La estrategia de ciberseguro requiere la colaboración entre CISO y CFO


Con el aumento continuo de los ciberataques y las amenazas en línea, la compra de un seguro cibernético se ha convertido en una rutina para muchas organizaciones. Si bien los seguros suelen ser competencia de la junta directiva de una organización junto con el director financiero, la naturaleza técnica del riesgo cibernético requiere cada vez más que los CISO formen parte de la conversación.

De hecho, el seguro cibernético se ha convertido en un estándar para muchas organizaciones. Más de la mitad de los encuestados en la última Encuesta de Seguridad Estratégica de Dark Reading dijeron que su organización tiene algún tipo de seguro cibernético. El 29% dice que el seguro cibernético es parte de un seguro comercial más amplio y el 28% dice que tiene un seguro específico para incidentes de ciberseguridad. Casi la mitad (46%) de las organizaciones dicen que tienen un seguro para cubrir los pagos de ransomware.

El seguro cibernético puede ayudar a cubrir al menos algunas de las pérdidas financieras que podría sufrir su organización en caso de un ataque o una violación de datos. Esto incluye costos asociados con la investigación y respuesta a incidentes, remediación, comunicaciones de crisis, pagos de rescate/extorsión, responsabilidad legal y pérdida de ingresos. El seguro no “elimina la necesidad de controles cibernéticos proactivos y resistentes”, pero sí protege contra posibles pérdidas financieras, según un nuevo informe “Perspectivas de la Junta Directiva sobre Seguridad” de la Oficina del CISO de Google Cloud. neto”. El objetivo de esta serie de informes es capacitar a las juntas directivas para que asuman un papel más proactivo en el seguimiento de los riesgos cibernéticos de sus organizaciones.

“Las consecuencias financieras y legales de un ciberataque requieren una estrategia de seguro bien pensada, que requiere una comprensión profunda de los riesgos en evolución”, dice el informe, y agrega que las juntas deben tener experiencia técnica. Recomienda fomentar la colaboración entre organizaciones de seguridad con conocimientos y entidades financieras. organizaciones centradas en las implicaciones financieras.

Creamos historias más fuertes juntos

“Es cada vez más importante que las organizaciones CISO comprendan cómo hablamos sobre el riesgo y cómo gestionamos y mitigamos el riesgo”, dijo la directora de riesgos comerciales y seguros de Google Cloud, Monika Shokrai, señalando que comunicar los riesgos a la alta dirección es algo que los directores financieros tienen. “Siempre lo he estado haciendo”. En lugar de intentar convertir al CISO en un “ciberdirector financiero”, las dos organizaciones deberían trabajar juntas para desarrollar una estrategia coherente e integrada para la junta directiva, afirma.

Los departamentos de finanzas están acostumbrados a cuantificar el riesgo, determinar cuánto riesgo tiene una organización, optimizar los programas de seguros y decidir cuánto riesgo retener y transferir. Es menos probable que los departamentos financieros modelen correctamente porque carecen de conocimientos sobre los riesgos cibernéticos. Nuestro departamento de seguridad tiene experiencia y comprensión de los riesgos y la tecnología cibernéticos. Cuantificar el riesgo cibernético ayuda a modelar pérdidas potenciales.

“La experiencia técnica de un CISO es valiosa, pero el poder real proviene de traducir el riesgo en un impacto financiero potencial para el negocio”, escribió Google Cloud en el informe. “Al trabajar con los departamentos financieros y utilizar datos sobre violaciones disponibles públicamente junto con su propio historial de incidentes, las empresas pueden desarrollar modelos sólidos de riesgo cibernético”.

La junta considera los riesgos de la empresa, determina cómo esos riesgos afectan el balance de la empresa y decide cuánto riesgo transferir. Los cálculos del impacto financiero forman parte de la estrategia de seguros, tanto para el ciberseguro como para otros tipos de seguros. Los seguros tradicionales, como el seguro de responsabilidad civil para automóviles y el seguro de compensación laboral, se basan en jurisprudencia establecida, por lo que el miembro promedio de la junta sabe qué está cubierto y qué no. Por el contrario, el seguro cibernético todavía considera exclusiones como la guerra cibernética, el riesgo sistémico y la inteligencia artificial generativa.

“Lo que aún no está claro con el seguro cibernético es que las juntas directivas están empezando a darse cuenta de la magnitud de los riesgos que enfrentan como organización”, dijo Shokrai.

Nunca es demasiado pronto para que los departamentos de seguridad y finanzas colaboren en la gestión de riesgos cibernéticos, ya que los equipos financieros ya necesitan considerar qué riesgos aceptarán y contra qué riesgos se asegurarán.

“Si comienzas a cuantificar tu riesgo cibernético, al menos tendrás un punto de referencia y podrás ajustarlo e iterarlo con el tiempo. A medida que aprendas más, esperas continuar ajustando ese modelo”, dice Shokrai. “Es mejor empezar a colaborar desde el principio y mejorar ambos equipos en el proceso”.



Fuente: https://www.darkreading.com/cyber-risk/cyber-insurance-strategy-requires-ciso-cfo-collaboration