Cómo afectan los entornos de trabajo híbridos a la cobertura del seguro de ciberseguridad

Nate Smolenski, Responsable de estrategia de Ciberinteligencia de Netskope lo explica

Cuando una organización busca una cobertura de ciberseguro su aseguradora le suele solicitar diversos datos relativos a controles en torno a la seguridad de la información, la recuperación ante desastres y de los requisitos y mejores prácticas tecnológicas y de riesgos relacionados. 

Cuando los datos de la organización residen únicamente en las instalaciones, documentar, evaluar y mantener estos controles supone ciertos retos, aunque estos suelen ser bastante sencillos de asumir por los departamentos de TI, seguridad y negocio. Estos es posible que tengan que instalar ciertos tipos de cerraduras en las puertas de los centros de datos, añadir cámaras para vigilar el tráfico de personas o implementar protocolos específicos que limiten quién puede acceder a qué información. No obstante, en los sectores muy regulados, los requisitos de las aseguradoras suelen coincidir con el cumplimiento de la normativa.

Sin embargo, la pandemia supuso un revulsivo para los seguros de ciberseguridad y la gestión de los ciberriesgos de muchas organizaciones. Cuando una parte importante de la plantilla comenzó a trabajar a distancia, la estructura de control de seguridad adecuada se volvió menos clara. El reto se vio agravado por el aumento simultáneo del uso corporativo de soluciones de software como servicio (SaaS).

Hoy en día, tal vez lo único más difícil que construir una estructura de control eficaz sea ofrecer la evidencia de que la estructura está protegiendo efectivamente las aplicaciones corporativas, los datos y los usuarios.

Es más, ahora, los responsables de ciberseguridad de las empresas deben centrarse en comprender cómo deben estructurarse sus controles después de la COVID, así como en la forma de acreditar dichos controles a los auditores internos y externos, además de a sus aseguradoras.

¿Qué ha cambiado exactamente?

La pandemia inspiró una migración de las fuerzas de trabajo en todo el mundo. Ahora, muchos empleados siguen asumiendo las mismas labores que hacían en la oficina, pero desde casa u otros lugares remotos, por lo que es más difícil que los métodos tradicionales de seguridad perimetral sean eficaces. Incluso aunque el departamento de seguridad pudiera desplazarse a la residencia de cada empleado, instalar cámaras de seguridad y cerrojos en las puertas de las oficinas domésticas, no tendría sentido. Tampoco lo tendría que un auditor externo se trasladase a cada una de las distintas ubicaciones para validar que el entorno de seguridad del empleado es adecuado.

Ciertamente, antes de la pandemia sufrida a nivel mundial, se planteaban retos similares. Algunas personas viajaban por su trabajo, mientras que otras, ocasionalmente, se llevaban el trabajo a casa por la noche. Los responsables de seguridad exigían a este tipo de trabajadores remotos que se conectaran a la red corporativa a través de una red privada virtual (VPN). Los auditores podían preguntar cómo protegía la empresa esas conexiones, pero cuando la organización necesitaba demostrar que sus controles más cruciales funcionaban, los empleados remotos solían ser la excepción y no la regla.

El trabajo híbrido y la transformación en la nube han dado la vuelta a esa ecuación. La importancia y la eficacia de los controles basados en el perímetro y las tecnologías de seguridad relacionadas se han desvanecido. Tener que conectarse a la red corporativa antes de utilizar una aplicación SaaS o navegar por Internet puede resultar tedioso y conllevar una mala experiencia de usuario.

