Esta semana a RSB traz uma edição dedicada ao risco cibernético, uma das ameaças que mais assustam hoje as empresas no Brasil e no mundo.

Mas que também cria oportunidades de negócios para as seguradoras, como no caso da AXA, que acaba de voltar ao segmento oferecendo até R$ 20 milhões em capacidade.

A executiva Carla Almeida e o subscritor Petre Rascov nos contam como funciona esta nova cobertura e por que o mercado tem tanto apetido pelo risco cyber brasileiro.

Também nesta edição, seguradores e corretores dizem que as empresas estão mais maduras em segurança cibernética, mas a subscrição do risco continua complicada e cada vez mais rigorosa.

E o consultor José Fontenelle detalha os desafios enfrentados pelas empresas na hora de investir em cibersegurança. Uma pista: nem sempre a alta liderança compra esta ideia.

Porque nem só de cyber vive o mercado, nesta semana publicamos ainda um artigo especial de Maria Fernanda Novo Monteiro, head jurídico da Sombrero Seguros, que explica por que o seguro garantia é vital para o sucesso do Novo PAC.

Trata-se portanto de uma edição especial e, por isso, nesta semana a RSB está aberta a todos os assinantes. Mas quem quiser ajudar a RSB a fazer jornalismo sobre gestão de riscos e seguros pode se tornar um assinante premium e ler o conteúdo completo todas as semanas através da newsletter ou do nosso site. Custa só R$ 50 ao mês!

Boa leitura!

Nesta edição:

• AXA volta ao cyber com foco em média empresa e capacidade de até R$ 20 mi

• Mercado está mais maduro, mas rigor na aceitação de riscos aumenta

• Entrevista: José Fontenelle detalha os desafios da cibesegurança nas empresas brasileiras

• Emenda suaviza reforma do resseguro no PLC 29/2017

• Colaboração especial: Maria Fernanda Novo Monteiro (Sombrero Seguros) comenta o seguro garantia e o Novo PAC

• Vale e Samarco são processadas na Holanda, Mapfre ganha contrato de Itaipu, empresas temem exposição cyber de provedores, e os CROs, o cyber em geral

• Edições anteriores

AXA volta ao cyber com foco em média empresa e capacidade de até R$ 20 mi

A AXA está voltando aos seguros cibernéticos no Brasil com um foco em empresas de médio tamanho e muita atenção na qualidade dos riscos a serem aceitos de seus clientes.

A empresa está preparada para alocar até R$ 20 milhões de capacidade para um único cliente e, para ganhar espaço no segmento, também oferece a cobertura de seguros como um complemento a serviços de segurança cibernética oferecidos por terceiros.

A AXA havia deixado o setor de seguros cibernéticos enquanto executava a fusão das duas unidades que operavam no país, completada ame 2022, disse Carla Almeida, diretora de P&C da AXA no Brasil, em entrevista à RSB.

A empresa volta agora em um mercado mais maduro e que sofre menos pressões do resseguro global, uma vez que as condições do segmento abrandaram muito nas renovações de janeiro.

Ainda assim, Almeida afirma que se trata de um ramo em que o processo de subscrição constitui um forte desafio para as seguradoras.

Longos questionários

Isso significa que a equipe de subscrição muitas vezes tem que botar a mão na massa e ajudar o cliente a preencher o formulário e avaliar sua própria estrutura de segurança digital.

“Se ao final do processo chegamos à conclusão de que não é possível aceitar o risco, enviamos ao segurado um relatório explicando em que pontos ele precisa melhorar a sua segurança cibernética,” diz Almeida.

O objetivo deste serviço também é ajudar empresas que ainda não possuem um sistema de segurança robusto a aprimorar suas práticas o suficiente para que a AXA possa tomar o risco no futuro.

No caso das empresas de menor parte, a AXA está procurando disponibilizar o seguro como um complemento a esforços mais amplos para aprimorar a segurança cibernética.

“Buscamos oferecer junto com a apólice, através de parceiros, serviços de segurança que podem ajudar essas empresas a gerenciar seus riscos cibernéticos,” afirma Almeida.

