Cyber seguros: ¿Generador de valor o costo a cargar?

El rápido avance de la tecnología está impulsando un cambio significativo en muchas industrias. Como resultado, se generan grandes cantidades de datos, que pueden aprovecharse en información para facilitar y dar sentido a un mundo en constante movimiento. Los datos se consideran ahora un generador de riqueza para el siglo 21. En consecuencia, los costos financieros de la pérdida de datos causado por ciber eventos pueden ser sorprendentes. Por ejemplo, la publicación de un ataque altamente costoso orientado a instituciones como el retail o financieras alcanza la astronómica suma de US$ 348 millones.¹ Otro ataque cibernético costoso fue el ataque a la cadena de hoteles Wyndham, en donde no sólo se perdieron los datos de tarjetas de crédito de más de 619.000 clientes, sino que causó US$ 10,6 millones en pérdidas, lo que sometió a la empresa a una demanda del gobierno de los Estados Unidos por prácticas comerciales engañosas y ser atacado en tres ocasiones.² Otro ejemplo son los ataques que utilizan CryptoWall (precursor del Ramsomware), lo que causó US$ 18 millones en pérdidas en 2014 correspondientes a pagos de rescates para desencriptar datos personales.³

Es posible que el enfoque en la seguridad cibernética no haya sido lo suficientemente incisiva, ya que los cibercriminales continúan elevando la complejidad, con ataques más sofisticados y con el apoyo de la Dark Web, que consiste en sitios web que ocultan su identidad y típicamente se accede por una red cifrada (por ejemplo, Tor) que también oculta la identidad del usuario, lo que permite un mercado negro de comercio electrónico lucrativo de los datos robados de fuentes legítimas. A pesar de que el impacto a corto plazo de un ataque cibernético puede ser abrumador, las consecuencias a largo plazo pueden ser nefastos.

Algunas de esas consecuencias a largo plazo incluyen:

• Continuidad del negocio/interrupciones en la cadena de suministro
• Encontrar y corregir vulnerabilidades
• La responsabilidad forense de los datos perdidos y administración de respaldos
• La restauración de datos
• Gasto de notificación a los afectados
• El pago de un rescate de datos o ciber extorsión
• Protección contra el robo de identidad y monitoreo de crédito
• Volver a emitir tarjetas comprometidas
• Regulatorias y sanciones civiles
• Juicios de accionistas contra la junta y la administraciónt
• Honorarios de abogado durante las investigaciones y comparendos
• La pérdida de la ventaja competitiva y mercados conquistados
• Daños a la marca
• La pérdida de clientes, beneficios y empleos

La probabilidad de incurrir en uno o más de estos daños y el impacto que tienen sobre una organización, depende de una combinación de factores, pero no están limitados a el:

• Tipo de ataque, por ejemplo, denegación de servicio distribuido (DDoS) vs. ransomware
• Alcance de ataque, por ejemplo, dejar una red fuera de operación por varios días frente a una toma de control de una cuenta en medios sociales sólo unas pocas horas
• La complejidad de ataques a la red, por ejemplo, alto nivel de conexiones con terceros proveedores vs. impacto sólo para telecomunicaciones debido a que se encuentran alojados en una nube segura
• Tiempo de ataque, por ejemplo, durante un ciclo conciliación de datos o negociaciones de compra vs. horas de baja demanda
• Area de negocio afectada, por ejemplo, caída de servicios de misión crítica, prevención caídas de actividades de negocio vs. indisponibilidad de servicios no esenciales
• Capacidad para la organización afectada, por ejemplo, las políticas y los procedimientos de recuperación inexistentes vs. programa de respuesta ante incidentes

