Los líderes empresariales a menudo han visto el seguro cibernético como una garantía monetaria de que incluso si los piratas informáticos ingresan a sus redes y roban sus datos, aún pueden escapar financieramente ilesos.
Sin embargo, esta premisa se vio sacudida recientemente después de que Lloyd’s of London, el sindicato de seguros más grande del mundo, redefiniera sus políticas para dejar de cubrir los ataques cibernéticos de los estados nacionales. También hay otros desafíos que enfrenta el sector de seguros cibernéticos en el próximo año.
Hablamos con Julia O’Toole, CEO de MyCena Security Solutions, que ofrece soluciones de administración de encriptación y segmentación de acceso fáciles de implementar para que las organizaciones protejan sus redes contra intrusos, y Gerry Kennedy, director ejecutivo de Observatory Strategic Management una consultoría de mitigación de riesgos que interactúa con los clientes para analizar y abordar las vulnerabilidades.
BN: ¿Cuál es el estado actual de los ciberseguros?
GK: El mercado de seguros cibernéticos está en constante evolución a medida que las aseguradoras comprenden más acerca de las amenazas, pero el período de confusión ahora está avanzando hacia un período de acción y el endurecimiento de las pólizas.
Las aseguradoras están comenzando a despertar a la ubicuidad de la cibernética y ahora comprende el impacto cinético que pueden causar los ataques cibernéticos.
En respuesta a esto, están actualizando sus políticas para dejar mucho más claro lo que hacen y lo que no definen como seguro. Pronto vamos a empezar a ver que las aseguradoras estipulan exactamente qué medidas técnicas deben adoptar las empresas para proteger sus activos. Si no toman estas medidas, no obtendrán un seguro.
BN: ¿Cuáles son los principales factores de riesgo para las aseguradoras cibernéticas en la actualidad?
GK: Una de las mayores preocupaciones de los titulares de pólizas en la actualidad es que ya no saben si confiar en las aseguradoras. Las organizaciones se vieron muy afectadas a raíz de COVID y existe una creciente preocupación de que las aseguradoras no paguen cuando las cosas van mal. Esto se ve reforzado por el hecho de que los consultores ahora les dicen a sus clientes que no compren seguros cibernéticos hoy y que gasten sus presupuestos en herramientas defensivas.
En respuesta a esta creciente incertidumbre, las aseguradoras deben ser más políticas transparentes y actualizadas para satisfacer las necesidades cibernéticas de las empresas de hoy. Esto devolverá la confianza a la industria, pero también obligará a las organizaciones a adoptar herramientas más sólidas para proteger sus datos.
BN: ¿Qué cambios en las políticas deben realizar las aseguradoras cibernéticas para cubrir los industria y salvarlos del colapso?
GK: Las aseguradoras necesitan entender dónde están ahora y qué deben hacer para llegar a donde quieren estar. Algunas de las pólizas de seguro que existen hoy en día se desarrollaron a mediados del siglo pasado, por lo que el primer paso es actualizarlas para que se ajusten al panorama digital actual.
La ciberseguridad es muy asegurable, pero debe hacerse correctamente. Las aseguradoras están en el negocio de los peligros y necesitan definir claramente qué cubren exactamente, así como las exclusiones.
Nombre los peligros y defina cómo debería ser la seguridad explicando las soluciones y herramientas que las organizaciones necesitan para asegurar sus redes. Las aseguradoras no pueden ser vagas.
BN: ¿Qué amenazas cibernéticas crean los mayores riesgos para las aseguradoras cibernéticas?
JOT: Detrás de casi todos los ataques cibernéticos en la actualidad hay una credencial de empleado comprometida. Esto significa que las aseguradoras deben tener controles de seguridad más estrictos sobre cómo las organizaciones aseguran sus credenciales de acceso.
Las organizaciones a menudo son atacadas a través de sus empleados mediante estafas de phishing, y cuando un empleado es engañado, entrega sus credenciales de acceso a la red. Los delincuentes ingresan a la red y desde allí, debido a que muchas organizaciones utilizan soluciones de inicio de sesión único, lo que significa que no hay barreras de seguridad una vez que están dentro de la red, es fácil para ellos moverse lateralmente, escalar privilegios, robar datos e implementar ransomware.
