El aumento del trabajo remoto durante y después de la pandemia ha aumentado considerablemente las vulnerabilidades cibernéticas. Con el aumento del costo de las infracciones cibernéticas (a nivel mundial, el costo promedio de una infracción grave fue de $ 3,9 millones en 2019), la inversión en seguros cibernéticos es clave. A pesar de esto, solo el 11% de las empresas del Reino Unido tienen un seguro cibernético adecuado. Entonces, ¿por qué hay tan pocos ¿protegido?
La falta de claridad sobre los seguros cibernéticos es una preocupación clave. Las primas suelen ser inconsistentes, caras y vagas en cuanto al alcance de la cobertura, debido a la relativa inmadurez del mercado. Esto ha dificultado que los directores de seguridad de la información confíen en el seguro cibernético para pagar en caso de una infracción o para asegurarse de que cumplen con los requisitos de auditoría de la aseguradora.
Sin embargo, uno de los mayores desafíos es la cuantificación del riesgo cibernético. Aunque los enfoques y marcos como NIST CSF, CIS 20, NCSC Cyber Essentials e ISO 270001 ayudan a desarrollar capacidades de seguridad cibernética, no brindan las herramientas para cuantificar el riesgo. Por lo tanto, los líderes tienden a sobrestimar su madurez cibernética y subestimar las primas de seguros cibernéticos. Y cuando la aseguradora recomienda formas de hacer que la cobertura sea más asequible, la interrupción y la inversión pueden ser desagradables.
Los ciberdelincuentes están explotando la incertidumbre de las organizaciones sobre la seguridad cibernética, al darse cuenta de que pueden adaptar los ataques al apetito por el riesgo de sus objetivos. En un tipo de ataque de ransomware cada vez más popular, los delincuentes investigan a sus víctimas para evaluar qué tan dispuestas estarían a pagar. Estos delincuentes saben que si los objetivos ven sus demandas como más asequibles y menos perturbadoras que la restauración de los sistemas, a menudo preferirán pagar el rescate.
La ética de negociar con delincuentes es cuestionable y los impactos comerciales serán sustanciales. Es solo cuestión de tiempo antes de que los reguladores, las firmas de capital privado y los accionistas comiencen a denunciar tales tácticas.
Los nuevos desarrollos en el mercado de seguros cibernéticos pueden ayudar a las organizaciones a adoptar un mejor enfoque. Los proveedores líderes están ofreciendo opciones innovadoras de seguro cibernético adaptadas a las necesidades individuales de la organización, trayendo expertos en seguridad cibernética para evaluar la madurez cibernética.
Sin embargo, muchas organizaciones son reacias a permitir que una empresa con un producto para vender lleve a cabo una investigación a gran escala de su funcionamiento interno. Ahí es cuando puede ser útil tener una revisión independiente de su riesgo interno.
¿Qué pueden implementar los CISO y los compradores para cumplir con los estrictos niveles de auditoría?
Esa revisión puede ayudar con los requisitos de auditoría y cumplimiento de las pólizas de seguro y centrarse en las áreas clave en las que las organizaciones necesitan buscar garantías. El primero tiene que ver con el proceso: eso significa comprender los riesgos en las políticas, los procesos y los controles operativos de TI, y asegurarse de que las funciones y responsabilidades estén bien definidas.
Luego, es necesario que existan procedimientos efectivos de administración de copias de seguridad y recuperación de fallas operativas. Esto debe incluir la gestión de los riesgos particulares relacionados con el mantenimiento y el soporte mediante el control de los cambios introducidos en la infraestructura de TI y los entornos de aplicaciones.
Esto debe reforzarse con el trabajo sobre los controles de seguridad para garantizar que la gerencia publique un conjunto completo de políticas y procedimientos que respalden los objetivos de integridad de la información de la organización. Eso incluye procesos para controlar la adición, el cambio o la eliminación del acceso de los usuarios, así como la gestión de los requisitos de acceso a los datos y la revisión periódica de ese acceso. Al mismo tiempo, es necesario evaluar los riesgos para los datos críticos a nivel del sistema operativo, así como verificar las medidas de seguridad física.
Hay una serie de enfoques que se pueden utilizar para abordar estos desafíos, que van desde modelos de confianza cero hasta autenticación multifactor (MFA) y detección y respuesta de punto final (EDR y XDR). El monitoreo de protección, el cifrado aplicado a lo largo de los aspectos más críticos de su red y los procesos de administración de parches también pueden proporcionar la seguridad que buscan las aseguradoras.
La dificultad es que, por lo general, estos procesos están aislados y el informe de sus resultados puede ser desordenado. Lo que se necesita es reunir estas políticas y controles en un depósito central. Este tipo de gestión integrada de riesgos (IRM) crea un lugar central para gestionar todos los requisitos de auditoría, ya sea para seguros cibernéticos, cumplimiento de ISO o requisitos de auditoría legales más amplios. Esto le permite agilizar su respuesta y reducir las presiones sobre los recursos internos ya presionados.
Las plataformas IRM también pueden resaltar los riesgos que tienen el mayor impacto en sus operaciones para que pueda abordarlos en orden de prioridad, lo que permite optimizar el gasto y utilizar los recursos de manera más eficiente.
Además, brindan una vista en tiempo real del cumplimiento, con un enfoque basado en el riesgo que es consolidado, consistente y agregado en todo el negocio. Se pueden obtener más eficiencias en el sistema IRM a través de la automatización del flujo de trabajo.
Al consolidar sus procesos de gestión de riesgos, puede asegurarse de que los controles sigan siendo efectivos para lograr sus objetivos y demostrar el cumplimiento de las políticas, normas y reglamentos con un impacto reducido en sus demandas operativas diarias. Todo esto facilitará el cumplimiento de los requisitos de las aseguradoras cibernéticas y permitirá a las organizaciones tener la confianza de que su póliza los protegerá cuando lo necesiten.
Carl Nightingale es un experto en seguridad cibernética en PA Consulting.
