Llegamos a ustedes gracias a:



Reportajes y análisis

Implementar un programa de seguro cibernético exitoso

Pasos y consideraciones clave

[27/09/2019] A medida que las incursiones de seguridad de TI aumentan rápidamente, más organizaciones públicas y privadas están obteniendo pólizas de seguro cibernético para mitigar el impacto de las brechas, que se están convirtiendo más en un "cuándo" que en un "si". Según el informe de AM Best sobre el segmento de mercado, las primas directas emitidas por las aseguradoras cibernéticas han aumentado de 996 millones de dólares en 2015 a 2.000 millones de dólares en 2018, lo que supone un aumento del doble.

De hecho, el seguro cibernético -también conocido como seguro de responsabilidad civil cibernética o seguro de riesgo cibernético- se ha vuelto más popular a medida que las organizaciones grandes y pequeñas se han visto afectadas por una creciente ola de robos de datos, ataques con programas de rescate y otras incursiones de diversa índole. El seguro cibernético se ha convertido en un tema tan candente que la conferencia de ciberseguridad Black Hat del mes pasado en Las Vegas dedicó una "microcumbre" de tres horas y media al tema. Los oradores de la cumbre discutieron cómo implementar un programa exitoso de seguro cibernético, e integrarlo con el programa de gestión de riesgos de una organización, cómo hacer reclamos y qué controles de seguridad pueden ayudar.

"La comunidad de la ciberseguridad está reconociendo más el lado de la gestión de riesgos de este [tema]", señala Matt Prevost, gerente nacional de línea de productos para los productos cibernéticos de Chubb, en su discurso en la cumbre de Black Hat. "Así que, es realmente esa función de gestión de riesgos empresariales la que está empezando a resonar en la comunidad de la ciberseguridad".

Los puntos de vista sobre el ciber seguro están cambiando

En los últimos dos años, la visibilidad dentro de las organizaciones ha mejorado y ahora las organizaciones entienden más claramente que la ciberseguridad y la gestión de riesgos son mucho más que "un problema tecnológico dentro de las grandes y pequeñas empresas", añade Prevost en una entrevista.

PwC estima que solo tres de cada diez compañías tienen cobertura de seguro contra ciber riesgos. Sin embargo, en su reciente informe Insurance 2020 & beyond: Cosechando los dividendos de la resiliencia cibernética, PwC pronosticó que las primas brutas anuales alcanzarán los 7.500 millones de dólares para finales de la década.

Jeffrey Smith, socio gerente de Cyber Risk Underwriters (CRU), otro presentador en la cumbre de Black Hat, está viendo una tasa cercana de hasta el 60% (dependiendo de la industria y el tamaño de la organización) entre las pequeñas y medianas empresas (PYMES) para las cuales CRU escribe pólizas de ciber seguros. "Al igual que en el mercado de la seguridad de la información, los primeros productos no siempre fueron muy buenos", comentó Smith en su discurso. "A medida que las amenazas han evolucionado, la cobertura también ha evolucionado". Las compañías en industrias altamente reguladas como la salud, los servicios financieros, el derecho y los bienes raíces, han sido las más ansiosas por adoptar el seguro cibernético, dada la cantidad de costos de cumplimiento que soportan en caso de incumplimiento, agregó Smith en una entrevista.

Su colega orador y evangelista de gestión de riesgos, Jake Kouns, admitió que durante muchos años "el ciber seguro no se consideraba muy sexy... y que el mercado cibernético en sí mismo era inmaduro". Ahora, "Se habla mucho más de seguros", anota Kouns, CISO para Risk Based Security, una consultoría de ciberriesgos que ha informado al Departamento de Seguridad Nacional y al Pentágono sobre temas relacionados con los seguros cibernéticos.

[Pólizas contra el ciber riesgo: La oferta de Marsh Rehder y Asociados]

Integración de los ciber seguros con la gestión de riesgos

Instituir una póliza de ciber seguro implica más que hablar, especialmente si una organización quiere obtener el mejor trato financiero, asegurarse de que su póliza cubra las áreas de riesgo real de seguridad, y hacer que su seguro cibernético apoye su plan de seguridad general. Por ejemplo, al pasar por el proceso inicial de suscripción que las aseguradoras utilizan para determinar los parámetros de las pólizas, las organizaciones pueden aprender mucho sobre cómo mitigar el riesgo potencial, e integrar sus pólizas con su programa de gestión de riesgos, según Prevost.

Este proceso puede variar desde que la aseguradora hace cuatro o cinco preguntas a una organización muy pequeña, hasta pasar tres días dentro del negocio de un cliente potencial más grande. "Las grandes organizaciones y las organizaciones pequeñas necesitan el inquisitivo proceso de suscripción para empezar a cuestionar sus suposiciones sobre ciberseguridad", añade Prevost.

