Seguro cibernético: ¿Cuánta protección ofrece realmente a las empresas?
Por Dave Russell, vicepresidente de Estrategia Empresarial de Veeam.
A medida que la industria se adapta a los crecientes niveles de ciberdelincuencia, las aseguradoras aumentan las primas y se vuelven más estrictas sobre a quién asegurar. Con todo, si las organizaciones no cumplen con los requisitos mínimos de seguridad y protección de datos, de poco les servirá el seguro. En realidad, el seguro cibernético debe ser sólo una parte de la caja de herramientas de resiliencia digital. Veamos el panorama general de este tipo de seguro, y lo que las empresas deben hacer para estar realmente tranquilas.
¿El salvaje oeste?
El tema de los seguros cibernéticos ha estado dominando la agenda de seguridad digital en los últimos meses. Las empresas están, sabiamente, buscando seguridad frente a los prácticamente inevitables ataques electrónicos. El Reporte de Tendencias de Protección de Datos 2023 de Veeam encontró que, el año pasado, el 85% de las organizaciones fueron atacadas con éxito por ransomware, frente al 76% del año anterior. Al mismo tiempo, la industria de los seguros todavía se esfuerza por adaptarse a una amenaza que no comprende del todo. A nivel mundial, de acuerdo con Marsh[1], los precios de los seguros cibernéticos aumentaron un 28% en el cuarto trimestre de 2022, luego de un aumento del 53% en el trimestre previo.
Junto con el aumento de las primas, las aseguradoras se están volviendo más exigentes sobre a quién asegurarán o no, aumentando los estándares mínimos de protección que las organizaciones deben aprobar para estar aseguradas. Del mismo modo, la postura acerca de qué tipos de incidentes están cubiertos está cambiando: para dar un ejemplo, en Londres una importante aseguradora anunció recientemente que ya no asegurará las interrupciones causadas por la guerra cibernética respaldada por el Estado. Si todo se siente un poco como en el “salvaje oeste”, tal vez eso sea de esperar.
Estamos ante una industria joven y volátil, y los incidentes cibernéticos tienen un tipo único de complejidad a la que aseguradoras y empresas aún se están enfrentando. Sin embargo, las compañías deben tener esto en cuenta al buscar un seguro. Hacer un reclamo puede ser complejo y, como suele decirse, las aseguradoras están en el negocio de no pagar. Reclamar al seguro requiere mucha evidencia, lo que se suma al tramo de recursos después de un evento cibernético.
El escenario del “mejor de los casos”
Aun con un pago exitoso, las organizaciones deben comprender que esto no es una panacea para algo como el ransomware: el dinero puede cubrir las pérdidas, pero no resuelve el impacto más amplio del incidente. En un ataque cibernético, las consecuencias son únicas y más matizadas. Un grave incidente de seguridad se ha producido y, aunque el colchón financiero sin duda ayuda, no apaga los incendios por sí sólo.
Después de un incidente como el ransomware, todavía se tiene que resolver el desafío de la recuperación, que suele ejecutarse a la par de la posible investigación criminal y el reclamo del seguro que se está haciendo. Para la empresa, la recuperación de datos y la disponibilidad del sistema y las aplicaciones es crucial: cada segundo puede costarles miles de dólares. El reto adicional es que, por lo general, los sistemas no se recuperan donde estaban alojados antes del ataque, no sólo porque es una escena del crimen en la investigación, sino porque no es posible garantizar que el entorno sea seguro y no se vea comprometido. Para ejemplificar, si una oficina se incendiara durante la noche, no se podría construir una nueva en el mismo lugar, inmediatamente; en su lugar, habría que encontrar un entorno de trabajo alterno para los empleados, hasta que la oficina fuera segura para regresar.
