Seguridad empresarial ¿Debería ser ilegal el pago de una demanda de ransomware? ¿Debería regularse de alguna manera? Estas preguntas son algunos ejemplos del campo minado legal con el que deben lidiar los equipos de ciberseguridad 21 de agosto de 2024 • , 3 min. de lectura Los gobiernos crean leyes y regulaciones principalmente para proteger los intereses públicos y mantener el orden, asegurando que la sociedad funcione como debería. Cuando se relaciona con el seguro cibernético y la ciberseguridad, la regulación está dirigida a la conducta ética, la estabilidad económica y el crecimiento, proporcionando un marco legal que las organizaciones deben cumplir. Sin embargo, las complejidades de las regulaciones y la legislación que se deben cumplir como parte de las operaciones comerciales normales pueden ser tremendas. Hay muchas regulaciones, legislaciones y estándares que afectan la postura de ciberseguridad que adopta una empresa, dependiendo de dónde se encuentre usted o su negocio en el mundo. El seguro cibernético está vinculado intrínseca e indirectamente a muchas de estas regulaciones, ya que las pólizas a menudo cubren el pago de multas regulatorias, como las impuestas por un regulador de privacidad debido a una violación de datos, o el pago de una demanda de extorsión por parte de una banda de ransomware. Seguros cibernéticos e incidentes En la desafortunada situación de una empresa que se enfrenta a un incidente cibernético, la aseguradora puede, según la póliza, proporcionar respuesta a incidentes y recursos legales para ayudar a la empresa. Son estos servicios especializados los que descubren si hay divulgaciones obligatorias que deben realizarse y si el pago de una demanda de extorsión a un grupo de ransomware en particular infringe las sanciones gubernamentales. Por ejemplo, la Comisión de Bolsa y Valores de EE. UU. (SEC) ahora requiere que las empresas que cotizan en bolsa divulguen un incidente cibernético a través del formulario ‘8-K’. El incidente debe considerarse ‘material’ y la divulgación debe incluir aspectos de la naturaleza, el alcance y el momento del incidente, así como el posible impacto en la empresa. En las últimas semanas, una empresa de productos químicos y fabricación con sede en Luxemburgo hizo una divulgación, que puede haber sufrido el mayor fraude de transferencia bancaria con vulneración de correo electrónico comercial de la historia. El 10 de agosto, la presentación del formulario 8-K indica que un empleado de una empresa fue el objetivo de un plan delictivo que dio lugar a múltiples transferencias bancarias fraudulentas salientes a partes desconocidas, cuyo resultado fue un cargo antes de impuestos de aproximadamente 60 millones de dólares (USD). Este tipo de incidente es muy diferente de un incidente de ransomware. Si bien no hubo una decisión ética sobre si pagar o no, el incidente aún necesitaba ser reportado y podría estar cubierto por una aseguradora cibernética. Este blog es el cuarto de una serie que analiza el seguro cibernético y su relevancia en esta era cada vez más digital; consulte también la parte 1, la parte 2 y la parte 3. Obtenga más información sobre cómo las organizaciones pueden mejorar su asegurabilidad en nuestro último informe técnico, Prevent, Protect. ¿Las regulaciones abruman a las pequeñas empresas? Para las empresas más pequeñas, la cantidad de regulaciones y leyes puede ser abrumadora. Es necesario tener en cuenta a las empresas más pequeñas cuando se proponen nuevos requisitos regulatorios: la complejidad de los diferentes reguladores y los entornos legales complejos no son propicios para una empresa más pequeña que realmente debería centrarse en sus operaciones e ingresos. Además, es probable que el panorama se vuelva más complejo con la adopción de nuevas tecnologías como la IA. Existen cuestiones éticas obvias con la adopción de dicha tecnología, así como mejoras operativas significativas y ventaja competitiva que pueden obtener las empresas que aprovechen la oportunidad. Es importante garantizar que el uso de tecnologías avanzadas se adopte dentro de límites aceptables para la sociedad. No regular abrirá las puertas para que las empresas maximicen las ganancias sobre el uso responsable, una situación que podría terminar mal. Si yo dirigiera una pequeña empresa hoy, podría suscribirme a un seguro cibernético para tener acceso a expertos en regulación. Alternativamente, prepararía mi empresa para calificar para el seguro, ya que la lista de verificación y los requisitos que exigen las aseguradoras significarían que mi riesgo se reduciría enormemente, tanto al garantizar el cumplimiento de las regulaciones como al adoptar un nivel aceptable de ciberseguridad para mi empresa. Con esto en mente, el costo de la prima de mi seguro cibernético casi definitivamente sería menor debido al menor riesgo de una reclamación. Peter Warren, un periodista de investigación, escritor y presentador galardonado, ha realizado una serie de entrevistas sobre el tema de las futuras amenazas que las empresas podrían enfrentar. En el siguiente episodio del podcast se analiza cómo están respondiendo los reguladores al ritmo acelerado de la transformación digital. Obtenga más información sobre cómo el seguro contra riesgos cibernéticos, combinado con soluciones avanzadas de ciberseguridad, puede mejorar sus posibilidades de supervivencia en caso de que se produzca un ciberataque. Descargue nuestro informe técnico gratuito: Prevenir. Proteger. Asegurar, aquí.