AI Responsibly with ndMAX
As the general manager of a managed service provider that works with law firms across the United States on all things IT-related, not much surprises me when it comes to technology requests from lawyers. However, we recently had an eye-opening experience that led us to explore the requirements for obtaining cyber liability insurance, which is increasingly being added to organizations’ security and disaster recovery strategies. In fact, Fitch Ratings recently reported that standalone cyber coverage increased by 92% in 2021, with Munich RE citing cyber premiums worldwide at $9.2 billion.
Nuestro cliente estaba entusiasmado con la instalación de autenticación de dos factores en sus sistemas y quería que lo ayudáramos a implementarlo de inmediato. Obviamente, ese es un tema que nos entusiasma igualmente. La autenticación de dos factores es un proceso de seguridad en el que los usuarios proporcionan una contraseña y una prueba de identidad, como un código enviado a su teléfono a través de una notificación de mensaje de texto, lo que agrega una capa adicional de seguridad para garantizar que su información permanezca protegida. La idea es que es muy poco probable que un hacker tenga acceso tanto a su contraseña como a su dispositivo móvil al mismo tiempo.
There was a sense of urgency to the request, so I had to learn more. When I dug deeper, I found out that the reason they were so passionate about the topic was because they had applied for cyber liability insurance and were rejected for not having multifactor authentication (MFA) installed. Believe it or not, they couldn’t even find someone who would quote them for a policy without it.
Si está pensando en solicitar un seguro de responsabilidad cibernética, hay algunas cosas que debe saber. La principal de ellas es que durante este proceso se le pedirá que comparta mucha información sobre su superficie de riesgo actual y qué medidas ya está tomando para evitar que ocurra algún tipo de incidente. Si observa su solicitud promedio de póliza de seguro de responsabilidad cibernética, las preguntas que le harán pueden parecer bastante abrumadoras.
In terms of email security controls, for example, you’ll need to provide information about whether you tag external emails to alert employees that the message is coming from someone outside of the company. You’ll need to state whether you pre-screen emails for potentially malicious attachments and links.
Regarding internal security controls, you’ll have to disclose whether you use a cloud storage solution to store data or host applications. Given that most firms use either Microsoft 365 or the GSuite, cloud storage is now almost universal. You’ll need to outline what efforts you’re making in terms of multifactor authentication for services like Amazon Web Services, Microsoft Azure, or Google Cloud. The list goes on and on.
Un proveedor de seguros de responsabilidad cibernética sigue siendo... un proveedor de seguros. No es diferente a si estuviera tratando de obtener un seguro de automóvil: verían su historial de manejo, la cantidad de accidentes en los que ha estado, la cantidad de multas de tránsito que ha recibido y más, todo para llegar a la evaluación de riesgos más precisa posible. Si se le considera "demasiado arriesgado", no le ofrecerán cobertura porque es casi seguro que tendrá un problema.
Por lo tanto, este tipo de medidas son esenciales, no solo para prevenir un ciberataque, sino para hacer posible este tipo de póliza de seguro en primer lugar. Querrán asegurarse de que no solo tenga copias de seguridad de los datos, sino que esas copias de seguridad estén encriptadas. Necesitarán saber si sus copias de seguridad se mantienen separadas de su red o en un servicio en la nube diseñado para este propósito. Incluso profundizarán en si sus empleados tienen capacitación en ingeniería social de la empresa, algo que en sí mismo puede ayudar a prevenir la gran mayoría de los ataques que puede enfrentar.
¿Todo esto suena como una enorme cantidad de esfuerzo? Sí, porque lo es. Pero también vale la pena, porque está poniendo de su parte para ayudar a mitigar el riesgo y evitar el tipo de desastre por el que tendría que pagar una póliza de este tipo.
El mejor movimiento estratégico para ayudar a fortalecer su postura de seguridad es trabajar con expertos que comprendan los requisitos del seguro de responsabilidad cibernética para implementar mejores procesos, políticas y tecnologías basadas en la nube líderes en la industria. Las soluciones como NetDocuments para la organization y gestión de documentos y correos electrónicos, por ejemplo, tienen capacidades de seguridad avanzadas para cosas como la prevención de pérdida de datos, la gestión de la seguridad del espacio de trabajo y las claves de cifrado gestionadas por el cliente. Y con las integraciones con otras tecnologías que usa a diario, todo permanece dentro de la protección del DMS.
Con las herramientas y los procesos correctos, con suerte nunca tendrá que usar su cobertura de seguro de responsabilidad cibernética. Pero tenerlo puede ayudar a garantizar que esté preparado para el peor de los casos y brindarle tranquilidad, de modo que las preocupaciones sobre el ransomware no lo mantengan despierto por la noche.
With 27 years of experience, Kevin Haight is the General Manager for WAMS, Inc., a NetDocuments implementation partner and IT support provider for law firms in the Southern California region.
