Cobertura cibernética vira gestão de crise

Uma análise de 4.650 violações de dados em mais de 90 países revela que 50% delas ocorrem na cadeia de suprimentos, segundo o relatório “Cyber in Focus 2025”, da Willis Towers Watson (WTW). O estudo mostra o descompasso entre a confiança dos gestores na resiliência de suas empresas e as falhas na preparação para enfrentar cibercriminosos. Embora 80% das companhias contem com planos de enfrentamento contra tentativas de invasões digitais, só 68% desses planos foram testados, e apenas 53% das organizações têm seguros cibernéticos.

Ou seja, o impacto financeiro real de um ataque digital está no radar dos executivos, mas poucas empresas fazem uma quantificação adequada de sua exposição ao risco. “Existe uma máxima no Brasil de que esse problema é da TI, e não da companhia”, diz o líder de riscos cibernéticos na WTW, André Leão. Para o executivo, a visão equivocada se reflete na estrutura de decisão, em que a contratação da apólice costuma ser delegada ao gestor técnico.

Leão avalia que há conflito de interesses, já que o custo do seguro costuma ser descontado do orçamento da área de tecnologia. Na visão do especialista, essa falha precisa ser evitada, pois a indisponibilidade de sistemas pode comprometer as vendas e também o próprio negócio. Uma tendência de governança corporativa é migrar a decisão sobre seguro cibernético para os comitês de auditoria e riscos.

Outra pesquisa, da Aon, projeta as ameaças digitais como o principal perigo para as empresas da América Latina até 2028, à frente de desafios como aumento da concorrência e mudanças climáticas. As lacunas de governança, bem como digitalização financeira avançada e vulnerabilidades educacionais, fazem do Brasil um dos principais alvos globais dos cibercriminosos.

Apólices focadas em riscos digitais priorizam a resposta operacional ao abrangerem a investigação forense, o suporte jurídico e a recuperação dos sistemas, explica a diretora de cyber da Marsh Brasil, Renata Teruya. Ela acrescenta que o ressarcimento de valores desviados em fraudes financeiras geralmente está previsto em contratos específicos do ramo “crime” de seguro.

Essa distinção técnica exige das empresas uma análise conjunta das proteções, para impedir que possam ficar desamparadas após episódios de desvio de recursos. Teruya também defende que o seguro seja incorporado à governança corporativa e passe a ser tratado como uma prioridade estratégica.

O papel das consultorias sobre riscos cibernéticos tem sido o de apoiar as empresas na adaptação aos requisitos técnicos exigidos pelo mercado segurador, diz a superintendente de linhas financeiras e responsabilidades da MDS, Thays Giandalia: “Esse processo funciona como um diagnóstico de maturidade digital, no qual a corretora identifica falhas críticas para tornar o risco aceitável e o valor da apólice mais competitivo.”

Giandalia lembra que, mesmo nos cenários de limitação orçamentária ou de uso de sistemas antigos, as organizações podem avançar na proteção por meio de mudanças organizacionais, como a segmentação de acessos e o uso de backups isolados.

“O fator humano é hoje a maior frente de resistência das companhias aos ataques cibernéticos”, afirma a gerente-executiva de subscrição da Zurich Brasil, Hellen Fernandes. A executiva observa que a tendência do setor de seguros é priorizar a resiliência no estágio anterior ao sinistro, integrando aos contratos iniciativas de sensibilização e testes de intrusão programados, conhecidos como “pentests”. Esse modelo permite às empresas utilizar os créditos da própria apólice para mitigar as vulnerabilidades técnicas e comportamentais, como a exposição a golpes de engenharia social.