Cómo funciona el seguro cibernético para proteger a las empresas en caso de incumplimiento


El seguro cibernético puede ayudar a proteger a su organización de los costos financieros asociados con las violaciones de datos. Conozca los detalles para decidir si es el adecuado para su empresa.

<a href = "https://tr3.cbsistatic.com/hub/i/r/2019/11/26/c4c4797c-4812-40c3-ac5d-afaf97746874/resize/770x/6ea2e52cae42baab8c162aef2a23fe45/istock-1179506263.jpg" target = "_ blank" data-component = "modalEnlargeImage" data-headline = "

"data-credit =" wildpixel, Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">Concepto de violación de datos

wildpixel, Getty Images / iStockphoto

El seguro es una forma de vida para las empresas, ya que es esencial para proteger la propiedad y el personal de la empresa. También puede ayudar a aliviar el dolor de los incidentes de ciberseguridad, que pueden costará entre $ 1.25 y $ 8.19 millones.

Hablé con David Dufour, vicepresidente de ingeniería en Webroot, una empresa de seguridad cibernética, para obtener más información sobre el seguro cibernético.

VER: Cómo un ingeniero social de IBM pirateó a dos reporteros de CBS y luego reveló los trucos detrás de sus ataques de phishing y suplantación de identidad (PDF gratuito) (TechRepublic)

Scott Matteson: ¿Qué es el seguro cibernético?

David Dufour: El seguro cibernético está diseñado para ayudar a las organizaciones a minimizar el riesgo cibernético al compensar los costos involucrados en la recuperación de infracciones u otros incidentes de seguridad.

A medida que el riesgo cibernético continúa creciendo, el mercado de seguros cibernéticos ha crecido junto con él; El mercado de EE. UU. alcanzó los 1.800 millones de dólares en 2018, tres veces más que en 2015, según un Informe de abril de 2019 del corredor de seguros global Marsh. Además, en los últimos cuatro años, el número de clientes de Marsh en los EE. UU. Que compran seguro cibernético se ha duplicado, del 19% en 2014 al 38% en 2018.

Scott Matteson: ¿Como funciona?

David Dufour: El seguro cibernético no protege a las empresas contra el cibercrimen, pero les da una mejor oportunidad de mantener la estabilidad financiera si ocurre un evento de seguridad grave.

Las pólizas de seguro cibernético pueden incluir cobertura de terceros y de terceros. La cobertura de primera parte se aplica a las pérdidas sufridas por la organización de la víctima directamente, como la pérdida de ingresos, rescate u otras demandas de extorsión pagadas, costos de notificación y daños a la reputación. La cobertura de terceros se aplica a las pérdidas resultantes de demandas de otras organizaciones o personas que afirman haber sido dañadas por el incidente, como demandas por responsabilidad de seguridad de red, responsabilidad de privacidad de red y responsabilidad de medios electrónicos.

El seguro cibernético puede valer la inversión, especialmente para las PYMES, pero depende de varios factores. Al evaluar sus necesidades específicas y las mejores políticas de coincidencia, las organizaciones deben preguntar:

  • ¿Estás tratando de proteger una marca?
  • ¿Qué tipo de propiedad intelectual o datos está protegiendo?
  • ¿Tiene datos confidenciales que podrían hacerlo responsable de demandas si se filtran? (Esto es especialmente probable en las industrias de salud y financieras).
  • ¿Qué gastos está tratando de cubrir en caso de un incidente?
  • ¿Qué necesita cubrir para asegurarse de que no es vulnerable a la bancarrota en caso de un incidente?
  • ¿Necesita contratar para comprender completamente o capitalizar su política?

Scott Matteson: ¿Quién proporciona el seguro cibernético?

David Dufour: Según un informe de junio de 2019 de la agencia de calificación crediticia a.m. Mejor, 528 aseguradoras estadounidenses informaron que suscribieron un seguro cibernético en 2018, frente a 471 en 2017. Ese informe encontró que las cinco principales aseguradoras cibernéticas de 2018 según las primas directas escritas eran Cachero, AXA US, AIG, Viajeros y Beazley; Las cinco principales aseguradoras cibernéticas de 2018 en términos de cantidad de pólizas fueron El Hartford, libertad mutua, Agricultores, Cincinnati y Berkshire Hathaway.

Scott Matteson: ¿Cuales son los beneficios?

David Dufour: El seguro cibernético puede ayudar a las organizaciones a lidiar con la amplia gama de costos de lidiar con una violación de datos: servicios profesionales como los equipos forenses necesarios para ayudar a limpiar y descubrir lo que sucedió; los equipos de recuperación de datos que trabajan para recuperar datos confidenciales comprometidos; servicios no relacionados con la seguridad, como las relaciones públicas, para gestionar la historia y ayudar a interactuar con las partes interesadas externas; servicios de monitoreo de crédito para clientes si es necesario; y servicios legales para gestionar posibles demandas de proveedores, socios, clientes o entidades reguladoras y de cumplimiento.