Las aseguradoras deben tomar medidas drásticas contra esta causa principal de infracciones y agregar a sus políticas la necesidad de que las credenciales de los empleados sean controladas escrupulosamente por la organización, no por los empleados. Eso significa exigir que las credenciales estén encriptadas para que los adversarios no puedan robarlas, y que todo el acceso a la red corporativa esté segmentado para que cada puerta digital esté protegida con una contraseña segura e independiente generada aleatoriamente para evitar el movimiento lateral.
BN: ¿Qué riesgos cibernéticos deben abordar las empresas para ayudarlas a lograr un seguro cibernético en el futuro?
JOT: Si bien muchas empresas entienden que las credenciales son la causa principal de las infracciones, no saben cómo abordar el problema de la manera correcta. Cuando el mundo comenzó a conectar masivamente su TI y OT a la red, cometió dos errores cruciales por los que todos pagamos el precio hoy. Primero, cuando trabajas en un lugar físico, te dan las llaves de diferentes sitios y salas. Pero cuando trabajas digitalmente, de repente creas las claves, las contraseñas, para todos los sistemas y datos a los que necesitas acceder. Eso significa que la empresa ya no tiene control ni visibilidad sobre su propio acceso. Esta pérdida de control de contraseñas de acceso debe revertirse.
En segundo lugar, cuando trabaja en un lugar físico, tiene varias puertas que abrir para ir de un lugar a otro. Si trabaja en un sitio nuclear, por ejemplo, no puede simplemente abrir una puerta para ir directamente al reactor. Tienes que desbloquear diferentes puertas de acceso. Pero cuando trabaja digitalmente, de repente con un inicio de sesión de acceso único puede abrir todas las puertas de una sola vez. Esto significa que la empresa ya no tiene capas de acceso, segmentación y resiliencia, ya que se fusionaron en un solo punto de acceso. Esto sucede cuando implementa tecnologías de inicio de sesión único, como el administrador de contraseñas de acceso único, las soluciones de administración de acceso de identidad (IAM) o administración de acceso privilegiado (PAM). Estas soluciones eliminan la necesidad de que los empleados recuerden varias contraseñas, pero al hacerlo, facilitan que los delincuentes solo encuentren una contraseña, por ejemplo a través de phishing, para obtener todo a la vez.
Los riesgos son mayores exacerbado cuando las personas comienzan a usar sus datos biométricos de identidad, ya que estos son datos personales inmutables. Cuando la biometría se ve comprometida, no se puede borrar ni cambiar, lo que pone a las personas en riesgo de robo de identidad y muerte digital.
Para lograr una cobertura futura, las organizaciones deberán solucionar estos dos problemas.
BN: ¿Qué otros cambios en el seguro cibernético podemos esperar en el futuro?
GK: La expectativa de una indemnización total por una pérdida desaparecerá, a menos que las organizaciones eleven su deber de cuidado para mantener seguros sus activos. Las organizaciones deberán mapear los problemas cibernéticos que les causan mayor preocupación y luego demostrar a las aseguradoras lo que están haciendo para protegerse contra ellos, ya que esta será la única forma de lograr cobertura en el futuro. Cuando se trata de demostrar cómo las organizaciones protegen sus activos, deberán mostrar con qué proveedores y servicios administrados están trabajando y cómo están haciendo que la organización sea más segura y más difícil de violar
JOT: Ha sido ha tardado mucho en llegar, pero las aseguradoras finalmente están comenzando a darse cuenta de la omnipresencia y los riesgos sistémicos de la cibernética. La amenaza no es asegurable, pero se debe agregar a las pólizas una nueva guía que se relacione con el dominio gemelo digital-físico actual. Una parte clave de esto se centrará en el acceso a la red de los empleados, lo que conduce a la seguridad de TI y TO, y la importancia de que las organizaciones utilicen el acceso a la red cifrado y la segmentación del acceso a la red.
Crédito de la imagen: FuzzBones/Shutterstock