Derivado del incremento de herramientas tecnológicas dentro de las empresas y otras adaptaciones como el teletrabajo desde el inicio de la pandemia de COVID-19, los ataques de ransomware (secuestro de datos que impide a los usuarios acceder a sistemas operativos o a su propia información) han aumentado alrededor de 150 por ciento haciendo que los costos derivados de los pagos por rescate hayan incrementado también (la cifra entre 2018 y 2019 fue de 230 por ciento, lo que representó hasta 40 por ciento de los siniestros cibernéticos de las aseguradoras).
A pesar de ello, el seguro Cibernético se ha considerado una buena operación dentro del sector puesto que registra índices de pérdida notablemente más bajos y una mayor rentabilidad en comparación con otro tipo de coberturas comerciales: sin embargo, dichos índices han ido subiendo poco a poco por la misma razón de la pandemia, siendo que en 2020 el incremento fue de 10 por ciento.
Ante tal panorama, el Departamento de Servicios Financieros del Estado de Nueva York emitió un comunicado en el que comparte algunos puntos para que las compañías aseguradoras puedan ayudarse a gestionar de manera sostenible y efectiva el riesgo de los seguros cibernéticos:
Prevención y mitigación de pérdidas de Instituto de Seguridad de la Información (Infosec)
Las fuentes más populares para los incidentes de ransomware son el protocolo de escritorio remoto, el phishing y el spam de correo electrónico. El informe señala que el Instituto de Seguridad de la Información (Infosec, por sus siglas en inglés) ha tenido una consistencia notable en la prevención de estos ataques, aunque siempre se tiene que estar debidamente preparado.
Coordinación de gestión de riesgos
La buena higiene tecnológica y la mitigación de riesgos del sector debe estar siempre en la mente del sector asegurador al luchar contra el ransomware y no limitarse a factores como el cumplimiento o la jurisprudencia de terceros. Si bien la forma en que las aseguradoras pueden adoptar la coordinación de la gestión de riesgos varía mucho, por lo menos se debe exigir a los asegurados que proporcionen o verifiquen aspectos básicos de su información y la seguridad de la misma, para que partiendo de ahí, la tecnología se encargue de evaluar de forma más precisa el riesgo al que se está expuesto.
Regulación de la divulgación del ransomware
La regulación federal, los litigios y las leyes estatales que requieren la presentación de informes y la divulgación de filtraciones de datos han servido como base fundamental sobre la cual basar la suscripción y la cobertura de filtraciones de datos, por lo que cabe preguntarse: ¿necesitamos una función de aplicación similar para adaptarnos al riesgo de ransomware?
A través de la legislación, regulación o resoluciones judiciales los gobiernos se encuentran en la situación para poder desempeñar un papel importante en la reducción del riesgo y la aplicación del cumplimiento, afirma el documento.
Notificación de fallos de control
La adaptación dentro del panorama del riesgo cibernético requiere comprometer la mayor cantidad posible de datos disponibles en el registro actuarial. Recopilar y compartir datos de fallos de control marcaría un paso significativo hacia la capacidad de cuantificar las relaciones entre las amenazas, el cumplimiento de la seguridad y los resultados de los incidentes.
Modelos predictivos basados en datos
Debido a que el ransomware es una amenaza dinámica cuya prevalencia se desconoce, y debido a que opera dentro de niveles interconectados, el conocimiento de los ataques de ayer es insuficiente para informarnos sobre los resultados del mañana. Por ende, cualquier previsión es muy valiosa para la segmentación, evaluación, fijación de precios y defensa efectiva del riesgo de ransomware. La previsión en el seguro Cibernético puede basarse en modelos predictivos.
Reforma de la política de pago por extorsión
¿Las regulaciones y políticas actuales protegen adecuadamente contra el ransomware o se necesitan restricciones más sólidas en cuanto a pagos por extorsión se refiere? En este punto la industria aseguradora debe considerar seriamente un enfoque de autorregulación que establezca una política de impago de rescates.