El riesgo cibernético ha superado al riesgo financiero como la mayor amenaza a la que nos enfrentamos. Esto lo dice la encuesta de crisis global de P2C de 2019. También existen paralelismos preocupantes entre la crisis financiera mundial de 2009 y el panorama actual de las amenazas en la red. Lo que hay que preguntarse es cuánto vale realmente la seguridad en la red.
¿Cuánto debes pagar realmente por la seguridad en la red?
Actualmente, la mayoría de las empresas no tienen ningún seguro cibernético. La cobertura es sólo del 40% en los EE.UU y del 10% en UK. En otros lugares es incluso más bajo. Muchas aseguradoras cibernéticas se jactan de que pueden proporcionar una cotización de seguro en menos de una hora. Debemos preocuparnos por nuestra capacidad no sólo de evaluar con precisión nuestra posición de riesgo, sino también de fijar el precio de la póliza con precisión.
Algunas aseguradoras basan su evaluación de riesgos en las calificaciones de riesgo de seguridad cibernética. Algunas de estas calificaciones son producidas por empresas que usan rastreadores web que verifican puntos finales externos para detectar vulnerabilidades conocidas. Este es un método bastante crudo, pero probablemente sigue siendo la mejor opción teniendo en cuenta el coste. El problema es que es un poco como evaluar el el riesgo de seguridad contra incendios mirando una foto de un edificio tomada desde la otra punta de la calle. Nos podemos hacer una idea de la forma y tamaño del edificio, pero no podemos saber si dentro hay material inflamable o sistemas anti incendios.
¿Cómo se valora una póliza?
La razón por la que algunas aseguradoras pueden permitirse basar las primas en tales métricas es que las pólizas de seguro cibernético a menudo incluyen una serie de disposiciones y exclusiones que hacen imposible reclamar si se cumplen.
Con esto, si hay una crisis cibernética global, pueden negarse a pagar cualquier política y considerar retirarse por completo del mercado.
Algunos ejemplos de exclusiones son los siguientes:
- La póliza cubre sólo si «un pirata informático se dirige específicamente a nuestro sitio» (pista: esto nunca o casi nunca se cumple).
- No se suelen cubrir «cualquier fallo… por proveedor cloud… a menos que nosotros seamos el propietario de software y hardware». Esto excluiría a todo el uso de cloud y también cualquier servicio que no tengamos alojado totalmente nosotros.
- «No cubre incidentes que involucren a un tercero… no restringido indebidamente ni limitado financieramente por ningún término en ninguno de los contratos». Con esto se garantiza que la aseguradora pueda perseguir a cualquier tercer involucrado en daños ilimitados. Pero con esto se excluye a todos los proveedores. Ningún proveedor hoy en día ofrece responsabilidad ilimitada.
- No cubren «actos de enemigos extranjeros, terrorismo, hostilidades u operaciones bélicas».
Por estas razones ( y otras muchas de lo más variopintas) ya vemos que algunas reclamaciones de las más usuales no se pagan. Varias aseguradoras importantes se han negado a pagar los daños causados por el ataque de ransomware NotPetya de hace unos años, amparándose en que era una acción hostil o bélica.
¿Lo dejamos todo en manos del seguro?
El seguro cibernético, si bien es de vital importancia, no es un sustituto de la prevención o la preparación ante los desastres. Necesitamos las tres partes para que nuestra «seguridad» funcione.
Necesitamos una mayor adopción de la cobertura del seguro cibernético, y las organizaciones son ahora mucho más exigentes con las políticas que adoptan.
- Los clientes deben comprender su apetito por el riesgo: podemos gastar una cantidad infinita en ciberseguridad, pero no tenemos por qué hacerlo.
- Debemos ser mucho más conscientes de las exclusiones de las pólizas para saber qué nos cubre y qué no.
- Hay que tener en cuenta qué coberturas necesitamos teniendo en cuenta nuestra empresa, no contratar todo «a lo loco».
- También debemos considerar una cobertura de respuesta a incidentes especializada por separado si no está incluida en nuestra póliza principal.
Lo que se suele encontrar es que las empresas que tienen cobertura de respuesta a incidentes tienen a llamar a los expertos de inmediato. Mientras tanto, las que no lo hacen, a menudo intentan una solución DIY. En el momento en el que solicitan ayuda, ya suele ser tarde. En un seguro necesitamos lo siguiente.
- Solución técnica. Obtener ayuda experta de un equipo de respuesta de ciber seguridad es esencial. También debe ser una solución inmediata.
- Defensa legal. Buscar asesoramiento de expertos en derecho cibernético y de datos para desarrollar rápidamente una estrategia legal y una narrativa legalmente defendible.
- Defensa de la marca. Obtener soporte experto de comunicaciones cibernéticas para ayudar a nuestros equipos internos y de agencia a lidiar con la complejidad adicional y la carga de trabajo de comunicaciones.
- Respuesta social. Obtener mejores influencers globales de privacidad / seguridad para que actúen como voces confiables para contrarrestar la desinformación en caso de incidente.
Cuidado con la publicidad
En una crisis convencional, debemos comprender que con la mayoría de crisis, los delincuentes tienen la culpa y la empresa y los clientes son las víctimas. Las tácticas de relaciones públicas convencionales en un escenario de crisis son contener cualquier problema hasta que se haga público y luego mostrar empatía por los clientes.
En un incidente cibernético es distinto. Es probable que estemos en el último plano: un incidente cibernético podría hacerse público incluso antes de que te des cuenta. No son instantáneos. El incumplimiento promedio ocurre normalmente antes de que se detecte.
Sin embargo y entiéndaseme bien, el delito cibernético es el único (que yo conozca) en el que la víctima tiene la culpa. Por mucho que hayamos gastado en ciberseguridad, la prensa y el público nos culparán a nosotros y no al pirata informático. Debemos estar preparados también para esto.