De acordo com uma matéria lançada na Forbes, os preços relacionados aos seguros para recuperação de dados em casos te ataques ou “cyber insurance”, cresceram exponencialmente nos últimos anos. Ao mesmo tempo, “cyber insurances premium” também cresceram 33,5% somente em 2020, com a extensão de cobertura reduzida e dependência constante.
Por isso, para ir de encontro com o interesse de crescimento rápido dos executivos de seguros cibernéticos e cobrir os riscos inflados da perspectiva dos seguradores, uma mudança de pensamento deve ocorrer em ambos os lados na prevenção de riscos: melhorando a visibilidade e a quantificação durante a fase avaliações. De acordo com análise do mercado atual, essa é uma ótima maneira de reduzir gastos com eventuais incidentes.
A trajetória dos riscos, pode ser abordada de dois ângulos diferentes simultaneamente: coibindo o cibercrime e aumentando o nível de segurança nas entradas dos cibercriminosos no momento da violação da infraestrutura digital das organizações.
As três falhas na postura clássica de avaliação de segurança
Para entender melhor esse panorama, é necessário compreender quais os gaps na postura de avaliação clássica. Tipicamente, a avaliação da postura de segurança das organizações, confia em uma combinação de aderência às melhores práticas e testes anuais de invasão; uma metodologia que sofre de três grandes brechas:
Gap de mensurabilidade:
Quantificar a postura de segurança baseando-se nas melhores práticas é semelhante a basear-se em estimativas, falhando em avaliar precisamente as chances de um ataque ser bem-sucedido.
Gap de flexibilidade:
Uma das consequências imediatas de um gap de mensurabilidade é a criação de obstáculos intransponíveis no acompanhamento da evolução da postura de segurança ao longo do tempo. Em um cenário tecnológico, onde a infraestrutura está em fluxo constante devido ao desenvolvimento ágil, resultando em um frequente impulsionamento de novas implantações, uma avaliação anual baseada em estimativas abre as portas para falha na descoberta de riscos recém-introduzidos que surgirão mesmo com a adesão as melhores práticas.
Gap de continuidade:
Com a infraestrutura digital segurada e o cenário de cibercrime em fluxo constante, uma avaliação pontual se torna cada vez mais inadequada para fornecer números acionáveis, quantificar riscos e qualificar seguros premium e cobertura de seguro eficientemente.
O teste de invasão anual pode ser suficiente para satisfazer os reguladores de compliance, mas falha em providenciar ao contratante de um seguro cibernético, uma avaliação contínua na postura de segurança.
Mesmo o teste de invasão mais compreensível cobrindo todos as táticas de ataque conhecidas, as técnicas e procedimentos disponíveis no momento do teste somente fornece um snapshot da postura de segurança. Ele não cobre ameaças emergentes, nem considera as mudanças na infraestrutura e o impacto das vulnerabilidades mais recentes. Além disso, ele também não avalia a efetividade da remediação compensatória.
Mesmo com essas falhas, esses métodos são largamente utilizados porque os seguradores não são especialistas cibernéticos e dependem de consultores para — seja para o melhor ou pior — avaliar os riscos. Hoje em dia, o gerenciamento moderno de risco possibilita um framework assertivo e compreensível que:
· Avalia a eficácia dos controles de segurança;
· Mapeia as superfícies de ataque e as rotas de infiltração;
· Valida os processos de segurança e conscientiza os colaboradores;
· Indica a relação entre os status vs. Requerimentos de compliance;
Com o aproveitamento desses novos recursos podem revolucionar as subscrições de seguros cibernéticos.
Avaliação de seguros cibernéticos de forma dinâmica e contínua para adaptar-se a realidade atual
Mudar de uma típica postura de avaliação reativa e periódica para uma aproximação proativa e integrada com um arranjo defensivo pode fornecer mensuras exatas da porcentagem de ataques detectados. Ele também pode medir a extensão e a efetividade da mitigação automatizada e alcance máximo de ataque.
Uma vez que essas métricas são recebidas, o próximo passo é mensurar tendências e variações para pré-estabelecer baselines e prevenir desvios de segurança. Depois disso, os caminhos de ataque vulneráveis precisarão ser identificados para mitigação futura, para ajudar a acelerar o acesso a uma postura de segurança melhor. Com essas métricas, por transmitirem o estado da postura de segurança de uma empresa em um formato facilmente compreensível, podem facilitar muito o processo de subscrição dos seguros cibernéticos.
Idealmente, mudar para essa abordagem poderia criar um paradigma totalmente novo. Nesse sistema, as pontuações de segurança globais e típicas podem ser ajustadas para refletir o impacto de segurança das mudanças na infraestrutura das organizações, na correção aplicada e na exposição as ameaças emergentes à medida que elas surgem.
As subscrições baseadas em dados precisos e quantificáveis pode ajudar bastante a repetição de situações atuais onde os pagamentos de seguros são três vezes maiores que os seus preços iniciais, com seguradoras aumentando em 300% seus seguros premium repentinamente na hora da renovação, ao mesmo tempo que tecnologias emergentes podem limitar os riscos de sucesso das tentativas de invasão.
Com isso, se conclui que, focar em uma resiliência cibernética quantificável e verificável é a chave para garantir uma análise mais precisa da segurança cibernética como um todo.
Se você procura aumentar o seu nível de segurança para combater o cibercrime, entre em contato com a M3Corp e tenha acesso a parceiros líderes de mercado, com soluções para jornadas completas e para qualquer cenário.
Posts recentes