Scott Matteson: Cuales son los riesgos?

David Dufour: Solo el 18% de las organizaciones que aprovechan el seguro cibernético están cubiertas de manera integral por los riesgos cibernéticos que enfrentan, según el Informe de seguro mundial de mayo de 2019 por Capgemini, una empresa líder de consultoría tecnológica, y Efma, un consultor de la industria financiera sin fines de lucro. Esto no es sorprendente dada la cantidad de organizaciones que luchan por saber qué necesitan y qué obtienen. También se enfrentan a una serie de desafíos, como:

  • Debe poder probar que ocurrió un incidente (es decir, no solo algunos datos perdidos en un disco duro)
  • Debe tener implementadas protecciones básicas de seguridad y cumplimiento y demostrar que las ha seguido (es decir, los incidentes resultantes de ataques de ingeniería social o contraseñas de usuarios débiles a menudo no están cubiertos)
  • Debe poder demostrar que cumplió con el nivel específico requerido por el proveedor de seguros

También existe el riesgo de que el proveedor de seguros encuentre algún tipo de escapatoria o aproveche un tecnicismo para evitar pagar. Es por eso que recomiendo que las organizaciones intenten encontrar un proveedor con un historial de protección contra daños por delitos cibernéticos que haya demostrado que realmente pasan por todo el proceso de presentación y procesamiento de reclamos y pagos.

Muchas compañías compran seguro cibernético creyendo que pueden usarlo para pagar una violación y con esa política en la mano, ignoran la implementación de un programa de seguridad maduro. Pero si se determina que la compañía es responsable de la violación debido a negligencia, como la falta de seguridad en la seguridad, generalmente no puede usar su póliza de seguro cibernético para recuperarse de la violación.

Scott Matteson: Cuales son los costos?

David Dufour: Los deducibles pueden ser bastante altos dependiendo del tamaño de la empresa, con ejemplos vistos en millones y multimillonarios. Depende del tamaño de la empresa y la política; algunas empresas pagan $ 500,000 o más en deducibles antes de que su cobertura entre en vigencia; Target tenía $ 100 millones en cobertura de seguro cibernético durante su violación masiva de datos, con un deducible de $ 10 millones.

los El costo promedio del seguro cibernético aumentó alrededor del 5% en 2019, a pesar del gran aumento en el número de ataques y archivos de reclamos, según un informe de septiembre de 2019 de la firma de asesoría de seguros comerciales AdvisorSmith. El aumento de costos aumentó la prima anual promedio a $ 1,501 para una empresa que enfrenta riesgos moderados con límites de responsabilidad de $ 1 millón, un deducible de $ 10,000 y $ 1 millón en ingresos de la compañía.

En noviembre de 2017 Utah pagó $ 230,000 al año por $ 10 millones en cobertura cibernética y tenía un deducible de $ 1 millón

Scott Matteson: ¿El seguro cibernético cubre la pérdida de ingresos como resultado de una violación de datos o una mala publicidad posterior?

David Dufour: Técnicamente, cualquier cosa podría estar asegurada, pero eso sería un desafío para el precio. La mayoría de los seguros generalmente cubre los costos de recuperación y los servicios profesionales como la protección legal y de marca debido a un incidente.

Scott Matteson: ¿Cuáles son algunos ejemplos del mundo real?

David Dufour: El seguro cibernético ha estado en el centro de atención últimamente con la avalancha de ataques de ransomware dirigidos a entidades públicas y su postura de pagar el rescate. La ciudad de Florida de Lake City autorizó a su aseguradora a pagar el rescate de casi medio millón de dólares a través de bitcoin. los la famosa ciudad de Atlanta declinó pagar el rescate y construir la infraestructura desde cero, sin embargo, les costó millones recuperarse frente al rescate de aproximadamente $ 50,000. Para una PYME, puede valer la pena contar con la experiencia y el asesoramiento de su parte a la hora de decidir pagar.

Scott Matteson: ¿Hacia dónde se dirige el campo?

David Dufour: Necesita desesperadamente ser estandarizado. En marzo, algunos proveedores de seguros líderes liderados por Marsh y McLennan anunciaron que están planeando una alianza "Cyber ​​Catalyst" para crear un servicio de calificación del consumidor para la industria de la ciberseguridad para estandarizar el seguro cibernético, principalmente destacando los productos de ciberseguridad débiles o riesgosos que los fabricantes de la cadena de suministro deben evitar (incluidos firewalls y cifrado, herramientas para monitorear amenazas y capacitación y respuesta a incidentes planificación).

Este es definitivamente un paso en la dirección correcta, pero necesita una participación sustancial para tener un gran impacto, ya que la falta de participación ha obstaculizado iniciativas anteriores de este tipo. Creo que tomará algún tipo de iniciativa patrocinada por el gobierno que proporcione un incentivo financiero para que las organizaciones y los consumidores se involucren, para que una iniciativa como esta sea realmente impactante a gran escala.

Ver también





Enlace a la noticia original