A subscrição também se complica porque alguns setores estão mais expostos aos riscos do que outros. Um exemplo é das empresas de saúde, onde ataques de hackers já causaram importantes distúrbios às operações de hospitais.

Neste cenário, ganha quem tem uma gestão do risco cibernético mais séria e organizada, o que se pode comprovar com um maior nível de retenção do risco através de franquias mais altas.

Público-alvo

A AXA oferece a cobertura de cyber um produto standalone, ou seja, uma apólice que cobre apenas o risco cibernético.

Mas também pode vender o seguro cyber como uma cobertura adicional a outros tipos de apólices, como as de E&O para empresas de tecnologia.

A cobertura é oferecida tanto para empresas de pequeno porte, com faturamento de até R$ 500 milhões, no qual o processo de subscrição é mais simplificado, quanto para grandes corporações com faturamento de mais de R$ 10 bilhões.

Mas o principal foco da AXA, neste primeiro momento, é o grupo intermediário, composto por companhias com faturamento entre R$ 500 milhões e R$ 10 bilhões..

O que cobre

O produto inclui coberturas de primeira e de terceira parte.

As de primeira parte incluem ações de caráter técnico que visam restabelecer os sistemas do segurado.

Isso se faz, por exemplo, através da contratação de consultorias especializadas e peritos forenses que avaliam as causas e a natureza do ataque e que ativos foram danificados.

Também incluem uma cobertura de lucro cessante, para cobrir o prejuízo sofrido enquanto os sistemas estão parados e a empresa não consegue atuar como resultado de um ataque.

Elas incluem ainda os danos à imagem do segurado, pagando pelos gastos necessários para reagir ao desgaste da marca causada por um ataque de ransomware, por exemplo.

Extorsão

O pagamento da demanda de extorsão é outro serviço que faz parte das coberturas de primeira parte.

Já as coberturas de terceira parte estão mais voltadas aos prejuízos causados aos clientes dos segurados e outros possíveis prejudicados.

Elas cobrem danos morais, ações regulatórias, custos de defesa e honorários advocatícios, entre outros gastos.

Trata-se de uma cobertura de escopo mundial, pelo que ampara não só as multas eventualmente dadas pela Autoridade Nacional de Proteção de Dados, mas também por outras agências que aplicam legislações como o RGPD europeu.

A exclusão mais notável da cobertura é a de fraudes financeiras que envolvem transferências monetárias, como a chamada “fraude do boleto”, porque não se trata de uma exploração das vulnerabilidades do sistema do segurado, afirma Rascov.

Segundo ele, essa é a exclusão que mais gera dúvida entre os interessados na cobertura de seguros.

Se o grupo atacante é ligado a um governo, como ao da Rússia, pode ser alvo da exclusão de ciberterrorismo ou guerra cibernética.

Capacidade em alta

Almeida afirma que a AXA entra no mercado com a vontade de ser líder de programas e também de buscar capacidade de resseguro facultativo para complementar programas mais complexos.

Segundo ela, devido à forte exposição das empresas brasileiras a ataques cibernéticos, e ao potencial de crescimento do setor, o mercado de resseguro global possui muito apetite para disponibilizar capacidade para o segmento no Brasil.

A princípio, porém, o mais provável é que a empresa participe de estruturas de cosseguro em parceria com outras seguradoras que operam o risco no Brasil.

“Neste início, a gente vê o cosseguro como uma estratégia mais eficiente para o próprio corretor, porque, em caso de sinistro, a regulação é local.”

No caso do cosseguro, a regulação é feita pela líder da apólice, mas existe uma política de boa vizinhança, e participantes tendem a poder acompanhar a regulação, afirma ela.

Em geral, porém, para este tipo de produto, é normal contratar uma empresa especializada no sinistro – no caso do cyber da AXA, a parceira de regulação de sinistros é a Crawford.

Mercado está mais maduro, mas rigor na aceitação de riscos aumenta

A entrada de novos players reflete uma maior madurez do mercado de seguros cibernéticos no Brasil.

O outro lado da moeda é que o processo de subscrição está muito mais sofisticado do que em anos anteriores e exige um esforço cada vez maior das empresas.

