Autenticación Multifactor: un requisito para los seguros cibernéticos
Los delitos informáticos se han convertido en un problema grave. En 2022, el coste promedio de una filtración de ransomware es de $4,26 millones y, según la industria, esta cifra puede ser mayor (sector salud y financiero en particular). Debido a esto, las empresas de hoy se enfrentan a un proceso de suscripción de seguros cibernéticos más riguroso, con un alto nivel de escrutinio sobre los controles de seguridad y los procesos y procedimientos internos en torno al riesgo cibernético.
Para calificar para la cobertura de seguro cibernético ahora, muchas agencias de seguros requieren autenticación de múltiples factores. Debido a que la Autenticación Multifactor (MFA) puede prevenir el 90 % de los ataques cibernéticos, queda claro por qué es un requisito en la actualidad.
PortalGuard es una excelente opción de Autenticación Multifactor (MFA) que cumple con los requisitos de seguro cibernético. Ofrece opciones de autenticación flexibles y asigna sus soluciones actuales bajo un único conjunto de políticas para los usuarios remotos y locales.
¿Qué es el Seguro Cibernético?
Hoy en día, ninguna empresa es inmune al ciberdelito, sin importar el tamaño ni la industria. Las empresas deben implementar estrategias que prevengan los ataques cibernéticos y, al mismo tiempo, mitiguen las pérdidas y los daños de los ataques, lo que lleva a la discusión sobre los seguros cibernéticos.
El seguro cibernético ayuda a las empresas a mitigar las pérdidas de una variedad de incidentes cibernéticos, como violaciones de datos con información personal o daños en la red. Sin embargo, el seguro cibernético no protege contra el ciberataque, sino que ayuda antes, durante y después del evento. Las aseguradoras cibernéticas ayudan a las organizaciones con las consecuencias financieras de estos ataques, por lo que cuando sucede, las empresas no tienen que preocuparse por el alto coste.
El panorama de los seguros cibernéticos
¿Cómo determinan las aseguradoras cibernéticas cuánto riesgo hay en una empresa? Bueno, las aseguradoras cibernéticas analizan los datos y el riesgo de ciberseguridad, pero este proceso se ha vuelto más complicado. Con los empleados trabajando de forma remota, los ataques de ransomware continúan aumentando en frecuencia y gravedad, lo que afecta a todas las industrias, especialmente a la atención médica, la fabricación, las instituciones educativas y las entidades públicas. En última instancia, esto ha llevado a un auge en el mercado de seguros cibernéticos, aumentando la demanda de cobertura de reaseguro cibernético debido a una mayor conciencia de los riesgos cibernéticos. De hecho, ya hemos visto aumentar los precios de los seguros cibernéticos en un 35 % en 2021, el mayor aumento desde 2015. El mercado de los seguros cibernéticos está evolucionando rápidamente y las empresas ahora enfrentan primas más altas, cambios regulatorios y nuevas dificultades en el proceso de renovación.
Al igual que el seguro de salud, el seguro cibernético solo se proporciona en función de los requisitos de calificación, por ejemplo, cómo los proveedores de seguros de salud pueden revocar los seguros de salud en función de condiciones preexistentes. Con la rapidez con la que ha cambiado la dinámica de la ciberseguridad, existen requisitos de calificación más estrictos. Por ejemplo, implementar soluciones más sólidas como la Autenticación Multifactor (MFA) y la Biometría vinculada a la identidad (IBB) pueden reducir en gran medida el riesgo cibernético, calificando a esas organizaciones para el seguro cibernético.
Las aseguradoras se dan cuenta de que las empresas que no utilizan controles de seguridad como la Autenticación Multifactor (MFA) y la biometría basada en la identidad (IBB) tienen un riesgo sustancialmente mayor de sufrir ataques. Ahora, las aseguradoras exigen que los clientes implementen esas soluciones de seguridad y aumentan las primas para aquellos que no implementan esas soluciones.
¿Por qué invertir en seguros cibernéticos?
El seguro cibernético se está volviendo tan importante para las empresas como lo es el seguro de salud para las personas. Algunas empresas, específicamente las más pequeñas, son reacias a comprometerse a invertir en seguros cibernéticos y mejorar sus protocolos de seguridad. Incluso si cree que su empresa es demasiado pequeña, ninguna empresa puede permitirse el lujo de no tener un seguro cibernético hoy.
Cuando se produce un ciberataque, tu empresa se enfrentará a la decisión de pagar el rescate para descifrar tus archivos o no pagar. Si tu empresa no está asegurada, lo más probable es que no pueda pagar el rescate. Si puede, la cantidad será astronómica y tendrá un impacto financiero a largo plazo.
Ya no es seguro para las empresas pasar el seguro cibernético, incluso si existe un plan de recuperación sólido. Tener un seguro cibernético puede aumentar sus posibilidades de recuperar datos críticos y proteger la reputación de tu empresa.
¿Qué necesitas para estar cubierto por un seguro cibernético?
Cada empresa corre el riesgo de ser víctima de un delito cibernético, pero el riesgo de cada empresa es diferente. Algunos están en un nivel más alto que otros. Algunas empresas pueden tener la Autenticación Multifactor (MFA) o confianza cero implementada en tu empresa, mientras que otras aún confían en el nombre de usuario y la contraseña básicos. Además, su industria juega un papel importante en la posibilidad de ser una víctima. Evalúa tu riesgo de ser víctima de un ciberataque.
