“Ataques são problema global”, diz Diretor de Riscos Cibernéticos da AIG

Publicidade

Estimativa é que ciberataques podem causar mais de US$ 6 trilhões em perdas este ano

Os crimes cibernéticos devem ser uma das grandes ameaças globais nos próximos vinte anos. Segundo o portal Cybersecurity Ventures, estima-se que os ataques hackers devem causar mais de US$ 6 trilhões em perdas financeiras em todo o mundo em 2021, um salto dos US$ 3 tri registrado em 2015. Isso representa a maior transferência de riqueza econômica na história, colocando em risco os incentivos à inovação. Entre os crimes mais comuns estão os esquemas fraudulentos por phishing, roubo de identidade e ransomware, sendo que este último pode gerar prejuízos da ordem de US$ 20 bilhões até 2021, 57 vezes mais do que causou em 2015.

Publicidade

Diante desse cenário, entidades públicas e organizações privadas vêm se movimentando para criar mecanismos de proteção aos dados de pessoas e empresas, como uma forma de inibir e coibir os crimes digitais. A General Data Protection Regulation (GDPR), lei que entrou em vigor em maio de 2018 com o objetivo de proteger os cidadãos da União Europeia contra a violação de privacidade e dados, inspirou países como o Brasil a seguirem o mesmo caminho, com a formulação da agora vigente Lei Geral de Proteção de Dados.

Para comentar o impacto dessas iniciativas regulatórias e a importância de considerar os riscos cibernéticos em todas as esferas das organização, Mark Camillo, Diretor de Riscos Cibernéticos da AIG, líder e referência global em seguros de riscos cibernéticos, que acompanhou de perto a implantação da regulamentação GDPR na União Europeia e as dificuldades das empresas em se adequar às normas, compartilha sua experiência à frente das operações da AIG na Europa, Oriente Médio e África com o tema, e o que é preciso ser adotado para se atingir padrões apropriados e o mínimo de maturidade em segurança cibernética.

O Brasil acaba de adotar a Lei Geral de Proteção de Dados. Que lições e melhores práticas você traz sobre a implantação da lei na Europa?

Publicidade

Mark Camillo: Antes de a lei europeia entrar em vigor havia vários avisos antecipados e orientações sobre o que ela traria e as medidas a serem tomadas. As empresas tiveram muito tempo para se adaptar a ela. Sabemos que as prioridades de cada empresa são diferentes, dependendo da atividade e do tipo de dados que cada empresa coleta. Cada empresa deve primeiro entender que tipo de dados ela coleta, para qual propósito e, então, certificar-se de que está cumprindo a lei. Mesmo assim, ainda persiste algum nível de subjetividade e as diferenças culturais podem levar a diferentes ações realizadas pelas organizações. Por exemplo, depois que a lei entrou em vigor na Europa, tivemos quase o mesmo número de notificações de sinistro na Irlanda e na Espanha. No entanto, dessas notificações de sinistros, mais de 50% foram comunicados ao regulador irlandês, ao passo que, em Espanha, foram comunicados menos de 5%. Isso demonstra como a cultura pode impactar a implementação e pode ter grandes divisões entre o norte e o sul da Europa. Além disso, não houve um manual padrão adotado pelos reguladores, então incidentes que poderiam ser aproximadamente os mesmos em termos de impacto / causa de perda podem levar a resultados diferentes do ponto de vista da aplicação. Portanto, muito disso ainda está sendo trabalhado.

Como você enxerga esse movimento, não apenas do Brasil, mas de outros países, sobre a implementação de lei de gerenciamento de dados?

MC: Os ataques cibernéticos vêm acontecendo em varias partes do mundo e, atualmente, levar à Justiça quem os promove é quase impossível. Daí ser extremamente importante levantar e corrigir as vulnerabilidades dos sistemas empresariais. As companhias precisam avaliar com frequência suas vulnerabilidades. Por exemplo, neste momento, no qual muitos estão se conectando remotamente, é preciso checar: todas as medidas cabíveis foram tomadas? Campanhas de phishing permanecem na esperança de que haja um clique em um e-mail malicioso, que dê acesso à sistemas. Os bandidos não estão se concentrando em um país específico. Este é um problema global. É por isso que em todo o mundo, cada vez mais, órgãos reguladores estão tentando implementar controles para que as empresas mantenham os padrões adequados e atinjam um certo nível de maturidade em segurança cibernética.

Que mensagem você deixa aos CEOs e CISOs brasileiros que estão se adaptando à lei?

MC: A maior parte dos principais ativos de uma marca hoje são não físicos, ou seja, dados. Portanto, é preciso focar nessa área, pois ela constitui grande parte da vantagem competitiva de uma empresa. É muito importante saber se a organização tem tratado essas informações de maneira adequada, as responsabilidades potenciais dos funcionários e as consequentes multas e penalidades regulatórias que a empresa pode sofrer. É fundamental tomar as medidas adequadas para proteger esses ativos. Todas as empresas precisam levar isso a sério! As empresas têm muitas informações, até mesmo de seus funcionários. É importante ter alguém na liderança da empresa que tenha experiência em tecnologia, cibersegurança, proteção de dados ou uma empresa de consultoria que possa ajudar a organização a minimizar os riscos ao máximo. Caso contrário, pode haver problemas potenciais de governança corporativa, especialmente se os executivos precisarem responder a investigações regulatórias e multas e danos potenciais à reputação / marca e subsequente queda no preço das ações.

Após a GDPR entrar em vigor em 2018, vimos um crescimento significativo no número de sinistros, notificações nas apólices e aumento dos custos com profissionais especializados na regulação dos sinistros, conforme relatório feito pela AIG (Cyber Claims Report 2019). Esta realidade se mantém até hoje, dois anos após a implementação da GPDR? Quais consequências podemos esperar para o mercado de Cyber nos próximos anos?

MC: De fato, temos visto um aumento significativo no número de notificações de sinistros e essa realidade se mantém. Por exemplo, antes do GDPR, se uma pessoa recebeu por engano a correspondência de outra pessoa, isso não teria sido relatado (seja como uma reclamação ou notificação regulamentar). Hoje, os indivíduos podem potencialmente buscar compensação da organização por algo assim, portanto, as organizações estão sendo muito mais proativas. Devido à frequência e gravidade das reclamações, estamos vendo o mercado cibernético começar a se fortalecer. As empresas estão garantindo que o consentimento adequado seja recebido dos clientes para o uso de dados. Acho que a tendência é por uma regulamentação mais abrangente. E a situação mundial que vivemos agora só vai exacerbar essa tendência.

Related Articles