Una encuesta en el 2016 encontró que un 66pro ciento en USA, el 75 por ciento en el Reino Unido y el 57 pro ciento de los alemanes eran propensos a dejar de hacer negocios con una organización que sufrió hackeo.⁴ Aunque las compañías más grandes pueden estar mejor preparados para resistir un Cyberstorm y sus correspondientes secuelas, según Experian, el 60 por ciento de las pequeñas empresas cierran sus puertas dentro de los seis meses después de un ataque,⁵ haciendo de la ciberdelincuencia una igualdad de oportunidades con consecuencias desiguales. Por lo tanto, las organizaciones se beneficiarían de utilizar las estrategias de gestión del riesgo de evasión, la mitigación, la aceptación y transferencia. En otras palabras, la realización de todas las actividades de negocio de forma manual, en lugar de utilizar cualquier tipo de tecnología, puede ayudar a evitar por completo ciber riesgo. Esta estrategia sin embargo, es susceptible de crear una desventaja competitiva en la era moderna, y es poco probable que sea una opción viable para la mayoría de empresas. Securizar el perímetro de la red con servidores de seguridad, IPS, el parchado oportuno de vulnerabilidades y configuraciones son los métodos de línea de base para mitigar o disminuir el ciber riesgo. Teniendo un programa robusto de monitoreo, generando políticas formales para revisión de registros de auditoría de forma poco frecuente debido a otras prioridades, demuestra la aceptación de riesgos, es decir el nivel de riesgo dado su consentimiento de su gestión.

Con las filtraciones de datos, hackeos supuestamente inevitables y su impacto nocivo ostensiblemente ineludible, las empresas están empezando a considerar cyberinsurance (póliza de seguros contra ciber ataques) como un componente de estrategia de transferencia del riesgo. En otras palabras, las organizaciones contractualmente obligan a una aseguradora a aceptar la totalidad o parte de su riesgo en el caso de un ataque cibernético y/o incumplimiento.

Tipos de políticas

Una política tradicional de responsabilidad general sólo cubre daños a la propiedad, por lo que es insuficiente para abordar casos cibernéticos porque los datos son intangibles. Ante estas deficiencias, hay aproximadamente 50 aseguradoras globales que ofrecen ciber protección, 35 de las cuales son operadores de los Estados Unidos.⁶ Ofrecen alguna combinación de los cuatro siguientes componentes (figura 1):⁷

1. Errores yomisiones (E&O)—Cubre los reclamos derivados de errores en el cumplimiento del servicio.
2. Responsabilidad de multimedia— Responsabilidad de multimedia cubre ante escenarios de defacement o modificación de sitios web, contenido multimedia, los derechos de propiedad intelectual, la infracción de los derechos de autor/marcas registradas, calumnias e injurias. La cobertura también puede extenderse al contenido fuera de línea.
3. Seguridad en la red y responsabilidad de extorsión—La responsabilidad de seguridad en la red cubre los costos asociados a la transmisión de virus, pérdida de secretos comerciales o solicitudes de patentes y las violaciones de datos. Eso incluye el costo de la restauración de datos, notificación voluntaria, relaciones públicas, gestión de riesgos, interrupción del negocio, y la gestión de crisis. De la misma manera, la responsabilidad de extorsión cubre los daños efectuados a partir de la extorsión, como ransomware o denegación de servicio distribuido (DDoS) que exige pago para detener el ataque.
4. Protección de la privacidad—Incluye la divulgación indebida de datos personales identificables (PII), la salud y la información confidencial. Incluye los costos de investigación, notificación, monitoreo de crédito, las tasas reglamentarias (por ejemplo, Federal de EEUU Trade Commission [FTC] y fiscal general del estado) y asociados y honorarios legales. La privacidad también puede incluir una pérdida de registros físicos debido a un tratamiento inapropiado de archivos, errores humanos (por ejemplo, un ordenador portátil perdido, el envío de información sensible a una dirección equivocada, una fotocopiadora con un disco duro que contiene los registros de clientes) o la colección de información de forma ilícita.

Lo que es cierto acerca de la seguridad de la red y coberturas de privacidad, es que tanto los costos de primera parte y obligaciones de terceros están cubiertos. La cobertura de primera parte se aplica a los costos directos para responder a una falla en la seguridad o por violación de la privacidad. En el caso de un tercero, la cobertura se aplica cuando se demanda a una empresa.