O crescimento do segmento é impressionante quando visto em termos estatísticos. Em 2023, o volume de prêmios foi dez vezes maior, em termos nominais, do que em 2019.

Por outro lado, analistas consideram que o volume de prêmios ao final de 2023, R$ 203,3 milhões, ainda é bastante pequeno, considerando o potencial do mercado.

Ao mesmo tempo, as seguradoras do setor conseguiram controlar a sinistralidade, que explodiu em 2021 como resultado da disseminação do teletrabalho devido à pandemia de Covid-19.

Com mais gente trabalhando desde casa e acessando a internet por canais menos seguros que os de suas empresas, a sinistralidade do seguro cibernético chegou a 103% naquele ano.

Em 2023, já foi inferior a 10%, devido a dois fatores principais.

Por um lado, as empresas estão mais conscientes da necessidade de gerenciar os riscos cibernéticos e fazem mais investimentos para mitigá-los.

Clientes

Durante uma jornada de cibersegurança organizada pela corretora Horiens no final de fevereiro, Fernandes disse que a interação entre seguradoras e clientes também evoluiu bastante nos útlimos anos.

A princípio, o desafio foi criar um relacionamento com as empresas, que demonstravam resistência em abrir as informações sobre seus sistemas de segurança cibernética para os subscritores.

Além disso, Victor Perego, líder de cyber na AIG, observou no mesmo evento que, cinco anos atrás, a compra do seguro era vista com desconfiança pelos profissionais de segurança de IT, pois parecia um sinal de desconfiança quanto à qualidade de seu trabalho.

Agora, porém, já se vê com mais naturalidade a necessidade de incluir a transferência dos risco ao mercado segurador dentro das políticas de segurança cibernética das empresas.

Mais do que isso, é crescente o número de boards e também de clientes e provedores que querem saber o que a empresa está fazendo neste sentido.

Ele notou que a preocupação com a cibersegurança das empresas já transparece em licitações das quais participam empresas como a OEC, e podem até contar decisivamente para o resultado.

Subscrição rigorosa

O outro fator determinante é que as seguradoras estão cada vez mais exigentes na hora de vender as coberturas e aumentaram em muito o rigor no processo de subscrição.

Cezar observou no evento que, cinco anos atrás, um formulário de subscrição de riscos cibernético era curto e direto. Agora, é várias vezes mais longo e seu preenchimento exige reuniões com vários departamentos da empresa.

Perego, por sua vez, notou que as seguradoras e corretores cada vez mais recrutando especialistas em segurança da informação para conversar com os responsáveis pela área na empresa segurada.

Mas Cezar disse no evento que vê o aumento do rigor de subscrição como algo positivo.

Segundo ele, as seguradoras estão mais especializadas no tema, mas também mais colaborativas.

Algumas até estão dispostas a discutir as respostas dos formulários e entender os motivos por trás delas, afirmou Cezar.

De qualquer maneira, um mercado mais maduro em que os compradores de seguros mostram maior qualidade na gestão do risco cibernético está trazendo novos players ao segmento e benefícios para os compradores.

Falta de maturidade e de cultura de risco brecam cibersegurança nas empresas

Entrevista com José Fontenelle, CISO Trust Advisor e professor de GRC de Segurança da Informação e Cibernética no IBEF-Rio

As empresas brasileiras ainda têm um longo caminho a percorrer para se proteger contra ataques cibernéticos, mas isso só vai ocorrer se seus altos executivos comprarem a ideia de investir na área.

A cultura empresarial, porém, não colabora com o processo de alocar investimentos para a cibersegurança, apesar dos frequentes ataques de hackers que ocorrem no país.

O resultado é que persiste uma grande quantidade de vulnerabilidades entre as empresas brasileiras, segundo o consultor José Fontenelle, CISO Trust Advisor e professor de GRC de Segurança da Informação e Cibernética no IBEF-Rio.

Há décadas trabalhando com a cibersegurança, ele detalhou em entrevista para a RSB sua visão sobre as dificuldades que as companhias enfrentam para gerenciar este risco. Leia abaixo os principais trechos:

RSB - As lideranças das empresas estão convencidas da necessidade de investir em segurança cibernética?

