Tecnología

Ciberseguridad y Aseguradoras

Mi columna en Invertia esta semana se titula «¿Debe el seguro pagar los ciberataques causados ​​por negligencia?» (pdf), y refleja mi curiosidad que las aseguradoras aún no han implementado sistemas que traten de asegurar un nivel mínimo de competencia en sus clientes a la hora de asegurar los riesgos relacionados con la ciberseguridad.

La idea se me ocurrió mientras leía. una entrevista en el Financial Times con mario grecoCEO de una de las mayores aseguradoras europeas, Zúrichen el que comentó cómo a pesar de que los riesgos derivados de los fenómenos naturales Ellos tienen elevado a verdadera barbarie debido a la emergencia climática, hasta un 42% más que la media de los últimos diez años y superarán los cien mil millones de dólares por segundo año consecutivo (de hecho, deberíamos dejar de considerarlos «fenómenos naturales» ya, porque estamos provocar nosotros mismos), lo que realmente le interesa desde una perspectiva comercial son los riesgos de los ataques cibernéticos, que simplemente ya no son asegurables.

Los ataques a la ciberseguridad ya no se están convirtiendo en simples delitos, sino en auténticos ataques a la civilización. Un ataque a un hospital, una infraestructura energética, una administración o muchos otros casos similares pueden resultar en responsabilidades enormes, que en muchos casos pueden atribuirse a una simple negligencia. Algunas empresas comienzan con esto Abordar los riesgos derivados de la ciberseguridad con prácticas similares a los desastres naturales, mediante la emisión de bonos que cubren un cierto límite. otros simplemente van aumento en los precios de las pólizas, o introducir cláusulas de exclusión de los ciberataques derivados de la actuación estatal, aunque son relativamente vulnerables por la dificultad, en muchos casos, de rastrear el origen de este tipo de delitos. Más fácil Secuestro de datosque está creciendo principalmente debido a la práctica de muchas empresas de pagar el rescate para evitar complicaciones (aunque cuando se trata de delincuentes no hay garantía de que recuperes tus datos o que no te exijan otro rescate), puede llevar a casi la mitad de las reclamaciones en un año dado y será un riesgo imposible de cubrir.

En primer lugar, cuando hablamos de seguros de coche, la compañía de seguros se extiende únicamente a los conductores que saben conducir y que además siguen una serie de normas. Si no tiene licencia de conducir, no está usando el cinturón de seguridad o claramente está conduciendo de manera imprudente, hay muchas posibilidades de que la aseguradora se niegue a cubrir los daños causados ​​por usted, o al menos por usted mismo. La regla parece muy obvia, pero ¿no deberíamos preguntarnos hasta qué punto las aseguradoras no están tratando de protegerse contra una serie de empresas de los ataques cibernéticos que, de hecho, hacen poco o nada para protegerse a sí mismas? En muchos casos, los ataques cibernéticos son el resultado de empleados que están muy mal preparados y no son conscientes de la necesidad de adherirse a ciertas prácticas de ciberseguridad de sentido común, o que están sujetos a disciplinas absurdas por parte de su organización, tales como: B. Cambios regulares de contraseñas absurdos y obsoletos. en última instancia, conduce a una mayor vulnerabilidad. ¿Por qué una aseguradora pagaría una compensación por un ataque por el que gritaba la compañía víctima?

¿Cómo proteger a las empresas que en realidad ignoran prácticas de seguridad absolutamente básicas? Si una empresa no mantiene bien su software y por lo tanto está expuesta a ataques por vulnerabilidades conocidas, si no educa a sus empleados sobre la necesidad de implementar ciertas medidas y termina teniendo muchas de ellas, incluyendo gerentesutilizar contraseñas absurdas e inútiles «contraseña», «12345678» o la fecha de nacimiento de su hijo, si no paga por un buen administrador de contraseñas o verificación en dos pasos, entre otras mejores prácticas, la compañía de seguros simplemente debe ignorar sus reclamos y le permitirá baja por irresponsabilidad manifiesta y notoria cubre tú mismo los daños.

La ciberseguridad no es una cuestión de secretos indescifrables, ni debemos considerar excusable el hecho de que alguien sufra un incidente de este tipo. Algunas prácticas obvias de seguridad cibernética pueden reducir significativamente el riesgo de un ataque cibernético, y es cada vez más importante exigir que lo hagan quienes afirman estar protegidos. Cada vez más, la ciberseguridad no puede ser problema de un tercero, la aseguradora, sino que necesariamente debe ser una responsabilidad compartida.

¿Qué se supone que son? prácticas mínimas de seguridad requerido de cualquier persona que quiera asegurarse contra el riesgo de un ataque cibernético? Primero, usando un administrador de contraseñas. Para ser precisos ahora, después de la brutal intrusión que sufre LastPasspuede parecer inapropiado, pero es importante señalar que a pesar del ataque al que almacena todas las contraseñas de muchas personas, estas contraseñas no fueron reveladasy los usuarios siguen estando más seguros si no lo hubieran usado el gerente en cuestión.

En segundo lugar, un buen sistema de verificación en dos pasos, preferiblemente basado en una aplicación de autenticación en lugar de correo electrónico o SMS. La rutina de un empleado que ingresa su contraseña solo para buscar inmediatamente en su bolsillo y obtener otra de su aplicación de autenticación debería ser perfectamente normal, y no es tan engorrosa, especialmente en comparación con el riesgo que reduce.

Y en tercer lugar, la actualización correcta y consistente del software de la empresa, que en la mayoría de las empresas por encima de cierto tamaño suele depender de una oficina central, pero se descuida con mucha más frecuencia de lo que tiene sentido y la empresa expone vulnerabilidades ya conocidas o que han sido publicadas. .

Se trata básicamente de crear una cultura de ciberseguridad que los empleados entiendan y compartan, sin tratar de proteger el acceso a las cosas cuando los propios clientes potenciales dejan la llave debajo del felpudo o sus contraseñas en una nota posterior detrás de la pantalla. . Básicamente, solo sentido común.

Publicaciones relacionadas

Botón volver arriba