Las violaciones masivas de datos que comprometen los registros de millones de consumidores continúan apareciendo en las noticias, a pesar del crecimiento continuo en los presupuestos corporativos de seguridad cibernética. Según Gartner, se espera que las empresas de todo el mundo gasten USD$124 mil millones en tecnología de seguridad de la información en 2019, un aumento del 8,7% en comparación con 2018.
Pero los atacantes cibernéticos se están adaptando a medidas de seguridad cibernética más sofisticadas y, según McAfee, se prevé un aumento del costo global de la ciberdelincuencia, que actualmente se calcula en alrededor de USD$600 mil millones al año.
Avanzando hacia inversiones basadas en el conocimiento
Aparte del riesgo masivo para la continuidad operativa y el desempeño financiero que representan los ataques cibernéticos, los reguladores y las entidades de gobierno en muchas jurisdicciones requieren la implementación y supervisión de la ciberseguridad, comenzando a nivel de la junta directiva. Para ser eficaz, se debe implementar una estrategia de gestión de riesgos cibernéticos a nivel de empresa y contar con las inversiones necesarias en mitigación, transferencia de riesgos y planificación de la resiliencia.
Un primer paso importante para las empresas es cuantificar la exposición cibernética en términos de su posible impacto económico en las finanzas y la continuidad de las operaciones. Esto puede permitir una toma de decisiones informada y una buena estrategia de inversión de riesgo cibernético que mide su rendimiento en relación con el riesgo que busca mitigar. Sin embargo, según una encuesta realizada durante un reciente webcast de Marsh, muchas organizaciones no han cuantificado su riesgo cibernético.
La inversión en tecnología es necesaria, pero no suficiente
A pesar de la escalada en curso en el gasto en seguridad cibernética, invertir solo en tecnología no es suficiente. Si bien la mitigación del riesgo es importante, no existe una bala de plata de ciberseguridad que garantice eliminar el riesgo cibernético. El error humano se cita a menudo como el factor más frecuente e influyente que contribuye a los eventos cibernéticos, ya sea porque es la causa principal de un evento, por ejemplo, el hecho de no practicar una buena higiene de las contraseñas, o porque la respuesta al ataque es una manipulación incorrecta, lo que lleva a un mayor impacto financiero.
Eso significa que las organizaciones deben desarrollar estrategias de gestión de riesgos cibernéticos que incluyan una actualización continua de la respuesta a incidente, así como a la tecnología y las capacitaciones. Lo anterior debe complementarse con programas de seguros efectivos que brinden a las organizaciones una cobertura adecuada basada en el impacto financiero estimado que sufrirían como resultado de un potencial evento cibernético.
Si bien la mayoría de las pólizas cibernéticas incluyen una gama de coberturas básicas, deben adaptarse al perfil de riesgo único de una organización, teniendo en cuenta lo siguiente:
Su uso y dependencia de la tecnología.
Sus compromisos y obligaciones con terceros, incluidos clientes, proveedores y proveedores.
Cómo recopila, maneja, almacena y transmite la información personal y confidencial que recopila.
Las empresas siguen aumentando la inversión en activos intangibles, que son más susceptibles a los ataques cibernéticos. A medida que estos activos intangibles forman una proporción mayor del balance de la compañía, su destrucción o robo se vuelve más devastador financieramente. Por lo tanto, corresponde a los líderes empresariales reconocer las amenazas cibernéticas como un riesgo para hacer negocios, al tiempo que se entiende que este riesgo se puede gestionar de manera efectiva a través de una estrategia conjunta de mitigación, transferencia de riesgos y planificación de la resiliencia. Al igual que la instalación de rociadores de edificios no niega la necesidad de un seguro de propiedad, la tecnología de ciberseguridad no debe reemplazar, sino ser un compañero del seguro cibernético.