14 ene 2019

Las empresas de ciberseguridad se ofrecen a pagar si hackean a sus clientes

No es justo que una compañía que contrata a una empresa de ciberseguridad sufra todas las consecuencias en caso de ciberataque. Así que los responsables de seguridad están empezando a ofrecer programas de garantía (que además les distinguen de la competencia)

El mercado de seguros de ciberseguridad está en auge. Las empresas son conscientes de que es probable que sufran un ataque informático, independientemente de cuánto inviertan en seguridad, así que están empezando a buscar a alguien para pagar el pato a medias. Pero establecer el precio del riesgo es bastante complicado. Y eso ha generado una nueva oportunidad para las empresas de seguridad con la suficiente autoconfianza como para ofrecer garantías sobre los productos y servicios que ofrecen.

Las empresas destinarán unos 6.500 millones de euros en seguros de seguridad cibernética en 2020, frente a los 2.200 millones de euros invertidos en 2015, según una proyección reciente de PricewaterhouseCoopers. El mercado en auge es una prueba de que el delito cibernético es cada vez más común, pero también es una prueba de que las empresas de ciberseguridad no tienen ninguna responsabilidad económica cuando algo sale mal.

El jefe de estrategias de seguridad de SentinelOne, especializada en sistemas antimalware, Jeremiah Grossman, cree que esta situación debe cambiar. Para alinear sus intereses financieros con los de sus clientes, SentinelOne ofrece una garantía que compromete a la empresa a indemnizar con hasta 900.000 euros al cliente en caso de que sufra un ataque ransomware, Esta estrategia cibercriminal consiste en penetrar en los sistemas del cliente y encriptar los datos para poder exigir un rescate por su liberación. Otras start-ups de ciberseguridad, así como grandes empresas como Symantec y McAfee, también se comprometen a pagar en caso de que su producto falle.

Grossman dice que su programa de garantía, lanzado hace de 10 meses, ya le ha dado a su empresa ventaja frente a sus competidores.

Es demasiado pronto para afirmar si las pólizas de seguridad cibernética llegarán a ser algo más que una simple estrategia de marketing, según el director gerente del Foro de Seguridad de la Información, Steve Durbin, cuya organización sin ánimo de lucro desarrolla recomendaciones de la mejor manera de gestionar los riesgos de seguridad de la información. Pero algunos proveedores han recopilado daros muy valiosos al monitorizar el rendimiento de sus productos a lo largo de los años, y eso les permitiría "llenar en parte ese vacío del mercado de seguros", señala.

Al evaluar estos riesgos, las empresas de ciberseguridad tienen una ventaja frente a las aseguradoras tradicionales, porque poseen datos cruciales que sólo pueden provenir del análisis de situaciones reales como las filtraciones de datos que ellas mismos han experimentado. Las aseguradoras tradicionales, en cambio, no han hecho más que empezar a evaluar los riesgos de hacer negocios en el ciberespacio. Eso ayuda a explicar por qué algunas aseguradoras, incluida AIG, están empezando a ofrecer estos nuevos programas de garantía. (AIG rehusó hacer comentarios para este artículo).

La empresa de Grossman tiene sus propios datos sobre los riesgos existentes de que su sistema obvie impedir un ataque de ransomware. Esos números ayudaron a convencer a una aseguradora establecida (SentinelOne no puede revelar públicamente cuál) de que respalde su garantía.

Muchas de las filtraciones de datos recientes podrían haberse evitado si las empresas hubiesen parcheado sus sistemas adecuadamente. Por ejemplo, el ataque de ransomware WannaCry que comenzó en mayo se aprovecha de antiguos sistemas operativos de Microsoft sin actualizar. Las empresas que se inscriban en estos programas sólo recibirán una indemnización si siguen las prácticas de seguridad recomendadas.

AsTech Consulting, cuyo servicio analiza el código fuente de una empresa para identificar vulnerabilidades, trabajar con la empresa para solucionarlas y capacitar a los empleados para que no las reintroduzcan, empezó a ofrecer una garantía hace poco por la que los clientes que hayan seguido este proceso y aun así sufran un ataque serán compensados con hasta otros 900.000 euros. Si el riesgo de una compañía está "disminuyendo de manera medible", un resultado que AsTech afirma que su proceso ha demostrado lograr durante los últimos 20 años, eso atraerá a las aseguradoras porque conocerán y manejarán mejor su riesgo, explica su CEO Greg Reber. "Eso un mercado bastante bueno", concluye.

Fuente: Technology Review

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!