No es una novedad para nadie que los ataques cibernéticos han aumentado en frecuencia, madurez e impacto en los últimos años y que el panorama de amenazas ha crecido significativamente, y continúa haciéndolo. Con eso en mente, probablemente no sea sorprendente que el mercado de seguros cibernéticos haya tenido que evolucionar rápidamente.
En particular, en los últimos años, las aseguradoras han pagado un porcentaje bastante alto de siniestros en todo el mundo. Esto se debe a un modelo de madurez creciente que los ve investigar forensemente una infracción y comprender sus causas fundamentales para definir con precisión las políticas y protecciones vigentes, información que permite determinar con precisión la compensación adecuada.
Con la introducción de una mayor madurez en los estándares de seguros cibernéticos que deben cumplirse, estamos viendo que las empresas se entusiasman con los procesos relacionados. Los cuestionarios simples han sido reemplazados por investigaciones detalladas sobre los mecanismos de control que las organizaciones han implementado. Por ejemplo, en lugar de simplemente preguntar si participan en capacitación de seguridad y concientización para el personal, las aseguradoras pueden querer saber qué tan regular es esto, cómo se actualiza y qué mecanismos existen para probar que la capacitación es efectiva.
Las organizaciones esperan que las primas se ajusten de acuerdo con los controles que han implementado para mitigar el riesgo. En otras palabras, un alto nivel de gestión de riesgos reducirá potencialmente la prima pagada.
En este caso, las aseguradoras pueden ayudar brindando acceso a servicios de consultoría sobre riesgos cibernéticos como parte de su política para ayudar a los clientes a administrar sus riesgos en esta área. Esta asistencia práctica puede ser muy valiosa, especialmente para las pequeñas y medianas empresas (PYME), ya que brinda información sobre los controles fundamentales que todas las empresas deben tener en cuenta.
Estos controles van desde la capacitación sobre la conciencia de seguridad efectiva y la protección contra el phishing interno, hasta la gobernanza de acceso, la gestión de vulnerabilidades, las operaciones de seguridad y la gestión efectiva de identidades, especialmente privilegiadas, por nombrar solo algunos.
Pero incluso con un seguro contra ataques, las empresas no pueden ser espectadores pasivos. Como mínimo, deben comprender tanto los riesgos para la organización como los controles que están operando en este espacio, ya que esto puede informar el costo del seguro, el tamaño de las responsabilidades potenciales y también el riesgo residual que no está cubierto por las pólizas. .
Por ejemplo, una empresa que opera soluciones de software como servicio (SaaS) en nombre de los clientes puede, como procesador de datos de otros, correr un mayor riesgo que una empresa que ejecuta muy pocas actividades de procesamiento de datos directos, con el resultado que su seguro de responsabilidad civil es mayor. De manera similar, una empresa con controles inmaduros puede presentar un mayor riesgo que una con controles maduros y bien ejecutados, por lo que esta última pagaría una prima menor.
Al mismo tiempo, se debe evitar un enfoque de “casilla de verificación”. Los productos e implementaciones requeridos deben ir acompañados de una comprensión de su función y un compromiso con la configuración y el uso correctos si se quiere que realmente aborden el riesgo.
Revisa la letra pequeña
Las organizaciones también deben tener claro lo que incluye la política. Algunos pueden cubrir el incumplimiento en sí, por ejemplo, pero no pagar los costos asociados con la recuperación de ese incumplimiento.
Tomando un ataque de ransomware contra una base de datos clave como ejemplo, la póliza de seguro puede cubrir el rescate (si se paga), pero no las pérdidas como los costos incurridos en la restauración de los servicios, relacionados con el tiempo de inactividad como resultado de la interrupción de las operaciones comerciales, y las actividades requeridas para restaurar la reputación de la marca.
Alternativamente, los riesgos de malware pueden ser parte de una política, pero la exfiltración de datos o las violaciones de privacidad pueden no estar cubiertas, por lo que es esencial comprender qué tan bien protegida está la organización por su política.
El seguro no es igual a la mitigación del riesgo
La seguridad puede ser víctima de su propio éxito. Si se lleva a cabo correctamente, no se requieren medidas correctivas, por lo que pasa desapercibido, lo que dificulta la negociación del gasto en seguridad en el mejor de los casos. Por lo tanto, otro punto clave a considerar por los profesionales de seguridad que manejan seguros cibernéticos es la inercia organizacional que puede inducir el tema. Si la percepción a nivel de la junta es que el seguro cubre el riesgo, puede ser difícil justificar el gasto en los controles necesarios.
Sin embargo, hay actividades que pueden llevarse a cabo para minimizar el riesgo para otros seguros. Tomando como ejemplo el seguro de automóvil, alguien podría asegurar su automóvil, pero aun así obedecer el límite de velocidad, usar el cinturón de seguridad y evitar beber y conducir, etc. En otras palabras, a pesar de estar asegurado, toma medidas preventivas adicionales para asegurar el riesgo para el coche (el activo) se mantiene al mínimo.
Al aplicar este principio al seguro cibernético, los profesionales de la seguridad deben centrarse en comprender el riesgo para la organización. Necesitan conocer los activos de información que requieren protección, cómo esos activos pueden ser vulnerables y qué controles se requieren para reducir el riesgo. Todas las bases de datos pueden tener parches actualizados, pero si una es compatible con una aplicación crítica para el negocio, como el control de una línea de producción, puede ser más crítica en caso de un ataque de ransomware.
Es importante trabajar con el CISO (o equivalente) para comprender estos elementos lo mejor posible, porque esta es toda la información sobre la que preguntará la aseguradora.
También deben implementar controles para ayudar a mitigar el riesgo, desde la gobernanza del acceso hasta las pruebas de penetración como parte de la gestión eficaz de vulnerabilidades, hasta la capacitación y la concienciación sobre seguridad cibernética. La aseguradora los tendrá en cuenta al definir la póliza y el monto de la prima.
Muchos de estos controles no son operados por el departamento de TI (la capacitación en seguridad para mitigar un riesgo de seguridad cibernética, por ejemplo, podría estar bajo la jurisdicción de RR. HH.), por lo que el equipo de seguridad de TI debe trabajar con el negocio en general para documentarlos.
El seguro no reemplaza los controles
En conclusión, el seguro cibernético es una adición útil a la caja de herramientas de protección cibernética. Sin embargo, no puede considerarse como un reemplazo de los controles que deberían estar en funcionamiento para hacer frente al grave riesgo que los ataques cibernéticos representan para cualquier organización.
