ENTRADA DE CIERRE: Hacer buenas políticas

Los ciberataques contra todo tipo de empresas van en aumento. Y según algunas estimaciones, tanto las pequeñas como las medianas empresas están en riesgo, ya que los piratas informáticos pueden penetrar en el 93 % de ellas. Además de intensificar las defensas cibernéticas, las empresas buscan cada vez más seguros cibernéticos que puedan cubrir el golpe del ransomware y otros ataques.

Sin embargo, las aseguradoras están obteniendo ansioso sobre la prestación de dicha cobertura. El año pasado, el gigante de seguros AXA anunció que ya no brindaría soporte para los pagos de rescate realizados a los piratas informáticos. Otras aseguradoras también están siendo más cuidadosas al escribir nuevas pólizas o incluso renovar las existentes. Pero las empresas pueden tomar algunas medidas para aumentar las probabilidades de calificar para esta cobertura crítica.

Este problema no debe ignorarse, y no se trata solo de cubrir el ransomware. En un caso, un empleado de una empresa transmitió inadvertidamente un virus a clientes y proveedores, y la empresa fue demandada por más de $3 millones por no contener el virus. En otro lugar, un correo electrónico que parecía ser de un proveedor antiguo le indicó a una empresa que actualizara la información bancaria de su cuenta. La empresa así lo hizo y se desviaron más de $200,000 al estafador.

Más allá de la protección de responsabilidad

Dependiendo de cómo esté escrita, una póliza de seguro cibernético puede ofrecer más que solo protección de responsabilidad, por lo que es importante revisar cuidadosamente las pólizas nuevas o existentes. Puede cubrir los costos legales, así como los costos del análisis forense, la restauración de datos y las comunicaciones relacionadas con la infracción. Pero incluso antes de la retirada de AXA, muchas compañías de seguros cibernéticos ya pedían más de las compañías que aseguraban. Algunas aseguradoras requieren que los titulares de pólizas completen ciertos pasos básicos de seguridad, mientras que otras cobran un coseguro o limitan el pago a un porcentaje de la pérdida sufrida.

Dependiendo de cómo esté escrita, una póliza de seguro cibernético puede ofrecer más que solo protección de responsabilidad, por lo que es importante revisar cuidadosamente las pólizas nuevas o existentes.

Aunque un enfoque en capas es el mejor ciber defensa que cumplirá con los requisitos de la aseguradora, ¿dónde comienza y dónde termina? Como mínimo, las aseguradoras a menudo quieren que los clientes documenten la presencia de una primera línea de defensa significativa como la autenticación multifactor (AMF). En lugar de depender de una sola contraseña, el correo electrónico u otros sistemas protegidos por MFA requerirán al menos dos métodos de verificación para establecer la identidad. Podría requerir una contraseña y un texto de verificación enviado a un teléfono celular.

Además, como parte de sus deliberaciones, las aseguradoras a menudo evalúan todas las operaciones de una empresa, y una empresa puede beneficiarse al anticipar este tipo de escrutinio. Llevar a cabo su propia revisión antes de solicitar la renovación o una póliza por primera vez es un buen punto de partida. Eche un vistazo de cerca a su empresa y comprenda los riesgos potenciales del negocio.

Aquí hay algunas preguntas que pueden hacerse para la autoevaluación:

  • ¿Su empresa adquiere y procesa información de identificación personal como números de Seguro Social o registros médicos? Si es así, ¿cuenta con las medidas de seguridad adecuadas y cumple con los requisitos reglamentarios?
  • ¿Tiene una amplia fuerza de trabajo remota? Si es así, ¿están usando computadoras seguras con el último antivirus y otras defensas instaladas? ¿Las computadoras de escritorio y portátiles incluyen MFA y los datos almacenados en ellas están encriptados? ¿Están configurados (y cualquier software instalado en las unidades) para instalar automáticamente parches del fabricante u otras actualizaciones?
  • ¿Tiene su organización reglas sobre cómo se usan los dispositivos, por lo que un dispositivo emitido por el trabajo no se usará para iniciar sesión en juegos MMO (multijugador masivo en línea), que a menudo son semilleros de virus y otras amenazas? ¿Se controlan y se hacen cumplir tales restricciones?

El acceso es otro problema de seguridad que a menudo se pasa por alto. Los datos confidenciales deben estar segregados y solo accesibles cuando sea necesario. El departamento de ventas, por ejemplo, no debería tener acceso a cuentas bancarias, I+D o archivos contables.

Enfoque en capas

Una aseguradora también querrá saber si una empresa tiene planes en caso de incumplimiento. Eres tu copia de seguridad archivos de manera consistente y luego aislar las copias de seguridad para que no se corrompan o infecten por una brecha cibernética? ¿Y tiene pautas escritas para estos y otros procedimientos?

¿Qué tal el entrenamiento? Al igual que DEI y otros temas, las empresas deben tener sesiones de capacitación formales dos o tres veces al año para los empleados, y deben seguir con pruebas. Su proveedor de servicios administrados puede proporcionar este tipo de capacitación personalizada y hacer un seguimiento con correo electrónico y otros métodos de prueba para identificar si los empleados están haciendo clic en enlaces inseguros o participando en otro comportamiento cibernético de riesgo.

Además, es probable que su aseguradora cuestione las actividades de su empresa en todas las operaciones. Por lo tanto, mientras revisa las políticas y los procedimientos de su empresa, es bueno obtener información de varios departamentos, incluidos los de contabilidad, TI, el gerente de planta (para un fabricante) y otros empleados.

Las empresas que revisan sus operaciones con anticipación, mucho antes de solicitar una póliza o una renovación, estarán en una mejor posición a la hora de negociar los términos y precios de la cobertura. Y estudie los términos detenidamente: su proveedor de servicios administrados puede recomendarle un analista, ya que una brecha o un déficit en la cobertura que pasan desapercibidos pueden dejar a una empresa colgada después de una infracción cibernética.

Nadie planea ser el objetivo de un ciberdelincuente, pero la triste verdad es que no se trata de si una empresa sufrirá una infracción, sino de cuándo será. Las empresas que planifican cuidadosamente y cuentan con un sistema de defensa coordinado, con una buena cobertura de seguro como respaldo, tienen más probabilidades de mitigar los daños.

Carl Mazzanti es el presidente de eMazzanti Technologies, una firma que se especializa en ciberseguridad en Nueva Jersey.

Leave a Comment

Your email address will not be published.