Seguridad empresarial ¿Se podría gestionar el riesgo humano en ciberseguridad con una calificación cibernética, de forma muy parecida a como las puntuaciones de crédito ayudan a evaluar la responsabilidad financiera de las personas? 08 de octubre de 2024 • , 5 min. leer Es innegable que el ciberseguro y la ciberseguridad están intrínsecamente vinculados. Uno necesita del otro y son una pareja perfecta, incluso si niegan la relación. Sin embargo, de cara al futuro, probablemente necesitemos agregar un tercero a la relación: la empresa. Ahora que tenemos a todos en la sala, ¿qué nos depara el futuro? Hay áreas obvias de evolución en la relación. Las aseguradoras quieren saber que la ciberseguridad no es sólo presentarse a trabajar, sino que también está haciendo un buen trabajo. Es probable que las aseguradoras quieran ver este buen trabajo en acción, casi en tiempo real y, en algunos casos, posiblemente en tiempo real. Por ejemplo, si una aseguradora requiere detección y respuesta de endpoints (EDR), no quiere decir «instalarlo y olvidarse de él» hasta la renovación del seguro del próximo año. Quieren saber que el sistema está operativo y que se responde a las alertas con prontitud. Ya podemos ver este requisito de supervisión a medida que algunas aseguradoras están tomando el camino de proporcionar un elemento de servicios gestionados o exigir informes periódicos de los sistemas EDR. Sin embargo, esta prestación de servicio a través de la aseguradora puede estar provocando un entorno de monocultivo de productos de seguridad, donde todos los asegurados están protegidos por un único producto, algo que desaconsejo. ¿A dónde podría llegar esto a largo plazo? ¿Qué podrían ver las aseguradoras como otro método para reducir el riesgo que, en última instancia, les elimine la necesidad de pagar un siniestro? Después de todo, su objetivo es minimizar los pagos y mantener la rentabilidad. Los seres humanos representan un riesgo importante en términos de ciberseguridad. Pueden sufrir ingeniería social, cometer errores, tomar atajos y, lamentablemente, su comportamiento es difícil de cambiar. Mientras las aseguradoras buscan proteger sus ganancias y reducir las reclamaciones, ¿cómo pueden resolver el problema del riesgo humano? Este desafío no es diferente del que enfrenta la industria financiera, que intenta reducir el riesgo financiero de prestar dinero a humanos que toman malas decisiones, no realizan pagos o, tal vez, son un poco imprudentes con su efectivo. Una parte importante de la respuesta en la industria financiera son las calificaciones crediticias: cada ser humano recibe una puntuación dinámica que cambia a medida que cambian los patrones de comportamiento, y las organizaciones financieras pueden ajustar su riesgo casi en tiempo real. Esta es una decisión basada en datos que fue posible gracias al uso de tecnología avanzada de inteligencia artificial y porque los datos sobre nuestras transacciones financieras se comparten, al menos en parte. Este blog es el final de una serie que analiza los seguros cibernéticos y su relevancia en esta era cada vez más digital; consulte también las partes 1, 2, 3, 4, 5 y 6. Obtenga más información sobre cómo las organizaciones pueden mejorar su asegurabilidad en nuestro documento técnico. Prevenir, Proteger. Asegurar. ¿Podrían ser las cibercalificaciones el futuro? ¿Podrían las aseguradoras cibernéticas aprovechar un enfoque similar y crear perfiles de riesgo para las personas dentro de una organización que ayudarían a prevenir reclamaciones costosas al predecir si es probable que un individuo tome una mala decisión o acción en materia de ciberseguridad? En otras palabras, ¿podríamos ver el desarrollo de una “cibercalificación”, similar a la calificación crediticia utilizada en las finanzas? En algunos países y regiones, un empleador potencial puede rechazar a un solicitante basándose en su calificación crediticia, al menos para puestos que requieren responsabilidad financiera, y puede llegar el día en que una calificación cibernética se utilice de la misma manera. Ahora imaginemos un escenario en el que cada usuario de Internet tenga esa calificación basada no en el detalle de sus transacciones o comunicaciones, sino en algunos elementos específicos de sus interacciones en línea y patrones de comportamiento. Con suficiente información, se podría hacer una predicción basada en datos sobre si una persona hará clic en un enlace de phishing, adjuntará datos no cifrados a un correo electrónico o adoptará hábitos de navegación cuestionables. Al igual que con las calificaciones crediticias, todos podrían ver su calificación cibernética y recibir consejos sobre cómo mejorarla, tal como lo hacemos con las calificaciones crediticias hoy en día. Los empleadores podrían utilizar esta métrica para asegurarse de que están ofreciendo un puesto a una persona ciberresponsable que no pondrá en riesgo a la empresa. Las aseguradoras pueden exigir a sus clientes que no contraten a nadie por debajo de una determinada puntuación, o imponer limitaciones a aquellos con puntuaciones más bajas, reduciendo así la exposición al riesgo de la aseguradora. Algunos empleadores ya monitorean el comportamiento en línea de los empleados e identifican aquellos que representan un riesgo, para luego poder reforzar la conciencia y las políticas de ciberseguridad para reducir el riesgo. Sin embargo, esto es controvertido, ya que puede infringir la legislación laboral y de privacidad. Por otro lado, un empleado potencial puede estar dispuesto a renunciar a estos derechos si eso significa conseguir un trabajo, del mismo modo que puede dar su consentimiento a que el empleador realice una verificación de su calificación crediticia. Una cibercalificación podría tener otros usos e incluso fortalecer el sistema de calificación crediticia. Los fraudes y estafas en línea a menudo requieren que la víctima haya realizado acciones en línea; Si se conociera la probabilidad de que alguien haga clic en esa oferta increíble o en un correo electrónico fraudulento debido a la calificación cibernética, entonces un banco puede imponer requisitos de autenticación adicionales para esa persona cuando realice transacciones en línea. Las dos calificaciones podrían potencialmente complementarse entre sí. Por otro lado, obviamente la seguridad que rodea a las cibercalificaciones tendría que ser muy estricta. Si estas puntuaciones de riesgo cayesen en las manos equivocadas, los ciberdelincuentes podrían utilizarlas como arma para identificar a las personas más susceptibles al phishing y otros ataques. Esto podría convertir efectivamente el sistema en una herramienta dirigida a personas vulnerables, socavando sus propósitos de mejorar las medidas de ciberseguridad y la gestión de riesgos. Hay muchas maneras en que los seguros cibernéticos podrían evolucionar con el tiempo, pero la capacidad de eliminar o reducir el riesgo humano sería la próxima gran victoria más allá de imponer los actuales requisitos de ciberseguridad en los que las aseguradoras insisten hoy. Transformación empresarial y trabajo híbrido con IA: ¿Cómo deberían responder las organizaciones al creciente riesgo cibernético? Escuche las conversaciones del periodista Peter Warren con la profesora Leslie Wilcox, profesora de la London School of Economics, sobre el problema de la digitalización y la importancia de equilibrar la rentabilidad y la ciberresiliencia. Obtenga más información sobre cómo el seguro contra riesgos cibernéticos, combinado con soluciones avanzadas de ciberseguridad, puede mejorar sus posibilidades de supervivencia en caso de que se produzca un ciberataque. Descargue nuestro documento técnico gratuito Prevent. Proteger Asegurar aquí.