A medida que la demanda ha crecido a niveles sin precedentes, la industria se ha vuelto muy volátil. Las primas están aumentando, hay más reglas sobre lo que está y lo que no está cubierto y se han introducido estándares mínimos para las empresas que desean estar aseguradas. Esto puede parecer una mala noticia para las empresas, pero en última instancia tiene varios aspectos positivos.
A veces la gente piensa que la ciberseguridad es un mundo oscuro. En realidad, la realidad física y la digital son mucho más similares de lo que piensas. Hace treinta años, las empresas que querían proteger sus activos pensaron en primer lugar en seguros contra incendio y robo. Hoy los riesgos son más digitales. De acuerdo a Informe de tendencias de protección de datos de Veeam 2024, tres de cada cuatro organizaciones han sufrido al menos un ataque de ransomware durante el último año y una de cada cuatro ha sido atacada más de cuatro veces en el mismo período.
No es de extrañar que el seguro cibernético se haya convertido en una opción cada vez más popular para muchas organizaciones. se espera que crezca un 24% convertirse en una industria de 84,62 mil millones de dólares para 2030. Sin embargo, a medida que ha aumentado el número de empresas que compran y requieren seguros, su costo también ha aumentado de manera constante, con un aumento de las primas. en los últimos tres años. Este no ha sido el único cambio realizado por las aseguradoras que buscan mantener rentable la protección cibernética: una evaluación de riesgos más significativa, la introducción de estándares mínimos de seguridad y la reducción de la cobertura se han convertido en una práctica común en los últimos años.
El ciberseguro se ha convertido últimamente en un tema controvertido, que en su mayor parte se reduce a la pregunta del millón sobre el ransomware: ¿pagar o no pagar? Aunque muchos rechazan la idea de que las compañías aseguradas sean más probabilidades de pagar rescates, un informe 2023 sobre las víctimas encontró que el 77% de los rescates fueron pagados por el seguro. Sin embargo, muchas aseguradoras están intentando poner fin a esta situación. El mismo informe encontró que el 21% de las organizaciones ahora excluyen explícitamente el ransomware de sus políticas. También vimos otros excluir explícitamente los pagos de rescate de sus pólizas: cubrirán el tiempo de inactividad y los costos de daños, pero no los costos de extorsión.
En mi opinión, el último enfoque es el mejor. Pagar rescates no es una buena idea y no es para qué se debe utilizar el seguro. No es sólo una cuestión de ética y de alimentar el crimen, sino del hecho de que pagar el rescate no resuelve inmediatamente el problema y a menudo crea otros nuevos. En primer lugar, los ciberdelincuentes rastrean qué empresas pagan para poder volver en caso de un segundo ataque o compartir esta información con otras organizaciones.
Un estudio encontró que el 80% de las empresas que pagaron un rescate sufrieron un segundo ataque. Pero incluso antes de llegar a este punto, la recuperación mediante el pago del rescate rara vez es fácil. La recuperación con claves de descifrado proporcionadas por los atacantes lleva mucho tiempo, a menudo intencionalmente, ya que algunos grupos cobran por cada clave para acelerar el proceso. Mientras el descifrado funcione, una de cada cinco empresas paga un rescate y no logra recuperar sus propios datos.
Así que, afortunadamente, el pago de rescates a través de seguros está desapareciendo poco a poco. Pero eso no es lo único que ha cambiado. Las empresas que requieren un seguro cibernético deben cumplir cada vez más con estándares mínimos de seguridad y resistencia al ransomware. Esto puede incluir el uso de copias de seguridad cifradas e inmutables y la implementación de principios de protección de datos de mejores prácticas, como privilegios mínimos (dar acceso solo a quienes lo necesitan) o cuatro ojos (requerir que los cambios o solicitudes importantes sean aprobados por dos personas). Algunas políticas también requieren que las empresas tengan planes sólidos para garantizar la disponibilidad del sistema, incluidos procesos de recuperación ante desastres. defiDiseñado para evitar el tiempo de inactividad debido a un ataque de ransomware. Después de todo, cuanto más tiempo esté inactivo un sistema, mayor será el costo del tiempo de inactividad y, con ello, el costo de una reclamación al seguro.
Las empresas deberían seguir teniendo todos estos elementos. Si el seguro va acompañado de procesos descuidados de protección y recuperación de datos, los pagos del seguro sólo cubrirán los defectos. La introducción de estándares mínimos es una buena noticia para las empresas. No sólo reducirá el costo de las primas a largo plazo, sino que los principios de seguridad que requieren serán más valiosos para las empresas que el seguro al principio. El seguro cibernético no es una garantía absoluta, pero puede ser un elemento beneficioso de una estrategia más amplia de resiliencia cibernética. Ambos son útiles, pero en caso de que te veas obligado a elegir solo uno, la resiliencia siempre será la mejor opción. Afortunadamente, las aseguradoras están de acuerdo, ya que las empresas desprotegidas se están volviendo demasiado poco rentables para cubrirlas.
El seguro cibernético, particularmente en lo que se refiere al ransomware, avanza hacia un mundo donde las compañías aseguradas tienen una fuerte resiliencia cibernética y planes de recuperación ante desastres bien establecidos. definited y utilizan seguros solo para mitigar el impacto de los ataques y el costo del tiempo de inactividad mientras se restauran a través de copias de seguridad inmutables. Este es un mundo mucho más resistente al ransomware que uno en el que las empresas dependen únicamente de los seguros.
BlogInnovazione.it
Coveware by Veeam seguirá brindando servicios de respuesta a incidentes de extorsión cibernética. Coveware ofrecerá capacidades forenses y de remediación...
El mantenimiento predictivo está revolucionando el sector del petróleo y el gas, con un enfoque innovador y proactivo para la gestión de plantas.…
La CMA del Reino Unido ha emitido una advertencia sobre el comportamiento de las Big Tech en el mercado de la inteligencia artificial. Allá…
El Decreto "Invernaderos", formulado por la Unión Europea para mejorar la eficiencia energética de los edificios, ha concluido su trámite legislativo con…