SEGUROS Y EL AUMENTO DE LA CIBER SEGURIDAD CONTRA LAS NUEVAS AMENAZAS

-
Con el crecimiento del cibercrimen y la cobertura mediática intensiva de las violaciones de privacidad y los ataques de ransomware durante el último año, ¿la complacencia sobre los riesgos cibernéticos podría ser cosa del pasado? Si bien los consumidores siguen siendo terriblemente malos para protegerse (por ejemplo, la baja aceptación de la Autenticación de Dos Factores), las salas de juntas están cada vez más hambrientas de protección, y las compañías más grandes están a la cabeza.



Solo los números deberían motivar a cualquier empresa, grande o pequeña, a acelerar su juego de seguridad cibernética: para 2019, se espera que el cibercrimen les cueste a las empresas más de USD 2 billones, frente a USD 500 millones en 2015 (Juniper Research, 2015). Las empresas están invirtiendo más en tecnología y servicios de ciberseguridad, registrando un aumento del 7% en el gasto de 2016 a 2017. Se estima que el gasto global para estas tecnologías y servicios (distintos de los seguros) para 2018 alcanzará los USD 93 mil millones. Estos números que hacen girar la cabeza son grandes, casi hasta el punto de la abstracción. Tal como están las cosas, la llamada más poderosa que motiva la inversión en la gestión del riesgo cibernético parece ser atacar a la propia empresa, una estrategia peligrosa, por decir lo menos.

Mejorando el papel del seguro en la gestión del riesgo cibernético

El crecimiento en el mercado del seguro cibernético es un signo seguro de que las empresas están cada vez más conscientes del riesgo cibernético y del apetito por transferir la exposición. Pero comprar las políticas correctas puede ser un desafío, especialmente para las compañías cuya comprensión de sus propias vulnerabilidades puede ser incompleta. La falta de terminología similar y los diferentes enfoques para ofrecer cobertura, junto con la complejidad de las políticas mismas, aumentan la frustración y reducen la demanda de los compradores.

El desafío de comprender la exposición

Incluso las grandes empresas que están "en él" pueden subestimar su exposición y la cobertura necesaria. La cobertura de riesgo cibernético de Equifax se estimó entre USD 100 millones y USD 150 millones, sin embargo, las pérdidas totales serán significativamente más altas que eso (Bloomberg, 2017). Más allá de esta brecha potencialmente costosa, el caso Equifax ofrece una demostración escalofriante de los impactos de una violación de datos a gran escala. En los cinco días hábiles posteriores al incumplimiento de Equifax, la compañía perdió USD 3.5 mil millones en valor de mercado, el precio de sus acciones tocó fondo con una caída del 30% (los precios de las acciones han recuperado cerca del 20% al momento de escribir esto). Daño a su marca, interrupción causada por cambios en la gestión posterior a la infracción, escrutinio regulatorio y multas inminentes. el costo de ofrecer un año de servicios gratuitos de monitoreo de crédito a 143 millones de clientes afectados y al menos 24 demandas colectivas propuestas se suman a los desafíos que enfrenta la compañía. Se espera que arreglar esos trajes solo le cueste a la compañía unos USD 200 millones (Petterson, 2017). Los últimos resultados trimestrales disponibles mostraron que las ganancias cayeron un 27% (Bloomberg, 2017).

Equifax hack

Si las grandes empresas pueden ser víctimas de ataques cibernéticos, las empresas más pequeñas son particularmente vulnerables. Si bien el nivel de penetración para el seguro cibernético independiente es superior al 50% o más entre las grandes empresas en la mayoría de los países, la adopción por parte de las pymes tiene un solo dígito.
La falta de datos históricos de incidentes cibernéticos (y experiencia directa) es un gran problema que impide a las aseguradoras desarrollar los modelos predictivos de los que dependen para establecer primas y modelos de exposición precisos. Esto, a su vez, reduce la disposición de las compañías de seguros (y reaseguradoras) para extender cantidades significativas de cobertura. También conduce a exclusiones y sublímites que los clientes pueden encontrar poco atractivos. Los datos que se recopilan existen principalmente en los repositorios aislados de diversas entidades sin acceso fácil o la armonización requerida para la comparación.

