Por: Philippe Verrier - Experto en ciberseguridad y Gerente de Desarrollo de Negocios, Genetec
Las amenazas cibernéticas se están convirtiendo en el riesgo comercial número uno para organizaciones de todos los tamaños. Desde hackeos de sistema y ataques DdoS, hasta de ransomwares, las noticias sobre ataques cibernéticos son constantes. Si bien es cierto que hay menos informes de ataques como el que sufrió Yahoo! en 2017, donde se expuso la información personal de 3 mil millones de usuarios, ésta no es una razón para bajar la guardia. Según McAfee, firma especializada en seguridad informática, el impacto económico de esta actividad ilícita en México es de tres mil millones de dólares al año.
De este modo, necesitamos tener bien claro a qué nos referimos cuando hablamos de riesgos cibernéticos. De acuerdo con la consultoría Deloitte, son aquellos delitos que involucran el fraude, el robo de información y dinero a través de accesos digitales. En la mayoría de los casos, sus consecuencias son:
- Interrupción de servicios.
- Corrupción o destrucción de datos.
- Actividades de extorsión donde solicitan dinero, acceso o secretos corporativos a las víctimas.
- Daño a la reputación de la empresa.
- Riesgos de privacidad para los clientes y empleados de la empresa.
Es por esto que los gobiernos están interviniendo para actualizar las políticas y estándares que responsabilizan a más organizaciones. Por ejemplo, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE), que entró en vigencia en 2018, exige que las empresas se adhieran a estándares específicos de gobernanza y responsabilidad en el procesamiento y protección de datos relacionados con ciudadanos de la UE. Esta nueva legislación también estipula que, en caso de incumplimiento, las empresas deben informar a la autoridad supervisora dentro de las 72 horas. El incumplimiento de estas regulaciones podría resultar en multas de hasta $ 20 millones o el 4% de la facturación anual global de la compañía.
Si bien las organizaciones han estado ocupadas tratando de comprender el impacto de estos nuevos requisitos y poniendo en práctica los pasos necesarios para cumplirlos, pocas tienen la certeza de estar protegidas contra pérdidas en caso de ataques, violación de datos o incumplimiento no intencional.
¿Qué es un seguro contra riesgos cibernéticos?
Las pólizas de seguros no son nada nuevo para la mayoría de las organizaciones. Sin embargo, a medida que los riesgos evolucionan hacia el ciberespacio, las pólizas también lo hacen. Hoy en día, hay más de 100 compañías de seguros en todo el mundo que ofrecen seguros contra riesgos cibernéticos que ayudan a absorber los riesgos de los clientes cuando ocurre un ataque. Hart Brown, experto en ciberseguridad de Firestorm Solutions, empresa de gestión de crisis y riesgos, estima que el valor del mercado global de las pólizas escritas contra riesgos cibernéticos es de alrededor de USD$ 2.5 mil millones. Los proveedores de seguros como Allianz predicen que esta cifra podría alcanzar los USD$ 20 mil millones para 2025.
"El seguro contra riesgos cibernéticos o de responsabilidad cibernética ayuda a mitigar el riesgo y la incertidumbre. En el caso de un ciberataque, el seguro dará tranquilidad a las empresas y garantizará que puedan acceder a fondos para gestionar una respuesta y mantener el negocio en funcionamiento", comparte Philippe Verrier experto en ciberseguridad de Genetec, empresa líder en soluciones de seguridad unificada.
Para los integradores de sistemas de seguridad, también existe la oportunidad de mejorar su postura de seguridad cibernética y mostrar este seguro como prueba para que sus clientes sepan que siguen estrictos protocolos de ciberseguridad. Esto se debe a que, para ser elegible para la política, el integrador debe demostrar que cumple con los estándares y medidas de ciberseguridad avanzadas. Incluso cuando la política está activa, si el integrador realiza un reclamo de seguro, deberá demostrar que todas las mejores prácticas de ciberseguridad se implementaron desde el inicio del proyecto, sino el cobro del seguro podría ser negado.
Asumir la responsabilidad del riesgo más allá del seguro
Dado que el seguro contra riesgos cibernéticos es un producto nuevo, todavía hay muchas incógnitas para las aseguradoras sobre cómo evaluar y calcular adecuadamente los riesgos. Por lo general, el costo de la cobertura implica completar un cuestionario estándar sobre las políticas de TI, la jerarquía de la organización, el tamaño de la infraestructura de TI y la naturaleza del negocio. En muchos casos, los proveedores de seguros tienden a sobreestimar las consecuencias y responsabilidades, manteniendo las primas altas.
Aun así, las empresas no pueden confiarse de este seguro para salvarse de amenazas cibernéticas inesperadas. El seguro solo ayuda a absorber los costos en caso de un ataque. De este modo, es necesario que las empresas continúen manteniendo los más altos estándares de ciberseguridad que incluyen la implementación de varios niveles de defensa, como el cifrado, la autenticación y la autorización. También se sugiere incluir el empleo de varias herramientas para proteger mejor la privacidad de los datos y la instalación adecuada de dispositivos con contraseñas seguras.
