A sua empresa está protegida?
O ciber-risco é um termo muito propalado na indústria que define, em traços largos, os riscos associados aos sistemas de informação e aos dados/"recursos informativos” que processam, transferem ou armazenam. Os ciber-riscos comuns incluem o acesso ou utilização, sem autorização, dos sistemas informáticos, ataques de negação de serviço (denial of service), ciber-espionagem, difusão de vírus ou código malicioso (malware), destruição de recursos informativos e violação de dados.
O ciber-risco pode ser de natureza maliciosa (da responsabilidade de um hacker) ou simplesmente causado pelo erro humano. De qualquer modo, estes riscos podem gerar consequências de monta para a rentabilidade de uma organização.
O ciber-risco pode ser de natureza maliciosa (da responsabilidade de um hacker) ou simplesmente causado pelo erro humano. De qualquer modo, estes riscos podem gerar consequências de monta para a rentabilidade de uma organização.
O mais conhecido e difundido dos ciber-riscos é a violação de dados. A confiança que depositamos nos sistemas informáticos para gerir quase todos os aspetos da nossa sociedade criou recursos intangíveis (informação e dados armazenados eletronicamente), que hoje são de importância crítica para a maior parte das organizações. Os recursos informativos podem ser de toda a espécie, desde listas de clientes a sistemas críticos para as atividades fundamentais na consecução dos objetivos e missão de uma organização.
Para nós, como indivíduos, os recursos informativos, também designados "informação pessoal identifi cável” (IPI), são exclusivamente ligados à identidade de um indivíduo e podem incluir o seu nome, morada e informação mais delicada, como os seus dados bancá- rios, de crédito ou até clínicos. A perda, destruição ou roubo destes recursos intangíveis mas valiosos pode ter um impacto devastador tanto sobre as organizações como sobre os indivíduos.
Apesar de as empresas serem obrigadas, civil e legalmente, a proteger os recursos intangíveis de terceiros, tem-se registado um número crescente de violações de dados por todo o mundo, o que resulta na perda ou roubo de recursos intangíveis. Muitos destes casos são resultado direto da subida do ciber-crime. Só no Reino Unido, a Information Commission assinalou uma subida de 30% no ciber-crime durante o ano transato. O perpetrador de ciber-crimes pode ser qualquer um, desde um funcionário da própria firma até um hackers contratado por terceiros, não estando limitado por fatores geográficos.
Para nós, como indivíduos, os recursos informativos, também designados "informação pessoal identifi cável” (IPI), são exclusivamente ligados à identidade de um indivíduo e podem incluir o seu nome, morada e informação mais delicada, como os seus dados bancá- rios, de crédito ou até clínicos. A perda, destruição ou roubo destes recursos intangíveis mas valiosos pode ter um impacto devastador tanto sobre as organizações como sobre os indivíduos.
Apesar de as empresas serem obrigadas, civil e legalmente, a proteger os recursos intangíveis de terceiros, tem-se registado um número crescente de violações de dados por todo o mundo, o que resulta na perda ou roubo de recursos intangíveis. Muitos destes casos são resultado direto da subida do ciber-crime. Só no Reino Unido, a Information Commission assinalou uma subida de 30% no ciber-crime durante o ano transato. O perpetrador de ciber-crimes pode ser qualquer um, desde um funcionário da própria firma até um hackers contratado por terceiros, não estando limitado por fatores geográficos.
Uma lição que sai cara
De acordo com um estudo do Instituto Ponemon sobre o Custo das Violações de Dados, em 2009 o custo médio suportado por uma empresa, em resultado desse fenómeno, em França, chegou a cerca de 2 milhões de Euros e, no Reino Unido, custou aproximadamente 1.65 milhões de libras.
O estudo salienta ainda que estes números são reduzidos face aos custos da violação de dados nos Estados Unidos, que em média rondaram os 5.3 milhões de Euros por fuga e aproximadamente 159 Euros por cada registo violado O elevado custo de uma violação de dados nos Estados Unidos é atribuído às leis nacionais, que são mais exigentes no que respeita a notificação de violação de dados, incluindo a obrigação de as divulgar publicamente.
Um exemplo que foi muito falado ocorreu em 2008, na Heartland Payment Systems ("Sistemas de Pagamento Heartland”), a 5ª maior agência de pagamentos nos EUA. Foi considerada a maior fuga criminosa de dados sobre cartões de crédito de todos os tempos. Os peritos em segurança calculam que cerca de 130 milhões de cartões de crédito e débito, emitidos por mais de 650 serviços financeiros, tenham sido comprometidos. Na altura relatou-se que a empresa suportou 12.6 milhões de dólares americanos em despesas relacionadas com o ataque ao seu sistema, incluindo custas judiciais e outros gastos.
