As empresas têm de gerir a exposição aos riscos cibernéticos mais proativamente para ir ao encontro das exigências da nova regulamentação e, ao mesmo tempo, proteger a atividade, os clientes e a reputação
As seguradoras, que têm grandes repositórios de informação pessoal identificável (IPI) de elevado valor, são cada vez mais alvo de ameaça de ataques cibernéticos. Estes ataques poderiam ter um enorme impacto, afetando não apenas os seguradores, mas também os segurados, e até alastrar às cadeias de abastecimento dos clientes.
No recente relatório que elaborou sobre esta área crítica, Scott Corzine, afirmou que os potenciais danos decorrentes destas ameaças têm vindo a ser destacados em virtude do impacto de ataques recentes a grandes empresas de diferentes setores bem como a diversas agências governamentais dos EUA. «Estes ataques têm o potencial de perturbar a gestão, colocar relações valiosas em risco, levar a rescisões laborais e influenciar governos», indicou Corzine.
No recente relatório que elaborou sobre esta área crítica, Scott Corzine, afirmou que os potenciais danos decorrentes destas ameaças têm vindo a ser destacados em virtude do impacto de ataques recentes a grandes empresas de diferentes setores bem como a diversas agências governamentais dos EUA. «Estes ataques têm o potencial de perturbar a gestão, colocar relações valiosas em risco, levar a rescisões laborais e influenciar governos», indicou Corzine.
À medida que assistimos a uma escalada da frequência e da gravidade dos ciberataques de alto nível, os governos federais e estaduais dos EUA impõem regulamentação que exige que as organizações demonstrem uma melhor preparação e resiliência em caso de ataque cibernético.
Ao mesmo tempo, os meios de comunicação estão a contribuir para um aumento da consciencialização do público para este problema e as organizações de cibersegurança estão a fornecer ferramentas e metodologias melhoradas que podem ajudar as empresas a cumprir os requisitos de cibersegurança que lhes são impostos. Trata-se de uma área de risco e de gestão de risco em franco crescimento.
Corzine salientou que, neste contexto, é claro que as empresas têm de gerir a exposição aos riscos cibernéticos mais proativamente para ir ao encontro das exigências da nova regulamentação e, ao mesmo tempo, proteger a atividade, os clientes e a reputação da empresa.
Os piratas ou a espionagem online apoiados por esta- dos podem dominar os títulos dos jornais, mas é importante ter consciência de que uma parte significativa das quebras de segurança cibernética se dão a partir do interior das organizações, destacou o especialista.
De acordo com o organismo sem fins lucrativos Online Trust Alliance, nos primeiros seis meses de 2014, apenas 40% das quebras de segurança que acarretaram a perda de informação pessoal identificável (IPI) foram provocadas por interferências externas. Cerca de 29% tiveram causa acidental ou deveram-se à intervenção mal-intencionada de funcionários, verificou este organismo.
A Online Trust Alliance apontou a falta de controlo interno, o roubo e a perda de dispositivos e documentos, bem como a engenharia social e a fraude como os principais fatores causadores de quebras de segurança. No mais recente estudo «Law and Boardroom Study» da Corpo rate Board Member/FTI Consulting, Inc., aproximada-mente 50% dos administradores e consultores jurídicos apontaram a «segurança dos dados» como a sua principal preocupação em termos jurídicos e de gestão do risco.
À medida que o risco aumenta, os reguladores estão a alargar o âmbito das suas exigências de cibersegurança bem como de imposição do respetivo cumprimento. «Os reguladores estão cada vez mais a atribuir aos seguradores a responsabilidade pelas suas próprias medidas de cibersegurança de forma a proteger melhor os tomadores de seguro», escreveu Corzine.
À medida que o risco aumenta, os reguladores estão a alargar o âmbito das suas exigências de cibersegurança bem como de imposição do respetivo cumprimento. «Os reguladores estão cada vez mais a atribuir aos seguradores a responsabilidade pelas suas próprias medidas de cibersegurança de forma a proteger melhor os tomadores de seguro», escreveu Corzine.
«Os seguradores guardam dados importantes que são potencialmente desejados por cibercriminosos. A dependência de parceiros e prestadores de serviços externos expõe os seguradores a vulnerabilidades adicionais do ponto de vista cibernético provocadas por estas entidades subcontratadas», acrescentou.
Como era de prever, os reguladores estão a começar a impor melhorias na segurança cibernética através de novas regras que exigem aos seguradores a implementação de programas abrangentes de cibersegurança.