Por otro lado, un ciber seguro no cubre los errores o problemas que ya estaban en conocimiento previo, litigios pendientes, daños a la reputación, la pérdida de ingresos futuros, costo para mejorar los sistemas de tecnología internos, pérdida del valor de la propiedad intelectual, lesiones corporales o daños a la propiedad, y los efectos de los ataques cibernéticos maliciosos. Sin embargo, algunas compañías de seguros, han comenzado a hacer excepciones a la regla, en particular para las dos últimas limitaciones. Por ejemplo, aunque Verizon reportó que entre el 2012 y 2013⁸ se ha triplicado las naciones y estados que patrocinaban estas actividades. Este tipo de ataques deja al descubierto la dificultad en la atribución de perseguir responsabilidades en un ataque nación/estado.

Como amenazas, los corredores mantienen en evaluación la ciber responsabilidad, ya que las aseguradoras necesitan actualizar continuamente las políticas de exclusión.

La letra chica

Aunque hay una gran variedad de políticas disponibles, cada una de ellas está diseñada de manera diferente por las aseguradoras. Sin el debido cuidado, el asegurado puede recibir una política que excluye a la mayoría de las amenazas del mundo real, lugares límites irracionales lo que hace que cubra menos escenarios probables. En particular, una simple notificación fuera de plazo a la compañía de seguros, puede ser una razón común para negar la cobertura. Por ejemplo, una política puede indicar que una violación de seguridad deba ser reportado antes o dentro de los 60 días de vencimiento de la póliza. Sin embargo, en el 2015 un estudio del instituto Ponemon encontró que los ataques cibernéticos no son detectados antes de ocho meses⁹ en promedio, tiempo que es más que suficiente para que se realicen borrado de datos de auditoria, con lo que se impide el análisis forense y acabar con la evidencia legal. Como consecuencia de lo anterior, una compañía que está consciente de que ha sido violada o que ha sido notificada por un tercero, habrá perdido la fecha para presentar un reclamo.

De la misma manera, algunas políticas pueden excluir actualizaciones y mejoras. El pago de objetivos de recuperación que no incluyen la restauración del sistema con los datos más actuales. Esto hace que el sistema quedará nuevamente expuesto a ataques similares dejando el sistema en la misma condición de vulnerabilidad. Los siguientes de casos se han destacados por la naturaleza compleja de los ataques cibernéticos y su impacto en empresas que se nego el reembolso de seguros.

Cottage Health System es un proveedor del área de la salud, que en el 2013 se le negó el cobro de seguro, porque no pudo volver a evaluar continuamente su exposición, la privacidad, amenazas, y prácticas de seguimiento mínimo requerido tales como: la encriptación de los registros médicos en un sistema totalmente accesible a cualquier persona en la Internet.¹⁰

Ubiquiti Networks Inc. Cayó en una popular estafa del CEO en el 2015. Los ciber delincuentes suplantaron la cuenta de correo electrónico del CEO (Gerente), luego enviaron instrucciones a un empleado de una empresa filial en Hong Kong para transferir US$ 39 millones para cuentas en el extranjero que eran controladas por los piratas informáticos. Puesto que el pago fue “voluntario” a través de un empleado, “la empresa no puede obtener cualquiera de las coberturas del seguro”, explicó la compañía en un comunicado.¹¹

Medios BTC tenía el correo electrónico de su CEO comprometido, pero la violación incluye una componente de ingeniería social (spearphishing). A través de la cuenta comprometida del CEO se envió un correo electrónico para una posible adquisición. El director financiero de destino (CFO) con instrucciones para revisar las modificaciones, abrió el archivo adjunto para revisar la propuesta, lo que provocó que las credenciales del CFO también se hicieran conocidas por piratas informáticos. El director financiero reporta a su CEO, que la transacción ya estaba realizada, lo que significó la transferencia de 5.000 bitcoins por valor de US$ 1,8 millones a una cuenta controlada por un usuario remoto. Dado que la fuente de comunicación del ilícito fue a través de correos de BTC medios, el requerimiento a la aseguradora no acogió el pago de su reclamo, porque la política cubría pérdidas sólo de fraude directos.¹² La aseguradora Define “directo” a decir sin ningún interviniente o factores de desviación.

