Seguridad empresarial El ciberseguro no solo es una red de seguridad, sino que también puede ser un catalizador para avanzar en las prácticas y estándares de seguridad 08 de agosto de 2024 • , 3 min. de lectura Si alguna vez hubo alguna duda sobre la relación entre la ciberseguridad y la industria del ciberseguro, Black Hat USA 2024 la disipó. Se dedicó una tarde completa en un escenario principal a la industria del ciberseguro, lo que les permitió compartir sus perspectivas sobre la ciberseguridad, el cambiante panorama de amenazas y lo que esto significa para la ciberseguridad organizacional. Lo que depara el futuro a la ciberseguridad empresarial, según las aseguradoras cibernéticas El ecosistema del seguro contra riesgos cibernéticos está cambiando, pasando de la suscripción basada en humanos, pólizas anuales, con docenas de entradas y formularios físicos a un monitoreo continuo aumentado por máquinas de miles de millones de entradas, todo en el ámbito digital. Es una transformación digital con esteroides. Las presentaciones incluyeron varias estadísticas y tendencias: después de todo, esta es una industria que vive de datos y números para calcular el riesgo. Un presentador de Coalition, una aseguradora cibernética especializada, afirmó que habían ayudado a los asegurados a resolver 74.000 vulnerabilidades, lo que dio como resultado una reducción del 64% en las reclamaciones. Teniendo en cuenta que el tiempo para explotar una vulnerabilidad una vez que se divulga públicamente la prueba de concepto (o incluso si hay un parche disponible) puede ser de tan solo 22 minutos, reducir el riesgo de vulnerabilidades es una victoria significativa. Este breve período de tiempo hace que probar un parche antes de su implementación sea casi imposible. La conclusión de esta estadística es que la aseguradora cibernética se está convirtiendo en la notificadora de posibles vulnerabilidades a los clientes; sin embargo, como la aseguradora tiene un conocimiento profundo de lo que las empresas ejecutan debido al cuestionario y los análisis de seguros, entonces no es tan sorprendente que se estén moviendo en esta área específica. Un presentador de Tokio Marine explicó que el mercado de seguros cibernéticos se estancó en 2023, con aproximadamente 9.500 millones de dólares en primas tanto en 2022 como en 2023. Un mercado estancado puede ser el resultado de la transformación mencionada anteriormente. Al solicitar una póliza, existe una cantidad significativa de información sobre la postura de ciberseguridad que las empresas deben compartir con la aseguradora. Esto incluso podría ser una barrera de entrada. Los cuestionarios previos al seguro y el escaneo brindan a la aseguradora información única sobre los aspectos prácticos de las políticas de ciberseguridad de una empresa, al igual que cualquier reclamo, ya que la aseguradora ya conoce todas las soluciones de protección en juego. Esta masa de datos sobre un ciberataque brinda a la industria de seguros un conjunto de datos único: pueden identificar las áreas de preocupación y los detalles exactos sobre el método de entrada en caso de que un ciberdelincuente haya violado las medidas de protección. Según las presentaciones, durante el último año se han producido cambios en los vectores de ataque iniciales: el phishing sigue siendo el mayor problema, pero en 2024 los ataques que explotan el Protocolo de escritorio remoto (RDP) y las redes privadas virtuales (VPN) sin la autenticación multifactor (MFA) habilitada (los ataques RDP pasan a la tercera posición). La importancia de la MFA fue un mensaje claro en todas las presentaciones relacionadas con los seguros. En 2021, el 70 % de las empresas no habían implementado la MFA; en 2023 y 2024, esta cifra es de aproximadamente el 45 %. Es una victoria fácil: si no ha implementado la MFA, conviértalo en una prioridad. La cuestión de «pagar o no pagar» Otro dato interesante es que se ha producido una pequeña disminución en el número de empresas que pagan una demanda de extorsión cuando son atacadas por ransomware: se redujo al 34,4% en 2023 y al 26,5% en 2024. En realidad, esto contradice los datos publicados por Coalition en su reciente informe técnico, en el que informan de que el número de personas que pagan una demanda de extorsión es del 40%. De todos modos, el número de empresas que pagan las demandas es demasiado alto. Los pagos solo deberían ser un último recurso, y es inconcebible que incluso el 26,5% elija esta opción de último recurso. Estoy seguro de que el dinero habla y de que las empresas pagan las demandas de ransomware porque es la opción más fácil, y si se trata de una decisión de costes puramente financieros, puedo ver la lógica de pagar, pero no es tan sencillo y los que no pagan una demanda deberían estar orgullosos de tener normas morales y éticas. Descubra cómo el seguro contra riesgos cibernéticos y la cobertura contra riesgos cibernéticos, combinados con soluciones avanzadas de ciberseguridad, pueden mejorar sus posibilidades de supervivencia en caso de que se produzca un ciberataque. Descargue nuestro informe técnico gratuito Prevenir. Proteger. Asegurar. aquí.