Durante la pandemia, algunas organizaciones tomaron decisiones tecnológicas arriesgadas para el acceso remoto al permitir que se pasaran por alto las soluciones de acceso remoto sobrecargadas y saturadas, lo que aumentó sus superficies de ataque. Esto, combinado con el incremento del tiempo personal invertido en los dispositivos, extendió la superficie de ataque a servicios a menudo confiables como Office 365, Google Suite y otras herramientas utilizadas por los empleados en su vida profesional y personal. También, ha dejado lagunas en muchas estrategias tecnológicas de seguridad en las que las capacidades tradicionales carecen de la habilidad de determinar la diferencia entre una instancia corporativa de Office 365 y una personal utilizada en casa. Como resultado de este entorno operativo empresarial que cambia rápidamente y del panorama laboral híbrido, los requisitos de control de los proveedores de ciberseguros no han hecho más que intensificarse a medida que la frecuencia de los ataques y las pérdidas resultantes de los incidentes de seguridad siguen aumentando.

¿Cuáles son las expectativas de las aseguradoras?

Cuando una organización busca una póliza de ciberseguro, la aseguradora naturalmente reclama información sobre el negocio potencial, el entorno operativo, el programa de ciberseguridad y los controles relacionados. Esta información suele obtenerse a través del proceso de solicitud principal, la solicitud de cobertura complementaria y la metodología de evaluación general necesaria para respaldar la suscripción del riesgo. El proceso de explicar los controles, proporcionar una visión general del programa de ciberseguridad/gestión de riesgos y facilitar la documentación de apoyo es un punto de partida para comenzar, pero cada vez más las aseguradoras también esperan ver pruebas.

La presentación de pruebas puede apoyarse a menudo en atestados derivados de auditorías externas, evaluaciones y pruebas de intrusión. Sin embargo, cualquier resultado de auditoría o evaluación refleja la eficacia y el estado de funcionamiento de los controles durante un período de tiempo estático y, por lo tanto, no expresa los flujos y reflujos de cómo la superficie de ataque de una organización puede cambiar rápidamente. Cada vez más, las compañías de seguros se orientan hacia la posibilidad de supervisar continuamente a sus asegurados en busca de cambios para poner de relieve los riesgos y vulnerabilidades emergentes que podrían indicar, y predecir mejor, las situaciones que pueden dar lugar a una reclamación. 

¿Qué significa esto tanto para el asegurado como para la compañía de seguros?

La realidad es que ambas partes tienen la oportunidad de obtener información gracias a la visibilidad continua. El reto es que, con el trabajo híbrido y los impactos de la continua transformación digital en las empresas, es crucial mirar más allá del inventario de usuarios, identidades, dispositivos, aplicaciones y datos que pueden extraerse del entorno operativo del centro de datos tradicional. Ahora es fundamental comprender plenamente esos puntos de datos clave junto con el inventario de los servicios en la nube en uso: los que son permitidos por TI; los que son impulsados por las unidades de negocio (TI en la sombra); y los servicios más personales que son introducidos cada día por los usuarios finales.

Si bien el inventario es un punto de partida, también es importante comprender quién accede a esos servicios y cómo están configurados, así como la cantidad de datos que se envían a los servicios en cuestión, todos ellos elementos clave que pueden cambiar rápidamente el perfil de riesgo de un asegurado y que a menudo no se controlan. Por último, es necesario evaluar los mencionados servicios en la nube desde la perspectiva de los riesgos y amenazas de la cadena de suministro y ser capaz de responder a las preguntas sobre la estrategia de seguridad en la nube de la organización.

El sector está viendo cómo cada vez más aseguradoras integran la ciencia actuarial, la evaluación de la superficie de ataque de la ciberseguridad, los controles y la supervisión de las amenazas, basando los precios en predicciones basadas en la telemetría sobre qué usuarios tienen más probabilidades de sufrir una violación de datos u otro incidente de seguridad que dé lugar a una reclamación. Independientemente de si eso llega a suceder o cuándo, los responsables de seguridad que están transformando sus entornos y modernizando sus arquitecturas cuentan con las capacidades y los datos necesarios para comprender sus ciberriesgos y, en última instancia, aportar pruebas de que están gestionando eficazmente el riesgo que desean transferir.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba