Muchos CISO incluyen ahora un seguro ante ciberriesgos o seguro de ciberresponsabilidad en su estrategia de gestión de riesgos para la ciberseguridad. La cobertura de una póliza de ciberseguridad puede jugar un papel crucial en los esfuerzos de una organización para mitigar el impacto financiero y operativo de los incidentes de ciberseguridad. Según un reciente informe sobre ciberpreparación de Hiscox, aproximadamente el 41 % de las empresas en Estados Unidos y Europa han invertido en pólizas de ciberseguros.
¿Cómo ayuda la cobertura que ofrece una póliza de ciberseguridad? La recuperación para las empresas que, ante a una violación de datos o a un ataque de ransomware importante, solo cuenten con los mismos recursos exiguos de siempre será muy difícil. La cobertura de un ciberseguro alivia los costes de la corrección cuando se sufre un incidente de ciberseguridad, ya que incluye el pago de asistencia jurídica, investigaciones, notificación, y pagos o reembolsos a clientes.
Actualmente, muchos directivos de seguridad se plantean incluso más la importancia de los ciberseguros debido a la tendencia del teletrabajo y trabajo híbrido que sigue creciendo. Les preocupa la gran cantidad de información sensible y esencial de la empresa, como los datos de contacto de clientes y los números de tarjetas de crédito, que circula por Internet y que lógicamente incrementa el riesgo de ciberataques.
Las leyes y normativas de privacidad de los datos añaden presión a las empresas, y a las aseguradoras
Pero los riesgos para la seguridad del personal remoto o híbrido no son la única preocupación para los directivos de seguridad hoy día. En los últimos años, tanto los gobiernos como los órganos legisladores han aumentado la presión sobre las organizaciones para que mejoren la protección de la información personal de los empleados y asuman la responsabilidad en caso de incidente. La Asamblea Estatal de California incluso introdujo un proyecto de ley en febrero de 2020 para implantar la obligación de tener un ciberseguro en todas las empresas que contraten con la Administración y tengan acceso a información personal protegida.
Ante el creciente número de estrictas leyes que protegen la privacidad de los datos, como las que se indican a continuación, las aseguradoras se están centrando en las medidas para asegurar la ciberseguridad:
- Ley de privacidad de los datos y Notifiable Data Breach Scheme de Australia
- Estándar de Seguridad de datos para la industria de tarjetas de pago (PCI DSS), que es el estándar global en esta materia
- Ley Health Insurance Portability and Accountability Act (HIPAA) de Estados Unidos
- Reglamento General de Protección de Datos (RGPD) de la Unión Europea
La cobertura de un ciberseguro no reemplaza una estrategia de prevención robusta
Las ciberaseguradoras se ven obligadas a adaptar su enfoque de la cobertura ante ciberriesgos, ya que consideran que las pérdidas empiezan a ser insostenibles. Se sabe que estas compañías deniegan planes y reclamaciones o aumentan las primas cuando las organizaciones no pueden demostrar que han implementado controles de prevención. Sin embargo, es importante destacar que aplicar exclusivamente controles técnicos no basta para abordar muchos factores humanos y riesgos relacionados con los comportamientos, y en el panorama de amenazas actual priman las tácticas de ingeniería social.
Además, las empresas deben conocer la letra pequeña de sus pólizas de ciberseguridad. Podría ocurrir, por ejemplo, que si pierden dinero o datos debido a una estafa Business Email Compromise (BEC), su póliza no les cubra. Muchas pólizas no cubren lo que las aseguradoras consideran falsificaciones, fraude informático, ingeniería social, pago de rescates o transferencias fraudulentas de fondos.
Para informarse sobre las tendencias de la ciberseguridad actuales, descargue una copia del último “Informe El factor humano” de Proofpoint.