Novo plano piloto da CISA para alerta de vulnerabilidades pode oferecer parâmetros de adequação das empresas à maturidade exigida em acordos de seguros cibernéticos. Segundo CISO da Horiens Risks Advisors, ação tem potencial de enfrentar a falsa sensação de segurança e tornar este um recurso realmente útil na proteção de dados
A CISA anunciou recentemente o Ransomware Vulnerability Warning Pilot (RVWP), um programa piloto de alertas de vulnerabilidades comumente associadas a ações de ransomware. O projeto tem como objetivo manter companhias de infraestrutura crítica alertas e capazes de mitigar esses riscos antes de qualquer incidente. A proposta segue na direção assumida pela organização de fechar o cerco contra as atividades de ransomware, seguindo a ação anterior de punir empresas que paguem pelo resgate da criptografia.
Essa ação inicial, tomada pelo governo norte-americano desde o ano passado, tem gerado questões a respeito do uso dos seguros cibernéticos como fonte de pagamento de extorsões. Entretanto, o estabelecimento do RVWP abre um novo caminho para esse mercado, permitindo que empresas tenham meios de alcançar os padrões de maturidade exigidos pelas seguradoras.
“Com isso, as empresas passam a contar com frameworks, templates, legislações ou qualquer outra circular mandatória capaz de balizar o mercado para um único ponto de intersecção em Segurança da Informação. A CISA, por ser um órgão governamental respeitado, é capaz de definir padrões testados de Cibersegurança. Da mesma forma que as seguradoras têm suas próprias regulações, a SI precisa também ter seus próprios marcos, e esses frameworks podem cumprir essa função”, disse o CISO na Horiens Risk Advisors, Ronaldo Andrade, em entrevista à Security Report.
Essa decisão mostra que um seguro cibernético não existe para substituir os investimentos em uma infraestrutura de Segurança da Informação, mas sim como parte complementar para a saúde tecnológica da empresa. Em anos passados, quando uma empresa não possuía recursos suficientes para custear essa infraestrutura, era bastante comum se recorrer à contratação de apólices de seguros da base de dados.
Porém, com o mercado cada vez mais sensível, a negativa era inevitável. Hoje empresas que demonstram mais robustez em suas operações conseguem lograr êxito na transferência de seu risco frente as seguradoras que atendem o mercado. Logo, o aumento de incidentes críticos e sinistros nos últimos anos levou as seguradoras a subirem a régua em suas exigências de maturidade, aumentando os critérios de contratação e mitigando também essa possibilidade.
Andrade alerta para esse dilema desafiador das organizações e ressalta pontos importantes relativos à contratação de seguros cyber. Uma má leitura na questão e entendimento dos valores de prêmios das apólices podem fomentar as atividades do cibercrime e transformar as empresas em alvos preferenciais de cibercriminosos, caso constatem a existência dessa contratação.
“É necessário que as empresas enfrentem essa falsa sensação de segurança, pois expor essa informação sem o devido nível de sigilo pode jogar luz na capacidade de recuperação em caso de incidente, podendo chamar a atenção de cibercriminosos. Por isso, esse dado precisa ficar restrito a interlocutores realmente necessitados dessa informação” comentou o CISO.
De acordo com o C-Level, é muito difícil levar à cabo uma negociação por uma apólice sem que se tenha todos os processos resultantes em ordem ou todo o conjunto de backups digitalizados e protegidos, entre outros fatores de infraestrutura, governança e Segurança da Informação. Portanto, para se garantir o seguro cyber como uma salvaguarda complementar e importante em caso de ataque, as empresas precisam mover suas jornadas em direção à maturidade em segurança dos ambientes, além de monitorar o score cibernético e de toda sua cadeia de fornecimento e serviços. Para o Executivo, ter esse monitoramento é primordial para a visibilidade de todo ecossistema interno e externo no tocante infraestrutura de Cibersegurança. Essas necessidades tornam ações como a da RVWP ainda mais úteis ao mercado.
Seguro Cyber garante nível de maturidade
Apesar dos riscos e desafios que envolvem a contratação de um seguro cibernético, Andrade reforça a necessidade vital de se buscar essas apólices. Na visão dele, um cyber insurance é um reconhecimento pelo avanço na maturidade empresarial, pois as seguradoras estão recusando clientes com poucas garantias de Segurança.
Além disso, a partir de um seguro cyber, é possível acionar equipes de apoio para atuarem junto à empresa durante uma situação de crise que exija a ativação do plano de respostas. Exemplos são profissionais de Relações Públicas, equipes forenses buscando investigar o ocorrido e mesmo negociadores com os invasores.
“Muitas empresas também têm desistido de negociar com parceiras sem certificações adequadas e o seguro cyber. Elas geram maior segurança para ambos os CISOs durante os relacionamentos e dá garantias aos acionistas de que o orçamento de Cibersegurança está sendo bem empregado”, completa o CISO da Horiens Risk Advisors
