Guia Cibersegurança Gestão de Risco

O que sua seguradora de cyber espera antes de pagar um sinistro

O mercado de seguro cyber mudou entre 2020 e 2022 mais do que nas duas décadas anteriores combinadas. Seguradoras que antes ofereciam cobertura ampla com perguntas mínimas sobre controles agora exigem questionários detalhados, atestações técnicas e, em alguns casos, auditorias externas. E se você registrar um sinistro sem os controles que declarou ter, a seguradora buscará motivos para não pagar.

3 de maio de 2026
8 min de leitura
Principais conclusões
  • O ciclo de endurecimento de 2021 tornou os controles técnicos obrigatórios, não opcionais, para a maioria das apólices cyber
  • MFA no acesso remoto é o motivo mais comum pelo qual as seguradoras recusam cotar
  • A perícia pós-violação verificará se seus controles correspondem ao que você declarou na proposta
  • O Lloyd's of London agora exclui ataques patrocinados por Estado de apólices cyber independentes
  • Os sublimites de primeira parte e terceiros no cronograma da apólice frequentemente diferem do limite nominal

Por que a subscrição de seguro cyber mudou

A epidemia de ransomware de 2020 e 2021 custou às seguradoras mais do que haviam modelado. Colonial Pipeline, JBS Foods e dezenas de sistemas hospitalares registraram sinistros multimilionários em poucos meses. A taxa de sinistros combinada em todo o mercado atingiu níveis insustentáveis: as seguradoras pagavam mais em sinistros do que arrecadavam em prêmios, mais as despesas operacionais.

Os prêmios subiram acentuadamente. A Marsh McLennan reportou aumentos médios de 130% para alguns segmentos no quarto trimestre de 2021. As seguradoras também introduziram sublimites especificamente para ransomware, de modo que uma apólice com limite nominal para qualquer evento cibernético poderia limitar a recuperação de ransomware à metade desse valor, com uma franquia maior.

$1,54M
Pagamento médio de ransomware em 2024 segundo relatório State of Ransomware da Sophos
$2,73M
Custo total médio de um ataque de ransomware, incluindo recuperação (Sophos 2024)
130%
Aumento médio máximo de prêmio no Q4 2021 segundo o Marsh Global Insurance Market Index

O mercado se estabilizou desde então. Os aumentos médios de prêmio caíram para cerca de 3% em 2023, à medida que as seguradoras ajustaram suas carteiras e os requisitos de controles se tornaram mais rígidos. Mas os controles que emergiram desse ciclo de endurecimento são agora elementos permanentes. Não vão desaparecer quando o mercado amolecer ainda mais.

Os cinco controles que as seguradoras verificam primeiro

As propostas de subscrição modernas chegam a 40 ou mais perguntas. Cinco controles têm mais peso do que todos os outros combinados. Se você não conseguir demonstrar esses cinco, espere uma cotação recusada ou cobertura com exclusões significativas.

1
Autenticação multifator (MFA)
Especificamente em e-mail, VPN, acesso remoto por desktop, contas privilegiadas e portais de administração em nuvem. MFA apenas no e-mail não é suficiente. Muitas seguradoras recusarão cotar sem MFA no acesso remoto, independentemente dos outros controles.
2
Detecção e resposta a endpoints (EDR)
Não antivírus tradicional. As ferramentas EDR detectam anomalias comportamentais e podem isolar endpoints comprometidos antes que ocorra movimento lateral. As seguradoras querem EDR implantado em todos os endpoints, não apenas em servidores.
3
Backups imutáveis e offline
Backups que os atacantes não conseguem alcançar e criptografar. Testados regularmente, com relatório escrito de restauração. Sem backups verificados, os custos de recuperação de ransomware sobem acentuadamente e a pressão para pagar o resgate aumenta.
4
Gestão de acesso privilegiado (PAM)
Controles sobre quem detém credenciais de administrador, com sessões de acesso por tempo limitado e cofre de credenciais. Contas de administrador de domínio são a principal rota de movimento lateral de ransomware após o estabelecimento de um ponto de apoio inicial.
5
Gestão de patches com SLAs documentados
Vulnerabilidades críticas e de alta gravidade corrigidas dentro de prazos definidos. Muitas apólices exigem patches em até 30 dias após o lançamento; algumas especificam 14 dias para CVEs críticos. Vulnerabilidades conhecidas sem patch podem invalidar um sinistro se foram o vetor de ataque.

Além dos cinco, as seguradoras perguntam cada vez mais sobre autenticação de e-mail DMARC, DKIM e SPF (reduz exposição a phishing e comprometimento de e-mail corporativo), segmentação de rede e se há um plano de resposta a incidentes documentado e testado nos últimos 12 meses.

Como é o processo de proposta

A precisão das suas respostas importa mais do que a qualidade dos seus controles. A perícia pós-violação verificará o que estava em vigor, não o que você disse que estava. Se houver lacuna entre os dois, a seguradora tem base para contestar o sinistro por declaração incorreta.