José Fontenelle – O nível de maturidade de nossos executivos é muitas vezes inferior ao que se vê na Europa ou nos EUA. Muitas vezes eles são reativos a regulações, e a maioria das empresas ainda tem uma cultura de não prevenir, e, se necessário, remediar.

Mas a Lei Geral de Proteção de Dados e a regulação de infraestruturas críticas, como as do Banco Central, da Aneel e do ONS, mostram que o Brasil começou a agir em termos de regulação. E é natural que as empresas também comecem a reagir, por exemplo, com uma mudança cultural a nível do CEO.

Essa novas regulações, não só no Brasil mas também nos EUA e outros países, vão aumentar a conscientização dos executivos sobre a necessidade de investir em cibersegurança.

Qual é o principal obstáculos hoje aos investimentos em cibersegurança?

Enquanto país, nós não temos a cultura da segurança.

As empresas tendem a pensar que nada vai acontecer com elas, que elas não são um alvo de alto valor para os criminosos cibernéticos. Os executivos pensam que o pessoal do TI exagera quando fala nas ameaças.

Mas estamos vendo casos concretos, por exemplo, de hospitais cuja operação foi interrompida por ataques cibernéticos e tiveram que transferir pacientes de UTI, com urgência, para outros hospitais.

Os exemplos estão aí e mostram o tamanho do impacto que os ataques podem ter, mas a cultura ainda é um dos obstáculos para que as empresas atuem de forma mais intensa na área da cibersegurança.

A questão financeira sempre é um fator também, e o papel dos gestores de riscos é ajudar com o esforço de transformação e amadurecimento dos executivos.

Quais são as vulnerabilidades mais comuns entre as empresas?

É difícil até de elencar, de tantas que há. A falta do multifator de autenticação, ou MFA, é uma delas.

Na Europa e nos EUA, já nem se fala na possiblidade de ter acesso a um sistema sem MFA. No Brasil, infelizmente ainda não há esta maturidade.

Hoje há grupos criminosos especializados no acesso inicial às empresas, os Initial Access Brokers. Eles vendem as credenciais de acesso a quem quiser atacar uma empresa. Se essa empresa não tem MFA, o ataque já está iniciado.

Também há vulnerabilidades relacionadas à infraestrutura digital, aos sistemas, aos fornecedores.

Há o risco de ataques à cadeia de suprimento de software, que está aumentando significativamente.

Em uma empresa há muitos processos, e muitas vezes a área de cibersegurança os desconhece.

É o famoso shadow IT, nos quais os departamentos são autônomos para contratar seus próprios serviços. Muitas vezes, esses serviços são prestados por uma solução baseada em nuvem.

O departamento de TI nem sempre está envolvida na contratação e avaliação do risco do fornecedor, e muitas vezes é só o departamento de TI que cuida de cibersegurança, não há uma estrutura dedicada a isso.

Enfim, existem muitos riscos desconhecidos nas empresas.

As empresas possuem os recursos tecnológicos e humanos para reforçar a cibersegurança?

Elas enfrentam desafios que, quando não são vencidos, se tornam vulnerabilidades.

O primeiro é a contratação e disponibilidade de funcionários qualificados. A escassez de bons profissionais para atuar na segurança cibernética é reconhecida mundialmente.

Outra questão é a complexidade, quantidade e variedade das ferramentas voltadas à cibersegurança. Há todo um mosaico de tecnologias que precisam ser integradas e otimizadas.

Não adianta comprar uma tecnologia que oferece cem funcionalidades, e só usar dez delas. Para poder utilizar as cem, é necessário ter os profissionais qualificados para otimizar seu uso.

Que papel os seguros cibernéticos jogam nesse processo?

Os seguros têm um papel muito importante. As empresas que oferecem esse produto perceberam que, se não fizerem um trabalho de due diligence do cliente, vão assumir um risco desconhecido. Então as seguradoras passaram a avaliar minimamente o nível de segurança das empresas.

Se a seguradora avalia que a empresa tem um nível de segurança baixo, médio ou alto, vai oferecer uma apólice com valor menor ou maior. E há seguradoras que já nem oferecem o seguro se o nível de risco não for satisfatório.

