La privacidad supera al ransomware como principal preocupación en materia de seguros

Mientras los directores corporativos y los equipos de seguridad se esfuerzan por garantizar que cumplen con las nuevas regulaciones de ciberseguridad de la Comisión de Bolsa y Valores (SEC), las reclamaciones por el mal manejo de la información de identificación personal (PII) protegida podrían rivalizar con el costo de los ataques de ransomware, advierte David Anderson, vicepresidente de ciberseguridad. responsabilidad civil en Woodruff Sawyer, una correduría de seguros nacional.

Si bien los reclamos de privacidad tardan años en llegar a través del proceso legal, “las pérdidas son generalmente tan catastróficas en el transcurso de tres a cinco años como lo es un reclamo de ransomware en el transcurso de tres a cinco días”, dice.

En un presentación centrada en las tendencias de litigios para 2024, Dan Burke, vicepresidente senior y líder nacional de prácticas cibernéticas de Woodruff Sawyer, señaló: "Las reclamaciones de seguimiento de píxeles son el último objetivo de la barra de demandantes: persiguen a las empresas que rastrean la actividad de los sitios web a través de píxeles en la pantalla sin obtener el consentimiento adecuado".

Actividades como esa podrían ser la razón por la que el 31% de los aseguradores cibernéticos en una encuesta de Woodruff Sawyer eligieron la privacidad como su principal preocupación para 2024, solo superada por el ransomware, elegido por el 63% de los encuestados.

La privacidad es una cuestión empresarial

James Tuplin, vicepresidente senior y director cibernético internacional de Mosaic Insurance, está de acuerdo en que los aseguradores observarán mucho más de cerca las tendencias de privacidad este año. A menudo se necesitan de cinco a siete años para que los litigios sobre privacidad lleguen a los tribunales, confirma, lo que significa que en 2024 veremos la culminación de los casos de privacidad presentados entre 2017 y 2019, antes de que muchos países y estados de EE. UU. comenzaran a aprobar nuevas leyes de privacidad. Por ejemplo, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea entró en vigor en 2018, por lo que estos casos representan violaciones iniciales del RGPD.

Para la aseguradora, sin embargo, el pago por reclamos de privacidad puede no ser tan grande porque los “aseguradores tienen mucho tiempo para jugar con su capital mientras esas pérdidas se acumulan hasta su resolución final”, explica Anderson. Esto se debe a que las aseguradoras retienen el interés de mantener los fondos en custodia mientras las reclamaciones se resuelven a través de negociaciones y litigios.

Si bien las juntas directivas generalmente cuentan con asesores capacitados en materia de privacidad, las juntas todavía tienden a pensar que las cuestiones de privacidad son una cuestión de TI más que una cuestión de negocios, dice Tuplin. Algunos reguladores, incluida la SEC, están poniendo Los CISO en la mira de regulaciones a pesar de que no controlan los presupuestos ni tienen la autoridad para resolver todos los problemas de ciberseguridad, añade.

Seguimiento de las leyes de privacidad

Una de las razones por las que la privacidad se ha vuelto un desafío para las juntas directivas y los equipos de seguridad es que, en muchos casos, las organizaciones no saben qué tipo de datos están recopilando y dónde residen, señala Sherri Davidoff, fundadora y directora ejecutiva de LMG Security. Las empresas tienden a acaparar datos como un activo en lugar de considerarlo como un material peligroso, afirma.

"Es como los desechos nucleares", dice. "Cuantos más datos tenga, más riesgo tendrá".

Las empresas deben hacer un mejor trabajo a la hora de eliminar datos (PII, en particular) que podrían desencadenar una violación regulatoria o legal en caso de que los datos caigan en las manos equivocadas. Si bien los expertos en seguridad han estado diciéndole a las empresas durante años Como necesitan saber qué datos tienen y dónde están ubicados, muchas empresas, incluidas aquellas sujetas a una estricta supervisión regulatoria, a menudo hacen un mal trabajo al clasificar e identificar las ubicaciones de todos sus datos, dice.

Otro desafío importante que enfrentan muchas empresas es que no cumplen con todas las leyes de privacidad y requisitos regulatorios de los datos que poseen. Entendiendo el Panorama de la ley de privacidad de datos de EE. UU. Es bastante difícil, pero se vuelve más desafiante si se considera que casi cada estado tiene leyes únicas que se ocupa específicamente de los registros sanitarios y los datos de los niños. Además, las organizaciones que tienen PII sobre ciudadanos de la Unión Europea también deben cumplir con la GDPR. Las empresas que hacen negocios en otros países necesitan contar con un asesor legal que investigue las leyes de cada país donde una empresa hace negocios para asegurarse de que cumplan con esas leyes de privacidad.

Pequeño error = gran pérdida

Muchas empresas piensan que si cumplen con las diversas regulaciones de cumplimiento, se adhieren a las leyes estatales y tienen un seguro cibernético, entonces todo está listo.
“De hecho, eso no es suficiente”, dice Michelle Schaap, quien dirige la práctica de privacidad y seguridad de datos en el bufete de abogados Chiesa Shahinian & Giantomasi (CSG Law). "Si bien podría ser suficiente para proteger contra una demanda de un consumidor o una acción legal por parte de los fiscales generales u otra agencia de aplicación de la ley contra la entidad comprometida, existen otras consideraciones".

Lo que podría parecer una infracción menor, como no cumplir completamente con una política de privacidad publicada, podría generar múltiples multas por infracción regulatoria.

"Es una práctica comercial engañosa", dice Schaap. “Si dices que estás haciendo X y, de hecho, no lo estás haciendo, ese se convierte en el primer cargo en el reclamo de la FTC. Cada estado tiene sus propias leyes de la FTC o leyes de protección al consumidor”.

Otro ejemplo de lo que podría parecer una infracción menor que los equipos de seguridad corporativa podrían pasar por alto pero que podría generar una infracción legal o de cumplimiento es una simple solicitud de exclusión voluntaria. Cuando un consumidor solicita que una empresa sea eliminada de una lista de correo, la solicitud debe cubrir todas las direcciones de correo electrónico que utiliza el solicitante para cumplir con todas las leyes estatales. Por lo tanto, incluso si una empresa dice que cumple con la ley, es posible que no la cumpla en todos los estados en los que opera. Manifestar erróneamente su cumplimiento de las leyes de privacidad podría provocar la denegación de una reclamación de seguro.

Para llenar algunos de estos agujeros de cumplimiento que tal vez ni siquiera conozcan, Schaap recomienda que las empresas aprovechen cualquier ayuda que les brinde su aseguradora cibernética, como ejercicios de seguridad y otros ejercicios, para mantenerse en el lado correcto de las regulaciones y mantener sus pólizas en buen estado. lugar.

Esto no es sólo teórico. En 2022, una empresa indicó erróneamente el uso de autenticación multifactor en su solicitud de seguro cuestionario. La compañía de seguros cibernéticos, Travelers, demandó a la empresa y finalmente mantuvo las primas que la empresa pagó a pesar de cancelar la póliza de seguro cibernético y denegar el reclamo.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance