Las amenazas cibernéticas se
están convirtiendo en el riesgo comercial número uno para
organizaciones de todos los tamaños. Desde hackeos de sistema y
ataques DdoS, hasta de ransomwares, las noticias sobre ataques
cibernéticos son constantes. Si bien es cierto que hay menos
informes de ataques como el que sufrió Yahoo! en 2017, donde se
expuso la información personal de 3 mil millones de usuarios, ésta
no es una razón para bajar la guardia. Según McAfee, firma
especializada en seguridad informática, el impacto económico de
esta actividad ilícita en México es de tres mil millones de dólares
al año.
De este modo, necesitamos
tener bien claro a qué nos referimos cuando hablamos de riesgos
cibernéticos. De acuerdo con la consultoría Deloitte, son aquellos
delitos que involucran el fraude, el robo de información y dinero a
través de accesos digitales. En la mayoría de los casos, sus
consecuencias son:
Interrupción de
servicios.
Corrupción o destrucción
de datos.
Actividades de extorsión
donde solicitan dinero, acceso o secretos corporativos a las
víctimas.
Daño a la reputación de
la empresa.
Riesgos de privacidad para
los clientes y empleados de la empresa.
Es por esto que los gobiernos
están interviniendo para actualizar las políticas y estándares que
responsabilizan a más organizaciones. Por ejemplo, el Reglamento
General de Protección de Datos (GDPR) de la Unión Europea (UE), que
entró en vigencia en 2018, exige que las empresas se adhieran a
estándares específicos de gobernanza y responsabilidad en el
procesamiento y protección de datos relacionados con ciudadanos de
la UE. Esta nueva legislación también estipula que, en caso de
incumplimiento, las empresas deben informar a la autoridad
supervisora dentro de las 72 horas. El incumplimiento de estas
regulaciones podría resultar en multas de hasta $ 20 millones o el
4% de la facturación anual global de la compañía.
Si bien las organizaciones han
estado ocupadas tratando de comprender el impacto de estos nuevos
requisitos y poniendo en práctica los pasos necesarios para
cumplirlos, pocas tienen la certeza de estar protegidas contra
pérdidas en caso de ataques, violación de datos o incumplimiento no
intencional.
Qué es un seguro contra
riesgos cibernéticos
Las pólizas de seguros no son
nada nuevo para la mayoría de las organizaciones. Sin embargo, a
medida que los riesgos evolucionan hacia el ciberespacio, las pólizas
también lo hacen. Hoy en día, hay más de 100 compañías de
seguros en todo el mundo que ofrecen seguros contra riesgos
cibernéticos que ayudan a absorber los riesgos de los clientes
cuando ocurre un ataque. Hart Brown, experto en ciberseguridad de
Firestorm Solutions, empresa de gestión de crisis y riesgos, estima
que el valor del mercado global de las pólizas escritas contra
riesgos cibernéticos es de alrededor de USD$ 2.5 mil millones. Los
proveedores de seguros como Allianz predicen que esta cifra podría
alcanzar los USD$ 20 mil millones para 2025.
“El seguro contra riesgos
cibernéticos o de responsabilidad cibernética ayuda a mitigar el
riesgo y la incertidumbre. En el caso de un ciberataque, el seguro
dará tranquilidad a las empresas y garantizará que puedan acceder a
fondos para gestionar una respuesta y mantener el negocio en
funcionamiento”, comparte Philippe Verrier experto en
ciberseguridad de Genetec, empresa líder en soluciones de seguridad
unificada.
Para los integradores de
sistemas de seguridad, también existe la oportunidad de mejorar su
postura de seguridad cibernética y mostrar este seguro como prueba
para que sus clientes sepan que siguen estrictos protocolos de
ciberseguridad. Esto se debe a que, para ser elegible para la
política, el integrador debe demostrar que cumple con los estándares
y medidas de ciberseguridad avanzadas. Incluso cuando la política
está activa, si el integrador realiza un reclamo de seguro, deberá
demostrar que todas las mejores prácticas de ciberseguridad se
implementaron desde el inicio del proyecto, sino el cobro del seguro
podría ser negado.
Asumir la responsabilidad del
riesgo más allá del seguro
Dado que el seguro contra
riesgos cibernéticos es un producto nuevo, todavía hay muchas
incógnitas para las aseguradoras sobre cómo evaluar y calcular
adecuadamente los riesgos. Por lo general, el costo de la cobertura
implica completar un cuestionario estándar sobre las políticas de
TI, la jerarquía de la organización, el tamaño de la
infraestructura de TI y la naturaleza del negocio. En muchos casos,
los proveedores de seguros tienden a sobreestimar las consecuencias y
responsabilidades, manteniendo las primas altas.
Aun así, las empresas no
pueden confiarse de este seguro para salvarse de amenazas
cibernéticas inesperadas. El seguro solo ayuda a absorber los costos
en caso de un ataque. De este modo, es necesario que las empresas
continúen manteniendo los más altos estándares de ciberseguridad
que incluyen la implementación de varios niveles de defensa, como el
cifrado, la autenticación y la autorización. También se sugiere
incluir el empleo de varias herramientas para proteger mejor la
privacidad de los datos y la instalación adecuada de dispositivos
con contraseñas seguras.
“Las organizaciones deberían
tomarse el tiempo de examinar adecuadamente a sus proveedores y
seleccionar socios que prioricen la seguridad cibernética en el
desarrollo de sus productos”, señaló Philippe Verrier, quien es
también Gerente de Desarrollo de Negocios en Genetec; y además
comenta: “Deben estar al tanto de las actualizaciones y parches de
sus sistemas, para asegurarse de que están trabajando con versiones
que han solucionado las vulnerabilidades conocidas. También es
importante que tomen un papel más activo en la capacitación de sus
empleados, demostrando pautas generales que pueden ayudarlos a evitar
riesgos innecesarios”.
3 consideraciones clave al
comprar un seguro de responsabilidad cibernética
1. Identificar los riesgos:
dado que la seguridad cibernética puede abarcar muchas facetas,
también lo puede hacer el seguro de responsabilidad civil. Expertos
comentan que hay hasta 12 tipos diferentes de coberturas disponibles.
Por eso, es fundamental tener una comprensión clara de los riesgos
cibernéticos para los que la organización necesita protección.
Estos pueden incluir una variedad de riesgos informáticos y físicos,
que abarcan desde violaciones de datos hasta robo de activos
corporativos. Cuando una empresa es específica sobre las posibles
vulnerabilidades que necesita abordar, está en una mejor posición
para encontrar el seguro que satisfaga las necesidades de su
organización.
2. Conocer qué cubre la
póliza: el seguro contra riesgos cibernéticos no necesita ser
independiente. Las pólizas de seguro existentes podrían ser muy
complementarias a estas nuevas ciber-pólizas. Algunas empresas
pueden solicitar una combinación de estos productos para obtener una
cobertura adecuada. Es importante comprender cómo cada producto los
podría ayudar en caso de ser responsables de una violación de
datos. Los daños, resultado de la responsabilidad cibernética,
pueden ser difíciles de cuantificar y comprender. “Traducir los
riesgos cibernéticos en un modelo financiero es un paso clave para
garantizar una cobertura adecuada”, señala Philippe. “Lo
recomendable es buscar orientación de un corredor profesional o
experto en el campo que comprenda tanto el mundo de los negocios como
los riesgos de ciberseguridad”.
En México existen compañías
aseguradoras que cuentan con pólizas que cubren gastos de defensa e
indemnización, que abarcan costos relacionados a procedimientos
regulatorios y a la notificación a clientes o usuarios ante la
responsabilidad que se genera por el manejo y custodia de información
personal, corporativa y confidencial, así como por el incumplimiento
de regulaciones de privacidad o por fallas de seguridad en la red.
3. Conocer el proceso de
reclamos: Así como la cobertura, el proceso de reclamo es un aspecto
a tener en cuenta al comprar un seguro de responsabilidad
cibernética. En general, las empresas pueden esperar recibir una
compensación monetaria, lo cual es útil. Sin embargo, cada
proveedor de seguros tiene un proceso para verificar la autenticidad
del reclamo y un tiempo de respuesta para pagar los fondos. Si ocurre
una violación de datos, las organizaciones deben saber qué tan
rápido estará disponible el fondo. Adicionalmente, algunas
compañías de seguros brindan también acceso a servicios como
investigadores cibernéticos o relaciones públicas. Si bien una
empresa puede estar ocupada gestionando la respuesta a una violación
o ataque, la asistencia adicional durante este proceso es un
beneficio de gran valor.
¿Cómo saber si necesitas un
seguro contra riesgos cibernéticos?
“La presencia de amenazas de
ciberseguridad aumentará a medida que crece el Internet de las cosas
(IoT). Es por eso que todas las organizaciones, incluidos los
integradores de sistemas de seguridad, deben buscar un seguro de
responsabilidad cibernética, ya que el mayor beneficio es la
tranquilidad en caso de que ocurra una violación o ataque”,
asegura Philippe.
Es responsabilidad exclusiva
de cada organización o empresa garantizar que las mejores prácticas
de ciberseguridad se implementen en cada proyecto, desde la
instalación hasta el mantenimiento. Deben permanecer atentos y
contar con proveedores que brinden herramientas y asistencia para
identificar y mitigar rápidamente riesgos y mantener los sistemas de
seguridad libres de vulnerabilidades potenciales.
Para elaborar una estrategia
de ciberseguridad exitosa, es importante comprender contra qué debe
protegerse. “En sistemas de seguridad física en redes IP, las
soluciones de Genetec están diseñadas con varias capas de seguridad
y emplean tecnologías avanzadas de autenticación y encriptación,
esto ayuda a las empresas a comprender a los actores de la amenaza y
a evaluar los posibles riesgos de seguridad, a la vez que permiten
mitigar riesgos y desarrollar una estrategia de defensa para lograr
una mayor resiliencia cibernética”, concluyó el experto.
Información adicional:
• Lee nuestro artículo
“Escoger proveedores en los que puedas confiar”
• Q&A with cybersecurity
expert Hart Brown to discuss cyber liability insurance
• Thinking about cyber
insurance?
“El seguro contra riesgos
cibernéticos o de responsabilidad cibernética ayuda a mitigar el
riesgo y la incertidumbre. En el caso de un ciberataque, el seguro
dará tranquilidad a las empresas y garantizará que puedan acceder a
fondos para gestionar una respuesta y mantener el negocio en
funcionamiento”.
Philippe Verrier
Experto en ciberseguridad y
Gerente de Desarrollo de Negocios en Genetec
Acerca de Genetec
Desarrolla software de
plataforma abierta, hardware y servicios basados en la Nube para la
seguridad nacional, pública y privada. Su producto insignia, el
Security Center, unifica videovigilancia, control de acceso, y
reconocimiento de placas de matrícula (LPR) sobre redes IP en una
sola plataforma. Genetec Inc. es una empresa global innovadora que
desde 1997, tiene su sede en Montreal, Canadá, y proporciona sus
servicios a organizaciones empresariales y gubernamentales a través
de una red mundial de integradores de sistemas y consultores en más
de 80 países. Genetec Inc. fue fundada bajo el principio de ser
innovadora, y permanece a la vanguardia de tecnologías emergentes
que unifican sistemas de seguridad física. Para obtener más
información visitar www.genetec.com/es.
+++
No hay comentarios:
Publicar un comentario