança cibernética ou em conformidade com uma lista de verificação das melhores práticas de controle, como o NIST Cybersecurity Framework ou simplesmente adivinhando os riscos em um mapa de cores codificado por cores.

Nada disso é útil quando se trata de comprar seguro cibernético. Ele também coloca em destaque as inadequações em torno dos processos de gerenciamento de riscos cibernéticos.

Líderes corporativos e profissionais em segurança e risco decidiram que o status quo não é mais aceitável. Eles estão encontrando seu caminho para o emergente campo da quantificação do risco cibernético.

De nada adianta seguir frameworks de segurança, sem ter como quantificar, sem entender tecnicamente os riscos de envolvidos ou potenciais ao negócio.

Como regra geral, você compra seguro cibernético para baixa probabilidade, mas eventos de alto impacto e gasta em controles para eventos de maior probabilidade com um custo gerenciável.

O ponto chave aqui é que o seguro cibernético tem um lugar como uma opção no gerenciamento do risco cibernético. Não é um substituto para o gerenciamento de riscos e certamente não é uma desculpa para evitar o esforço disciplinado de pesquisa de quantificação de risco ou qualquer uma das principais táticas para manter a segurança rígida, como atualizações atualizadas.

De qualquer forma, as companhias de seguros exigem como condição de cobertura que as empresas mantenham pelo menos o mesmo nível de segurança que existia no momento em que a apólice foi emitida. Alguns setores são legalmente obrigados a corrigir, como as empresas de saúde administradas pela HIPAA por exemplo, e a clara tendência das indústrias regulamentadas é a divulgação proativa de riscos cibernéticos (consulte a recente orientação sobre segurança cibernética para empresas públicas pela Comissão de Valores Mobiliários).

Cobertura de seguro Cyber ​​também tem suas limitações. A maioria das políticas é voltada para a mitigação de violações de dados, um tipo de evento cibernético com custos diretos bem documentados, mas provavelmente seria inadequado para cobrir perdas de reputação resultantes de uma violação de dados que seriamente afetada pela participação de mercado ou pelo valor das ações.

Por enquanto, não existe uma apólice de seguro de segurança cibernética padrão. Toda companhia de seguros lida com o cyber de forma diferente. Isso coloca o fardo sobre os compradores de seguros para entender as ameaças específicas e estimar as perdas potenciais para suas organizações, e começar a ter essas conversas quantificadas em risco cibernético.