Especial para El Seguro en Acción
Es un tiempo inicial para el seguro de riesgos informáticos en la Argentina. Y el tiempo, también, dirá cómo evoluciona la comercialización de un instrumento que se perfila como una de las coberturas más dinámicas en el exterior.
No estaría mal trazar entonces un panorama de la seguridad informática en este año, para que aseguradores y asegurados saquen sus conclusiones. Partiendo de la base que la seguridad informática es el riesgo más grande que las organizaciones enfrentarán durante este año, según el informe anual de Riesgo en foco 2019 de la Confederación Europea de Institutos de Auditoría Interna (ECIIA), cuáles son, entonces, los principales riesgos que afronta el mercado? Veamos,
El almacenamiento de datos en la nube está creciendo de manera geométrica, a medida que las empresas potencialmente asegurables transfieren sus datos a la nube. La violaciones de seguridad en este ámbito son frecuentes y algunas muy publicitadas. Si bien la tecnología y la seguridad de los servidores en la nube son capaces de resistir ataques cibernéticos potentes, de hecho el 42% de los incidentes ocurre con data que no está en la nube, la mayoría del robo de datos se produjo como resultado de contraseñas fácilmente adivinadas, seguidas de ataques de phishing y violaciones de servicios de terceros. El ransomware se suma a esta lista nefasta. Y en todos los casos, son los usuarios descuidados los que dejan la puerta abierta.
Las aseguradoras deberán entonces analizar la accesibilidad a la información almacenada que sus eventuales asegurados han establecido, cuando firman los contratos de SaaS. Particular atención merece el control del ecosistema de una interfaz, pues las API pueden ser letales cuando el potencial asegurado tiene un proveedor de servicios en la nube y no utilizará la interfaz solo – las brechas a través de la interfaz de usuario de la aplicación son causadas por la falta de seguridad estricta desde la autenticación hasta el cifrado, según afirman los especialistas. Y no habría que dejar de lado la evaluación de los procesos de encriptación y autenticación.
Otro riesgo común (cada vez más) son los ataques de malware. Las brechas más comunes, pero no las únicas, son el uso de programas de software gratuitos, medios extraíbles, uso compartido de archivos como el uso de Bittorrent y no tener un programa de software de seguridad de Internet adecuado. La situación se agrava por la laxitud en los controles por parte de los empleadores y una tendencia a “bajar” programas y aplicaciones inseguras. Un análisis del documento de seguridad del potencial cliente no es una opción, es un deber para la aseguradora. Por otra parte, tener una buena barrera de seguridad en los papeles no es suficiente. El 74% de los problemas de seguridad se resuelven con recursos humanos adiestrados y con conciencia que el principal activo de su organización es su data.
Otra calamidad frecuente la configura la pérdida de datos, muchos de ellos sensibles en la clasificación de nuestro ordenamiento legal. La cantidad de datos personales que se generan, capturan y analizan aumenta, lo que significa que las empresas deben desarrollar estrategias sólidas de datos y gobernanza,que permitan revisar el tema del cumplimiento a medida que evoluciona. Más de lo mismo que mencioné antes, con el agregado que el debido cuidado de la privacidad de los datos es una materia que todos, asegurados y aseguradoers, deberán rendir….
En este sentido, la pérdida o la sustracción de equipos es grave, pero también lo es el descuido al trabajar en ámbitos no protegidos.
Los hackers son una clásica amenaza, pero su efectividad depende de la permisibilidad de los integrantes de la organización asegurada. Compartir contraseñas y claves no ayuda en nada. Tampoco la falta de definición de perfiles y privilegios. Deben revisarse (otra vez el mismo punto) los programas de capacitación de las empresas antes de pasar al precio de la prima…
Finalmente, es igual de importante asegurarse de que los proveedores y socios comerciales tengan al menos un enfoque igualmente fuerte para la ciberseguridad que el detentado por el eventual asegurado- y que fuera tenido en cuenta por la aseguradora al tiempo de constituir la cobertura.
Martín Francisco Elizalde
Abogado especialista en seguridad informática.
Socio Fundador de Foresenics, Informática Forense.
