Por Jack Kudale, fundador y director ejecutivo de Campana de vaca cibernética.

Solo en 2020, todas las industrias vieron un total de 1,001 casos reportados de violaciones de datos. No es ningún secreto que las empresas deben cumplir con las regulaciones de seguridad y privacidad establecidas por los estados y países en los que operan, su industria o el tipo de audiencia y clientela con los que trabajan.

Estos incluyen regulaciones y estándares bien conocidos como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), la Ley de Privacidad del Consumidor de California y muchos otros. El marco del Instituto Nacional de Estándares y Tecnología (NIST) también figura en la lista, ya que se ha convertido en un marco ampliamente utilizado para guiar las iniciativas de ciberseguridad.

La importancia de un plan de respuesta a incidentes cibernéticos

Para lograr el cumplimiento, las regulaciones requieren un plan de respuesta a incidentes cibernéticos documentado y probado. Es un reconocimiento de que no solo se producirán incidentes cibernéticos, sino que las empresas también deben estar preparadas para responder.

En todas las regulaciones, el requisito principal es un plan de recuperación y respuesta a incidentes, así como la notificación a las entidades e individuos afectados. Dicho plan debe estar documentado y listo para ser implementado en tiempos de crisis. Esto va acompañado de una línea presupuestaria adicional de seguridad financiera con escenarios hipotéticos, personal de profesionales capacitados y expertos, y pruebas frecuentes para garantizar que los procedimientos requeridos estén realmente en su lugar.

Se puede engañar a muchas organizaciones haciéndoles creer que su equipo de seguridad habitual a tiempo completo podrá realizar la tarea. Si bien son absolutamente esenciales en el proceso de recuperación, aquí hay preguntas para ayudar a definir la cantidad de recursos que una empresa podría tener que movilizar, más allá del personal regular, para manejar la demanda de una respuesta y apoyo convincentes.

LEER  Cómo hacer crecer su equipo frente al inminente aumento de clientes

• En el caso del ransomware, ¿tiene personal con experiencia en el trato con los ciberdelincuentes?

• ¿Su personal de seguridad está preparado para trabajar horas extras hasta que se resuelva la crisis?

• ¿Está preparado su equipo legal para manejar demandas que resulten del compromiso de datos confidenciales?

• ¿Tiene los medios para informar a los clientes y socios de los datos potencialmente comprometidos?

• ¿Tiene los medios para registrar las entidades afectadas para protección contra el robo de identidad?

La realidad de las actividades posteriores a la infracción

Para mostrar la realidad de la actividad posterior a la infracción, documentamos una muestra de ataques de 2019 y lo que las empresas tuvieron que atravesar para responder a ellos. Las respuestas posteriores a la infracción son tan costosas y dolorosas para las pequeñas empresas como para las grandes, y a veces conducen a la quiebra. La violación de la Agencia Estadounidense de Cobranza Médica (AMCA) se hizo pública alrededor de mayo de 2019 cuando se reveló que múltiples proveedores de diagnóstico y atención médica afectados estaban comprometiendo la información financiera, médica y personal de millones de pacientes. Incapaz de pagar los millones de dólares en gastos asociados con la notificación a los pacientes y el manejo de las demandas de sus clientes, la empresa matriz de AMCA ha tenido que declararse en quiebra.

Yendo aún más lejos con los requisitos del seguro cibernético, las regulaciones no solo garantizarían que se aplique un nivel común de protección a todas las empresas de la misma categoría, sino que también aumentarían la capacidad de respuesta de las empresas. Un lugar obvio para comenzar es con las industrias que se ocupan de información confidencial. Han sido objetivos obvios para los ciberdelincuentes en el pasado y su proceso de respuesta y recuperación se vuelve cada vez más costoso a medida que aumenta el volumen de registros confidenciales procesados.

LEER  5 errores comunes al recaudar fondos para su startup

Directrices sobre el seguro cibernético en acción

Ya estamos viendo un aumento en los esfuerzos para elaborar pautas y marcos con respecto al seguro cibernético de las entidades gubernamentales. En California, el Proyecto de Ley 2320 de la Asamblea, presentado por el asambleísta Ed Chau, propone que “en el curso de sus negocios con una agencia estatal, un empresario recibirá o tendrá acceso a registros que contengan información personal protegida por la Ley de Prácticas de Información de 1977. (Título 1.8 (comenzando con la Sección 1798) de la Parte 4 de la División 3 del Código Civil) el contrato requerirá del contratista que contrate un seguro cibernético suficiente para cubrir todas las pérdidas resultantes de un posible acceso ilícito o divulgación de información personal, en una cantidad determinada por el poder adjudicador.

En el Congreso de los Estados Unidos, el informe publicado de la Comisión Cyberspace Solarium dirigida por el Senador Angus King y el Congresista Mike Gallagher propone implementar la recomendación de la Comisión de “proporcionar recursos y ordenar al Departamento de Seguridad Nacional que financie un centro de investigación y desarrollo financiado con fondos federales (FFRDC ) para trabajar con los reguladores estatales en el desarrollo de certificaciones para productos de seguros de ciberseguridad ”. Estas certificaciones voluntarias incluirán capacitación de suscriptores, capacitación de ajustadores de reclamos y certificaciones de productos de seguros cibernéticos.

LEER  Una mejor experiencia de evento: Ticket Fairy

El rápido aumento de los incidentes cibernéticos, especialmente durante la pandemia, ha ejercido una tremenda presión sobre las aseguradoras para que actualicen la forma en que suscriben el riesgo cibernético. En febrero de 2021, el Departamento de Servicios Financieros del Estado de Nueva York (DFS) introdujo el Marco de Riesgos de Seguros Cibernéticos, una guía general para las aseguradoras que brindan seguros cibernéticos en el estado. Una declaración del DFS de Nueva York señala que el marco, la primera directiva de un regulador estadounidense sobre seguros cibernéticos, “describe las mejores prácticas de la industria para las aseguradoras de seguros generales reguladas por el estado de Nueva York que suscriben seguros. El seguro cibernético para gestionar eficazmente su riesgo de seguro cibernético” . Si bien esto no es directamente una declaración para hacer obligatorio el seguro cibernético, es un paso en la dirección correcta para reconocer que existe una forma correcta de aplicar la redacción del seguro cibernético para proteger a las empresas estatales en el mejor de los casos.

Pensamientos finales

A nivel federal, aunque los legisladores no han estandarizado requisitos específicos de seguridad cibernética en todos los sectores, una forma de elevar el nivel de prácticas de seguridad mínima sería exigir una póliza de seguro cibernético obligatoria para cada negocio con ciertos límites mínimos de cobertura. Esto no solo ayudaría a proteger aún más a las empresas y los consumidores, sino que también elevaría el nivel de los estándares de ciberseguridad.