Como gerente general de un proveedor de servicios administrados que trabaja con bufetes de abogados en los Estados Unidos en todo lo relacionado con TI, no me sorprende mucho cuando se trata de solicitudes de tecnología de los abogados. Sin embargo, recientemente tuvimos una experiencia reveladora que nos llevó a explorar los requisitos para obtener un seguro de responsabilidad cibernética, que se agrega cada vez más a las estrategias de seguridad y recuperación ante desastres de las organizaciones. De hecho, Fitch Ratings informó recientemente que la cobertura cibernética independiente aumentado un 92 % en 2021, con Munich RE citando primas cibernéticas en todo el mundo en $9.2 mil millones.
Nuestro cliente estaba entusiasmado con la instalación de autenticación de dos factores en sus sistemas y quería que lo ayudáramos a implementarlo de inmediato. Obviamente, ese es un tema que nos entusiasma igualmente. La autenticación de dos factores es un proceso de seguridad en el que los usuarios proporcionan una contraseña y una prueba de identidad, como un código enviado a su teléfono a través de una notificación de mensaje de texto, lo que agrega una capa adicional de seguridad para garantizar que su información permanezca protegida. La idea es que es muy poco probable que un hacker tenga acceso tanto a su contraseña como a su dispositivo móvil al mismo tiempo.
Había un sentido de urgencia en la solicitud, así que tuve que aprender más. Cuando profundicé más, descubrí que la razón por la que les apasionaba tanto el tema era porque habían solicitado un seguro de responsabilidad cibernética y estaban rechazado por no tener instalada la autenticación multifactor (MFA). Lo crea o no, ni siquiera pudieron encontrar a alguien que les cotizara una póliza sin ella.
Si está pensando en solicitar un seguro de responsabilidad cibernética, hay algunas cosas que debe saber. La principal de ellas es que durante este proceso se le pedirá que comparta mucha información sobre su superficie de riesgo actual y qué medidas ya está tomando para evitar que ocurra algún tipo de incidente. Si observa su solicitud promedio de póliza de seguro de responsabilidad cibernética, las preguntas que le harán pueden parecer bastante abrumadoras.
En cuanto a los controles de seguridad del correo electrónico, por ejemplo, deberá proporcionar información sobre si etiqueta los correos electrónicos externos para alertar a los empleados de que el mensaje proviene de alguien externo a la empresa. Deberá indicar si analiza previamente los correos electrónicos en busca de archivos adjuntos y enlaces potencialmente maliciosos.
Con respecto a los controles de seguridad internos, deberá revelar si utiliza un solución de almacenamiento en la nube para almacenar datos o alojar aplicaciones. Dado que la mayoría de las empresas usan Microsoft 365 o G Suite, el almacenamiento en la nube ahora es casi universal. Deberá describir los esfuerzos que está realizando en términos de autenticación multifactor para servicios como Amazon Web Services, Microsoft Azure o Google Cloud. La lista sigue y sigue.
Un proveedor de seguros de responsabilidad cibernética sigue siendo... un proveedor de seguros. No es diferente a si estuviera tratando de obtener un seguro de automóvil: verían su historial de manejo, la cantidad de accidentes en los que ha estado, la cantidad de multas de tránsito que ha recibido y más, todo para llegar a la evaluación de riesgos más precisa posible. Si se le considera "demasiado arriesgado", no le ofrecerán cobertura porque es casi seguro que tendrá un problema.
Por lo tanto, este tipo de medidas son esenciales, no solo para prevenir un ciberataque, sino para hacer posible este tipo de póliza de seguro en primer lugar. Querrán asegurarse de que no solo tenga copias de seguridad de los datos, sino que esas copias de seguridad estén encriptadas. Necesitarán saber si sus copias de seguridad se mantienen separadas de su red o en un servicio en la nube diseñado para este propósito. Incluso profundizarán en si sus empleados tienen capacitación en ingeniería social de la empresa, algo que en sí mismo puede ayudar a prevenir la gran mayoría de los ataques que puede enfrentar.
¿Todo esto suena como una enorme cantidad de esfuerzo? Sí, porque lo es. Pero también vale la pena, porque está poniendo de su parte para ayudar a mitigar el riesgo y evitar el tipo de desastre por el que tendría que pagar una póliza de este tipo.
El mejor movimiento estratégico para ayudar a fortalecer su postura de seguridad es trabajar con expertos que comprendan los requisitos del seguro de responsabilidad cibernética para implementar mejores procesos, políticas y tecnologías basadas en la nube líderes en la industria. Las soluciones como NetDocuments para la organization y gestión de documentos y correos electrónicos, por ejemplo, tienen capacidades de seguridad avanzadas para cosas como la prevención de pérdida de datos, la gestión de la seguridad del espacio de trabajo y las claves de cifrado gestionadas por el cliente. Y con las integraciones con otras tecnologías que usa a diario, todo permanece dentro de la protección del DMS.
Con las herramientas y los procesos correctos, con suerte nunca tendrá que usar su cobertura de seguro de responsabilidad cibernética. Pero tenerlo puede ayudar a garantizar que esté preparado para el peor de los casos y brindarle tranquilidad, de modo que las preocupaciones sobre el ransomware no lo mantengan despierto por la noche.
Con 27 años de experiencia, Kevin Haight es el director general de WAMS, Inc.., un socio de implementación de NetDocuments y proveedor de soporte de TI para bufetes de abogados en la región del sur de California.