Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Incidentes com violação de dados aumentam preocupações sobre segurança

O custo médio dos incidentes de segurança que afetam empresas atualmente chegou a 9,3 milhões de dólares.

A crescente consciência sobre as ameaças cibernéticas e as relatadas exigências de reguladoras está levando ao aumento do interesse em produtos de segurança que cobrem violações de dados e outros riscos de computação.

Quase um terço das empresas (31%) já possuem apólices de cibersegurança, e mais da metade (57%) que não possuí seguro disse planejar ter um no futuro, de acordo com um estudo recente realizado pelo Instituto Ponemon e pela Experian Data Breach Resolution.

"Essa é uma questão muito mais abordada com altos executivos em empresas agora", disse em uma entrevista Larry Ponemon, fundador e presidente do Ponemon Institute. "A segurança dos dados pode não ser uma das cinco questões mais importantes das empresas, mas está no top 10", acrescentou.

A preocupação com as ameaças cibernéticas é tão grande que mais de 76% das organizações participantes do estudo que experimentaram uma invasão classificaram os riscos de cibersegurança como o mais alto risco, ou acima de outros incidentes preocupantes como desastres naturais, interrupções de negócios, fogo e etc.


"Isso é muito surpreendente", disse Ponemon. "Um monte de gente sente - talvez por causa de toda a cobertura midiática ou por todas as histórias de guerra que ouvimos falar - que toda a área da violação de dados e perda de dados é um problema que pode ter um impacto sólido sobre a empresa."

Os pesquisadores também descobriram que o custo médio dos incidentes de segurança que afetam as empresas participantes do estudo chegou a 9,3 milhões de dólares. Ao serem solicitados a prever qual seria o custo médio para eles no futuro, os entrevistados calcularam cerca de 163 milhões de dólares.

Ainda assim, a maioria das empresas (70%) admitiu que o interesse em adquirir um seguro que engloba cibersegurança somente aumentou ao serem atingidos por algum incidente. Para as empresas que ainda não compraram apólices, as principais razões são: preço elevado (52%) e muitas exclusões, restrições e riscos não seguráveis (44%).

"Uma das coisas que faz com que as pessoas desconfiem de seguros são todas as coisas que não são cobertas em uma apólice", disse Ponemon. "Isso é verdade para todos os tipos de seguros. Achamos que está coberto, mas não estamos realmente assegurados, então vivemos em uma espécie de falso paraíso."

Mudança nas especificações

Antes da computação representar algo crítico como atualmente representa para a maioria das empresas, uma corporação poderia ser capaz de persuadir uma seguradora a cobrir uma perda ligada a um incidente cibernético sob a apólice geral de seguro de responsabilidade civil da organização. Mas esse não é mais o caso.

"As companhias de seguros reforçaram a descrição nas apólices de infortúnios e de propriedade", explicou Ponemon. "Estamos começando a ver violações de dados e comprometimento da segurança especificamente excluídos desses seguros."

Uma razão para excluir tais riscos é porque eles são difíceis de quantificar. "Embora o interesse continue a crescer, o mercado de seguro cibernético ainda é imaturo, porque os riscos subjacentes à cobertura são difíceis de quantificar do ponto de vista atuarial", escreveram John A. Wheeler e Paul E. Proctor em um relatório da Gartner do ano passado.

"Sem um padrão de tabelas atuariais, as operadoras de seguros muitas vezes são deixadas aos seus próprios padrões de segurança e criatividade ao oferecer apólices de seguro cibernéticos", escreveram. "A falta de dados atuariais também faz do seguro cibernético menos desejável para as empresas, enquanto tem seu preço aumentado."

As seguradoras, no entanto, começaram a melhor quantificar certos tipos de riscos cibernéticos. "Onde o seguro cibernético ganhou força é uma área mais quantificável - a de violação de dados", disse Andrew Braunberg, diretor de pesquisa da NSS Labs, em uma entrevista.

"É onde toda a ação está hoje, por razões óbvias", continuou. "Existem leis de notificação de violação então as empresas não podem deixar de fazer, e há muitos dados então as companhias de seguros estão bastante confiantes sobre o quando irá custar a eles para assegurá-los."

Não é tão fácil, no entanto, calcular o custo para segurar outros riscos, tais como perda de reputação, propriedade intelectual ou conectividade de rede. "Os dados atuariais nem de longe estão tão completos ou refinados quanto os de apólicies de violações mais simples", disse Braunberg.

Fonte: IDGNOW