Há muitos equívocos em torno da nuvem e responsabilidade. As organizações geralmente assumem que o risco é transferido quando os dados se movem para terceiros.
Pode ser uma suposição ingênua e cara, diz a especialista Lauri Floresca. Embora estejamos mais dependentes do que nunca em computação em nuvem para armazenar e processar dados, muito poucas empresas realmente têm seguro de responsabilidade cibernética.
É um erro que pode custar mais do que dinheiro, diz o especialista em responsabilidade cibernética e vice-presidente sênior da Woodruff Sawyer, lauri Floresca, com sede na Califórnia. Ela trabalhou ao lado de empresas de todos os tamanhos, incluindo as empresas NASDAQ 100 e Fortune 500, colocando em prática responsabilidade cibernética e diretores e diretores (D&O) programas de seguros, um passivo que muitas vezes pode ser negligenciado.
"Cada vez mais empresas usam serviços como AWS, Microsoft Azure ou Google para armazenar e processar dados, e muitas migraram toda a sua rede para um provedor de nuvem. Além disso, estão todas as empresas de Software as a Service (SaaS) que oferecem serviços para empresas de forma hospedada. Uma única empresa pode ter dezenas de relacionamentos em nuvem em sua rede corporativa, o que pode deixar menos claro quem é o responsável quando algo falha", diz ela.
Quem é responsável pela segurança na nuvem?
Determinar a responsabilidade é um desafio, pois a responsabilidade, acrescenta, é compartilhada entre o fornecedor de nuvem e o cliente.
As consequências de uma violação cibernética muitas vezes vão além dos dados comprometidos para incluir perda de confiança financeira e do cliente, danos à reputação e até mesmo ações legais contra os diretores da empresa, por isso faz sentido que as empresas tornem o seguro de responsabilidade uma prioridade.
Floresca diz que, muitas vezes, as empresas melhoram sua segurança mudando para a nuvem, pois os grandes fornecedores têm recursos reforçados para investir e tornar a segurança uma prioridade de maneiras que as empresas menores não podem, e elas "têm visibilidade para um grande número de vetores de ataque, permitindo-lhes identificar ameaças e responder mais rapidamente".
Do ponto de vista do cliente, ela diz que a boa notícia é que a maioria das seguradoras reconhece e entende o que constitui a nuvem.
"A maioria das apólices de seguro cibernético define um 'sistema de computador' para incluir redes de terceiros com as quais você contratou para apoiar sua empresa. Então, se uma violação acontecer, a política responderá independentemente de onde os dados foram armazenados quando a violação ocorreu. Mas ainda há dúvidas sobre de quem é a responsabilidade", diz ela.
"Há muitos equívocos em torno da nuvem e da responsabilidade. Muitas empresas assumem que transferiram seus riscos quando seus dados estão em mãos de terceiros. A realidade é que, na maioria dos casos, as empresas terceirizaram o serviço, mas mantiveram o risco. Há muito pouca proteção em termos de responsabilidade com os provedores de nuvem."
Ela explica que é essencial entender que quando uma violação cibernética ocorre com a computação em nuvem, legalmente, a obrigação recai sobre a empresa hospedar os dados, conhecido como o proprietário dos dados. No entanto, uma exceção notável está no setor de saúde, pois as empresas que apoiam este setor são consideradas "associadas a empresas" sob a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e devem cumprir as mesmas obrigações de proteção de dados que o negócio com a relação original do paciente.
"Mas, mesmo nesse caso, a responsabilidade não é transferida — ela apenas se expande", acrescenta.
"Os fornecedores de nuvem geralmente fizeram um excelente trabalho limitando sua responsabilidade, às vezes a US$ 0 ou um valor equivalente a um ano de taxas pagas a eles. E como os danos são geralmente limitados a custos diretos, eles não cobririam todos os aspectos de uma violação, como o custo de responder aos reguladores ou lidar com processos judiciais de clientes."
Encontrando a apólice de seguro cibernético certa
Procurar uma apólice de seguro cibernético bem elaborada significará que você está coberto por custos de responsabilidade de terceiros e despesas relacionadas a lidar com a violação. Mas Lauri adverte que às vezes isso pode não ser suficiente.
"Mesmo que você carregue seu próprio seguro cibernético, é uma boa ideia exigir que o provedor de serviços em nuvem também carregue cobertura cibernética para ajudar a financiar uma perda. Eles podem estar mais dispostos a indenizar você se os custos não estiverem saindo do bolso, e sua contribuição pode ajudar a financiar sua franquia ou pagar custos excessivos se seus limites de seguro cibernético forem insuficientes. Isso é algo que você pode e deve negociar com seu provedor de nuvem antes de se tornar um cliente, e se tornou uma pergunta bastante padrão."
Mais recentemente, as seguradoras estão se expandindo para incluir também a cobertura de interrupção de negócios em caso de paralisação de fornecedores em nuvem. Lauri sugere que, se esta é uma exposição real para você, procure especificamente "Interrupção de Negócios Contingentes" sob uma política cibernética que você está considerando.
Ponto de vista de um fornecedor de nuvem
Do ponto de vista do fornecedor de nuvem, uma alegação de violação de dados é realmente uma alegação de erros e omissões (E&O), e Lauri diz que eles não têm responsabilidade direta com os indivíduos cujos dados foram violados. No entanto, uma reclamação poderia ser feita de um cliente por não realizar um serviço.
"Por essa razão", ela acrescenta, "A E&O e a cobertura cibernética são geralmente agrupadas em uma única política para empresas de tecnologia. Por exemplo, um cliente pode dizer que custou milhões de dólares para lidar com a notificação de seus clientes sobre a violação de dados, ou que eles perderam negócios como resultado da falha do fornecedor.
"Mesmo que o contrato de um fornecedor de nuvem limite a responsabilidade por padrão, não está claro o quão bem sucedidos esses contratos se sustentariam na hora de pagar uma reclamação. Se o fornecedor de nuvem for realmente negligente, o tribunal pode decidir que os limites de responsabilidade nos contratos não se aplicam", acrescenta.
Embora as ameaças cibernéticas continuem a crescer e se tornarem mais complexas, é um desafio contínuo para as seguradoras se adaptarem e ficarem por dentro das decisões de gerenciamento de riscos para os clientes em nuvem.
"A linha de fundo", diz Floresca, "é que, ao armazenar dados na nuvem, sua melhor aposta é garantir que os riscos sejam gerenciados tão fortemente quanto se você estivesse armazenando-os em seus próprios sistemas".