El seguro de ciberseguridad es transferencia de riesgo. Representa una actividad de respuesta a incidentes puramente reactiva y no niega la necesidad de invertir en prevención y recuperación, pero puede ser una parte importante de un programa integral de seguridad cibernética. Los líderes tecnológicos deben comprender la función prevista del seguro cibernético, los costos asociados y las limitaciones inherentes a la cobertura.
Los líderes ejecutivos deben estar incluidos y ser conscientes de las discusiones con los proveedores de seguros de seguridad cibernética. Se les pedirá que envíen respuestas a los cuestionarios de seguridad. Además, la aseguradora tendrá requisitos de respuesta a incidentes que deben cumplirse en caso de un incidente de seguridad.
El seguro de ciberseguridad es un producto enteramente reactivo. No evitará una brecha de seguridad cibernética ni reducirá inmediatamente el impacto en la prestación de servicios a sus usuarios. Por lo tanto, debe continuar invirtiendo en su programa de seguridad junto con sus consideraciones de seguro de seguridad cibernética.
El seguro de seguridad cibernética está diseñado para compensar los costos de recuperación que una organización tendría que pagar en caso de un incidente de seguridad. También puede compensar una variedad de costos comerciales no relacionados con TI asociados con un ataque cibernético, como el daño a la reputación (mediante el uso de empresas de relaciones públicas/entrenadores de infracciones) y los honorarios legales. Estos son algunos de los beneficios cualitativos de los seguros de ciberseguridad.
Otro beneficio cualitativo que a menudo proporciona el seguro de seguridad cibernética es la accesibilidad a los expertos empleados o contratados por el suscriptor y/o el corredor. Estos no solo son servicios forenses o de respuesta a incidentes, sino que muchas aseguradoras de seguridad cibernética también tienen acceso directo a expertos en seguridad para contactos legales, de relaciones públicas y de aplicación de la ley. Algunas aseguradoras también brindan experiencia y recursos en estrategias de planificación, respuesta y recuperación. Estos recursos pueden aumentar su equipo existente o, en los casos en que no existen internamente, mejorar su capacidad de respuesta y recuperación.
El seguro de seguridad cibernética no evitará una violación de la seguridad cibernética ni reducirá inmediatamente el impacto, por lo que debe continuar invirtiendo en su programa de seguridad junto con sus consideraciones de seguro de seguridad cibernética.
Con el seguro cibernético, es extremadamente importante comprender las cláusulas de exclusión de cualquier póliza determinada. La investigación muestra que a menudo existe una desconexión entre las expectativas de un cliente y la cobertura de una aseguradora en términos de qué tipos de incidentes están cubiertos y cuáles están excluidos.
Dos ejemplos actuales de dónde estas cláusulas han afectado a las organizaciones son los ataques de NotPetya contra Mondelēz International y Merck. Los expertos afirman que NotPetya fue desarrollado por una organización respaldada por un estado-nación. Como resultado, las compañías de seguros consideraron que el incidente del ransomware desencadenó la cláusula de “acto de guerra” en la póliza. Cada una de estas organizaciones participó en batallas legales con sus aseguradoras para pagar sus pólizas de seguro cibernético.
Antes de comprar una póliza de seguro cibernético, considere hacer una serie de preguntas para comprender las limitaciones exactas de la cobertura.
Determinar los servicios proporcionados por la aseguradora
Algunos proveedores de seguros ofrecen servicios de respuesta a incidentes como parte de su póliza. Estos pueden ser recursos valiosos que ahorran tiempo durante un incidente de seguridad. Sin embargo, debe comprender completamente su alcance de trabajo porque también puede afectar negativamente cualquier liquidación de reclamos.
El proveedor de respuesta a incidentes es contratado por la aseguradora y debe comprender qué información se comparte con el proveedor de seguros. ¿El proveedor también está aprovechando a estos contratistas para identificar cualquier desviación existente en su postura de seguridad que pueda reducir la cantidad o eliminar cualquier liquidación? Si su proveedor tiene servicios forenses o de respuesta a incidentes como parte de su política, debe hacer las siguientes preguntas:
¿Los socorristas proporcionados trabajan únicamente para usted, el cliente, o trabajan para la compañía de seguros? Por ejemplo, ¿comparten algún dato con la aseguradora y, de ser así, qué?
¿Se requiere que los respondedores provistos sean transparentes con sus hallazgos y compartan toda la información con el asegurado? ¿Cuál es el tiempo de respuesta para el despliegue de servicios después de reportar un ciberataque?
