El auge del ciberseguro: lo bueno y lo malo
Año tras año, la industria de la seguridad de la información está experimentando una gran cantidad de nuevos desafíos y consideraciones para mantener seguras a las organizaciones. Durante los últimos dos años, he notado una aceptación significativa en las discusiones sobre el seguro cibernético. Esto no es una sorpresa, ya que los riesgos para las organizaciones han aumentado mucho más allá de los niveles manejables, con un solo ataque cibernético que derribó varios sitios importantes, incluidos Spotify y Twitter, el año pasado. Los costos asociados con tales infracciones pueden tener un gran impacto en los resultados finales. Si bien GDPR (que entrará en vigencia en 2018) verá posibles multas de hasta 20 millones de euros, o el 4 por ciento de la facturación mundial anual de una empresa, esto empeorará las cosas y probablemente provocará la desaparición de muchas empresas no preparadas.
Las inversiones en personal calificado y tecnologías que incluyen todo, desde firewalls hasta antivirus y plataformas de inteligencia de amenazas continuarán brindando los mejores rendimientos cuando se trata de reducir el riesgo. Sin embargo, el seguro cibernético también se está debatiendo como una herramienta valiosa para ayudar a abordar algunos riesgos. Muchas aseguradoras ya están comenzando a aprovechar este mercado para limitar las responsabilidades y es probable que otras se sumen. Pero es fundamental saber exactamente qué pólizas ofrecen y cómo valoran y clasifican el riesgo de su negocio.
Existen numerosos indicadores que muestran que la demanda de seguros cibernéticos aumentará significativamente en un período corto. PwC, por ejemplo, estima que las primas emitidas brutas anuales se triplicarán a $ 7.5 mil millones para 2020 desde $ 2.5 mil millones en 2014. El mercado de seguros de Londres, el más grande del mundo, predice un aumento en empresas e individuos que contratan pólizas contra ciberataques en 2017 después de un aumento del 50 por ciento el año pasado. Si bien Allianz pronostica que la prima emitida total en todo el mundo aumentará de los $ 2.5 mil millones actuales a $ 20 mil millones para 2025, esta estimación indica que el pensamiento colectivo entre los profesionales de la seguridad empresarial y el riesgo es que el seguro cibernético puede ser una buena idea, pero es importante recuerde que el seguro cibernético y la seguridad no son lo mismo. Comprender las opciones disponibles y la exposición general al riesgo de su organización son claves para saber qué ruta de seguro cibernético seguir y hay dos consideraciones clave que debe analizar primero.
- Sepa lo que está cubierto
Actualmente no hay pólizas de seguro cibernético estándar disponibles. Por ejemplo, Lloyd’s informó que estaban viendo una gran aceptación del seguro cibernético y el año pasado introdujo 15 tipos diferentes de cobertura. Las opciones de pólizas específicas disponibles probablemente variarán entre los operadores y dependerán de la industria en la que se encuentre una compañía que busque un seguro, lo que podría agregar confusión.
Las políticas típicas se enfocan en cubrir el riesgo de primera parte, en este caso, las organizaciones en riesgo de sufrir pérdidas causadas por ataques o brechas. Los costos pueden presentarse de muchas formas, incluidas las pérdidas provocadas por la interrupción del negocio, las multas reglamentarias y otras partes que buscan recuperar los daños relacionados.
Antes de invertir el dinero de su organización en una póliza, es fundamental comprender aspectos específicos. Querrá saber qué exclusiones existen, qué período de tiempo cubre la póliza y los tipos de daños por los que su aseguradora proporcionaría una compensación después de que ocurriera un incidente.
Las aseguradoras generalmente no cubren los daños causados por enemigos extranjeros o causados por actos de terrorismo. Exclusiones como estas podrían dificultar enormemente recibir una compensación. La atribución es difícil en el mejor de los casos, ya que muchos atacantes dejan deliberadamente migas de pan que apuntan a los investigadores en una dirección diferente y, por lo tanto, se aíslan de ser descubiertos. Por lo tanto, debe asegurarse de comprender cómo la compañía de seguros con la que está considerando hacer negocios determina si un ataque fue un acto de terrorismo o llevado a cabo por un enemigo extranjero.
En cuanto al período de tiempo que cubre una póliza, es extremadamente importante comprender los detalles sobre las fechas retroactivas. Si un atacante está en su red antes de la fecha de vigencia de una póliza pero aún no se ha descubierto, puede ser difícil cobrar una compensación por los daños causados por el adversario. La mayoría de las pólizas no cubren los incidentes que ocurrieron antes de las fechas de vigencia. Es extremadamente importante que su organización pueda compensar o no el costo de un ataque que tuvo lugar en el pasado, especialmente si se considera el «tiempo de permanencia» normalmente alto que los malos permanecen dentro de los sistemas antes de ser descubiertos.
También debe considerar que no se cubrirán el impacto en la reputación y las pérdidas comerciales futuras que pudieran ocurrir como resultado de un incidente y que existen límites para los montos de compensación disponibles. Dependiendo del riesgo que se compensa, incluso pasar por múltiples aseguradoras puede no producir suficiente cobertura para mitigar las pérdidas.
- Entender el riesgo
El mercado de los seguros cibernéticos aún está lejos de ser maduro. Los suscriptores son nuevos en el campo del riesgo cibernético y es probable que estén sufriendo el mismo nivel de sobrecarga de información sobre amenazas que muchas organizaciones están experimentando en la actualidad. ¿Se está evaluando el riesgo con precisión? Podría decirse que aquí también es necesaria la estandarización de la industria.
Las compañías de seguros utilizan una variedad de herramientas, cuestionarios y otras técnicas para evaluar los niveles de riesgo antes de aprobar las pólizas. Sin embargo, no debe permitir que las primas de su organización se establezcan basándose únicamente en las evaluaciones de los transportistas. Antes de participar, debe saber cuáles son los niveles de riesgo de su organización, qué tan maduros son sus programas de seguridad y qué herramientas tiene para defenderse de los ataques.
Para estar en una buena posición, es necesario contar con programas sólidos que proporcionen aspectos como gestión de vulnerabilidades, inteligencia de amenazas y defensa del perímetro. Las evaluaciones periódicas de terceros también ayudarán a identificar cualquier brecha en la red de su organización y qué se puede hacer para cerrarla.
Sin comprender su postura de seguridad actual y su historial de ataques y líneas de defensa, es probable que esté poniendo a su organización a merced de las evaluaciones de los aseguradores, lo que podría generar primas sobrevaloradas o un rechazo absoluto.
Cuando se trata de seguridad, las principales prioridades de su organización deben seguir centradas en emplear el talento adecuado, garantizar una comunicación eficaz y desarrollar una fuerza laboral y una cultura educadas y conscientes de la seguridad.
Sin embargo, lo más importante es poner siempre la seguridad en primer lugar. Las calificaciones de riesgo no tienen sentido a menos que tenga inteligencia de amenazas valiosa y relevante para comprender cuán vulnerable y dónde se encuentran las debilidades de su negocio. En realidad, todos los seguros cibernéticos del mundo no pueden defenderlo de las amenazas cibernéticas avanzadas, los atacantes, los iniciados malintencionados y los actores estatales fuertemente respaldados.
Por Travis Farral, director de estrategia de seguridad en Anomalí