Desafíos

Los estudios de casos antes mencionados plantean la pregunta: ¿Cómo hace uno para evaluar la cantidad de políticas y seleccionar la cobertura adecuada que asegura el reembolso oportuno y adecuado después de un ataque? Aunque las empresas son capaces de discutir sus necesidades ciberinsurance (o seguro contra ataques) con las compañías aseguradoras, hay cuestiones importantes de ambas partes que se deben superar por separado. Para empezar, los aseguradores a través de un proceso de evaluación rudimentaria, pueden aplicar cuestionarios genéricos que examinen el nivel aplicación de ciberseguridad, la gestión de riesgos de una empresa, lo que determina la estrategia para establecer las primas de seguros. A pesar de esto, no hay ninguna línea de base estándar entre compañías de seguros, lo que hace que puedan aplicarse herramientas menos maduras, lo que por consecuencia pueda asumir mayor riesgo de exposición.

Para los clientes potenciales de seguros, la interpretación de las preguntas puede variar significativamente, especialmente si los recursos técnicos no están involucrados en el proceso de respuesta interna de la empresa. Dado que las medidas eficaces requieren varias capas de seguridad, si se pasan por alto una o no se entiende con claridad, puede dar lugar a altas primas y/o mayores políticas de restricciones. Por ejemplo, un programa de cumplimiento fuerte no necesariamente significa que es un programa efectivo de seguridad de la información, y vice versa. Por otra parte, la adopción de cualquier programa no necesariamente corresponde a una reducción del riesgo. Con la seguridad cibernética dinámicamente en evolución, si la administración, abogados o corredores carecen de conocimiento para evaluar las preguntas y garantías de que disponen, se pueden pasar por alto una oportunidad para negociar la política más favorable para maximizar la responsabilidad de protección. Por otra parte, los seguros que detallan controles que eventualmente no son examinados por el asegurado hasta después de que se produce un incidente. De ahora en adelante, si se comprueba que la información presentada por el negocio exagera los controles que realmente se aplican en terreno, puede hacer que el conjunto de la política sea inútil después de un incidente.

Siguiendo la tendencia, compañías de seguros, corredores y aseguradores carecen del conocimiento para evaluar este tipo de riesgos o protecciones de orden tecnológico. Se requiere un conocimiento especializado, pero la seguridad de TI necesita un enfoque centrado en la experiencia, porque el impacto de la cibernética trasciende mucho más allá del Departamento de TI. La mejor práctica en seguridad cibernética continúa evolucionando, lo que refuerza la idea de que las soluciones que funcionan bien en la actualidad, podrían convertirse obsoletas el día de mañana. Una política de seguridad en una empresa de constante evolución, también aumenta el panorama de las amenazas que aumentan la complejidad de determinar el alcance y el costo adecuado de cobertura. La naturaleza interconectada de los medios informáticos más las redes con las que una sola empresa interactúa estará sujeta a riesgo. Conseguir una imagen clara del riesgo material, también debe ser evaluado por una tercera parte, por lo que no es tarea fácil para una compañía de seguros. Y los riesgos que representan los aumentos en la adopción de criterios de valoración, los medios sociales y la Internet de las cosas (IoT) no se deben pasar por alto. Por ejemplo, puede ser difícil asociar de manera concluyente un caso de robo de identidad a un único vector de ataque, debido a que la violación podría ocurrir a partir de un teléfono perdido, o ingresando a un sitio web infectado, los datos robados en tránsito en tiempo real o un dispositivo conectado a una red pública de Wifi. Las aseguradoras deben superar esta amplia brecha de conocimiento, ya que debe tratar de averiguar el tipo, la frecuencia y gravedad de las ciber amenazas que enfrenta una organización.