A National Association of Insurance Commissioners (NAIC — Associação Nacional de Comissários de Seguros), por exemplo, afirmou em janeiro passado, que planeia propor orientações para as entidades que avaliam as práticas de gestão de risco das seguradoras. A Direção de Proteção e Programas Nacionais do Departamento de Segurança Nacional dos Estados Unidos da América discutiu também com o setor dos seguros a criação de um repositório de dados de incidentes cibernéticos para que se constitua um depósito de dados atuariais de riscos cibernéticos e das análises das consequências destes incidentes, necessário para fazer crescer o mercado dos seguros de cibersegurança.
O Departamento de Serviços Financeiros de Nova Iorque anunciou, em dezembro último, que tomará medidas para ajudar os seguradores estaduais a reforçar as defesas de cibersegurança e irá dar início a avaliações para determinar o grau de preparação e cumprimento das mesmas. Praticamente todos estes instrumentos regulatórios, em constante desenvolvimento, estabelecem prazos específicos para a prestação de informação sobre fugas de dados às autoridades e aos clientes afetados e penalizações explícitas pela omissão desta informação, afirma Corzine.
As organizações de segurança como a ISO e a ISACA estão também a intensificar os esforços nestas áreas. «No esforço que desenvolvem para conseguirem reforçar a resiliência da segurança cibernética, os seguradores têm uma dupla responsabilidade: têm de se preocupar com a cibersegurança da sua própria organização bem como com a cibersegurança dos segurados», afirma Corzine.
O autor identificou sete pontos-chave que os seguradores deverão ter em atenção para construírem uma capacidade mais forte e amadurecida em termos de:
_ Considerar a cibersegurança uma questão organizacional e não apenas uma questão técnica. A gestão tem de assumir a responsabilidade por este risco, não o relegando simplesmente para os departamentos de TI;
_ Ter acesso a recursos externos fiáveis, em parte para ajudar a enfrentar a ameaça interna;
_ Adotar doutrinas de governação e conformidade e estabelecer um quadro de gestão de risco que ajude a atingir os objetivos;
_ Compreender e documentar o respetivo apetite pelo risco, ou seja, o nível de risco que a organização está disposta a aceitar para alcançar os seus objetivos empresariais antes de ter de tomar medidas para o reduzir;
_ Levar a efeito uma avaliação de ameaças, vulnerabilidades e impacto. Esta análise deverá avaliar o valor da informação e o potencial impacto operacional e financeiro resultante de danos ou perdas de informação, bem como dar uma indicação sobre os passos necessários para a proteger. As avaliações deverão incluir uma análise da apólice de ciberseguro da organização para ajudar os decisores a perceberem se as coberturas são adequadas e se encontram efetivamente em linha com os restantes riscos cibernéticos da organização e se os limites, as retenções e as exclusões são apropriadas;
_ Desenvolver programas e estratégias de mitigação do risco. O objetivo é decidir quais são as exposições, as vulnerabilidades e os riscos que exigem uma análise de custo-benefício, a alocação de recursos, financiamento e uma tomada de decisão, incluindo se se deverá recorrer ao autosseguro ou adquirir um seguro.
_ Preparar um Plano de Resposta a Incidentes Cibernéticos (PRIC) que determine a forma como a organização responderá a uma fuga de dados de uma maneira planeada e eficaz. O PRIC é concebido para garantir que os incidentes relacionados com a segurança cibernética são geridos de forma a limitar o respetivo impacto, conquistar a confiança das partes interessadas na capacidade da organização para gerir incidentes e reduzir o tempo e o custo de recuperação. O PRIC deverá ser formalmente analisado e adotado pelo Conselho de Administração e levado a efeito pelo menos uma vez por ano.
"A adoção desta abordagem abrangente à gestão do risco cibernético deverá ajudar os seguradores a manter a viabilidade financeira e a manter a conformidade com as exigências regulamentares. Os seguradores deverão igualmente exigir que os seus cibersegurados sigam, de alguma forma, esta abordagem para promover uma cultura de consciência do risco, reduzir as possibilidades de falhas de segurança catastróficas e evitar o pagamento de reclamações de elevado valor que poderiam ter sido evitadas ou minimizadas”, concluiu Corzine.
Scott Corzine, Managing Director, Risk Management Practice, FTI Consulting, Inc., escreveu recentemente um relatório aprofundado sobre a gestão do risco cibernético, centrado sobretudo nos requisitos de gestão do risco das companhias de seguros que detêm grandes volumes de dados dos seus clientes. Em seguida apresenta-se um resumo das principais conclusões deste relatório. O relatório pode ser encontrado na íntegra em brokerslink.com/press.