Perguntas típicas da proposta abrangem:

  • Se o MFA está implantado em e-mail, VPN, acesso remoto, serviços em nuvem e contas privilegiadas separadamente, não como resposta única de sim ou não
  • O percentual de endpoints cobertos pelo EDR
  • O SLA de gestão de patches para vulnerabilidades críticas
  • Se há um plano de resposta a incidentes documentado e quando foi testado pela última vez
  • Se os backups são testados para restauração e com que frequência
  • Se há controles PAM e se as contas privilegiadas estão armazenadas em cofre
  • Receita anual, número de funcionários, tipos de dados processados (dados pessoais, cartão de pagamento, saúde) e setor

Não preencha o questionário de memória. Construa um inventário de controles antes de começar: mapeie cada controle exigido para o sistema ou grupo de usuários que cobre, a pessoa responsável e a data da última revisão. Traga documentação para o processo de proposta. Se descobrir lacunas durante esse exercício, trate-as antes de fazer a proposta, não depois.

Dica prática

Solicite ao seu corretor uma cópia da proposta do ano anterior. Comparar as respostas ano a ano com sua postura atual é uma das formas mais rápidas de identificar onde sua documentação não corresponde aos seus controles.

Como as seguradoras avaliam os sinistros

Quando você registra um sinistro, sua seguradora nomeia uma empresa forense. A função principal dessa empresa é determinar a causa raiz, o escopo e se seus controles correspondiam à sua proposta. Eles revisarão logs do Active Directory e registros de firewall, avaliarão se o MFA foi aplicado em todos os pontos de autenticação que você descreveu, examinarão logs de backup e verificarão se o vetor de ataque inicial foi uma vulnerabilidade conhecida sem patch.

O relatório forense vai para a seguradora antes de o sinistro ser liquidado. Se contradizer sua proposta, a seguradora usará isso para contestar o sinistro. Isso não é teórico: as taxas de negação de sinistros cyber têm aumentado.

O segundo fator que determina os resultados dos sinistros é o prazo de notificação. A maioria das apólices exige que você notifique a seguradora prontamente após tomar conhecimento de um incidente, geralmente dentro de 72 horas. A notificação tardia é por si só um motivo para redução do sinistro, independentemente de seus controles estarem em vigor.

Importante

Entre em contato com sua seguradora e assessor jurídico antes de contratar uma empresa de relações públicas ou fazer declarações externas após uma violação. Muitas apólices cobrem custos de comunicação de crise, mas apenas se a seguradora aprovar a empresa de comunicações. Contratá-la de forma independente pode invalidar esse elemento da cobertura.

Exclusões que você precisa entender

Leia o cronograma da sua apólice, não apenas o resumo de marketing. As exclusões mais importantes não estão em destaque.

!
Exclusões de ataques patrocinados por Estado e de guerra
Em 2023, o Lloyd's of London exigiu que todos os sindicatos excluíssem das apólices cyber independentes as perdas atribuíveis a operações cibernéticas patrocinadas por Estado. Dado que uma proporção significativa da infraestrutura de ransomware está ligada a grupos apoiados pelo Estado, esta exclusão tem alcance prático além de conflitos entre Estados. Verifique como sua apólice define atribuição e qual ônus probatório se aplica.
!
Sublimites de ransomware
Muitas apólices limitam as perdas relacionadas a ransomware a um sublimite abaixo do limite total da apólice. Uma apólice com limite nominal de €5 milhões pode limitar pagamentos de ransomware a €1 milhão. Leia o cronograma atentamente.
!
Eventos anteriores conhecidos
Se você sofreu uma violação antes da data de início da apólice e não a divulgou, a cobertura para sinistros relacionados será excluída. Incidentes em andamento ou vulnerabilidades conhecidas que antecedem a apólice também são tipicamente excluídos.
!
Falha em manter controles
Se você atestou ter um controle na proposta e depois o removeu ou desativou antes de um incidente, a seguradora tem base para reduzir ou negar o sinistro. Os controles devem permanecer em vigor durante todo o período da apólice.

Preparando-se para a renovação

O melhor momento para se preparar para a renovação é seis meses antes de ela acontecer. A maioria dos corretores enviará um questionário de pré-renovação dois a três meses antes. Nesse ponto, quaisquer lacunas encontradas levarão mais tempo para fechar do que você tem disponível.

