Se sabe que los riesgos cibernéticos que pueden sufrir las empresas son muy amplios: ¿Está su organización tomando decisiones informadas sobre su presupuesto de ciberseguridad?. Recientemente, Aon, empresa británica proveedora de servicios de gestión de riesgo, seguros y gestión de reaseguros, elaboró el informe «Cyber Security Risk Report 2021», para ayudar a las empresas a responder esta pregunta.
Navegando a través de los nuevos retos: La rápida transformación digital
A raíz del COVID-19, las empresas se vieron obligadas a establecer rápidamente entornos de trabajo remoto y a habilitar interacciones digitales con los clientes. Las empresas hicieron una rápida transición a la nube. Bajo la presión del tiempo y los costos, trasladaron velozmente la arquitectura existente a un nuevo entorno. Es posible que actualmente se crea que esta estrategia, por muy necesaria que fuera, traiga considerables desventajas en materia de seguridad y quedan opacadas las numerosas ventajas de la nube.
Las organizaciones están en un proceso de evolución digital. El continuo impulso hacia la innovación, como por ejemplo a través de Internet de las Cosas (IoT), seguirán planteando aún más riesgos cibernéticos en 2021. Al operar en este entorno, las organizaciones están llamadas a sopesar los beneficios proyectados de una agenda digital, frente al riesgo cibernético introducido por la adopción de nuevas tecnologías o modelos de negocio.
Como parte de un enfoque empresarial, es esencial identificar los riesgos y las amenazas cibernéticas; mitigar los riesgos según corresponda a través de las mejores prácticas de seguridad; prepararse y estar listo para los incidentes; y considerar qué parte del riesgo transferir fuera del balance a través de los seguros, así como luego examinar las políticas actuales y disponibles para garantizar que los nuevos riesgos están cubiertos.
Comprendiendo el entorno: El riesgo de terceros y proveedores
En 2021, se espera que las organizaciones evalúen los riesgos cibernéticos derivados de sus cadenas de suministro. Todas las empresas están interconectadas, y la pandemia de COVID-19 ha obligado a depender más aún, sobre todo cuando las organizaciones se esfuerzan por satisfacer las demandas digitales.La marcha hacia las CPU (Unidad Central de Procesos) y los chips informáticos híbridos con componentes de software también está introduciendo nuevos riesgos. Si se compromete una versión de un chip, un hacker tendrá acceso potencial a miles de organizaciones. Incluso, sabiendo todo esto, las organizaciones pueden estar comprometidas para evaluar realmente la vulnerabilidad y la seguridad de sus cadenas de suministro. El enfoque estático, que consiste en confiar en las respuestas no verificadas y no probadas de una evaluación de riesgos de 500 preguntas, puede que ya no sea suficiente.
En este contexto, las evaluaciones y certificaciones realizadas por terceros independientes, puede convertirse en la mejor práctica. Una evaluación exhaustiva de los controles, combinada con la cuantificación del riesgo y la planificación del seguro, es un comienzo. No obstante, la gestión del riesgo de terceros exige realmente un modelo de aseguramiento continuo, con un escaneo cibernético permanente y la búsqueda de amenazas. Las organizaciones también deben estar preparadas para responder, y tienen la tarea de elegir al proveedor adecuado de respuesta ante incidentes.
Concentrándose en los controles: Ransomware
A partir de la pandemia, el número y la variedad de los ataques de ransomware se dispararon en 2020. Las aseguradoras informaron del aumento del volumen de reclamaciones hasta alcanzar un 336% desde el comienzo de 2019 hasta 2020. Se espera que los costes empresariales asociados al ransomware alcancen los 20.000 millones de dólares en 2021. El ransomware ya no se limita al simple modelo de «pagar para desencriptar», y los datos pueden ser vulnerados, borrados o incluso subastados. La interrupción del negocio es muy probable.
A finales de 2020, siete de cada diez ataques de ransomware incluían la amenaza de filtrar datos robados y comprometidos, y algunas variantes amenazaban con llegar a subastar los datos robados. También surgió la destrucción de datos, en la que se borran permanentemente servidores o grupos de datos. Además del ransomware, el año 2021 supondrá gestionar un riesgo constante por parte de los ciberdelincuentes, financiados por naciones extranjeras en su piratería hacia empresas privadas, alineándose todo ello con las actividades e intereses patrocinados por Estados.
Toda esta complejidad no pasa desapercibida para las aseguradoras. Muchas citan el ransomware como uno de los principales factores que afectan a sus ratios de siniestralidad en los ciberseguros, y el 62% de los suscriptores citan el control de acceso como un tema crítico. Es fundamental demostrar acciones concretas de mitigación de riesgos o las empresas podrían estar sujetas a primas cibernéticas muy elevadas. Tomar medidas para reducir la huella de exposición de su compañía y minimizar el impacto de la exfiltración de datos es crucial. Se recomienda contratar únicamente a profesionales de ciberseguridad cualificados para identificar las vulnerabilidades, establezcan planes de continuidad del negocio suficientes y ayuden a dar respuesta a sus brechas de seguridad, presentes o futuras.
Perfeccionando la base: Normativa y Regulación
En 2020 las empresas se esforzaron por comprender si debían invertir en el cumplimiento de normativas y regulaciones. Las acciones varían enormemente según los sectores y los segmentos de facturación.
Los rápidos cambios forzados por la pandemia de COVID-19 sólo sirvieron para ampliar aún más las brechas de cumplimiento preexistentes, y potencialmente, generar otras nuevas. Un ejemplo ficticio, pero totalmente realista, podría ser el de una organización sanitaria que hubiera lanzado rápidamente la telemedicina para salvar vidas y, al hacerlo, hubiera obviado algunos elementos del cumplimiento regulatorio aplicable. O un minorista que podría haber firmado una docena de contratos con terceros para ampliar rápidamente su negocio digital, renunciando a la debida diligencia en materia de ciberseguridad. Ahora es el momento de corregir los errores del pasado y perfeccionar los aspectos básicos para garantizar el éxito en el futuro.
A medida que la evolución digital se cruza con la medicina, el sector sanitario verá materializado un mayor nivel de exigencias normativas. El nuevo Reglamento de Dispositivos Médicos (MDR) de la UE es obligatorio y exige a los fabricantes que tengan en cuenta los principios de gestión de riesgos, incluida la seguridad de la información, así como la protección contra el acceso no autorizado. Es un tema complejo y las organizaciones que se ven afectadas por el riesgo regulatorio deben estar atentas.