El aumento del trabajo remoto durante y después de la pandemia ha aumentado considerablemente las vulnerabilidades cibernéticas. Hablando recientemente en la BBC Este Dia programa, Nikesh Arora, CEO de Palo Alto, discutió cómo las personas en los negocios pueden trabajar desde cualquier lugar.
“Esto trae a colación el desafío de que su empresa se encuentra ahora en el hogar de todos los empleados”, dijo. “Puedo atacar la red en esa casa y potencialmente obtener acceso a su empresa”.
Esto, dice Arora, significa que la superficie de ataque para los ataques ha explotado. Durante los primeros días de la pandemia, los piratas informáticos probaron las técnicas que usaban anteriormente al atacar los sistemas empresariales para apuntar a los hogares. Pero ahora, los ataques cibernéticos se están convirtiendo cada vez más en armas y los piratas informáticos los utilizan para ganar dinero, dice.
A nivel mundial, el costo promedio de una violación grave fue de $ 3,9 millones en 2019 y está aumentando, dice Carl Nightingale, experto en seguridad cibernética de PA Consulting. Dada la perspectiva de que están aumentando los ataques más dañinos y costosos, Nightingale insta a los líderes de seguridad de TI a considerar seriamente invertir en seguros cibernéticos.
Pero advierte: “Los ciberdelincuentes están explotando la incertidumbre de las organizaciones sobre la seguridad cibernética, al darse cuenta de que pueden adaptar los ataques al apetito por el riesgo de sus objetivos. En un tipo de ataque de ransomware cada vez más popular, los delincuentes investigan a sus víctimas para evaluar qué tan dispuestas estarían a pagar. Estos delincuentes saben que si los objetivos ven sus demandas como más asequibles y menos perturbadoras que restaurar los sistemas, a menudo preferirán pagar el rescate”.
A principios de este año, el analista Forrester analizó el costo creciente del seguro de seguridad cibernética para sus Principales amenazas de ciberseguridad para 2022 reporte. Los autores del informe señalan que el seguro cibernético no reemplaza los controles de seguridad adecuados.
“El fuerte aumento de los ataques de ransomware en 2019 y las consecuencias de múltiples incidentes en la cadena de suministro de software en 2021 llevaron a las empresas a comprar o aumentar su cobertura de seguro cibernético”, advirtieron los autores del informe. “Irónicamente, también los convirtió en un objetivo más atractivo para los atacantes”.
Posteriormente, las empresas de seguros cibernéticos mejoraron sus procesos de suscripción y aumentaron el escrutinio de los titulares de pólizas y los solicitantes. Según Forrester, esto condujo a un aumento promedio del 25 % en las primas y algunos seguros eliminaron la cobertura para ataques específicos.
En el informe, los analistas de Forrester dicen que esto ilustra lo que los líderes de seguridad saben desde hace mucho tiempo, pero los altos ejecutivos y las juntas directivas están aprendiendo ahora: sin una estrategia de mitigación de riesgos y una inversión en la madurez del programa de seguridad, confiar solo en el seguro cibernético es una amenaza para la organización.
Pero según Nightingale, solo el 11% de las empresas del Reino Unido tienen un seguro cibernético adecuado. Según su experiencia, la falta de claridad sobre los seguros cibernéticos es una preocupación clave entre los jefes de seguridad de TI. Él dice que debido a la relativa inmadurez del mercado, “las primas a menudo son inconsistentes, costosas y vagas sobre el alcance de la cobertura”, y agrega: “Esto ha dificultado que los CISO confíen en que el seguro cibernético pague en caso de un incumplimiento o para asegurarse de que están cumpliendo con los requisitos de auditoría de la aseguradora”.
Madurez de la ciberseguridad
Para Nightingale, uno de los mayores desafíos para los jefes de seguridad de TI es cómo cuantificar el riesgo cibernético. Los líderes de seguridad de TI tienden a sobrestimar su madurez cibernética y subestiman las primas de seguros cibernéticos, dice. “Cuando la aseguradora recomienda formas de hacer que la cobertura sea más asequible, la interrupción y la inversión pueden ser desagradables”, agrega.
