¿Cuál es tu responsabilidad en un mundo hackeado? ¿Estás cubierto?
RESUMEN EJECUTIVO
A medida que las aplicaciones se trasladan del centro de datos a la nube, las organizaciones inevitablemente se ven obligadas a abordar el riesgo de cuatro maneras: mitigación, evitación, aceptación y transferencia. Este artículo trata sobre esta última vía, la transferencia de riesgos, específicamente la necesidad de un seguro cibernético. A medida que las infracciones se vuelven algo común (o inevitable), la necesidad de seguros ha crecido exponencialmente, al igual que las habilidades de las aseguradoras para evaluar riesgos y recomendar mejoras. Toda empresa debería considerar comprar un seguro cibernético.
5 minutos. LEER
Toda empresa debería considerar comprar un seguro cibernético. Te sorprenderá lo que puedes aprender del proceso.
Hace años, solicitar un seguro cibernético consistía en completar un único formulario, responder unas cuantas preguntas y certificar que su empresa cumplía determinados estándares. Ahora, el proceso es mucho más oneroso e intenso, pero también es mucho más educativo, no sólo para el suscriptor de seguros, sino para usted. Puede aprender mucho sobre los riesgos que enfrenta su negocio si se toma el tiempo para completar una aplicação de seguro cibernético.
Superar el proceso puede ayudar a exponer las debilidades y deficiencias de su estrategia.
Algunos riesgos son obvios para cualquiera que lea los titulares de hoy: las violaciones de datos, las interrupciones de negocios relacionadas con el ciberataque (DDoS) y la extorsión cibernética son las tres razones principales por las que las empresas exploran el seguro cibernético.
Pero también hay muchos riesgos no tan obvios. Por ejemplo, muchas empresas utilizan el seguro cibernético para compensar el riesgo de incumplimiento involuntario de las regulaciones. De hecho, evitar multas y sanciones regulatorias es una de las razones más populares por las que las empresas compran seguros cibernéticos. Incluso si cree que cumple con las regulaciones, el riesgo de no haber puesto los puntos sobre las íes o cruzado las t podría hacer que valga la pena pagar la prima del seguro cibernético. No es sorprendente que tres industrias que probablemente comprarán más seguros cibernéticos en el futuro también estén entre las más reguladas: los servicios profesionales, los servicios financieros y la atención de la salud.
¿Por qué son tan útiles las aplicações de seguros? Porque las aseguradoras también quieren verificar exactamente lo que usted necesita saber: que tiene una estrategia y un proceso sólidos establecidos para detectar ataques y limitar los daños. Superar el proceso de explicar las tecnologías, los procesos y las políticas de seguridad de su empresa puede ayudar a exponer debilidades y deficiencias en su estrategia. Es un desafío, pero uno del cual su empresa saldrá fortalecida.
Conozca su puntuación de seguridad
Las compañías de seguros utilizan cada vez más sistemas de puntuación de seguridad, como BitSight, SecurityScorecard e incluso FICO, que recientemente ha ampliado su propio sistema de puntuación para cubrir la seguridad. Estos servicios monitorean constantemente eventos visibles externamente (incluidos relés de spam, computadoras comprometidas dentro de la red de su empresa y puertos abiertos dentro del espacio de direcciones IP de su empresa) que dan una pista sobre si la red de su empresa ha sido violada.
$665 mil
El coste medio de una infracción entre 2013 y 2015. La pérdida promedio de datos fue de más de dos millones de registros.
Al igual que una calificación crediticia, estos servicios proporcionan una visión externa de un estado interno: en este caso, su postura de seguridad. Incluso pueden ayudar a detectar infracciones y brindar a la administración una indicación de cómo se compara su empresa con sus pares.
Descubra si está cubierto o no
Desafortunadamente, muchas empresas no comprenden completamente qué cubre su seguro. Así como los propietarios de viviendas pueden sorprenderse al enterarse de que su seguro no cubre inundaciones, las empresas pueden descubrir que un incidente queda fuera de la cobertura de su seguro cibernético.
Por ese motivo, considere realizar ejercicios de mesa que le permitan analizar diferentes escenarios de cobertura. Si su red se ve comprometida debido a fallas de seguridad de una aplicación de terceros, ¿su empresa está cubierta por la póliza de seguro en cuestión? ¿Qué sucedería si uno de sus empleados tomara una unidad flash en el estacionamiento de su empresa, la insertara en su computadora portátil y afectara su red, provocando que su sitio de comercio electrónico deje de funcionar? ¿Está cubierta la pérdida de ingresos?
Muchas aseguradoras intentan minimizar sus costos potenciales reduciendo los montos de cobertura o incluyendo excepciones en su cobertura. Es importante tener en cuenta esos límites al evaluar políticas y revisar escenarios.
Las empresas más pequeñas y los proveedores también necesitan cobertura
La violación promedio entre 2013 y 2015 consistió en una pérdida de más de dos millones de registros y tuvo un costo de $665,000, según el Estudio de reclamos cibernéticos de NetDiligence 2016 . El estudio encontró que la mayoría de las reclamaciones son realizadas por empresas con menos de 2 mil millones de dólares en ingresos.
Como muestran los números, las empresas de todos los tamaños sufren eventos cibernéticos y necesitan seguro cibernético, incluidas las organizaciones más pequeñas. Las grandes empresas deberían considerar exigir que sus proveedores también tengan cierto nivel de cobertura.
Por último, las empresas de todos los tamaños deben asegurarse de que sus deducibles no sean demasiado altos y de que comprendan qué factores se consideran al calcular los daños. Si su seguro no cubre un incidente porque está dentro de su deducible, la cobertura no vale nada.
Sara Boddy actualmente dirige F5 Labs, la división de informes de inteligencia de amenazas de F5 Networks. Llegó a F5 procedente de Demand Media, donde era vicepresidenta de seguridad de la información e inteligencia empresarial. Sara dirigió el equipo de seguridad de Demand Media durante 6 años. Antes de Demand Media, ocupó varios puestos de consultoría de seguridad de la información durante 11 años en Network Computing Architects y Conjungi Networks.