En el mundo de los proveedores y pólizas de seguros, el seguro cibernético es un campo bastante nuevo. Y muchos equipos de seguridad están tratando de entenderlo.
¿Qué es y lo necesitan? ¿Y con qué tiempo se dedicarán a investigar cómo integrar los ciberseguros en su estrategia?
Para los equipos de seguridad pequeños, esto es particularmente desafiante ya que se enfrentan a recursos limitados.
Por suerte, hay un nuevo libro electrónico dedicado a ayudar a los pequeños equipos de seguridad a comprender mejor las políticas de seguro cibernético y cómo pueden afectar las medidas de seguridad cibernética de una organización.
Fondo
En 1997, se lanzó la póliza de seguro de «Responsabilidad de seguridad de Internet» (ISL) en la convención de la Sociedad Internacional de Gestión de Seguros de Riesgos en Honolulu. Suscrito por AIG, el seguro ISL fue diseñado para proteger a los minoristas de comercio electrónico como Amazon que recopilaban datos confidenciales de los clientes y los almacenaban en redes internas. Se acredita como una de las primeras pólizas de seguro cibernético que se puso a disposición de las empresas.
Ahora, un cuarto de siglo después, el mercado de los seguros cibernéticos ha crecido exponencialmente y cubre una amplia gama de incidentes de ciberseguridad. Según la Asociación Nacional de Comisionados de Seguros (NAIC, por sus siglas en inglés), el mercado de seguros de ciberseguridad alcanzó los $4.100 millones el año pasado, un 29,1 % más que el año anterior. Los informes de la industria predicen que el mercado alcanzará los $ 11,4 mil millones para fines de este año, y casi se duplicará a $ 22,3 para 2025.
«El año pasado fue un claro recordatorio de que los piratas informáticos están girando, y están teniendo éxito, en el despliegue de nuevas estrategias de ataque», escribe John Farley, director gerente de Gallagher, una consultora de seguros global. «Hubo una amplia variedad de víctimas que iban desde proveedores de software globales, plataformas de correo electrónico, el mayor proveedor de carne de EE. UU. y proveedores de combustible que proporciona casi la mitad del combustible a la costa este de EE. UU. terrenos de caza fértiles».
Las organizaciones con incluso los equipos de seguridad cibernética más pequeños ahora buscan seguros cibernéticos para proteger sus negocios de los ataques cibernéticos.
Pero invertir en un seguro cibernético no es tan fácil como agregar una nueva póliza de seguro.
¿Qué es un ciberseguro?
El seguro cibernético, también conocido como seguro de responsabilidad civil cibernética o seguro de violación de datos, puede ayudar a mitigar los costos de los ataques cibernéticos, un gasto que está creciendo a un ritmo alarmante. Si bien aún no es un gasto obligatorio, el seguro cibernético está ascendiendo rápidamente a la cima de las listas de prioridades para muchas organizaciones que administran grandes cantidades de datos.
Debido a que un ataque de seguridad cibernética puede costarle a una empresa millones de dólares (IBM informa que el costo promedio de una violación de datos alcanzó los $ 4,35 millones en 2022), las empresas que no invierten en seguros cibernéticos están poniendo en riesgo toda su empresa. Una póliza de seguro cibernético no detiene un ataque cibernético, pero puede evitar que destruya por completo una empresa.
¿Qué cubre el ciberseguro?
Al igual que con cualquier póliza de seguro, existen diferentes formas de seguro cibernético que cubren varias amenazas de seguridad cibernética. El mercado varía ampliamente, con políticas a menudo determinadas por los proveedores de seguros, pero las principales formas de seguro cibernético incluyen:
- Pólizas de sistemas de seguridad de red que cubren el costo de abogados, servicios forenses de TI, restauración de datos, notificaciones y comunicaciones de violaciones, y más cuando ocurre una violación de datos, una infección de malware o un incidente de ransomware.
- Pólizas de responsabilidad de privacidad que cubren cualquier costo relacionado con una violación de datos que expone información de identificación personal (PII), es decir, demandas, violaciones de cumplimiento, gestión de riesgos de reputación, etc.
- Políticas de interrupción del negocio de la red que permiten que una empresa cubra los costos relacionados con la pérdida de datos o cualquier pérdida financiera incurrida por una interrupción en los servicios.
- Políticas de errores y omisiones que son similares a las políticas de interrupción del negocio de la red, que cubren los ataques cibernéticos que ponen en peligro la capacidad de una empresa para brindar servicios o cumplir con las obligaciones contractuales.
- Pólizas de responsabilidad de los medios que cubren cualquier pérdida que resulte de denuncias de difamación, difamación, menosprecio o infracción de copia.
Esta no es una lista completa de pólizas de seguro cibernético. Los términos y condiciones específicos dependen de los proveedores de seguros, y las reclamaciones a menudo se disputan, ya que puede ser difícil definir un ataque cibernético que involucre formas sofisticadas de delitos cibernéticos o esquemas de ingeniería social que son difíciles de identificar.
¿Cómo impactan los esfuerzos de seguridad cibernética existentes en las pólizas de seguro cibernético?
Antes de obtener una póliza de seguro cibernético, las empresas deben ser aprobadas para la cobertura. Para proteger sus propios costos, los proveedores de seguros a menudo hacen que el seguro cibernético dependa de una serie de medidas específicas de ciberseguridad.
Estas contingencias generalmente incluyen los esfuerzos de seguridad cibernética de una empresa, como asegurarse de que una organización tenga políticas de seguridad escritas, use autenticación multifactor (MFA) y cifre sus datos. A menudo, los proveedores de seguros cibernéticos dictan qué herramientas de ciberseguridad debe implementar una empresa e incluso los proveedores de seguridad con los que la empresa elige asociarse.
Tales reglas establecidas por el proveedor de seguros cibernéticos impactan directamente en los esfuerzos de seguridad cibernética de una organización y pueden crear fricciones entre los equipos de seguridad cibernética y los líderes empresariales que compran la póliza de seguros cibernéticos. El mejor camino para reducir esta fricción es asegurarse de que el equipo de seguridad cibernética esté a bordo con el proceso desde el principio y se involucre en las decisiones clave que impactan la estrategia de seguridad cibernética del negocio.
Los líderes del equipo de seguridad cibernética deben comprender las políticas de seguro cibernético y ser capaces de evaluar si una táctica requerida por un proveedor de seguros debilita o fortalece las protecciones de seguridad cibernética existentes de la empresa.
Si su organización actualmente está evaluando pólizas de seguro cibernético, descargue Cynet’s guía de seguros para comprender mejor lo que está en juego, tanto para su equipo de ciberseguridad como para su negocio en general.
Descargue la Guía de seguros cibernéticos del equipo de seguridad pequeño de Cynet.