¿Es obligatorio utilizar los servicios del proveedor de seguros o puede seleccionar su propio proveedor de servicios? Considere solicitar que se asigne un fondo común de dinero en la póliza para pagar los servicios forenses/de respuesta a incidentes de su elección.
Gartner recomienda que actualice su plan de respuesta a incidentes con la información de contacto adecuada para las organizaciones de servicios forenses/de respuesta a incidentes aprobadas que se utilizarán, y considere productos de seguros adicionales.
También es importante conocer y comprender todas las pólizas de seguro que tiene su organización. Diferentes tipos de pólizas pueden incluir una provisión de seguridad cibernética o interrupción del negocio. Algunas pólizas de seguro cibernético solo cubren los costos de recuperación de un incidente de seguridad y no las pérdidas por interrupción del negocio. Es posible que tenga la oportunidad de cambiar una cobertura cibernética costosa por una cobertura criminal mucho menos costosa, ya que ambas pueden ser aplicables durante un incidente significativo.
Tenga cuidado de no sobreasegurar o tener superposiciones en la cobertura. Por ejemplo, si tiene una póliza de seguro de interrupción de negocios por separado (con una cláusula de seguridad cibernética) y un seguro de seguridad cibernética, debe averiguar si ambas pólizas pagarán en caso de un incidente de seguridad. Puede ser que solo uno pague un acuerdo, lo que resulta en una situación en la que está sobreasegurado. De manera similar, a menudo hay una superposición entre la cobertura cibernética y criminal. La mayoría de los incidentes grandes, como el ransomware, se consideran rápidamente un acto delictivo.
Tenga en cuenta que algunas organizaciones pueden necesitar implementar múltiples productos de seguros para cumplir con sus objetivos de gestión de riesgos comerciales.
Tenga una seguridad robusta en su lugar
El seguro de ciberseguridad no reemplaza la necesidad de invertir en un programa de controles de seguridad apropiado. Si no tiene un buen programa de seguridad, debe invertir en uno antes de buscar un seguro. Se sabe que las aseguradoras consideran que las organizaciones no son asegurables debido a la falta de controles de seguridad mínimamente aceptables.
Para garantizar una cobertura adecuada y abordar por completo el riesgo empresarial, necesitará información de varios grupos de la organización. Póngase en contacto con otras partes interesadas, incluido el cumplimiento, legal, riesgo, finanzas, tecnología de la información y seguridad de la información
Para garantizar una cobertura adecuada y abordar por completo el riesgo empresarial, necesitará información de varios grupos de la organización. Comuníquese con otras partes interesadas, incluido el cumplimiento, legal, riesgo, finanzas, tecnología de la información y seguridad de la información.
Se le pedirá que haga representaciones sobre sus capacidades de seguridad cibernética, generalmente a través de un cuestionario, como parte del proceso. Esté preparado con informes de auditoría/cumplimiento/prueba de penetración, políticas existentes, gobernanza, éxito de la capacitación de concientización y procesos de gestión de proveedores/terceros. Si se determina que sus representaciones son inexactas después de un incumplimiento, el transportista puede rechazar su reclamo.
Gartner insta a los jefes de seguridad de TI a reunirse con los suscriptores. Esto le permite articular su postura de seguridad y las mejoras que está implementando. Esta reunión brinda la oportunidad de resaltar sus éxitos y la hoja de ruta para mitigar el riesgo. Agrega claridad y color a las respuestas simples de “sí/no” en un cuestionario. Proporcionar este nivel adicional de detalle puede tener un impacto en su prima.
Al considerar las pólizas de seguro cibernético, sobre todo, no apresure el proceso. Las compras de pólizas o las actividades de renovación deben comenzar entre 90 y 120 días antes de la fecha activa. Esto le dará tiempo suficiente para recopilar varias cotizaciones y tomar una decisión informada. Su compañía de seguros tendrá condiciones específicas que deben cumplirse para cumplir con su póliza durante un incidente activo. Gartner recomienda asegurarse de que estas condiciones se aborden en su plan de respuesta a incidentes y se actúe en consecuencia.
Este artículo está basado en el informe de Gartner Una guía para líderes ejecutivos sobre seguros de ciberseguridadpublicado en abril de 2021.
Paul Furtado es analista vicepresidente de Gartner y Jim Mello es director de la práctica de auditoría interna y gestión de riesgos de Gartner.