Un riesgo con pocos límites

La naturaleza evolutiva del delito cibernético significa que los modelos de riesgo pueden tener que mirar más allá de los datos históricos. Con nuevas formas de malware y otras tecnologías dirigidas a sistemas operativos ubicuos, aplicaciones comunes, servicios en la nube y plataformas de hardware, un único acto delictivo puede escalar a dimensiones globales. El ataque del ransomware WannaCry del año pasado puede ser un presagio de lo que vendrá. Propagando a través de los sistemas heredados de Windows, Wannacry infectó más de 200,000 computadoras en 150 países. De hecho, el potencial de riesgos de acumulación puede desalentar a algunas aseguradoras y reaseguradoras de entrar en el mercado del seguro cibernético en absoluto. El resultado final: la incertidumbre y los riesgos correlacionados conducen a precios más altos y niveles de cobertura limitados.
"Puede haber margen para que los gobiernos fomenten la certificación y los estándares para la gestión del riesgo cibernético".
Remediando la falta de datos armonizados y compartibles sobre incidentes de ciberataque es crítico si la industria de seguros debe aprovechar su experiencia en gestión de riesgos para ayudar a los países a abordar los riesgos inherentes a la transición a una economía digital. El entorno político y legal puede proporcionar información que puede disminuir el nivel de incertidumbre. Particularmente en países con requisitos de notificación o divulgación limitados, los gobiernos deberían considerar la contribución que tales requisitos podrían hacer para mejorar la disponibilidad de datos sobre incidentes cibernéticos. En otro nivel, un número o actores en el sector de seguros están examinando el valor de diferentes tecnologías y prácticas de protección con el objetivo de mejorar su capacidad para evaluar el riesgo en las empresas. Si bien evaluar la efectividad de las tecnologías de seguridad cibernética es un desafío,

Permitir la industria de seguros cibernéticos

Con la violación de Equifax y los ataques de ransomware WannaCry, 2017 puede haber sido un punto de inflexión en la conciencia organizacional de los riesgos cibernéticos. Sobre sus talones, el descubrimiento de Meltdown y Spectre, dos debilidades de seguridad integradas en los microprocesadores de prácticamente todas las computadoras del mundo, fueron las primeras malas noticias de 2018, y podrían ser fuente de problemas en los próximos años. Asegurémonos de que haya políticas vigentes para permitir que la industria del seguro cibernético se convierta en una fuerza motriz que respalde la resistencia y la resiliencia a nivel nacional del ciberseguridad.
OCDE (2018).

Comentarios

Publicar un comentario

Entradas populares de este blog

SISTEMA DE ARTILLERÍA DE COHETES DEL EJERCITO DE CHILE

-
Imagen
Un Sistema de Artillería de Cohetes consta de un lanzador de cohetes múltiple montado en una plataforma móvil, que puede ser el casco de un tanque o un vehículo multifuncional, tiene uno o dos paquetes con contenedores de cohetes sellados de fábrica, y que son descartables luego de su lanzamiento, cada uno de los contenedores de porte contiene un cohete de calibre 160 mm o 350 mm (en su diámetro), los que llevan una o varias ojivas agrupadas con un tipo de submunición, lo que incrementa su alcance efectivo a unos 45 kilómetros. En su configuración estándar, cada lanzador tiene una capacidad hasta dos contenedores de 13 cohetes impulsados por propelente líquido (LPR). Además este sistema de artillería de cohetes puede ser transportado por helicópteros y fue diseñado para proporcionar un apoyo y soporte de fuego pesado para unidades de avanzada, en el apoyo de unidades que necesiten respaldo de fuego pesado y en el ataque a unidades aéreas en vuelo rasante, de gran movilidad. Inicialm
Leer más

APUNTES SOBRE LA FUNCIÓN DE INTELIGENCIA

-
Imagen
Este análisis desarrolla temas relacionados entre la función de inteligencia y la toma de decisiones en sus diferentes niveles. En los últimos años en diferentes países de Latino américa  se ha venido cuestionado la función que realiza la actividad de inteligencia en apoyo de la toma de decisiones, se viene idealizando la existencia de limites casi cual murallas físicas entre los diferentes niveles de la función y tareas que realiza la inteligencia, si bien por su naturaleza la inteligencia nace de la abrumadora recolección de las diferentes informaciones con las muy diversas metodologías y procedimientos que implica  la producción de la inteligencia misma y teniendo como consumidor del producto final diferentes actores con poder de decisión, estos productos y las informaciones interactúan entre las diversas agencias y dependencias para la producción de inteligencia para que sea de mayor calidad y con el mínimo grado de incertidumbre al menos debería ser así, (digo esto por ciertas
Leer más

EVOLUCIÓN DE ESPIONAJE EN LOS CABLES SUBMARINOS

-
Imagen
El uso de la Internet y la revolución que esta trajo consigo, hace posible acceder a gran cantidad de información que se encuentra alojada en servidores en diferentes partes del mundo; información que llega de manera casi instantánea utilizando aplicaciones en tiempo real como, por ejemplo, las videoconferencias o las llamadas a través de VoIP. Pero toda esta magia de la internet es posible a que el 90% del tráfico de Internet   circula a través de   cables submarinos   que unen los cinco continentes. Los cables submarinos son auténticas autopistas que nos permiten cursar comunicaciones internacionales (tanto de voz como de datos) a gran velocidad e intercambiar grandes volúmenes de información sin apenas retardo (cosa que no ocurre, por ejemplo, con otros medios como pueden los enlaces vía satélite).   Desde mediados de los años 80 hasta nuestros días, se han realizado grandes despliegues (que aún siguen en curso) de cables submarinos de fibra óptica que vale la pena revisar en
Leer más