Es posible que las organizaciones también deban cumplir con ciertas regulaciones de seguridad de TI, como el marco de seguro cibernético emitido por el Departamento de Servicios Financieros del estado de Nueva York, si dichos marcos se vuelven parte de los criterios de suscripción, dice Forrester.
Aunque los enfoques y marcos como NIST CSF, CIS 20, NCSC Cyber Essentials e ISO 270001 ayudan a desarrollar capacidades de seguridad cibernética, como señala Nightingales, dichos marcos no brindan las herramientas para cuantificar el riesgo.
Y si bien una organización puede optar por sobornar a un atacante cibernético, Nightingale dice: “La ética de negociar con delincuentes es cuestionable y los impactos comerciales serán sustanciales. Es solo cuestión de tiempo antes de que los reguladores, las firmas de capital privado y los accionistas comiencen a denunciar tales tácticas”.
Forrester recomienda que los profesionales de seguridad de TI aprovechen la atención en los seguros cibernéticos como una oportunidad para impulsar iniciativas de seguridad alineadas tanto con la protección contra ransomware como con los nuevos requisitos de suscripción, y presentar ambos como principales riesgos para la organización.
En referencia a las recomendaciones en el sitio web del Centro Nacional de Seguridad Cibernética (NCSC), Mike Gillespie, vicepresidente del Centro C3i para el Ciberespacio Estratégico y la Ciencia de la Seguridad (CSCSS), dice que la responsabilidad recae en el CISO para asegurarse de que los procedimientos de seguridad cibernética de la organización son exactos, actualizados y efectivos. Él dice que esto puede incluir una variedad de controles técnicos, físicos, de procedimiento y humanos que deben implementarse antes de buscar una póliza de seguro cibernético.
“Una vez que tenga confianza en la efectividad de sus controles y se sienta seguro de que le brindan el nivel adecuado de resiliencia cibernética, puede buscar una póliza de seguro cibernético”, dice.
Nuevos desarrollos
También hay nuevos desarrollos en el mercado de seguros cibernéticos que están diseñados para ayudar a las organizaciones a adoptar un mejor enfoque de la seguridad cibernética y evitar la necesidad de pagar a los atacantes de ransomware. Algunos de los principales proveedores de seguros cibernéticos ofrecen opciones innovadoras de seguros cibernéticos, dice Nightingale, que adaptan la cobertura del seguro a las necesidades individuales de la organización al traer expertos en seguridad cibernética para evaluar la madurez cibernética.
Pero, como señala Nightingale, muchas organizaciones pueden ser reacias a permitir que una empresa con un producto para vender lleve a cabo una investigación a tan gran escala sobre su funcionamiento interno. “Ahí es cuando puede ser útil tener una revisión independiente de sus riesgos internos”, dice.
Según Nightingale, dicha revisión puede ayudar a las organizaciones a cumplir con los requisitos de auditoría y cumplimiento de las pólizas de seguro. También les ayuda a centrarse en las áreas clave en las que necesitan buscar seguridad. Una de las áreas en las que se necesita garantía es en torno al proceso, lo que, dice, significa comprender los riesgos en las políticas, procesos y controles operativos de TI, y asegurarse de que las funciones y responsabilidades estén bien definidas.
Finalmente, el respaldo y la recuperación son los componentes básicos de una estrategia sólida de seguridad de TI y son requisitos clave del seguro cibernético. Los CISO también deberán asegurarse de que su organización tenga una administración de respaldo efectiva y procedimientos de recuperación de fallas operativas. Nightingale dice: “Esto debería incluir la gestión de los riesgos particulares relacionados con el mantenimiento y el soporte mediante el control de los cambios introducidos en la infraestructura de TI y los entornos de aplicaciones”.
Los procedimientos de copia de seguridad y recuperación deben reforzarse con controles de seguridad, dice. También debe haber un conjunto completo de políticas y procedimientos que respalden los objetivos de integridad de la información de la organización. Dicha política debe incluir procesos para controlar la adición, el cambio o la eliminación del acceso de los usuarios y administrar los requisitos de acceso a los datos y la revisión periódica de ese acceso.
Al mismo tiempo, Nightingale insta a los líderes de seguridad a evaluar el riesgo de los datos críticos a nivel del sistema operativo y verificar las medidas de seguridad física.