Los primeros días de esta industria presenta desafíos adicionales dignos de considerar. Por ejemplo, la presión del gobierno para informar los detalles de violaciones sin una garantía de inmunidad, desincentiva las empresas a compartir datos de análisis ataques. De la misma manera, la percepción negativa que rodea al mercado inhibe a las compañías a hablar de sus incidentes cibernéticos a menos que sea absolutamente necesario.

Esta paradoja restringe el flujo de datos y tendencias históricas lanzados al mercado, lo que las compañías de seguros podrían aprovechar para para realizar comparaciones dentro del espectro de industrias. Desde un punto de vista jurídico, el término cyberinsurance (o seguro cibernético) todavía relativamente nueva en los contratos y no está bien litigado. Por esa razón, la falta de elementos robustos obliga a los tribunales a ser reacios a escuchar cybercasos, lo que conduce a disputas dirigida principalmente a través de arbitraje.

Retorno de la inversión

TEl mercado de cyberinsurance es relativamente nuevo, impredecible, y que carece de datos de tendencias y de amplia cobertura. Técnicas de análisis complejas pueden dar lugar a un contrato difuso o con un leguaje complicado, lo que despierta inquietud respecto valor real de cyberinsurance. El cyberinsurance debe demostrar tangiblemente que aumenta la seguridad, reduciendo la responsabilidad, ¿y es una fuente fiable de alivio durante y después de un ataque? El sentimiento del mercado es tal vez mejor capturado en una encuesta de KPMG en el 2015, la cual encontró que 74 por ciento de las empresas manifestaron no tener ningún tipo de seguro de ciber responsabilidad. De los que contestaron, sólo el 48 por ciento cree que su cobertura cubriría el costo real de la violación.¹³ Y en un informe preparado por Reuters, para algunas empresas hackeadas, sus primas triplican el tiempo de renovación.¹⁴ Sin embargo, accionistas esperan que el directorio y la gerencia cumplan con los requisitos de beneficiario de un seguro para proteger los intereses de la empresa. Adicionalmente, no sólo son las regulaciones que han comenzado a requerir cyberinsurance, las fusiones y las transacciones de adquisiciones también consideran cada vez más el cyberinsurance como medio para limitar la responsabilidad.

En términos simples, una violación puede ocurrir en la infraestructura y la información; el primero es inevitable, pero el último es prevenible a través de estrategias eficaces que no requieren necesariamente compras de tecnología costosa. Como era de esperar, empresas y juntas se ven obligadas a gastar dinero cuando se ha producido una violación, o cuando están frente a una demanda civil después de un incidente, pero en realidad, medidas proactivas pueden ayudar a reducir la carga general. Por ejemplo, un fuerte programa de conciencia de seguridad, un plan de continuidad de negocio eficaz y un plan de respuesta a incidentes de manera significativa, pueden fortalecer la preparación de una empresa y reacción a un ataque y ayudar a evitar un incumplimiento.

Cyberinsurers (o ciber asegurados) pueden requerir la implementación de las medidas básicas de seguridad cibernética por evitar la denegación o anulación de cobertura. Por lo tanto, el simple proceso de aplicación del cyberinsurance puede alentar a las empresas para identificar las mejores prácticas y herramientas, y propicie la comunicación entre las partes interesadas, como el área legal, áreas de TI, los equipos de finanzas y gestión de riesgos. Entre los beneficios residuales pueden incluir más de una posibilidad de repeler un adversario y una menor prima, lo que ha comenzado a fomentar que las organizaciones consideren sus defensas más allá del mínimo. En una muestra de 33 empresas vinculadas a la salud, la educación, el comercio minorista e industrias de servicios financieros, han conseguido en promedio un 1,2 por ciento de ingresos.¹⁵ Las primas para el total de las empresas de salud cuestan, en promedio un 2,8 por ciento de los ingresos totales, en gran parte debido al mayor riesgo y el aumento de las infracciones que implican datos de paciente. En general, los encargados de seguridad de información general en jefe (CISO) será capaz de demostrar un beneficio medible con sus iniciativas de seguridad cibernética, si el ahorro obtenido a partir de incidentes disminuyó más los reembolsos por cyberinsurance pueden ser mucho mayores que el coste de las garantías más las contramedidas.

