Las empresas corren el riesgo de descubrir que no pueden obtener una cobertura de seguro cibernético a medida que el volumen de ataques cibernéticos alcanza nuevos niveles.
Cada vez se exige más a las empresas que establezcan niveles más altos de protección cibernética para sus sistemas antes de que se consideren para un seguro cibernético.
Según las aseguradoras, el costo del seguro de riesgos cibernéticos se ha disparado a medida que la demanda de cobertura supera la oferta.
Sus comentarios llegaron cuando el Foro Económico Mundial (WEF) publicó su Informe de riesgos globales 2023, que identifica los ataques cibernéticos generalizados y la inseguridad cibernética como uno de los 10 principales riesgos que enfrentan los gobiernos y las organizaciones en los próximos 10 años.
Carolina Klint, líder de gestión de riesgos para Europa continental para el corredor de seguros Marsh, y una de las colaboradoras del informe, dijo que las compañías de seguros ahora estaban saliendo y diciendo que “el riesgo cibernético es sistémico y no asegurable”.
Eso significa que, en el futuro, es posible que las empresas no puedan encontrar cobertura para riesgos como ransomware, malware o ataques de piratería.
“Depende de la industria de seguros y de los mercados de capital si encuentran aceptable o no el riesgo”, dijo en una entrevista con Computer Weekly, “pero esa es la dirección en la que se está moviendo”.
En los últimos días, los ataques cibernéticos han interrumpido los servicios de entrega internacional de Royal Mail e infectado los sistemas de TI en el guardián periódico con ransomware.
Él Informe de riesgos globales califica la guerra cibernética y el conflicto económico como amenazas más serias para la estabilidad que los riesgos de la confrontación militar.
“Existe un riesgo real de que los ataques cibernéticos estén dirigidos a infraestructura crítica, atención médica e instituciones públicas”, dijo Klint. “Y eso tendría ramificaciones dramáticas en términos de estabilidad”.
Riesgo de que Rusia intensifique los ciberataques
Los ataques cibernéticos de Rusia contra Ucrania podrían, dependiendo de cómo vaya la guerra, dar lugar a ataques más generalizados contra sistemas informáticos protegidos inadecuadamente en Occidente.
“Creo que con los ataques de Rusia, dependiendo del nivel de frustración y el éxito o el fracaso de la guerra, podríamos estar buscando ataques con rociadores más amplios, que serán menos dirigidos, lo que significa que más empresas o individuos podrían sufrir, ”, dijo Klint en una entrevista con Computer Weekly.
Eso podría ir acompañado de ataques dirigidos a infraestructura crítica, como hospitales y servicios de atención médica, que ya están bajo presión debido a la COVID-19 y la gripe, la falta de fondos y la escasez de enfermeras y otro personal.
“Definitivamente existe el riesgo de que esto tenga ramificaciones más serias”, dijo Klint. “Ya están bajo mucha presión, empujados al borde de lo que es posible”.
Un mayor número de empleados que trabajan desde casa y el mayor uso de tecnologías digitales han abierto nuevos caminos para que los actores maliciosos ingresen a los sistemas informáticos.
Un riesgo futuro es que los piratas informáticos puedan recolectar inflexiones de voz y expresiones faciales de las personas, que podrían usarse para imitarlas o engañar a los sistemas de identificación basados en la voz, que utilizan los bancos, por ejemplo, para identificar a los clientes telefónicos.
Las organizaciones deberán analizar la eficacia de sus estrategias de mitigación y gestión de riesgos e invertir por adelantado en seguridad cibernética para ser asegurables, dijo Klint.
“Las empresas están comenzando a darse cuenta de la importancia de realizar esfuerzos de mitigación y estar dispuestas a invertir por adelantado para ser asegurables, y esto ha aumentado con el tiempo”, dijo.
La gestión del riesgo cibernético requiere colaboración
La gestión del riesgo cibernético no puede dejarse en manos de los directores de seguridad de la información (CISO): requiere la colaboración de toda la organización.
