El Departamento de Servicios Financieros de Nueva York comunicó la semana pasada una guía muy útil para las aseguradoras.
Aquí dejamos un listado de unas seis buenas prácticas que hay que seguir, según el Departamento de Servicios Financieros de Nueva York (NY DFS), si queremos evaluar el riesgo cibernético. También le pueden servir a las empresas finales.
1. Evaluación del riesgo
NY DFS advirtió a las aseguradoras que los tipos de incidentes Solarwinds o NonPetya, que pueden afectar a un gran sector o a muchas empresas, pueden crear riesgos sistémicos que pueden conducir a pérdidas simultáneas. Cada año, este riesgo aumenta porque más empresas y gobiernos dependen cada vez más de los mismos proveedores de TI de terceros, que a menudo son pequeños en número y de gran escala.
Del mismo modo, las empresas deben tener en cuenta los riesgos sistémicos en las evaluaciones de riesgos y asegurarse de que no están ignorando riesgos de gran magnitud, como los ataques de estados nacionales, porque parecen poco probables o imposibles de mitigar. Ciertamente no son lo primero, y lo segundo es más a menudo un caso de implementación de seguridad simple sólida.
2. Medir el riesgo asegurado
Recomiendan que las aseguradoras impulsen su comprensión del riesgo con “un plan integral basado en datos” que “comienza con la recopilación de información sobre el programa de ciberseguridad de la institución a través de encuestas y entrevistas sobre temas que incluyen control y gobierno corporativo, gestión de vulnerabilidades, controles de acceso, cifrado, monitoreo de endpoints, defensas de límites, planificación de respuesta a incidentes y políticas de seguridad de terceros «.
Las empresas deberían adoptar el mismo enfoque porque tiene sentido y porque veremos un enfoque más riguroso por parte de las aseguradoras para que las empresas proporcionen este tipo de información para recibir cobertura, incluso mediante el uso de fuentes de terceros, como expertos externos en ciberriesgos. y comparando datos de reclamaciones pasadas para anticipar brechas en los controles de ciberseguridad.
3. Educar a los asegurados y productores de seguros
NY DFS pidió a las aseguradoras que eduquen a sus clientes sobre la ciberseguridad y la reducción de riesgos y que proporcionen incentivos (políticas de precios) para la adopción de mejores medidas de ciberseguridad.
Las empresas están bien servidas para brindar capacitación y educación a sus empleados y proveedores; una fuerza laboral bien preparada puede ser una defensa poderosa para muchos ataques de ingeniería social.
4.Obtenga experiencia en ciberseguridad
También recomendaron que las aseguradoras que ofrecen cobertura cibernética deben tener la experiencia adecuada para comprender y evaluar el riesgo cibernético.
Asimismo, las empresas deberían buscar integrar la experiencia cibernética, ya sea internamente o mediante asesores externos, con un enfoque particular en ayudar a sus directorios y gerentes clave, en particular a los asesores generales y directores financieros.
5. Requerir notificación a las fuerzas del orden
Dicen que las aseguradoras exijan a las víctimas que notifiquen a la policía en sus pólizas, lo que muchas ya hacen o están considerando hacer.
Las empresas víctimas a menudo se muestran reacias a tratar con las fuerzas del orden y no todas las situaciones son iguales, por lo que esto debe ser evaluado cada vez por un asesor legal. Sin embargo, en su mayor parte, muchos incidentes cibernéticos pueden notificarse adecuadamente a las fuerzas del orden. Esto es particularmente cierto para eventos de ransomware o incidentes que involucran el potencial de un actor de amenaza de un estado-nación.
6. Exposición al riesgo silencioso del seguro cibernético
Los riesgos silenciosos son aquellos que pueden implicar la cobertura de pérdidas por un incidente cibernético, pero que no se indican explícitamente como tales en la póliza. NY DFS recomienda que las aseguradoras cierren esta brecha, que puede generar pérdidas imprevistas.
A medida que más aseguradoras cierran este tipo de cobertura, las empresas deben asegurarse de compensar adquiriendo cobertura explícita en otro lugar si el riesgo debe ser mitigado por el seguro o si debe tomar otras medidas compensatorias.
