Las nuevas regulaciones hacen que el seguro D&O sea obligatorio para los CISO


El director de seguridad de la información (CISO) recomienda recaudar fondos adicionales para la junta directiva para protegerse contra ataques constantes de ciberdelincuentes, descubrir servidores mal configurados, cumplir con los requisitos regulatorios y prevenir ataques de día cero. Nos enfrentamos a muchos desafíos todos los días. Ahora tienen nuevas preocupaciones. Eso significa buscar un seguro de responsabilidad cibernética personal en caso de que no tenga un seguro para directores y funcionarios corporativos (D&O).

Según la Encuesta global de jefes de seguridad de la información (CISO) 2023 de la firma de búsqueda de ejecutivos Heidrick & Struggles, el 38% de los CISO no tienen un seguro D&O para su organización y un 18% adicional no está seguro de tenerlo. Además, el 55% de los encuestados dijeron que no eran elegibles para un paquete de indemnización.

“Los CISO mejor ubicados deben poder disponer de protecciones a nivel ejecutivo para que puedan realizar sus trabajos sin las amenazas de riesgos profesionales”, afirma el informe.

No asume ninguna responsabilidad y no tiene autoridad.

Las nuevas regulaciones de la Comisión de Bolsa y Valores ahora responsabilizan personalmente a los CISO por las violaciones de datos, dijo David Anderson, vicepresidente de responsabilidad cibernética de la firma nacional de corretaje de seguros Woodruff Sawyer.

“[CISOs] No se pueden generar fondos para resolver problemas. [cybersecurity] “Ellos personalmente no pueden hacer lo que quieren los reguladores”, afirma. “Pero ahora ellos son el objetivo de esto”.

Los CISO se enfrentan al dilema de tener la responsabilidad total de detener los ciberataques, pero sin la autoridad para financiar defensas tecnológicas o contratar la fuerza laboral requerida por las regulaciones.

Un artículo publicado en el blog del Institute for Applied Network Security (IANS) detalla los dilemas que enfrentan los CISO y las CSO cuando se trata de responsabilidades regulatorias.

“Muchos estatutos corporativos no consideran a los CISO como funcionarios, por lo que los CISO no están cubiertos por el seguro D&O”, señala la organización. “Algunas jurisdicciones no permiten que los CISO formen parte de las juntas directivas, lo que también reduce la probabilidad de que la cobertura de seguro de D&O no sea elegible no reduce el riesgo”.

Negociar cobertura de seguro

James Taplin, vicepresidente senior y jefe de cibernética internacional de Mosaic Insurance en Londres, dice que la primera pregunta que un candidato a CISO debe hacer durante una entrevista es si el puesto está cubierto por el seguro D&O de la empresa. Si no está cubierto, debe insistir en que sea una condición de empleo.

Deron Grzetich, jefe de ciberseguridad de la consultora West Monroe Partners, dice que los nuevos requisitos regulatorios han hecho que la cobertura D&O para los CISO sea imprescindible en sus paquetes de compensación, en lugar de algo agradable de tener. Sin embargo, como ocurre con cualquier componente de compensación negociable, esto se ha convertido en un problema para los profesionales de la seguridad en ciernes que pueden estar sopesando el riesgo personal frente a la oportunidad de obtener eventualmente el título de CISO.

Al final del día, dice Grzetich, si los CISO no pueden obtener cobertura a través de una póliza de la empresa, tendrán que encontrar su propia póliza.

“Pero creo que si la responsabilidad surge del empleo en una organización o empresa, entonces surge la pregunta de por qué la paga el individuo y no la empresa”, dice.

La preocupación de Grzetich es que si una empresa no quiere cubrir a un CISO (especialmente considerando el costo relativamente bajo de agregar una persona a las políticas de una empresa), ¿cuáles son las prioridades de la empresa y, si se produce una infracción, la pregunta es cuánta protección debería? ¿Se le dará el CISO? ¿La empresa realmente valora al CISO como un miembro valioso del equipo ejecutivo?

Si su empresa no ofrece seguro D&O a su CISO, Grzetich tiene una solución sencilla.

“No acepte el título de CISO. Tome el título de Director de Seguridad de la Información y reciba el mismo salario y responsabilidades reducidas”, aconseja.



Fuente: https://www.darkreading.com/cybersecurity-operations/new-regulations-make-d-o-insurance-a-must-for-cisos