Hoy, exploramos una pregunta que muchos líderes empresariales han estado trabajando para navegar: "¿Merece la pena invertir en un seguro de ciberseguridad?".
La primera póliza de ciberseguro se creó en 1997.
Era bastante humilde, diseñada para ayudar a los minoristas a aislarse del riesgo de robo de los números de las tarjetas de crédito de los clientes. Por sólo 2.500 dólares al año, la empresa podía recibir hasta 250.000 dólares de cobertura en costes legales y honorarios de liquidación. Si superaban una auditoría de seguridad de terceros, podían rebajar el precio a menos de 2.000 dólares al año.
En 2017, el ciberseguro se había convertido en el sector de mayor crecimiento de la industria aseguradora. Pero seguía siendo bastante fácil de conseguir, aunque con mayores limitaciones y exclusiones, hasta la pandemia. Un enorme impulso global hacia los negocios digitales significó más ciberataques, lo que se tradujo en más indemnizaciones para las aseguradoras.
Las compañías de seguros exigen ahora controles y estrategias de seguridad más rigurosos antes de conceder la cobertura, y examinan las reclamaciones con mayor escrutinio. El aumento vertiginoso de los costes tanto de la cobertura como de la respuesta a incidentes ha hecho que las empresas se peleen por encontrar las ventajas y desventajas de los seguros.
¿Qué cubre el seguro y qué quieren las compañías de seguros?
El seguro cibernético no ha cambiado mucho en principio. Ayuda a cubrir los costes de investigación y resolución de violaciones y ataques como el ransomware. Esto incluye la recuperación de datos perdidos, la notificación a las partes afectadas, los honorarios legales, las multas reglamentarias y las demandas judiciales.
La base de la mayoría de las pólizas de seguros es haber tenido un cuidado razonable para mitigar el riesgo en primer lugar. En lo que respecta a la ciberseguridad, es muy razonable suponer que se espera que las organizaciones utilicen las prácticas habituales del sector para proteger los dispositivos, las aplicaciones y el acceso.
Sin embargo, las normas para obtener cobertura cada vez más estrictas. Esto es lo que buscan:
1. Medidas activas para prevenir proactivamente los incidentes de ciberseguridad
Es posible que hayas oído el rumor de que el seguro del coche no cubre el robo si te has dejado las puertas abiertas o la llave dentro del coche. Las empresas que buscan una póliza de seguro cibernético deben cumplir una serie de medidas y precauciones de seguridad, como:
- Ciberhigiene básica como la autenticación multifactor
- Cumplimiento de la norma SOC2, que especifica cómo deben gestionar las organizaciones los datos de los clientes.
- Comprobación adecuada de la seguridad de software y de los proveedores de soluciones en la nube
- Los sectores más regulados, como el financiero y el sanitario, tienen sus propias normas que cumplir, como HIPPA y PCI DSS.
2. Planes para minimizar los daños si la empresa es víctima de un ataque.
Hoy en día, los incidentes cibernéticos no son una cuestión de "si", sino de "cuándo". Los proveedores de seguros quieren tener la seguridad de que, tras un ataque, la empresa no está inventando su respuesta sobre la marcha.
- Planes detallados de respuesta y recuperación
- Procedimientos para los que se realizarán pruebas forenses y por quién
- Qué partes jurídicas contratará la empresa para hacer frente a las secuelas del incidente.
3. Herramientas y arquitectura de seguridad actualizadas
La fragilidad de la cadena de suministro software y los riesgos en cascada que conlleva han sido tema de mucha conversación en los últimos años. Las mejores prácticas para aislar a un intruso han avanzado mucho: el perímetro de la red ya no puede funcionar como un único punto de fallo.
- En general, las herramientas son seguras. No tienen un elevado número de vulnerabilidades o fallos de día cero.
- Las herramientas las proporcionan proveedores con un buen historial de seguridad, que no se han visto comprometidos o vulnerados recientemente.
- La empresa puede demostrar que parchea las vulnerabilidades con rapidez.
- Las redes se diseñan, configuran y segmentan de forma que fomenten la seguridad, especialmente en la nube.
¿Cómo deben considerar las empresas los riesgos del ciberseguro?
Con razón, el ciberseguro ha saltado al radar del liderazgo empresarial, las finanzas y la gestión de riesgos. La probabilidad, el daño potencial y los costes asociados a una violación o interrupción son mayores que nunca. Al mismo tiempo, los proveedores de ciberseguros están dificultando la obtención de cobertura y cubren menos a la vez que cobran más.
El liderazgo debe participar en las decisiones sobre ciberseguros. Lo que está en juego es demasiado importante. El ciberseguro se sitúa en la intersección del presupuesto, el riesgo y la estrategia de seguridad. Debe enfocarse de forma que sirva a los tres.
Sea realista sobre la postura de ciberseguridad de la organización. Los requisitos del ciberseguro son un blanco móvil. Los métodos de ataque evolucionan constantemente, mientras que muchos entornos y sistemas pueden funcionar con controles heredados que no pueden dejar de modernizarse. Hacer balance de las características de su panorama de seguridad es vital para tomar cualquier decisión en torno al seguro.
Evalúe si el ciberseguro merece la pena. A medida que suben los costes y la cobertura se hace más porosa, el ciberseguro puede costar tanto como hacer frente a las consecuencias de un incidente. La elección entre pagar un ciberseguro o invertir en la seguridad de la organización es espinosa, pero merece la pena tenerla en cuenta.
El futuro del ciberseguro
Los seguros cibernéticos seguirán adaptándose al cambiante panorama de amenazas de hoy y de mañana. Hay muchas cuestiones sobre las que los proveedores de seguros aún no han establecido directrices.
Por ejemplo, los ataques contra entornos industriales pueden tener consecuencias físicas graves, mucho más allá del robo de datos confidenciales. Los proveedores no han encontrado la forma de asegurar adecuadamente este tipo de consecuencias.
Por otro lado, el riesgo en cascada que conllevan los proveedores y contratistas externos es turbio desde el punto de vista de la suscripción.
Luego están las leyes de las consecuencias imprevistas. Por ejemplo, una empresa asegurada puede estar más dispuesta a pagar las demandas del ransomware porque sabe que será reembolsada.
Independientemente de que una organización opte o no por el ciberseguro, toda organización debe entender que la seguridad es un elemento facilitador del negocio. Una seguridad adecuada permite a las organizaciones confiar en su infraestructura digital, que sirve de plataforma para la innovación y la agilidad. Esto no sucederá si la seguridad se trata como una medida para marcar casillas cuyo objetivo principal es reducir los costes del seguro.
