Hoy, exploramos una pregunta que muchos líderes empresariales han estado trabajando para navegar: "¿Merece la pena invertir en un seguro de ciberseguridad?".
La primera póliza de ciberseguro surgió en 1997.
Era bastante modesta, diseñada para ayudar a los minoristas a protegerse contra el riesgo de robo de números de tarjetas de crédito de clientes. Por solo 2.500 $ al año, la empresa podía recibir hasta 250.000 $ de cobertura en costes legales y gastos de liquidación. Si superaban una auditoría de seguridad de terceros, podían reducir ese precio a menos de 2.000 $ al año.
Para 2017, el ciberseguro se había convertido en el sector de más rápido crecimiento en la industria de seguros. Pero seguía siendo bastante fácil de obtener, aunque con mayores limitaciones y exclusiones, hasta la pandemia. Un enorme impulso global hacia el negocio digital significó más ciberataques, lo que se tradujo en más pagos para las compañías de seguros.
Las compañías de seguros ahora exigen controles y estrategias de seguridad más rigurosos antes de otorgar cobertura, y están examinando las reclamaciones con mayor escrutinio. Los costes disparados tanto de la cobertura como de la respuesta a incidentes han provocado que las empresas se esfuercen por comprender los beneficios y las contrapartidas del seguro.
¿Qué cubre el seguro y qué buscan las compañías de seguros?
El ciberseguro no ha cambiado mucho en principio. Ayuda a cubrir los costes de investigación y resolución de brechas y ataques como el ransomware. Esto incluye la recuperación de datos perdidos, la notificación a las partes afectadas, los honorarios legales, las multas regulatorias y los litigios.
La base de la mayoría de las pólizas de seguro es haber tomado precauciones razonables para mitigar el riesgo en primer lugar. En cuanto a la ciberseguridad, es muy razonable asumir que se espera que las organizaciones utilicen prácticas comunes de la industria para proteger dispositivos, aplicaciones y accesos.
Sin embargo, los estándares para obtener cobertura son cada vez más estrictos. Esto es lo que buscan:
1. Medidas activas para prevenir proactivamente incidentes de ciberseguridad
Puede que haya oído el rumor de que el seguro de coche no cubre el robo si dejó las puertas abiertas o la llave en el coche. Las empresas que buscan una póliza de ciberseguro deben cumplir con una serie de medidas y precauciones de seguridad, tales como:
- Higiene cibernética básica como la autenticación multifactor
- Cumplimiento SOC2, que especifica cómo las organizaciones deben gestionar los datos de los clientes
- Evaluación de seguridad adecuada de proveedores de Software y soluciones en la nube
- Las industrias de alta gobernanza, como las finanzas y la atención médica, tienen sus propios estándares que cumplir, como HIPPA y PCI DSS
2. Planes para minimizar los daños si la empresa es víctima de un ataque
Hoy en día, los incidentes cibernéticos no son una cuestión de «si», sino de «cuándo». Los proveedores de seguros quieren la garantía de que, tras un ataque, la empresa no improvisará su respuesta.
- Planes detallados de respuesta y recuperación
- Procedimientos para la realización de análisis forenses y por quién
- Qué partes legales contratará la empresa para gestionar las consecuencias del incidente
3. Herramientas y arquitectura de seguridad actualizadas
La fragilidad de la cadena de suministro de Software y los riesgos en cascada que conlleva han sido objeto de mucha conversación en los últimos años. Las mejores prácticas para aislar a un intruso han avanzado mucho: el perímetro de la red ya no puede funcionar como un único punto de fallo.
- Las herramientas son generalmente seguras. No presentan un elevado número de vulnerabilidades o fallos de día cero.
- Las herramientas son proporcionadas por proveedores con un buen historial de seguridad, que no han sido comprometidos o violados recientemente.
- La empresa puede demostrar que parchea las vulnerabilidades rápidamente.
- Las redes están diseñadas, configuradas y segmentadas de forma que promuevan la seguridad, especialmente en la nube.
¿Cómo deben considerar las empresas los riesgos del ciberseguro?
Con razón, el ciberseguro ha captado la atención de la dirección empresarial, las finanzas y la gestión de riesgos. La probabilidad, los posibles daños y los costes asociados a una brecha o interrupción son más altos que nunca. Al mismo tiempo, los proveedores de ciberseguros están dificultando la obtención de cobertura y cubren menos mientras cobran más.
La dirección debe participar en las decisiones sobre ciberseguros. Lo que está en juego es demasiado importante como para no hacerlo. El ciberseguro se sitúa en la intersección del presupuesto, el riesgo y la estrategia de seguridad. Debe abordarse de forma que beneficie a los tres.
Sea realista sobre la postura de ciberseguridad de la organización. Los requisitos del ciberseguro son un objetivo en constante cambio. Los métodos de ataque evolucionan constantemente, mientras que muchos entornos y sistemas pueden funcionar con controles heredados que no pueden detenerse para su modernización. Hacer un balance de las características de su panorama de seguridad es vital para tomar cualquier decisión relacionada con el seguro.
Evalúe si el ciberseguro merece la pena. A medida que los costes aumentan y la cobertura se vuelve más porosa, el ciberseguro puede costar tanto como lo que supondría abordar las consecuencias de un incidente. La elección de pagar un ciberseguro o invertir en la seguridad de la organización es espinosa, pero merece la pena considerarla.
El futuro del ciberseguro
El ciberseguro seguirá adaptándose al cambiante panorama de amenazas de hoy y de mañana. Hay muchos asuntos sobre los que los proveedores de seguros aún no han establecido directrices.
Por ejemplo, los ataques contra entornos industriales pueden tener consecuencias físicas y graves que van mucho más allá del robo de datos confidenciales. Los proveedores no han descubierto cómo asegurar adecuadamente este tipo de consecuencias.
Además, el riesgo en cascada que conllevan los proveedores y contratistas externos es incierto desde la perspectiva de la suscripción de seguros.
Luego están las leyes de las consecuencias no deseadas. Por ejemplo, una empresa asegurada puede estar más dispuesta a pagar las demandas de ransomware porque sabe que se le reembolsará.
Independientemente de si una organización opta por el ciberseguro, toda organización debe comprender que la seguridad es un facilitador empresarial. Una seguridad adecuada permite a las organizaciones confiar en su infraestructura digital, que sirve como plataforma para la innovación y la agilidad. Esto no ocurre si la seguridad se trata como una medida de cumplimiento que tiene como objetivo principal reducir los costes del seguro.