A declaração de violação de dados, normalmente, obriga uma organização a suportar custos diretos e indiretos com ela relacionados. Os custos diretos incluem o custo real de notificação dos clientes e das autoridades de proteção de dados, bem como a reparação técnica dos problemas/falha de segurança que tenham estado na sua origem. São os custos indiretos, contudo, que podem ser mais elevados e difíceis de quantificar.
Podem incluir multas e penalizações emitidas pela autoridade reguladora, deserção de clientes ou prejuízos ao nível da reputação da empresa, podendo inclusivamente resultar na quebra do preço das ações. Os peritos da indústria acreditam que os custos de divulgação das violações de dados continuarão a crescer, devido ao aumento do contencioso relativo à proteção e privacidade de dados não só nos Estados Unidos mas também na Europa.
O estudo salienta ainda que estes números são reduzidos face aos custos da violação de dados nos Estados Unidos, que em média rondaram os 5.3 milhões de Euros por fuga e aproximadamente 159 Euros por cada registo violado O elevado custo de uma violação de dados nos Estados Unidos é atribuído às leis nacionais, que são mais exigentes no que respeita a notificação de violação de dados, incluindo a obrigação de as divulgar publicamente.
Um exemplo que foi muito falado ocorreu em 2008, na Heartland Payment Systems ("Sistemas de Pagamento Heartland”), a 5ª maior agência de pagamentos nos EUA. Foi considerada a maior fuga criminosa de dados sobre cartões de crédito de todos os tempos. Os peritos em segurança calculam que cerca de 130 milhões de cartões de crédito e débito, emitidos por mais de 650 serviços financeiros, tenham sido comprometidos. Na altura relatou-se que a empresa suportou 12.6 milhões de dólares americanos em despesas relacionadas com o ataque ao seu sistema, incluindo custas judiciais e outros gastos.
A declaração de violação de dados, normalmente, obriga uma organização a suportar custos diretos e indiretos com ela relacionados. Os custos diretos incluem o custo real de notificação dos clientes e das autoridades de proteção de dados, bem como a reparação técnica dos problemas/falha de segurança que tenham estado na sua origem. São os custos indiretos, contudo, que podem ser mais elevados e difíceis de quantificar.
Podem incluir multas e penalizações emitidas pela autoridade reguladora, deserção de clientes ou prejuízos ao nível da reputação da empresa, podendo inclusivamente resultar na quebra do preço das ações. Os peritos da indústria acreditam que os custos de divulgação das violações de dados continuarão a crescer, devido ao aumento do contencioso relativo à proteção e privacidade de dados não só nos Estados Unidos mas também na Europa.
Comissão Europeia endurece posição face à proteção de dados
A Comissão Europeia está a exercer pressão no sentido de se redigir em leis de proteção de dados mais uniformes entre os Estados-membro da União Europeia. A Comissária para a Justiça, Direitos Fundamentais e Cidadania, Viviane Reding, já alertou para o facto de as empresas e autoridades públicas necessitarem de "levar mais a sério as suas responsabilidades de proteção de dados”.
Assim sendo, o que significa isto para as empresas que funcionam na UE? Ao contrário do que sucede nos EUA, não existem atualmente leis europeias sobre a divulgação de violação de dados. Contudo, a Comissão Europeia impôs legislação às empresas de telecomunicações que as obriga a avisar os seus clientes sobre as violações de dados assim que a lei entre em vigor em Maio de 2011. A Alemanha, por exemplo, já aditou às suas leis a obrigação de as empresas notificarem os seus clientes e as Autoridades de Proteção de Dados sobre as violações de dados, caso estas tenham "consequências potencialmente nefastas".
Outras ramificações incluem a cobrança de multas mais pesadas e a ordenação da reparação do respetivo cumprimento, das falhas técnicas ou organizacionais associadas aos dados pessoais identificáveis que as empresas controlam. Em certos casos mais graves de incumprimento, estão previstas sanções às empresas no que toca à recolha, processamento ou utilização de dados pessoais.
Assim sendo, o que significa isto para as empresas que funcionam na UE? Ao contrário do que sucede nos EUA, não existem atualmente leis europeias sobre a divulgação de violação de dados. Contudo, a Comissão Europeia impôs legislação às empresas de telecomunicações que as obriga a avisar os seus clientes sobre as violações de dados assim que a lei entre em vigor em Maio de 2011. A Alemanha, por exemplo, já aditou às suas leis a obrigação de as empresas notificarem os seus clientes e as Autoridades de Proteção de Dados sobre as violações de dados, caso estas tenham "consequências potencialmente nefastas".