“El riesgo cibernético es una de esas áreas en las que se necesita una representación muy diversa alrededor de la mesa para hablar sobre los riesgos, qué hay en el horizonte de riesgo, el impacto potencial y luego las estrategias para mitigarlo”, dijo Klint.
Eso significa un esfuerzo de colaboración entre la función de riesgo, la función de finanzas, RRHH, el CISO y el resto del equipo de TI.
Klint argumenta que para que las empresas sean asegurables, deberán asegurarse de contar con los procesos de seguridad cibernética correctos, junto con protecciones de seguridad básicas como la autenticación multifactor (MFA).
Es posible que las organizaciones no puedan seguir confiando en la autenticación de dos factores basada en el envío de códigos SMS a teléfonos móviles para brindar acceso seguro a sus sistemas, ya que en sí misma es vulnerable a los ataques de phishing por SMS, dijo.
Las tasas de seguros cibernéticos están aumentando
John Scott, jefe de riesgo de sustentabilidad de Zurich Insurance Group, dijo que con el cambio a los servicios en la nube, el aumento de la digitalización y el aumento de los ataques de ransomware, no sorprende que el costo del seguro cibernético haya aumentado.
“Las tarifas han aumentado significativamente, pero al mismo tiempo la demanda de protección cibernética continúa aumentando”, dijo, y agregó que algunas empresas están respondiendo autoasegurándose o estableciendo sus propias compañías de seguros cautivas. Si bien la tecnología puede exponer a las empresas a riesgos de seguridad cibernética, también se puede utilizar para mitigar los riesgos que enfrentan las empresas.
También ha habido ejemplos en los que las empresas han reducido su infraestructura de TI hasta el punto de que no son tan resistentes como podrían ser.
En otros casos, las empresas de fabricación se están alejando de la entrega “justo a tiempo” de sus productos para mantener existencias adicionales “por si acaso” se interrumpen los suministros de piezas críticas.
“Eso tiene un costo en términos de rentabilidad, pero vale la pena aceptarlo y significa que aún puede permanecer en el negocio”, dijo Scott, y agregó que ha visto casos en los que las empresas han reducido su infraestructura de TI hasta el punto de que no son tan resistentes a los choques inesperados.
Es “sorprendente”, dijo Scott, que muchas empresas no hayan implementado una protección básica de seguridad de TI, como garantizar que el software se parchee regularmente y use autenticación de dos factores. Señaló que las organizaciones también deberían trabajar con sus proveedores y centros de datos para asegurarse de que sus cadenas de suministro estén protegidas contra ataques cibernéticos.
En un nivel superior, las organizaciones pueden trabajar con los gobiernos y las agencias de seguridad nacional para compartir datos sobre las actividades de los piratas informáticos patrocinados por el estado y qué infraestructura está en riesgo.
“Eso realmente puede ayudar a las empresas a ser más resilientes en términos de dónde están los ataques y dónde enfocar la mitigación”, dijo Scott.
Cómo abordar múltiples riesgos
Con las organizaciones enfrentando múltiples problemas simultáneos, desde el aumento de los costos de la energía, el aumento de los precios y la interrupción de las cadenas de suministro, Klint dijo que tiene sentido resolver los problemas para obtener beneficios tanto a corto como a largo plazo.
Gastar más en seguridad cibernética, por ejemplo, también les dará a las organizaciones una mayor resiliencia para sobrevivir a otros impactos, como fallas en la cadena de suministro.
“La resiliencia cibernética y la resiliencia de la cadena de suministro están muy estrechamente interrelacionadas. Y eso significa que invertir en resiliencia tendrá un impacto positivo en más de un riesgo”, dijo Klint.
Los proveedores de plataformas tecnológicas y los proveedores de la nube pueden asociarse con las fuerzas del orden, los gobiernos y las compañías de seguros para brindar orientación a las empresas sobre lo que deben hacer para mejorar la resiliencia.
“Tienes que pensarlo más en términos de supervivencia. Porque, en caso de que tengas un ciberataque masivo y todo se caiga, ¿qué vas a hacer?”. añadió Klint.