É inegável que o seguro cibernético e a cibersegurança estão intrinsecamente ligados. Um depende do outro e formam uma combinação perfeita, mesmo que possam negar essa relação. Pensando no futuro, no entanto, provavelmente precisaremos adicionar um terceiro elemento a essa relação: a empresa. Agora que todos estão na sala, o que o futuro nos reserva?
Alguns caminhos de evolução nessa relação são claros. As seguradoras querem mais do que apenas a garantia de que a cibersegurança "está presente" – elas precisam de evidências de que está funcionando de forma eficaz. É provável que, cada vez mais, queiram acompanhar esse desempenho em tempo real ou quase em tempo real, garantindo que a segurança não apenas exista, mas que esteja realmente protegendo a organização em cada momento.
Por exemplo, se uma seguradora exige uma solução de detecção e resposta de endpoints (EDR), ela não quer dizer "instale e esqueça" até a renovação do seguro no próximo ano. A seguradora quer ter certeza de que o sistema está funcionando e que as alertas são atendidas com agilidade. Já podemos ver esse requisito de monitoramento à medida que algumas seguradoras começam a oferecer serviços gerenciados ou exigem relatórios periódicos dos sistemas EDR. No entanto, essa prestação de serviços através da seguradora pode estar criando um ambiente de monocultura de produtos de segurança, onde todos os segurados ficam protegidos por uma única solução — algo que eu desaconselho.
Para onde isso pode caminhar a longo prazo? O que as seguradoras poderiam adotar como método adicional para reduzir o risco e, em última instância, evitar a necessidade de indenizar um sinistro? Afinal, o objetivo é minimizar os pagamentos e manter a lucratividade.
Os seres humanos representam um risco significativo em termos de cibersegurança: eles podem ser manipulados, cometer erros, buscar atalhos e, infelizmente, mudar seu comportamento é uma tarefa complexa. À medida que as seguradoras buscam proteger seus lucros e reduzir as reclamações, como elas podem abordar o problema do risco humano?
Esse desafio não é diferente daquele enfrentado pelo setor financeiro, que tenta reduzir o risco de conceder crédito a pessoas que podem tomar decisões equivocadas, deixar de pagar ou ser um pouco imprudentes com seu dinheiro. Uma parte fundamental da resposta do setor financeiro são as classificações de crédito: cada pessoa recebe uma pontuação dinâmica que muda conforme seus padrões de comportamento, permitindo que as instituições financeiras ajustem seu nível de risco quase em tempo real. Essa abordagem baseada em dados é viabilizada pelo uso de tecnologia avançada de IA e pela disponibilidade parcial de dados sobre nossas transações financeiras.
As classificações cibernéticas poderiam ser o futuro?
As seguradoras cibernéticas poderiam adotar uma abordagem semelhante e criar perfis de risco para os indivíduos dentro de uma organização, ajudando a evitar reclamações dispendiosas ao prever a probabilidade de alguém tomar decisões equivocadas ou ações arriscadas em termos de cibersegurança? Em outras palavras, estaríamos diante do desenvolvimento de uma "classificação cibernética," similar à classificação de crédito usada nas finanças?
Em alguns países e regiões, um empregador pode rejeitar um candidato com base em sua classificação de crédito, especialmente para cargos que exigem responsabilidade financeira. Talvez chegue o dia em que uma classificação cibernética seja utilizada da mesma forma, avaliando a propensão de um candidato em relação ao comportamento seguro no ambiente digital.
Agora, imaginemos um cenário em que cada usuário da Internet tenha uma classificação desse tipo, baseada não no detalhe de suas transações ou comunicações, mas em aspectos específicos de suas interações online e padrões de comportamento. Com informações suficientes, seria possível fazer uma previsão baseada em dados sobre a probabilidade de uma pessoa clicar em um link de phishing, anexar dados não criptografados a um e-mail ou manter hábitos de navegação questionáveis. Assim como nas classificações de crédito, todos poderiam acessar sua "classificação cibernética" e receber orientações sobre como melhorá-la, da mesma forma que hoje buscamos melhorar nossas pontuações de crédito.
Os empregadores poderiam usar essa métrica para garantir que estão contratando uma pessoa ciber-responsável, que não colocará a empresa em risco. As seguradoras poderiam exigir que seus clientes não contratem pessoas abaixo de uma determinada pontuação ou imponham limitações para aqueles com classificações mais baixas, reduzindo assim a exposição ao risco.
Alguns empregadores já monitoram o comportamento online de seus funcionários, identificando aqueles que representam maior risco, para depois reforçar sua conscientização e as políticas de cibersegurança, mitigando possíveis ameaças. No entanto, essa prática é controversa, pois pode infringir a privacidade e a legislação trabalhista. Por outro lado, um candidato a emprego pode estar disposto a renunciar a alguns desses direitos para garantir uma vaga, da mesma forma que consente com a verificação de sua pontuação de crédito.
Uma classificação cibernética poderia ter outros usos, até mesmo reforçando o sistema de classificação de crédito. Fraudes e golpes online frequentemente exigem que a vítima tome ações específicas na web; se fosse possível prever a probabilidade de alguém clicar em uma oferta suspeita ou em um e-mail fraudulento, com base na sua pontuação cibernética, um banco poderia aplicar requisitos adicionais de autenticação para essa pessoa ao realizar transações online. Assim, ambas as classificações poderiam se complementar mutuamente.
Por outro lado, é claro que a segurança em torno das classificações cibernéticas precisaria ser extremamente rigorosa. Caso essas pontuações de risco caíssem em mãos erradas, cibercriminosos poderiam usá-las como uma ferramenta para identificar pessoas mais suscetíveis a phishing e outros tipos de ataque. Isso poderia transformar o sistema em uma arma contra indivíduos vulneráveis, prejudicando seu objetivo de fortalecer as medidas de cibersegurança e a gestão de riscos.
Há diversas maneiras em que o seguro cibernético pode evoluir ao longo do tempo, mas a capacidade de eliminar ou reduzir o risco humano seria a próxima grande conquista, além de impor os requisitos atuais de cibersegurança nos quais as seguradoras já insistem.