Más allá de esto, hay varias “resacas” potenciales del incidente. La calidad de los datos es una de las mayores preocupaciones, por lo que es crucial auditar los conjuntos de datos y verificar si alguno se ha dañado. Si se hace la recuperación utilizando versiones anteriores de datos y sistemas, es preciso asegurarse de que se actualicen lo antes posible. Esencialmente, hay que verificar que todo esté intacto y que el conjunto todavía se integre y funcione. Al mismo tiempo, es difícil saber si estos incidentes han terminado, ya que el riesgo de infección por malware que permanece en el sistema, o la amenaza de doble o triple extorsión, son altos.
Por supuesto, todo esto es asumiendo que el negocio se recuperó sin pagar la demanda del ransomware. Si una empresa hace este pago (quizás pensando que el seguro cubrirá los costos de hacerlo), habrá muchos problemas. El principal es la posibilidad de que los datos no puedan recuperarse a pesar de pagar el rescate, pero incluso si se tiene éxito usando claves de descifrado proporcionadas por los delincuentes, podemos estar ante un proceso increíblemente lento. Otro riesgo para las empresas que pagan las demandas de ransomware son los ataques repetidos: los grupos delictivos suelen marcar a los que pagan, para que ellos mismos u otros puedan volver más tarde por otro trozo del pastel.
¿Qué pueden hacer los negocios?
Esto no quiere decir que no valga la pena tener un seguro, sólo que éste debe ser parte de una estrategia de resiliencia digital más amplia. Un buen modelo de protección de datos cuenta con sólidos procesos de seguridad, respaldo y recuperación, no sólo para reducir la probabilidad de un ataque, sino –lo que es más importante– para preparar a la empresa para responder y recuperarse en caso de un desastre. Por el lado de la seguridad, un consejo es comenzar probando y parchando los sistemas regularmente para hallar y eliminar vulnerabilidades. Capacitar al personal de toda la empresa sobre higiene digital y acceso remoto seguro, lo ayudará a ser más asegurable y también puede conducir a primas más bajas. Lo siguiente que deben hacer las empresas es proteger sus datos y garantizar que puedan mantener la disponibilidad de TI en caso de un incidente cibernético.
Las compañías deben identificar los datos y sistemas sin los que no pueden funcionar, y asegurarse de que se copien y almacenen de forma segura en caso de un ataque de ransomware. Las organizaciones a veces asumen que tienen esto implementado, ya sea internamente o a través de su proveedor de nube (éste es un mito recurrente), pero lo más común es que no sea así. Según el Reporte de Tendencias de Protección de Datos 2023, de Veeam, el 79% de los miles de líderes de TI respondientes dijeron tener una brecha entre los datos y sistemas que las unidades de negocio esperan que estén protegidos, y la realidad. También es importante que los datos se almacenen en múltiples copias en una variedad de formas, como copias fuera de sitio (offsite), fuera de línea (offline) e inmutables.
Finalmente, las empresas deben contar con protección de disponibilidad y procesos de recuperación ante desastres para reducir el tiempo de inactividad tanto como sea posible, o bien evitarlo. La encuesta mencionada también encontró que la brecha de realidad en lo que se refiere a la disponibilidad es aún mayor: 4 de cada 5 organizaciones no confían en que sus sistemas de TI sean lo suficientemente resistentes para garantizar la continuidad del negocio. Incluso con un respaldo desde el cual restaurar, los equipos de TI necesitan tener un entorno analizado y listo para recuperar sistemas (aunque sea sólo temporalmente); las empresas que diseñan su infraestructura de TI teniendo en cuenta la recuperación, pueden recuperarse mucho más fácilmente.
La industria de los seguros cibernéticos seguirá cambiando y adaptándose conforme crece el panorama de amenazas. Pero esto es natural cuando lo que la industria está asegurando es tan nebuloso y muta constantemente. Si bien el seguro puede ayudar a las organizaciones a recuperarse cuando ocurre un desastre, es sólo una parte del rompecabezas. A medida que siguen aumentando los umbrales para ser asegurables, las empresas no sólo deberán aspirar a cumplir con el estándar mínimo requerido, sino que tendrán que intentar superarlo por completo con un enfoque más holístico de la protección de datos.