El aumento de los costos de las filtraciones de datos, el ransomware y otros ataques cibernéticos conduce a un aumento de las primas de seguros cibernéticos y a una cobertura de seguros cibernéticos más limitada. Esta situación de seguro cibernético aumenta los riesgos para las organizaciones que luchan por encontrar cobertura o enfrentan aumentos pronunciados.
Alguno Akin Gump Strauss Hauer & Feld LLP Los clientes de bufetes de abogados, por ejemplo, informaron que las tarifas de los seguros se triplicaron, y las aseguradoras están haciendo «un gran retroceso» en los límites de cobertura en los últimos dos años. La codirectora de su práctica de seguridad cibernética, Michelle Reed, agrega: «El monto reducido de la cobertura ya no puede proteger a los asegurados de las pérdidas cibernéticas. Una póliza de $10 millones puede terminar con un límite de $150 000 para los fraudes cibernéticos».
La situación de los seguros cibernéticos es tan preocupante que el Departamento del Tesoro de EE. UU. emitió recientemente un solicitud de opinión pública sobre un posible programa federal de respuesta de seguros cibernéticos. Esta solicitud se suma a la evaluación dirigida conjuntamente por la Oficina Federal de Seguros (FIO) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional para determinar «la medida en que los riesgos para la infraestructura crítica de los incidentes cibernéticos catastróficos y los riesgos financieros potenciales las exposiciones justifican una respuesta del seguro federal».
Este es un resultado directo de la evolución de la naturaleza de los ataques cibernéticos que refleja la evolución de los entornos digitales y el efecto de facilitación de delitos con criptomonedas. Del lado de los ciberdelincuentes, los kits de malware de bricolaje y las plataformas de Malware-as-a-Service han eliminado la barrera de entrada del ciberdelito y han hecho que el lanzamiento de ataques complejos sea asequible para los aspirantes a delincuentes que carecen de conocimientos tecnológicos.
Cobertura de seguro cibernético utilizada para cubrir solo la interrupción del negocio, la recuperación de datos y los daños a la infraestructura. En la actualidad, también se espera que cubran los costos de extorsión cibernética, los riesgos de reputación, las multas por incumplimiento y los riesgos de responsabilidad de terceros, un campo en crecimiento a medida que la interconectividad entre organizaciones continúa expandiéndose.
Las herramientas clásicas de evaluación de primas de un suscriptor de seguros cibernéticos son la adherencia a la evaluación de las mejores prácticas y las pruebas de penetración. Sin embargo, los límites inherentes a estos enfoques son problemáticos en múltiples niveles.
- Límites de la evaluación basada en mejores prácticas:
- No todas las mejores prácticas son relevantes para todas las organizaciones.
- Incluso el cumplimiento de las mejores prácticas proporciona una protección limitada.
- Algunas prácticas recomendadas, como la aplicación de parches integrales, son inalcanzables. Incluso limitar la aplicación de parches a las vulnerabilidades con una puntuación CVSS superior a 9 no es realista. Del 20184 nuevas vulnerabilidades descubiertas en 20211165 obtuvo una puntuación superior a 9.
- Límites de las pruebas de penetración
- La validez de los resultados depende de la habilidad y las herramientas del probador.
- Carece de continuidad. Como prueba precisa, proporciona una instantánea de la organización en un momento único: el desarrollo ágil, las amenazas emergentes y la interconexión limitan la relevancia de por vida de las pruebas de penetración.
Las técnicas continuas de validación de la seguridad, como la simulación de infracciones y ataques, la gestión de la superficie de ataque y la evaluación de la exposición a amenazas, que optimizan los programas de seguridad, minimizan la exposición y brindan KPI cuantificados que se pueden monitorear a lo largo del tiempo, cambian las reglas del juego. Pasar de una perspectiva defensiva y reactiva de evaluar la exposición a amenazas de la parte asegurada implica pasar a evaluar los daños reales que causarían los ataques en toda la matriz de TTP de MITRE ATT&CK.
Cuando negociar con un suscriptor de seguros cibernéticosuna empresa que puede proporcionar evaluaciones cuantificadas y documentadas realizadas con tecnologías de validación de seguridad puede liderar la discusión demostrando cómo:
- Reduce los riesgos más allá de las mejores prácticas – Las evaluaciones integrales miden la postura de seguridad de la organización en función de su resistencia real a los ataques en lugar de una proyección teórica de la seguridad obtenida mediante el cumplimiento de las mejores prácticas.
- Cuantifica el riesgo – Las puntuaciones de riesgo cuantificadas basadas en el porcentaje de emulación de ataques detectados y prevenidos por la pila de herramientas defensivas proporcionan una evaluación instantánea de la eficacia real de la ciberdefensa. Las tecnologías avanzadas de validación de seguridad incluyen evaluaciones completas de la cadena de destrucción y capacidades de movimiento lateral que brindan una medida exacta de la extensión del daño potencial que lograría una violación exitosa.
- Previene la deriva de seguridad – Dado que la automatización de la simulación de ataques permite la reevaluación continua de la resiliencia en contexto, las brechas de seguridad resultantes de nuevas implementaciones o amenazas emergentes se marcan sin demora y se pueden abordar antes de poner en peligro la postura de seguridad.
- Abre nuevas vías de suscripción de seguros cibernéticos – La naturaleza continua de la validación de la seguridad se puede aprovechar para definir las fases posteriores a la vinculación de una política. Ofrecer una reevaluación continua o periódica de la salud de la postura de seguridad determinada por el puntaje de seguridad para medir la evolución de la postura de seguridad a lo largo del tiempo proporciona municiones de negociación válidas para la parte asegurada.
Un contrato de seguro podría incluir elementos tales como requisitos para corregir la variación de las líneas de base acordadas dentro de un marco de tiempo razonable, la obligación de compartir regularmente informes de evaluación generados automáticamente o un vínculo entre el alcance de la cobertura y el cumplimiento de la variación de la línea de base.
La validación de seguridad se está convirtiendo en una ruta de cumplimiento para la regulación de cumplimiento, como la reciente actualización de PCI DSS v4.0. La incorporación de la validación de la seguridad en los procesos de suscripción de seguros cibernéticos podría contribuir en gran medida a abordar la situación actual de los seguros cibernéticos y reforzar la resiliencia cibernética de las organizaciones que tendrían un incentivo adicional para implementar un enfoque tan proactivo en sus entornos.
Nota – Este artículo está escrito y contribuido por Andrew Barnett, director de estrategia de Cymulate.