¿Qué tan conscientes somos respecto a nuestra vulnerabilidad frente al riesgo cibernético?
Los aseguradores necesitan entender el contexto, el nivel de riesgo y su manejo no solo en la compañía a asegurar pero también, en la región y el país donde se encuentran.
Hace unos meses estuve en el evento “Insight To Markets Day” para Finex LatAm en Londres, y uno de los temas que abarcamos fue la siniestralidad en las regiones.
Por mi experiencia, las reclamaciones que más están afectando al mercado para poder asegurar son 100% por interrupciones de los servicios de las empresas debido a ataques de ransomware, que están costando alrededor de USD 4.5M sin contar los gastos forenses, ni el pago de la extorsión.
El ciberespacio es nuestra nueva realidad, la interconexión, la dependencia que tenemos a ella y la transformación digital que evoluciona cada día más. Este contexto nos tiene frente a una economía digital en donde la principal moneda son los datos, la información y en donde los riesgos son cada vez mayores y en consecuencia, los cibercriminales se han vuelto mucho más creativos y eficientes en sus ataques, por ejemplo, atacando uno de los puntos mas débiles en las empresas:
la cadena de suministro.
Este tipo de ataque a las cadenas de suministro vienen tomando mucha fuerza en los últimos años ya que, a los cibercriminales, les ahorra tiempo, esfuerzos y recursos, garantizándoles víctimas exponenciales con un solo ataque.
Es por esto que es muy importante que seamos conscientes de cuán vulnerables somos frente al riesgo cibernético.
Con la pandemia, la siniestralidad en el mercado asegurador de cyber se disparó, no solo en frecuencia sino también en severidad; hubo un cambio en el “modus operandi”.
Respecto a los ataques, las noticias no hablaron más de las brechas de información y cuántos datos se habían robado. Fueron más allá, ahora con ataques en la cadena de suministro, a proveedores de servicios, a la infraestructura crítica donde el lucro cesante/ la interrupción de negocio se convirtió en actor principal. Con el ransomware y los ataques en la cadena de suministro como el método de ataque preferido, el riesgo de agregación la posibilidad de un riesgo sistémico, donde múltiples asegurados se vieran afectados, se volvió una posibilidad latente que poco a poco empezó a afectar los portafolios de compañías líderes, reconocidas por brindar este tipo de seguro.
Esto ha llevado a que muchas compañías de seguros se replanteen hoy su apetito por el riesgo y a ajustar las tasas. Nos vimos de repente en un mercado que estaba ajustándose, que se había puesto el cinturón, donde muchas compañías tuvieron que revisar la rentabilidad de sus portafolios y por ende sus políticas de suscripción.
Los nuevos vectores que surgen a raíz de la economía digital implican que el mercado deba ser mucho mas técnico en su suscripción, lo que implica un cambio en el proceso de suscripción de las compañías, generando un caos en muchas renovaciones y procesos de transferencia por primera vez, donde las exigencias de madurez del riesgo cambiaron radicalmente al punto que muchos riesgos que incluso ya tenían pólizas, se consideraron no asegurables y estas noticias les llegaban muy cerca a sus renovaciones sin mucho margen de acción.
A esto se suma la recurrente presión de los gobiernos frente a la mala prensa donde erróneamente se pensaba que el seguro de cyber estaba ayudando a que los ataques se incrementaran.
Y es que la lucha contra la cibercriminalidad depende de cada uno de nosotros, tenemos un compromiso para aumentar la madurez cibernética, “la higiene” en este ciberespacio en el que convivimos.
Medidas de ciberseguridad que deben implementar las empresas antes de buscar un seguro cibernético.
¿Considera usted tener una estrategia de cyberresiliencia robusta e informada?
Esto es lo que analizamos las aseguradoras a la hora de cubrir a una empresa.
Tenga en cuenta que si su organización no cumple con alguna de estas características, difícilmente podrá ser asegurada:
1. Detección y Respuesta de Endpoint (EDR): Implementado en todos los servidores donde sea posible.
2. MFA: Implementado y requerido para tofos los accesos remotos, así como todas las conexiones a Office 365.
3. Procedimientos de Backup: Copia de seguridad sin conexión o solución de copia de seguridad alternativa que hace imposible eliminar las copias de seguridad existentes.
4. Entrenamiento y Capacitación a Empleados: Una forma de capacitación y/o campaña de sensibilización dirigida a todos
los usuarios de TI y en general a todos los empleados, al menos una vez al año.
5. Segregación entre Ambientes IT y OT: Separación de ambientes, que el OT no esté conectado a la red y/o pueda
accederse por medio de las redes informáticas.
6. Tener un SOC: Monitoreo de la red.
7. Contar con un BCP y DRP: Contar con planes de continuidad y recuperación de desastres.
8. Herramienta de Acceso Privilegiado “PAM: Una herramienta de administración de acceso privilegiado para monitorear
cuentas con acceso privilegiado a activos clave.
9. Áreas clave de ciberseguridad para suscriptores:
Gestión Corporativa del Ciberriesgo
En este contexto, lo mejor es realizar una Gestión Corporativa del Ciberriesgo, ya que es fundamental que las empresas comprendan la importancia de tener una estrategia de resiliencia cibernética con un plan integral que, tenga como principales objetivos: prevenir, reducir y mitigar las amenazas y las vulnerabilidades así como garantizar la confidencialidad, integridad y disponibilidad de la información y de los activos digitales.
Esta estrategia y plan de ciberseguridad debe ser robusto e informado, es decir, estar alineado con los objetivos estratégicos de la empresa al perfil de riesgo de la misma y tener un alcance definido e incorporar las obligaciones y buenas prácticas de seguridad y gobernanza que empiezan desde el grupo directivo y que deberán cumplir los trabajadores de la organización, así como los terceros que colaboren con ésta. Y que de igual manera permita convertir y comunicar transversalmente datos sobre el ciberriesgo en información útil para la toma de decisiones.
Finalmente, debemos entender que a pesar de nuestras medidas de ciber seguridad siempre existe una ventana abierta para los atacantes, que puede materializarse un evento que nos cause una interrupción de nuestro negocio, como una fuga de información que impacte al negocio financiera y operacionalmente. A esta posibilidad se le conoce como riesgo residual y ahí es donde la póliza de seguro cibernético puede ayudarnos a resarcir el daño y complementar nuestra estrategia de ciberresiliencia.
Recuerde que el seguro NO es la solución al problema sino que forma parte de nuestras medidas de recuperación como empresas ciberresilientes, pero para poder ser asegurables, debemos tener un camino recorrido donde las 8 medidas anteriormente mencionadas estén 100% implementadas y nuestra higiene, por ende, sea óptima.