"Las organizaciones deberían tomarse el tiempo de examinar adecuadamente a sus proveedores y seleccionar socios que prioricen la seguridad cibernética en el desarrollo de sus productos", señaló Philippe Verrier, quien es también Gerente de Desarrollo de Negocios en Genetec; y además comenta: "Deben estar al tanto de las actualizaciones y parches de sus sistemas, para asegurarse de que están trabajando con versiones que han solucionado las vulnerabilidades conocidas. También es importante que tomen un papel más activo en la capacitación de sus empleados, demostrando pautas generales que pueden ayudarlos a evitar riesgos innecesarios".
3 consideraciones clave al comprar un seguro de responsabilidad cibernética
1. Identificar los riesgos: Dado que la seguridad cibernética puede abarcar muchas facetas, también lo puede hacer el seguro de responsabilidad civil. Expertos comentan que hay hasta 12 tipos diferentes de coberturas disponibles. Por eso, es fundamental tener una comprensión clara de los riesgos cibernéticos para los que la organización necesita protección. Estos pueden incluir una variedad de riesgos informáticos y físicos, que abarcan desde violaciones de datos hasta robo de activos corporativos. Cuando una empresa es específica sobre las posibles vulnerabilidades que necesita abordar, está en una mejor posición para encontrar el seguro que satisfaga las necesidades de su organización.
2. Conocer qué cubre la póliza: El seguro contra riesgos cibernéticos no necesita ser independiente. Las pólizas de seguro existentes podrían ser muy complementarias a estas nuevas ciber-pólizas. Algunas empresas pueden solicitar una combinación de estos productos para obtener una cobertura adecuada. Es importante comprender cómo cada producto los podría ayudar en caso de ser responsables de una violación de datos. Los daños, resultado de la responsabilidad cibernética, pueden ser difíciles de cuantificar y comprender. "Traducir los riesgos cibernéticos en un modelo financiero es un paso clave para garantizar una cobertura adecuada", señala Philippe. "Lo recomendable es buscar orientación de un corredor profesional o experto en el campo que comprenda tanto el mundo de los negocios como los riesgos de ciberseguridad".
En México existen compañías aseguradoras que cuentan con pólizas que cubren gastos de defensa e indemnización, que abarcan costos relacionados a procedimientos regulatorios y a la notificación a clientes o usuarios ante la responsabilidad que se genera por el manejo y custodia de información personal, corporativa y confidencial, así como por el incumplimiento de regulaciones de privacidad o por fallas de seguridad en la red.
3. Conocer el proceso de reclamos: Así como la cobertura, el proceso de reclamo es un aspecto a tener en cuenta al comprar un seguro de responsabilidad cibernética. En general, las empresas pueden esperar recibir una compensación monetaria, lo cual es útil. Sin embargo, cada proveedor de seguros tiene un proceso para verificar la autenticidad del reclamo y un tiempo de respuesta para pagar los fondos. Si ocurre una violación de datos, las organizaciones deben saber qué tan rápido estará disponible el fondo. Adicionalmente, algunas compañías de seguros brindan también acceso a servicios como investigadores cibernéticos o relaciones públicas. Si bien una empresa puede estar ocupada gestionando la respuesta a una violación o ataque, la asistencia adicional durante este proceso es un beneficio de gran valor.
¿Cómo saber si necesitas un seguro contra riesgos cibernéticos?
"La presencia de amenazas de ciberseguridad aumentará a medida que crece el Internet de las cosas (IoT). Es por eso que todas las organizaciones, incluidos los integradores de sistemas de seguridad, deben buscar un seguro de responsabilidad cibernética, ya que el mayor beneficio es la tranquilidad en caso de que ocurra una violación o ataque", asegura Philippe.
Es responsabilidad exclusiva de cada organización o empresa garantizar que las mejores prácticas de ciberseguridad se implementen en cada proyecto, desde la instalación hasta el mantenimiento. Deben permanecer atentos y contar con proveedores que brinden herramientas y asistencia para identificar y mitigar rápidamente riesgos y mantener los sistemas de seguridad libres de vulnerabilidades potenciales.
Para elaborar una estrategia de ciberseguridad exitosa, es importante comprender contra qué debe protegerse. "En sistemas de seguridad física en redes IP, las soluciones de Genetec están diseñadas con varias capas de seguridad y emplean tecnologías avanzadas de autenticación y encriptación, esto ayuda a las empresas a comprender a los actores de la amenaza y a evaluar los posibles riesgos de seguridad, a la vez que permiten mitigar riesgos y desarrollar una estrategia de defensa para lograr una mayor resiliencia cibernética", concluyó el experto.
|