Outras ramificações incluem a cobrança de multas mais pesadas e a ordenação da reparação do respetivo cumprimento, das falhas técnicas ou organizacionais associadas aos dados pessoais identificáveis que as empresas controlam. Em certos casos mais graves de incumprimento, estão previstas sanções às empresas no que toca à recolha, processamento ou utilização de dados pessoais.
Proteja a sua empresa do Ciber-Risco
A gestão de risco é, mais do que reação, uma questão de proatividade. Para além de práticas bem conhecidas, como a formação de trabalhadores sobre a responsabilidade empresarial perante os dados e a disponibilização de dispositivos móveis encriptados, o padrão mínimo de atuação nesta matéria deveria ser: • Definir políticas padrão e procedimentos operacionais para as investigações sobre violações de dados, reparação e notificações relacionadas com os dados pessoais; • Avaliar e reestruturar a utilização ou transferência de listas de dados e outros dados pessoais; e • Rever e considerar a renegociação de serviços, contratos de trabalho e outros contratos relacionados com os dados. Também é importante para as empresas — especialmente as PME — compreenderem que as suas apólices generalistas, sobre imobiliário ou erros e omissões, muito provavelmente não abrangem as responsabilidades relativas à violação de dados.
Seguro de Responsabilidade contra Ciber-Riscos
Os seguradores alargaram a sua proteção contra ciber-riscos em resposta aos desafios de complexidade crescente colocados por várias fontes de risco de origem tecnológica. Os exemplos de cobertura incluem:
Responsabilidade sobre a segurança de rede
Protege as empresas de danos associados ao acesso não autorizado ou roubo de dados sobre clientes, funcionários ou outros dados de que sejam proprietários ou ainda de danos sobre atividades comerciais virtuais (e-business), vírus informáticos, ataques de negação de serviço, bem como transações de comércio eletrónico alegadamente não autorizadas.
Responsabilidade sobre a privacidade
Oferece cobertura se o segurado não conseguir proteger informação eletrónica ou não eletrónica a seu cargo, à sua guarda ou sob seu controlo.
Responsabilidade Sobre Conteúdos
Os blogues ou outras formas de rede social relacionadas com os negócios podem parecer inofensivas, mas as empresas são responsáveis pelo conteúdo que geram e publicam nos seus sítios da Internet. Devem também evitar o uso incorreto de propriedade intelectual relacionada com direitos de autor e marcas de terceiros/concorrentes ou divulgar informação confidencial. Este tipo de seguro protege assim contra os perigos inerentes à Propriedade Intelectual e Risco Pessoal que resultem de um erro ou omissão de conteúdo.
Ameaça de extorsão
Pagamentos efetuados a uma entidade que ameaça atacar o sistema informático de um segurado de modo a evitar tal ciber-ataque. Os trabalhadores, clientes ou fornecedores descontentes podem causar danos significativos.
O tipo de atividade comercial e a abrangência da informação armazenada no sistema informático de uma empresa ajudará a determinar as necessidades de proteção e responsabilidade informática. É importante que as empresas avaliem o seu risco e optem por uma solução de seguros que cubra os seus riscos específicos. No fim de contas, uma coisa é clara: as violações de dados resultantes de ataques maliciosos, erros de terceiros e roubo ou extravio de computadores portáteis e outros dispositivos móveis estão a aumentar e podem tornar-se uma experiência dispendiosa para qualquer empresa. Tomar medidas adequadas para a gestão de risco pode poupar dinheiro à sua empresa e ainda salvar-lhe a reputação.
Por Dawn Simmons Senior Underwriter Professional Lines XL Insurance
O tipo de atividade comercial e a abrangência da informação armazenada no sistema informático de uma empresa ajudará a determinar as necessidades de proteção e responsabilidade informática. É importante que as empresas avaliem o seu risco e optem por uma solução de seguros que cubra os seus riscos específicos. No fim de contas, uma coisa é clara: as violações de dados resultantes de ataques maliciosos, erros de terceiros e roubo ou extravio de computadores portáteis e outros dispositivos móveis estão a aumentar e podem tornar-se uma experiência dispendiosa para qualquer empresa. Tomar medidas adequadas para a gestão de risco pode poupar dinheiro à sua empresa e ainda salvar-lhe a reputação.
Por Dawn Simmons Senior Underwriter Professional Lines XL Insurance