Los cambios en el mercado de seguros cibernéticos, sin embargo, no se limitan solo a aumentos de precios y restricciones de cobertura. Los requisitos de suscripción de responsabilidad cibernética se han vuelto más estrictos y las aseguradoras ahora han comenzado a solicitar información adicional sobre seguridad y controles de procesos que esperan que las empresas implementen para protegerse de un ataque cibernético. Aquí hay un ejemplo de Woodruff Sawyer (mira la tabla a continuación).
Aquí hay otras notas para tener en cuenta.
Debes verificar las políticas de la empresa y prestar atención a lo que sucede en un ataque de ransomware. Cuando estés renovando un seguro cibernético, debes fijarte en los requisitos que tiene la aseguradora. Las empresas que tenían seguro antes o durante la pandemia necesitan ver si actualmente cumplen con los protocolos de seguridad sugeridos. Las empresas pueden recibir una advertencia para cambiar sus protocolos al año siguiente.
Sin embargo, estas actualizaciones y cambios de protocolo no son cambios rápidos de la noche a la mañana. Las empresas necesitan tener un plan de proyecto para realizar estos cambios.
Para las empresas que compran un seguro por primera vez…
Las empresas deben revisar los detalles de las posibles políticas y asegurarse de que los términos y requisitos satisfagan sus necesidades. Presta especial atención a los requisitos de respuesta de recuperación y los requisitos de respaldo de datos, así como los requisitos para recibir el pago de las reclamaciones cuando se produce una infracción. Cobrar un seguro después de una infracción puede ser un desafío y las empresas deben demostrar que el impacto de una infracción cumple con los requisitos en torno a los controles de seguridad esperados. Nuevamente, es como un seguro de salud en el que los pacientes deben demostrar que cumplen con los requisitos para el tratamiento y, si no pueden, deben pagar de su bolsillo.
Las aseguradoras cibernéticas exigen pruebas de que el incidente está incluido en sus pólizas y es algo que puede cubrirse.
No te detengas en el seguro cibernético: es solo una pieza del rompecabezas.
Una vez que las empresas comprenden sus riesgos, pueden implementar medidas de seguridad efectivas como la Auntenticación Multifactor (MFA). Las empresas tienden a detenerse en el seguro cibernético, pensando que es el final de todo, ser toda la estrategia. Sin embargo, las empresas deben implementar soluciones de seguridad más sólidas ahora antes de que las aseguradoras les exijan implementar los protocolos. ¿Qué sucede si la empresa enfrenta un ataque cibernético antes de contratar un seguro cibernético? Las empresas deben ser proactivas para reducir sus posibilidades de ser atacadas.
Las empresas deben contar con:
- Autenticación Multifactor (MFA)
- Autenticación contextual (adaptativa)
- Educación, específicamente capacitando a los empleados en riesgos cibernéticos.
La Autenticación Multifactor (MFA) mejora la seguridad al exigir que los usuarios se autentiquen mediante algo más que un simple nombre de usuario y contraseña. Como parte de cualquier estrategia integral de Autenticación Multifactor (MFA), la biometría ligada a la identidad (IBB) también debe incluirse como la única forma de identificar positivamente a una persona, no solo un token, un dispositivo o un teléfono. La biometría vinculada a la identidad está conectada a la identidad digital de una persona, en lugar de autenticar la presencia de su dispositivo, que puede verse fácilmente comprometido y abierto al acceso no autorizado. Aprovecha los métodos de autenticación biométrica, como la huella dactilar, la palma de la mano o el reconocimiento facial para ir más allá de las formas tradicionales de Autenticación Multifactor (MFA) y confirmar que solo los usuarios autorizados son los que obtienen acceso.
Además de la Autenticación Multifactor (MFA), las empresas también deben considerar la autenticación contextual para fortalecer la seguridad y mejorar la experiencia de inicio de sesión para los usuarios. La autenticación contextual tiene en cuenta factores relacionados con el inicio de sesión de un usuario (ubicación, hora, dirección IP, etc.) para evaluar el nivel de riesgo asociado con la solicitud de inicio de sesión. Una solicitud de inicio de sesión se puede bloquear por completo si es demasiado arriesgada, al mismo tiempo que se eliminan los requisitos de autenticación adicionales si el contexto del usuario es de bajo riesgo.
Cuando se trata de seguridad y protección de la organización, las personas suelen ser el eslabón más débil y los atacantes las ven como la mayor vulnerabilidad de una empresa, lo que las convierte en un blanco fácil. Muchas veces, los controles de seguridad que se implementan no son adoptados por los usuarios, quienes trabajan arduamente para eludir los controles. Es imperativo no solo mejorar la seguridad, sino también capacitar a los empleados sobre las mejores prácticas y el «por qué» detrás de cualquier control de seguridad. Enseñar a su personal los conceptos básicos del riesgo cibernético puede prevenir violaciones de seguridad.
Hoy en día, los ciberataques se están volviendo inevitables. Si las empresas no evalúan su riesgo, invierten en seguros cibernéticos e implementan medidas de seguridad más estrictas, enfrentarán ramificaciones importantes cuando ocurra un ataque. Las empresas deben ser proactivas al abordar su riesgo de seguridad cibernética, haciendo la debida diligencia al verificar las políticas y los requisitos del seguro cibernético y actualizando sus protocolos de seguridad antes de que se les solicite. Las empresas bien preparadas toman medidas tanto para prevenir ataques como para mitigar el daño cuando los ataques inevitablemente ocurren.
Mira la autenticación adaptable de PortalGuard en acción
Disfruta esta breve demo de Autenticación Adaptativa de PortalGuard y después regístrate a nuestra prueba gratuita para probarlo.
Find out what PortalGuard® can do for your business.