A medida que a demanda creceu a niveis sen precedentes, a industria volveuse moi volátil. As primas están en aumento, hai máis regras sobre o que está e o que non está cuberto e introducíronse estándares mínimos para as empresas que queiran estar aseguradas. Pode parecer unha mala noticia para as empresas, pero ao final hai varios aspectos positivos.
Ás veces a xente pensa que a ciberseguridade é un mundo escuro. En realidade, a realidade física e a dixital son moito máis semellantes do que se pensa. Hai trinta anos, as empresas que querían protexer os seus activos pensaron en primeiro lugar no seguro contra incendios e roubos. Hoxe os riscos son máis dixitais. Dacordo con Informe de tendencias de protección de datos de Veeam 2024, tres de cada catro organizacións sufriron polo menos un ataque de ransomware no último ano e unha de cada catro foi atacada máis de catro veces no mesmo período.
Non é de estrañar que o seguro cibernético se converta nunha opción cada vez máis popular para moitas organizacións. prevese que medre un 24% para converterse nunha industria de 84,62 millóns de dólares en 2030. Non obstante, a medida que aumentou o número de empresas que compran e requiren seguros, o seu custo tamén creceu de forma constante, co aumento das primas. nos últimos tres anos. Este non foi o único cambio das aseguradoras que buscan manter rendible a protección cibernética: unha avaliación de riscos máis significativa, a introdución de estándares mínimos de seguridade e a redución da cobertura convertéronse nunha práctica habitual nos últimos anos.
O ciberseguro converteuse recentemente nun tema controvertido, que se reduce principalmente á pregunta dun millón de dólares sobre o ransomware: pagar ou non pagar? Aínda que moitos rexeitan a idea de que as compañías aseguradas o sexan máis probabilidades de pagar rescates, unha Informe 2023 sobre as vítimas descubriu que o 77% dos rescates foron pagados polo seguro. Non obstante, moitas aseguradoras están tentando pór fin a esta situación. O mesmo informe descubriu que o 21% das organizacións exclúen agora explícitamente o ransomware das súas políticas. Tamén vimos outros excluír explícitamente os pagos de rescate das súas pólizas: cubrirán os custos de inactividade e danos, pero non os custos de extorsión.
Na miña opinión, este último enfoque é o mellor. Pagar rescates non é unha boa idea e non é para o que se debería usar o seguro. Non se trata só de ética e de alimentar o crime, senón de que pagar o rescate non soluciona inmediatamente o problema e moitas veces crea outros novos. En primeiro lugar, os ciberdelincuentes rastrexan as empresas que pagan para que poidan volver por un segundo ataque ou compartir esta información con outras organizacións.
Un estudo descubriu que o 80% das empresas que pagaron un rescate foron alcanzadas por segunda vez. Pero mesmo antes de chegar a este punto, a recuperación a través do pago do rescate raramente é fácil. A recuperación con claves de descifrado proporcionadas polos atacantes leva moito tempo, moitas veces intencionadamente, xa que algúns grupos cobran por cada clave para acelerar o proceso. Mentres o descifrado funcione, unha de cada cinco empresas paga un rescate e non consegue recuperar os propios datos.
Entón, pagar rescates a través do seguro está, afortunadamente, desaparecendo aos poucos. Pero iso non é o único que cambiou. As empresas que requiren un seguro cibernético están cada vez máis obrigadas a cumprir os estándares mínimos de seguridade e resistencia ao ransomware. Isto pode incluír o uso de copias de seguranza cifradas e inmutables e a implementación de principios de protección de datos de boas prácticas, como mínimos privilexios (dar acceso só a aqueles que o necesitan) ou catro ollos (que require que os cambios ou as solicitudes importantes sexan aprobadas por dúas persoas). Algunhas políticas tamén requiren que as empresas teñan plans sólidos para garantir a dispoñibilidade do sistema, incluídos os procesos de recuperación ante desastres defipara evitar tempo de inactividade debido a un ataque de ransomware. Despois de todo, canto máis tempo estea inactivo un sistema, maior será o custo do tempo de inactividade e, con el, o custo dunha reclamación de seguro.
As empresas aínda deberían ter todos estes elementos. Se o seguro vai acompañado de procesos de recuperación e protección de datos descoidados, os pagos do seguro só documentarán os fallos. A introdución de estándares mínimos é unha boa noticia para as empresas. Non só reducirá o custo das primas a longo prazo, senón que os principios de seguridade que requiren serán máis valiosos para as empresas do que o seguro era ao principio. O seguro cibernético non é unha garantía absoluta, pero pode ser un elemento beneficioso dunha estratexia de resiliencia cibernética máis ampla. Ambos son útiles, pero no caso de que se ve obrigado a escoller só un, a resiliencia sempre sería a mellor opción. Afortunadamente, as aseguradoras coinciden, xa que as empresas desprotexidas se están facendo demasiado pouco rendibles para cubrir.
Os seguros cibernéticos, especialmente no que se refire ao ransomware, avanzan cara a un mundo onde as compañías aseguradas teñen unha forte resistencia cibernética e plans de recuperación de desastres ben establecidos. defie use o seguro só para mitigar o impacto dos ataques e o custo do tempo de inactividade mentres se restauran mediante copias de seguridade inmutables. Este é un mundo que é moito máis resistente ao ransomware que aquel no que as empresas dependen unicamente dos seguros.
BlogInnovazione.it
O sector naval é unha verdadeira potencia económica mundial, que navega cara a un mercado de 150 millóns...
O pasado luns, o Financial Times anunciou un acordo con OpenAI. FT licencia o seu xornalismo de clase mundial...
Millóns de persoas pagan por servizos de streaming, pagando taxas de subscrición mensuais. É unha opinión común que vostede...
Coveware by Veeam continuará ofrecendo servizos de resposta a incidentes de extorsión cibernética. Coveware ofrecerá capacidades forenses e de remediación...