Quem quer comprar o seguro cyber necessita ter um nível de segurança mínimo, e isso ajuda a promover uma melhoria geral da segurança nas empresas.

Emenda suaviza norma de resseguro no PLC 29/2017

Apresentada pelo senador Jacques Wagner (PT-BA), a Emenda número 11, apresentada à CCJ do Senado na terça-feira 19 de março, ameniza um pouco a exigência de aceitação tácita de riscos por parte das seguradoras.

A redação do parágrafo primeiro do artigo 58 do PLC 29 propõe que “O contrato de resseguro é funcional ao exercício da atividade seguradora e será formado pelo silêncio da resseguradora no prazo de 20 (vinte) dias, contados da recepção da proposta”.

Para especialistas, tal aceitação tácita na prática se tornará uma recusa automática, em muitos casos, do risco de cedentes brasileiros, uma vez que riscos mais complexos necessitam tempo para serem analizados pelos resseguradores.

O senador baiano procura retirar um pouco da lenha do fogo com a adição de um novo parágrafo: “Em caso de comprovada necessidade técnica, a autoridade fiscalizadora poderá aumentar o prazo de aceitação pelo silêncio da resseguradora estabelecido no parágrafo 1º”.

A emenda, se aprovada, será suficiente para tornar esta provisão mais aceitável pelo mercado? O debate continuará durante a tramitação do projeto no Senado.

Artigo: Seguro garantia é vital para sucesso do Novo PAC

Por Maria Fernanda Novo Monteiro, head Jurídico da Sombrero Seguros

O Novo Programa de Aceleração do Crescimento (PAC) do governo brasileiro promete ser um marco na agenda de reformas financeiras do país, com investimentos planejados de R$ 1,7 trilhão até 2026.

Para o PAC vingar, porém, será preciso assegurar que o seguro garantia vai ter um papel central na sua implementação.

O programa visa revitalizar a economia através de nove eixos de investimento, enfocando projetos de infraestrutura, inclusão digital, transição energética, e melhorias em educação e saúde, dentre outros.

Destacam-se, entre as prioridades, a retomada de obras paradas e a aceleração das que estão em andamento, além de promover parcerias público-privadas.

O Novo PAC não apenas mira na infraestrutura física, mas também na construção de uma base sólida para o desenvolvimento sustentável e inclusivo do país.

Clareza

Há uma definição clara de projetos prioritários, que reflete um esforço coordenado entre o governo federal e os Estados para endereçar necessidades infraestruturais críticas em todo o Brasil. A seleção destes projetos baseou-se em uma lista inicial de 417 obras e projetos.

Dentre as obras prioritárias, 136 são focadas em melhorias de rodovias, incluindo pavimentação e duplicação, essenciais para o fortalecimento da logística nacional.

No âmbito da segurança hídrica, 60 projetos visam a construção de barragens e sistemas adutores, enquanto 32 projetos de mobilidade urbana buscam expandir o acesso a BRTs, corredores de ônibus e linhas de metrô, facilitando o deslocamento nas cidades.

Adicionalmente, 21 projetos de modernização de aeroportos regionais e igual número voltado para o saneamento básico reforçam o compromisso com a infraestrutura essencial.

Além disso, 16 projetos ferroviários propõem a criação e expansão de linhas, melhorando significativamente o transporte de cargas e passageiros.

Execução e conclusão

Neste contexto, o seguro garantia emerge como um instrumento vital, garantindo a execução e a conclusão desses projetos.

Ao mitigar riscos associados à inadimplência ou falhas na execução dos contratos, esta solução não só assegura os investimentos públicos e privados mas também fomenta a confiança e atrai mais investimentos.

Isso é especialmente relevante para o Novo PAC, onde o sucesso dos projetos depende dessa segurança financeira e operacional, demonstrando a interconexão entre o seguro garantia e a agenda de reformas financeiras.

Assim, podemos dizer que o seguro garantia assume um papel duplo.

Primeiramente, ele serve como uma ferramenta de gestão de risco, protegendo contra possíveis prejuízos decorrentes de falhas na execução dos projetos.

