Keely Wilkins es Evangelista de la Oficina del CTO e Ingeniera de Seguridad de Preventa en Virginia. Ha trabajado en la industria de la tecnología durante casi treinta años, tiene una maestría en Ciberseguridad y una variedad de certificaciones. Keely actualmente está estudiando para obtener una Maestría en Estudios Legales especializada en Leyes y Políticas de Ciberseguridad. Se esfuerza por encontrar el equilibrio entre transparencia, previsibilidad y seguridad.
En este artículo, Keely analiza los cambios recientes en el mercado de seguros cibernéticos y cómo la adopción de una estrategia de seguridad que priorice la prevención puede brindarle una base más sólida en la negociación de tarifas y cobertura de seguros. Este artículo es la tercera parte de una serie de tres partes. Asegúrese de leer primera parte, y segunda parte.
Los elementos que me han llamado la atención incluyen aseguradoras que declaran que el ciber no es asegurable, sus líderes abogan por la capacitación técnica de los corredores, controles más estrictos sobre las políticas cibernéticas y la emisión de un bono de catástrofe para el riesgo cibernético. Ha sido un momento estresante para las aseguradoras cibernéticas, pero están dando un giro.
La industria de seguros no cambia de rumbo rápidamente. Su respuesta a todo se calcula ya que está destinado a proporcionar una medida de estabilidad financiera durante breves períodos de inestabilidad. El riesgo cibernético es diferente a otros tipos de riesgo; debe gestionarse de manera diferente. Estoy entusiasmado con los cambios que se están produciendo en el mercado de seguros cibernéticos y el reconocimiento de que la seguridad es el instrumento adecuado para aliviar el riesgo cibernético.
"Las aseguradoras de hoy en día tienen un papel que va más allá de la transferencia pura de riesgos, ayudando a los clientes a adaptarse al cambiante panorama de riesgos y elevando sus niveles de protección. El resultado neto debería ser menos eventos cibernéticos, o menos significativos, para las empresas y menos reclamos para las aseguradoras."- Informe del Barómetro de Riesgos de Allianz 2023
En términos simples, significa comprometerse a reducir el riesgo cibernético con seguridad antes de transferir el riesgo al seguro. He empezado a llamarlo "seguro antes de asegurar".
Hay un gráfico en el informe del WEF: Global Cybersecurity Outlook 2023 que ofrece información sobre la brecha entre invertir en seguridad y seguros. La pregunta que se plantea es "¿ Su organización ha presentado un reclamo utilizando su póliza de seguro cibernético en los últimos dos años?”. Para las organizaciones con 1,000-100,000 empleados, casi el 60% había presentado una reclamación con éxito. "Con éxito" significa que la compañía de seguros pagó el reclamo. Esto probablemente dio lugar a que se impusieran controles más estrictos en el futuro. Aproximadamente el 20% de los encuestados declinó responder.
Si esas organizaciones cambiaran su enfoque hacia una estrategia de seguridad que priorice la prevención, sufrirían menos infracciones y presentarían menos reclamos.
Un taller de seguridad (análisis de brechas) es el primer paso. El objetivo de este análisis es garantizar que se implementen los controles de seguridad adecuados, que el código esté actualizado, que los sistemas estén parcheados y que las configuraciones sean correctas. Este nivel de evaluación también ayuda al liderazgo a identificar oportunidades de ahorro de costos que no obstaculizarán la efectividad de la postura de seguridad. Un ejemplo de esto es la consolidación de proveedores. No solo limita la cantidad de contratos que se deben administrar, la capacitación dispar necesaria para el equipo de seguridad y el tiempo perdido al tratar de administrar múltiples paneles, sino que también puede ahorrar $290K por infracción. En el informe IBM Cost of a Data Breach 2022, se afirmó que tener un entorno de seguridad complejo agrega costs 290K en costos por violación.
El informe de análisis de brechas debe proporcionar una lista priorizada de los cambios que se realizarán. Esa lista generalmente incluye administración de parches, actualizaciones de código, correcciones de configuración, microsegmentación, administración de identidades y graduados en requisitos más grandes que requieren tiempo y presupuesto para rectificar.
Una vez que se digiere el análisis de brechas, se debe desarrollar un plan de acción para asignar tiempo, presupuesto y recursos a cada elemento que se abordará.
Este proceso debe repetirse anualmente para medir el progreso y evaluar las necesidades cambiantes.
No soy corredor de seguros, por lo que no puedo responder eso definitivamente. Lógicamente, si la compañía de seguros está cubriendo un nivel de riesgo más bajo debido al compromiso de fortalecer la postura de seguridad a través de métodos preventivos, espero que el costo sea menor. # secureB4Uinsure
Post Riesgo cibernético: Asegure antes de asegurar apareció primero en Charla cibernética.