Guidewire Software Inc, es una plataforma de software con sede en California que brinda servicios tecnológicos a compañías de seguros generales, ayudándolas a adaptarse y prosperar en un contexto de rápidos cambios. Actualmente, se encuentran analizando el impacto del COVID-19 en la industria financiera y de seguros. Recientemente Erin Kenneally, directora de Cyber Risk Analytics de la empresa y especializada en el liderazgo de pensamiento estratégico, realizó un análisis sobre las implicancias de la pandemia en el riesgo cibernético.
Según su mirada, si bien los esfuerzos de mitigación de COVID-19 se centran justificadamente en las preocupaciones humanitarias, las empresas financieras y de seguros quizás no son conscientes de las implicaciones asociadas al riesgo cibernético de lidiar con el COVID-19. “Hay malas noticias y buenas noticias desde una perspectiva del riesgo cibernético”, señala Kenneally.
La mala noticia es que podemos esperar que la expansión de la exposición al riesgo cibernético corporativo refleje la propagación de COVID-19 en los sectores geográficos globales. A medida que las empresas adopten políticas de trabajo desde el hogar, una consecuencia resultante será probablemente un aumento en el número de objetivos potenciales disponibles para la explotación por parte de los ciber adversarios. Así como los desastres naturales engendran estafadores que buscan aprovecharse de una población vulnerable, la crisis COVID-19 promete revelar su propio estrés en nuestra infraestructura de TI y la marca resultante de cibercriminales oportunistas”, detalla la directora.
Para Kenneally, la buena noticia es que las amenazas y vulnerabilidades anticipadas son ampliamente conocidas, prevenibles y defendibles.
Guidewire comparte los principales factores de riesgo cibernético que las organizaciones deben considerar. Algunas recomendaciones para reducir la exposición al riesgo y una muestra de las capacidades analíticas que Guidewire Cyence puede aportar para cuantificar las exposiciones y efectos organizativos y agregados al riesgo cibernético.
Factores de riesgo cibernético
A raíz de COVID-19, la exposición empresarial al riesgo cibernético puede resultar de una migración mal preparada de la fuerza laboral a operaciones remotas, donde los empleados acceden a redes corporativas internas desde fuera de la infraestructura corporativa central.
Los siguientes factores aumentan la exposición al riesgo:
- Insuficiente capacidad y experiencia en infraestructura de TI
- Gobierno de datos y gestión de riesgos empresariales inadecuados.
- Estrategia de seguridad, arquitectura y controles inadecuados.
- Aplicación ineficaz de políticas de trabajo remoto con controles técnicos y administrativos.
Vectores de amenazas y vulnerabilidades
Dados los factores de riesgo relacionados con una fuerza laboral remota, es probable que aumente la frecuencia de las amenazas, como la ingeniería social, el correo no deseado, la suplantación de identidad y los ataques de denegación de servicio. El nivel de gravedad de una amenaza particular es una función de qué tan bien las empresas pueden implementar contramedidas y establecer medidas de resistencia.
Recomendaciones, implicaciones y análisis
Hay recursos disponibles para guiar a las empresas a reforzar la confidencialidad, disponibilidad e integridad de sus datos y sistemas comerciales en un régimen de fuerza laboral remota. Similar a las recomendaciones básicas de higiene para abordar COVID-19, las empresas deben considerar la higiene cibernética fundamental para evaluar y reducir la exposición remota al riesgo cibernético de la fuerza laboral.
Aunque el impacto de COVID-19 en las cadenas de suministro y las economías mundiales aún no se comprende completamente, se deben anticipar los efectos de segundo orden en el riesgo cibernético de las empresas para seguir los patrones de ataque y las susceptibilidades mencionadas. En el contexto actual de una fuerza laboral remota distribuida a gran escala, las características novedosas son la escala y la velocidad con que estas amenazas pueden presentarse.
En el mejor de los casos, donde la división de TI de una empresa ha reducido de manera proactiva sus factores de riesgo, una empresa aún puede estar expuesta a amenazas cibernéticas que se dirigen a sus cadenas de suministro menos preparadas, como mano de obra, servicios y proveedores de productos.
Ninguna de estas exposiciones anticipadas tiene implicaciones sin precedentes para la transferencia de riesgos a través del seguro cibernético desde el punto de vista de las coberturas establecidas, como la violación de datos, la responsabilidad, la interrupción de la red y la extorsión. Otras líneas de negocios no afirmativas que pueden verse afectadas incluyen líneas de propiedad, financieras y de responsabilidad general.
Un efecto secundario notable de COVID-19 es la acumulación de riesgo cibernético. Las empresas de todas las industrias dependen más de las infraestructuras de información y telecomunicaciones. A medida que aumentamos la eficiencia de las plataformas y el software habilitados para Internet, aumentamos las dependencias y el potencial de riesgo agregado. El resultado es un aumento en la frecuencia y magnitud de los daños en cascada y sistémicos.
La clave para reducir la exposición cibernética radica en comprender la naturaleza, el alcance y el impacto proyectado del riesgo cibernético. Para las aseguradoras, esto es esencial para definir segmentos y adaptar el precio, determinar los riesgos graves, comprender la exposición al riesgo en una cartera y determinar el grado de automatización de siniestros.
Las capacidades de recopilación de datos, análisis y ciencia de datos de la plataforma de Guidewire Cyence – la cual comprende aplicaciones de análisis de riesgos y escucha de datos para comprender y modelar riesgos P&C nuevos y en evolución- pueden ayudar a las partes interesadas a diagnosticar, cuantificar, pronosticar y remediar estos riesgos cibernéticos. Por ejemplo, utilizando datos empíricos y análisis basados en mediciones, podemos identificar rutas de agregación de riesgos empresariales basadas en dependencias de red en casos en los que un servicio sufre interrupciones o interrupciones.
Créditos Foto: redseguridad.com