Isso é particularmente relevante em um programa que busca retomar obras paradas e acelerar as em execução, onde o risco de inadimplência ou falhas na entrega pode ser alto.

Investimentos

Além disso, ao garantir a execução dos contratos, o seguro contribui para a estabilidade e previsibilidade do ambiente de investimentos, dois fatores críticos para atrair investimento estrangeiro direto.

Adicionalmente, o seguro garantia desempenha um papel estratégico ao facilitar a colaboração entre o setor público e o privado, oferecendo uma camada adicional de segurança para os investidores, reduzindo o risco percebido e incentivando a participação do setor privado.

A relevância do seguro garantia estende-se além das fronteiras nacionais, especialmente quando consideramos sua importância em um contexto global.

Para investidores internacionais, o seguro garantia proporciona uma forma de mitigar os riscos associados a investimentos em países estrangeiros.

Ao fornecer uma garantia de que os projetos serão realizados conforme o planejado, o seguro garantia aumenta a confiança dos investidores internacionais, facilitando o fluxo de capital estrangeiro para projetos vitais no Brasil.

Em destaque

Vale a Samarco são processadas na Holanda

As duas empresas foram acionadas na justiça batava por represesntantes de 77.000 vítimas e cerca de mil empresas prejudicadas pela tragédia de Mariana, em 2015.

A ação, que pede indenizações de mais de $3,8 bilhões (quase R$ 19 bilhões), foi movida por uma associação sem fins lucrativos holandesa sob a batuta do escritório de advocacia britânico Pogust Goodhead.

As processadas são as subsidiárias holandesas de ambas as empresas. A acusação inclui em seus argumentos contra a Vale a recente crise de governança ligada às tentativas do governo de influir na gestão da companhia.

O rompimento de uma barragem da Samarco em 2015 matou 19 pessoas e causou bilhões de reais em danos ambientais.

Mapfre ganha contrato de seguros da Itaipu

A filial brasileira da seguradora espanhola anunciou que será responsável pelos seguros de riscos operacionais e de responsabilidade civil da usina nos próximos dois anos.

Em comunicado, a empresa afirmou ter apetite para “assumir novos contratos de grandes riscos, sobretudo no setor elétrico e de geração de energia renováveis”.

WSJ: chefes de segurança cyber focam nas cadeias de abastecimento

Reportagem do diário financeiro afirma que, após sofrerem ataques originados em provedores, muitas empresas globais estão querendo saber com maior detalhe o que seus parceiros comerciais estão fazendo para se proteger.

O escrutínio também está aumentando devido a regulamentação recentemente implementada pelas autoridades americanas.

Clique aqui para ler o artigo.

EY: Cyber é o risco que mais preocupa CROs

Levantamento anual da consultoria, em parceria com o Instituto de Finanças Internacionais, mostra que o risco cibernético continua no topo da lista das preocupações dos risk managers das empresas financeiras.

Em seguida, com alguma distância, aparecem os temas regulatórios, a resiliência operacional e os riscos de liquidez.

A EY argumenta que, para ter sucesso em sua missão, o CRO tem que ser capaz de trabalhar em uma grande variedade de tópicos diferentes. Clique aqui para baixar o estudo em inglês.

Edições anteriores

RSB # 11 - Seguro para a transição energética exige parceria entre subscritores e clientes

RSB # 10 - A reforma do Código Civil e a disputa sobre o futuro do seguro

RSB # 9 - Mercado de seguro para empresas cresce 5,9% além da inflação

RSB # 8 - PLC 29: uma bomba nacionalista contra o (res)seguro?

RSB # 7 - Onde estão os seguros para a transição energética?

RSB # 6 - Renovações 2024: ventos menos duros no mercado global

RSB # 5 - Cativas e ILS: soluções para um mercado difícil

RSB # 4 - Capacidade abundante, mas seletiva, para as energias renováveis

RSB # 3 - Após arrumar a casa, ABGR quer crescer e influenciar

RSB # 2 - Mais capacidade de resseguro à vista?

RSB # 1 - Seguro cyber caro chegou para ficar