1
Realize um inventário de controles
Documente o que você tem, onde está implantado, quem é o responsável e quando foi revisado pela última vez. Faça isso para cada controle sobre o qual a proposta pergunta, não apenas os cinco acima.
2
Teste seus backups
Execute um teste completo de restauração e produza um relatório escrito com data, escopo e resultado. Um log de backup mostrando execuções agendadas não é o mesmo que uma recuperação testada.
3
Audite sua cobertura de MFA
Acesse cada sistema de acesso remoto, console de nuvem e interface de conta privilegiada e verifique se o MFA está aplicado, não apenas disponível. Registre quaisquer lacunas.
4
Atualize seu plano de resposta a incidentes
Inclua contatos nomeados para a seguradora, assessor jurídico e empresa de RP aprovada. Adicione a etapa de notificação em 72 horas. Documente a data da última revisão.
5
Realize um exercício de simulação
Simule um incidente de ransomware com sua equipe principal. Documente a data do exercício, os participantes e as conclusões. As seguradoras perguntam cada vez mais se isso foi feito nos últimos 12 meses.
6
Execute uma varredura de vulnerabilidades antes de fazer a proposta
Exporte uma varredura atual mostrando seu status de patches em relação aos CVEs conhecidos. Isso fornece documentação para sustentar suas declarações de SLA de gestão de patches e revela exposições críticas que você deve fechar antes de enviar a proposta.

Uma organização que chega à renovação com um inventário de controles concluído, um relatório de backup testado e um exercício de simulação documentado está em posição mais forte do que aquela que depende da memória. A documentação também é o que sobrevive a uma revisão forense pós-violação.

As orientações da ENISA sobre medidas mínimas de segurança de referência estão disponíveis em enisa.europa.eu. O NCSC publica orientações práticas de implementação dos controles técnicos mais comumente exigidos por seguradoras e reguladores.

Perguntas frequentes

Quais controles as seguradoras de cyber exigem como mínimo?

A maioria das seguradoras agora exige, no mínimo: MFA em todos os acessos remotos e e-mail, detecção e resposta a endpoints (EDR) em todos os endpoints, backups imutáveis testados, um plano de resposta a incidentes documentado e um processo de gestão de patches com SLAs. Muitas também exigem controles de gestão de acesso privilegiado (PAM) e autenticação de e-mail DMARC. Algumas seguradoras recusarão cotar sem MFA no acesso remoto, independentemente dos outros controles existentes.

Uma seguradora de cyber pode negar meu sinistro após uma violação?

Sim. As seguradoras podem negar ou reduzir sinistros por vários motivos: declaração incorreta na proposta (afirmar que possuía controles que a perícia pós-violação demonstra que não possuía); falha em manter os controles entre a proposta e o incidente; falha em notificar dentro do prazo exigido; ou porque a perda se enquadra em uma exclusão da apólice, como a exclusão de ataque de guerra ou patrocinado por Estado. A causa mais comum de complicações em sinistros é a lacuna entre o que foi declarado na proposta e o que a investigação forense encontrou.

O que é a exclusão de ataques patrocinados por Estado do Lloyd's of London?

Em 2023, o Lloyd's of London exigiu que todos os sindicatos excluíssem das apólices cyber independentes as perdas atribuíveis a operações cibernéticas patrocinadas por Estado. A exclusão aplica-se quando o segurado não consegue demonstrar que o ataque não foi patrocinado por Estado. Dado que uma proporção significativa da infraestrutura de ransomware está ligada a grupos apoiados pelo Estado, esta exclusão tem alcance prático. Algumas seguradoras a aplicam apenas acima de determinado limite de perda; outras, de forma mais ampla. Verifique cuidadosamente a redação da sua apólice.

Como documentar os controles de segurança para uma proposta de seguro cyber?

Construa um inventário de controles que mapeie cada controle exigido para o sistema ou grupo de usuários que cobre, a pessoa responsável e a data da última revisão ou teste. Para MFA, acesse cada sistema e verifique a aplicação em vez de apenas a disponibilidade. Para backups, execute um teste de restauração e produza um relatório escrito. Para gestão de patches, exporte uma varredura de vulnerabilidades atual para mostrar o status dos patches em relação aos CVEs conhecidos. Para o plano de resposta a incidentes, registre quando foi revisado pela última vez e se um exercício de simulação foi realizado nos últimos 12 meses.

Qual é a diferença entre cobertura cyber de primeira parte e de terceiros?

A cobertura de primeira parte paga pelas perdas que sua organização sofre diretamente: custos de resposta a incidentes, investigação forense, pagamentos de resgate (quando cobertos), interrupção de negócios, restauração de dados e custos de notificação. A cobertura de terceiros paga sinistros feitos contra você por outras partes como resultado da sua violação, incluindo clientes, parceiros e reguladores. A maioria das apólices inclui ambas. Verifique no cronograma da apólice os sublimites para cada categoria, pois uma apólice com limite nominal elevado pode limitar pagamentos de ransomware ou responsabilidade de terceiros a valores significativamente menores.

Fale com a Cyvra

Sua postura de segurança está pronta para a renovação do seguro cyber?

Ajudamos organizações a fechar as lacunas de controles que afetam a assegurabilidade e os custos de prêmio, com documentação que sobrevive a uma revisão forense pós-violação.

Aviso legal: Este artigo tem caráter exclusivamente informativo e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não garante a exatidão ou completude deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem buscar aconselhamento jurídico e regulatório independente adequado às suas circunstâncias específicas. A Cyvra não aceita qualquer responsabilidade por perdas decorrentes do uso deste conteúdo.