En muchos, si no en la mayoría de los casos, el fortalecimiento de la posición de riesgo de una empresa y la reducción de sus primas, tienen mucho menos que ver con la implementación de una tecnología específica y más con la forma en que la empresa maneja estratégicamente la gestión de riesgos y la forma en que los distintos departamentos colaboran, desde la seguridad de TI hasta la oficina de finanzas, pasando por la oficina de finanzas e incluso la C-suite. Las aseguradoras querrán ver un plan de respuesta a incidentes completo para lo que cada parte interesada o unidad hará en el caso de un incidente de rescate o un fraude electrónico del director ejecutivo o una violación masiva de datos. Ser capaz de mostrar que la organización realiza regularmente ejercicios de simulación, por ejemplo, mitiga el riesgo y muestra su preparación a una aseguradora. Para apoyar aún más su preparación, las organizaciones quieren ser conscientes no solo del "impacto monetario, sino también del hecho de que cada día se recuperan del propio evento", indica Prevost.

Compartir información y experiencias entre empresas afines también puede ayudar a las empresas más grandes a prepararse mejor para un proceso de suscripción y obtener mejores condiciones en materia de seguros. Una mayor comprensión de la gestión de riesgos y el desarrollo de estrategias puede ayudarles a construir un programa más fuerte.

Educar a las pequeñas organizaciones sobre la gestión de riesgos

Smith, que normalmente suscribe a las PYME, comentó que los agentes del mercado medio a menudo no "entienden la cobertura cibernética", y a veces la propia empresa asegurada no tiene un CISO a tiempo completo. Por lo tanto, puede haber una gran variación en la sofisticación del riesgo relativo de la empresa en cuestión. "Hemos escrito [políticas] para las prácticas de los médicos pequeños que utilizan un firewall y servicios en la nube", anota Smith. En el caso de las organizaciones más pequeñas, que pueden no tener mucho de un grupo interno de seguridad de TI, los suscriptores y las aseguradoras se están esforzando cada vez más por educar a los asegurados sobre cómo mejorar su gestión de riesgos.

En un esfuerzo por ampliar los factores conocidos que impulsan las primas y pólizas de los seguros cibernéticos, "la industria de los seguros cibernéticos está comenzando a compartir mucha más visibilidad de las reclamaciones y de lo que salió mal para ayudar a las organizaciones que aún no entienden esto a entender realmente lo que está sucediendo", añadió Prevost. Chubb ha creado un "Índice Cibernético" con este fin.

El Índice Cibernético de Chubb es un conjunto gratuito de datos de propiedad exclusiva en tiempo real sobre las actuales amenazas cibernéticas, que Chubb ha seleccionado en los últimos 20 años, y que la aseguradora ha ofrecido cobertura cibernética. Los usuarios pueden ver las reclamaciones en línea por industria, ingresos de la empresa o fecha; ver qué porcentaje de incidentes proceden de actores o socios internos o externos; y ver qué activos de la empresa se vieron afectados por estas infracciones en la última década. Al revisar estos datos, las organizaciones pueden manejar mejor no solo dónde necesitan más cobertura, sino también dónde podrían necesitar apuntalar las brechas potenciales en su propia gestión de riesgos.

Entender el proceso de suscripción de los ciber seguros

Los proveedores de seguros cibernéticos pueden influir en las políticas y procedimientos de seguridad de sus asegurados corporativos para mejor, ofreciendo mejores condiciones o primas más bajas para las organizaciones que pueden mitigar su riesgo no solo a través de la tecnología, sino también a través de la educación de los empleados, la colaboración en equipo y otras medidas positivas de gestión de riesgos. Como señalaron los expertos de la industria, el proceso de suscripción en sí mismo tiende a proporcionar un circuito de retroalimentación en el que las empresas pueden aprender más sobre las formas de mejorar su gestión de riesgos, e incluso sobre el riesgo que corren.

Las organizaciones que buscan cobertura cibernética deben poder demostrar a sí mismas y a su aseguradora que están haciendo todo lo que pueden para evitar incidentes, o que no solo enfrentan primas potencialmente más altas, sino que también pueden encontrar ciertas áreas importantes excluidas. Por ejemplo, algunas pólizas pueden excluir la cobertura de pérdidas monetarias si una empresa no toma las llamadas medidas "razonables" para mantener la seguridad, o más específicamente si no encripta los datos móviles.

Además, como señala Prevost, los asegurados no obtendrán el mejor trato o la mejor cobertura para su organización, si no son informados durante la suscripción de sus sistemas y posibles responsabilidades, lo que a su vez puede dar lugar a exclusiones en caso de siniestro. "Hemos tenido algunos clientes que son extremadamente reacios a proporcionar cualquier información sobre cualquier tecnología que utilicen fuera de sus paredes", señala. "Hay un elemento en el que algunos clientes se niegan a responder a cualquier pregunta, y que hace que el proceso de suscripción sea extremadamente difícil, si no imposible".

"Hay empresas de alto riesgo [que] podrían no reconocer que son realmente empresas de alto riesgo", anota Prevost. "Y ahí es donde surgen las preguntas de suscripción y un proceso de suscripción extremadamente intenso...... Los riesgos muy difíciles deben ser cuidadosamente suscritos".

Karen Epper Hoffman, CSO (EE.UU.)