Ciberseguro 101: ¿qué es y mi empresa lo necesita?

Seguridad negocio

Si bien no es una "tarjeta para salir de la cárcel gratis" para su negocio, el seguro cibernético puede ayudar a protegerlo del impacto financiero de un incidente cibernético.

Phil Muncaster

Junio ​​13 2023  •  , 4 minuto. leer

El riesgo cibernético está en aumento como el impacto combinado de los crecientes niveles de amenazas, Expansión de las superficies de ataque y escasez de habilidades de seguridad están poniendo a las organizaciones en desventaja. Enfrentados a una mayor probabilidad de que puedan sufrir una violación de seguridad dañina, muchos pueden estar buscando transferir la responsabilidad a un proveedor externo. Pero aquellos que creen que simplemente pueden usar el seguro cibernético como un reemplazo de las inversiones en las mejores prácticas de seguridad cibernética pueden estar equivocados. De hecho, estos últimos son cada vez más un requisito previo para la cobertura.

Entonces, si el seguro cibernético no es una tarjeta para "salir de la cárcel gratis" para las empresas, ¿para qué sirve?

¿Qué es el seguro cibernético?

En un nivel muy básico, el seguro cibernético ayuda a proteger a las empresas de todos los tamaños del impacto financiero de incidentes graves, como filtraciones y filtraciones de datos. Dependiendo de la política, podría proporcionar:

• Acceso a evaluaciones previas a la infracción, proveedores examinados e información para ayudar a mejorar la resiliencia antes de un incidente
• Asistencia con notificación posterior a la infracción, investigación forense, servicios legales y experiencia en gestión de crisis
• Apoyo financiero para los costos legales y reclamos por daños contra su empresa
• Cobertura de los costos incurridos para mantener el negocio operativo y restaurar los datos, así como la pérdida de ingresos

Las pólizas pueden variar mucho, pero hay dos tipos principales de cobertura:

• Cobertura de primera persona: Relacionado con el impacto directo en su negocio de un incidente cibernético. Esto incluye el costo del software perdido o dañado, facturas legales, análisis forense, notificación al cliente, robo de dinero, etc.
• Cobertura de terceros: Esto se relaciona con reclamos presentados por otros contra su empresa por pérdidas que han experimentado debido a un incidente cibernético. Esto incluye cosas como acuerdos legales con clientes, honorarios de abogados y contadores, etc.

Es importante tener en cuenta que es posible que su póliza no cubra los ataques cibernéticos a su empresa evaluados como "actos de guerra". Lloyd's de Londres dio el paso polémico para obligar a sus aseguradoras a insertar una cláusula de exclusión de guerra cibernética, a fin de reducir la responsabilidad de los transportistas por ataques patrocinados por el estado. Sin embargo, probar que un actor de amenazas estaba llevando a cabo un acto de guerra podría ser extremadamente desafiante.

¿Por qué necesito un seguro cibernético?

La mayoría de las empresas no tendrán dudas sobre por qué los seguros cibernéticos se predice que será una industria de US$64 mil millones para 2029. Una combinación de amenazas cibernéticas crecientes y costos asociados, además de un escrutinio cada vez mayor por parte de los reguladores, está obligando a las empresas a encontrar formas comprobadas de mitigar su exposición al riesgo.

El paso al trabajo híbrido, combinado con inversiones digitales y en la nube durante la pandemia, ha ayudado a impulsar la productividad y procesos comerciales más ágiles, pero también aumentó la superficie de ciberataque. Los puntos finales de trabajo en el hogar sin parches, los sistemas en la nube mal configurados y las amenazas transmitidas por dispositivos móviles son solo la punta del iceberg. Un informe de 2022 afirma que (79 %) de las organizaciones sienten que los cambios recientes en las prácticas laborales han tenido un impacto negativo en la ciberseguridad de su organización. En otro, El 43% de las organizaciones globales están de acuerdo en que la superficie de sus ataques está “fuera de control”. La superficie de ataque también se extiende a cadenas de suministro complejas y empleados potencialmente negligentes. Se estima que el 98% de las empresas globales sufrieron una brecha a través de sus proveedores en 2021, por ejemplo.

Como resultado:

• Estados Unidos sufrió un número casi récord de violaciones de datos reportadas públicamente en 2022
• Dos quintas partes del Reino Unido organizaciones encuestadas en 2022 informó haber sufrido una brecha de seguridad en los últimos 12 meses
• Más de una cuarta parte (27 %) de los líderes tecnológicos y empresariales del Reino Unido esperar los ataques de compromiso de correo electrónico comercial (BEC) y de "piratería y fuga" aumentarán en 2023, y el 24% dice lo mismo sobre el ransomware

No solo son más probables los incidentes de seguridad graves en la actualidad. También les están costando más a las víctimas. En 2021, el costo de los incidentes de ciberdelincuencia informados al FBI alcanzó los 6.9 millones de dólares. Un año más tarde, el total alcanzó los 10.3 millones de dólares, un aumento del 49 %. Eso hace que el total de los cinco años hasta 2022 sea asombroso $ 27.6 mil millones.

¿Cómo califico para la cobertura?

El mercado de los seguros cibernéticos ha experimentado un cambio dramático en los últimos años. Un aumento en las infracciones de ransomware y las reclamaciones posteriores durante la pandemia llevaron a algunos a culpar al sector por alentar indirectamente a los actores de amenazas a lanzar ataques. Las pérdidas sufridas por muchos transportistas dieron lugar a medidas correctivas, una aumento significante en tarifas premium y cobertura reducida. Afortunadamente, los precios ahora se estan estabilizando por lo que las pólizas vuelven a ser asequibles.

Parte de esto se debe a políticas más granulares que exigen más de los posibles clientes. De esta manera, podemos ver la evolución del papel del seguro cibernético: de prestamista de último recurso a socio de seguridad que incentiva el buen comportamiento. En resumen, al exigir a las empresas que implementen controles de seguridad de mejores prácticas y medidas de higiene cibernética, las aseguradoras pueden impulsar mejoras básicas en la gestión del riesgo cibernético.

Dependiendo de la política, estas medidas podrían incluir:

¿Qué ocurre después?

Pymes y grandes empresas aún clasifican los incidentes cibernéticos como su amenaza número uno. A medida que aumentan los costos, se convertirán en cantidades cada vez mayores en seguros cibernéticos. Eso, a su vez, debería impulsar una mayor seguridad, un menor riesgo y una cobertura más asequible. Pero aún queda camino por recorrer: alrededor de la mitad (48%) de las pymes aún no tienen cobertura, frente al 16% de las grandes organizaciones, según la Foro Económico Mundial (FEM). Para optimizar su uso del seguro en el futuro, leer la letra pequeña de la póliza será más importante que nunca.

Para obtener más información sobre el seguro cibernético para empresas, este manual de ESET tiene cubierto