Como gerente geral de um provedor de serviços gerenciados que trabalha com escritórios de advocacia nos Estados Unidos em tudo relacionado a TI, não me surpreende muito quando se trata de solicitações de tecnologia de advogados. No entanto, recentemente tivemos uma experiência reveladora que nos levou a explorar os requisitos para obter o seguro de responsabilidade cibernética, que está sendo cada vez mais adicionado às estratégias de segurança e recuperação de desastres das organizações. Na verdade, a Fitch Ratings informou recentemente que a cobertura cibernética independente aumentou em 92% em 2021, com Munich RE citando prêmios cibernéticos em todo o mundo em $9.2 bilhões.
Nosso cliente estava entusiasmado com a instalação da autenticação de dois fatores em seus sistemas e queria que ajudássemos a implementá-la imediatamente. Obviamente, esse é um tópico com o qual estamos igualmente empolgados. A autenticação de dois fatores é um processo de segurança no qual os usuários fornecem uma senha e um comprovante de identidade, como um código enviado ao telefone por meio de notificação de mensagem de texto, adicionando uma camada extra de segurança para garantir que suas informações permaneçam protegidas. A ideia é que é muito improvável que um hacker tenha acesso à sua senha e ao seu dispositivo móvel exatamente ao mesmo tempo.
Havia um senso de urgência no pedido, então eu tive que aprender mais. Quando me aprofundei, descobri que a razão pela qual eles eram tão apaixonados pelo assunto era porque haviam solicitado um seguro de responsabilidade cibernética e estavam rejeitado por não ter a autenticação multifator (MFA) instalada. Acredite ou não, eles não poderiam nem encontrar alguém que os cotasse para uma apólice sem ela.
Se você está pensando em solicitar um seguro de responsabilidade cibernética, há algumas coisas que você deve saber. A principal delas é que durante esse processo você será solicitado a compartilhar muitas informações sobre sua superfície de risco atual e quais medidas você já está tomando para evitar que algum tipo de incidente ocorra. Se você observar sua solicitação média de apólice de seguro de responsabilidade cibernética, as perguntas que serão feitas podem parecer bastante esmagadoras.
Em termos de controles de segurança de e-mail, por exemplo, você precisará fornecer informações sobre se marca e-mails externos para alertar os funcionários de que a mensagem vem de alguém de fora da empresa. Você precisará declarar se você pré-seleciona e-mails em busca de anexos e links potencialmente maliciosos.
Em relação aos controles internos de segurança, você terá que divulgar se usa um solução de armazenamento em nuvem para armazenar dados ou hospedar aplicativos. Dado que a maioria das empresas usa o Microsoft 365 ou o GSuite, o armazenamento em nuvem agora é quase universal. Você precisará descrever quais esforços está fazendo em termos de autenticação multifator para serviços como Amazon Web Services, Microsoft Azure ou Google Cloud. A lista continua e continua.
Um provedor de seguro de responsabilidade cibernética ainda é... um provedor de seguro. Não é diferente do que se você estivesse tentando obter um seguro de automóvel - eles analisariam seu histórico de direção, o número de acidentes em que você esteve, o número de multas de trânsito que você recebeu e muito mais - tudo para chegar ao avaliação de risco mais precisa possível. Se você for considerado "muito arriscado", eles não oferecerão cobertura porque você quase certamente está indo para um problema.
Portanto, esses tipos de medidas são essenciais – não apenas para prevenir um ataque cibernético, mas para viabilizar esse tipo de apólice de seguro em primeiro lugar. Eles vão querer garantir que você não apenas tenha backups de dados, mas que esses backups sejam criptografados. Eles precisarão saber se seus backups são mantidos separados de sua rede ou em um serviço de nuvem projetado para essa finalidade. Eles vão até mesmo aprofundar se seus funcionários têm treinamento em engenharia social da empresa – algo que por si só pode ajudar a evitar a grande maioria dos ataques que você pode enfrentar.
Tudo isso soa como uma tremenda quantidade de esforço? Sim – porque é. Mas também vale a pena, porque você está fazendo sua parte para ajudar a mitigar o risco e evitar o tipo de desastre que essa política precisaria pagar.
A melhor jogada estratégica para ajudar a fortalecer sua postura de segurança é trabalhar com especialistas que entendem os requisitos de seguro de responsabilidade cibernética para implementar melhores processos, políticas e tecnologias baseadas em nuvem líderes do setor. Soluções como NetDocuments para organization e gerenciamento de documentos e e-mails, por exemplo, têm recursos avançados de segurança para coisas como prevenção de perda de dados, gerenciamento de segurança do espaço de trabalho e chaves de criptografia gerenciadas pelo cliente. E com integrações com outras tecnologias que você usa diariamente, tudo fica dentro da proteção do DMS.
Com as ferramentas e processos corretos, esperamos que você nunca precise usar sua cobertura de seguro de responsabilidade cibernética. Mas tê-lo pode ajudar a garantir que você esteja preparado para o pior cenário e trazer paz de espírito, portanto, as preocupações com o ransomware não o mantêm acordado à noite.
Com 27 anos de experiência, Kevin Haight é o Gerente Geral da WAMS, Inc., um parceiro de implementação da NetDocuments e provedor de suporte de TI para escritórios de advocacia na região do sul da Califórnia.