A fin de cuentas, ya que esta industria naciente continúa madurando, queda por ver si cyberinsurance puede demostrar suficiente valor para justificar la adopción generalizada como componente necesaria de una estrategia global de la ciberdefensa.

Notas Finales

¹ Chiarodo, J.; P., Beshara; “What Cyber Insurance Can Do for Contractors,” FCW, 7 July 2015, https://fcw.com/articles/2015/06/30/comment_chiarodo_beshara.aspx
² Northrop, S.; “Is Your Business Ready for FTC Oversight of Data Security?,” IAPP, 21 September 2015, https://iapp.org/news/a/is-your-business-ready-for-ftc-oversight-of-data-security
³ Federal Bureau of Investigation, “Criminals Continue to Defraud and Extort Funds From Victims Using CryptoWall Ransomware Schemes,” USA, www.ic3.gov, 23 June 2015, www.ic3.gov/media/2015/150623.aspx
⁴ Mann, B.; “Centrify Consumer Trust Survey: The Corporate Cost of Compromised Credentials,” Centrify, 8 June 2016, http://blog.centrify.com/corporate-cost-of-compromised-credentials/
⁵ National Cyber Security Alliance, “3 Reasons Hackers Love Your Small Business Infographic,” StaySafeOnline.org, 2015, http://staysafeonline.org/ncsam/resources/3-reasons-hackers-love-your-small-business-infographic
⁶ Kirkpatrick, K.; “Cyber Policies on the Rise,” Communications of the ACM, vol. 58, no. 10, p. 21-23, http://cacm.acm.org/magazines/2015/10/192376-cyber-policies-on-the-rise/fulltext
⁷ Schutzer, D.; “An Assessment of Cyber Insurance,” CTO Corner, February 2015
⁸ Ibid.
⁹ Ponemon Institute Research Report, 2015 Cost of Data Breach Study: Global Analysis, May 2015, https://nhlearningsolutions.com/Portals/0/Documents/2015-Cost-of-Data-Breach-Study.PDF
¹⁰ Greenwald, J.; “Insurer Cites Cyber Policy Exclusion to Dispute Data Breach Settlement,” Business Insurance, 15 May 2015, www.businessinsurance.com/article/20150515/NEWS06/150519893
¹¹ Hacker, R.; “Fraudsters Duped This Company Into Handing Over $40 Million,” Fortune, 10 August 2015, http://fortune.com/2015/08/10/ubiquiti-networks-email-scam-40-million/
¹² Dotson, K.; “BitPay Hacked for $1.8 Million in Bitcoin During December 2014,” SiliconAngle, 17 September 2015, http://siliconangle.com/blog/2015/09/17/bitpay-hacked-for-1-8-million-in-bitcoin-during-december-2014/
¹³ Reeve, T.; “Cyber Insurance Not Trusted by Business, KPMG Claims,” SC Magazine UK, 1 May 2015, www.scmagazineuk.com/cyber-insurance-not-trusted-by-business-kpmgclaims/article/412535/
¹⁴ Finkle, J.; “Cyber Insurance Premiums Rocket After High-Profile Attacks,” Reuters, 12 October 2015, www.reuters.com/article/us-cybersecurity-insurance-insight-idUSKCN0S609M20151012
¹⁵ Marciano, C.; “How Much Does Cyber/Data Breach Insurance Cost?,” Data Breach Insurance, 1 June 2016, https://databreachinsurancequote.com/cyber-insurance/cyber-insurance-data-breach-insurance-premiums/