El Reino Unido Centro Nacional de Seguridad Cibernética (NCSC) ha lanzado su primer consejo y guía de mejores prácticas en contratar un seguro de seguridad cibernética, destacando siete áreas clave que las organizaciones deben considerar antes de comprometerse con una política.
El paquete fue producido en consulta con una variedad de partes interesadas y socios de la industria en respuesta a un número creciente de llamadas de asesoramiento técnico experto sobre el mercado de seguros de seguridad cibernéticay alienta a las organizaciones de todos los tamaños a pensar más acerca de cómo los seguros especializados pueden ayudarlos si sufren un incidente de seguridad y su contribución a sus estrategias generales de gestión de riesgos.
«Las empresas con razón quieren estar lo más informadas posible antes de invertir, pero en lo que respecta al seguro cibernético, simplemente no ha habido suficiente información hasta ahora», dijo Sarah Lyons, subdirectora de NCSC para la participación de la economía y la sociedad. «Es por eso que es tan importante para el NCSC, como la principal autoridad cibernética del Reino Unido, ofrecer nuestro apoyo al proporcionar cierta claridad sobre los temas clave a considerar para garantizar la seguridad cibernética.
«El seguro cibernético puede no ser adecuado para todos y nunca puede reemplazar las buenas prácticas básicas de seguridad, pero exhortaría a las empresas a considerar nuestra guía para ayudarles a tomar la decisión correcta para ellos».
Las siete preguntas que los compradores deben hacerse son:
- ¿Qué defensas de seguridad, procesos y procedimientos existentes ya está utilizando?
- ¿Cómo reunir experiencia para evaluar si una política es adecuada para usted?
- ¿Entiende cuáles son los posibles impactos de un incidente de seguridad?
- ¿Qué cubre o no cubre la política que está considerando?
- ¿Qué servicios de seguridad incluye exactamente su política prevista? ¿Los necesita realmente?
- ¿La política prevista incluye soporte durante o después de un incidente de seguridad real?
- ¿Qué obstáculos tendrá que atravesar para reclamar o renovar la política prevista?
El NCSC señaló que, si bien contar con un seguro de ciberseguridad adecuado puede desempeñar un papel valioso para ayudar a las organizaciones a recuperarse si sufren un incidente de seguridad al reducir la interrupción general y el costo para el negocio, sacar una póliza de seguro claramente no puede evitar que ocurra una violación en primer lugar.
Esto significa que las organizaciones solo deben contratar seguros como parte de una estrategia de seguridad cibernética más amplia y tener defensas fundamentales apropiadas. El NCSC también proporciona orientación y certificación sobre esto a través de su Cyber Essentials programa.
La organización señaló que contar con certificaciones de seguridad cibernética podría potencialmente, pero no necesariamente, reducir las primas de su seguro.
Un portavoz de la Asociación de aseguradores británicos (ABI) dijo: «Ser víctima de un delito cibernético puede tener un impacto devastador en cualquier negocio, sea cual sea su tamaño, con las PYME [small and medium-sized enterprises] Especialmente vulnerable. Casi la mitad de las empresas del Reino Unido informaron un ataque cibernético durante el último año, pero a pesar de esto, la aceptación del seguro cibernético por parte de las empresas sigue siendo baja.
«Esta guía NCSC refuerza cuán amplio y grave puede ser el impacto de un ataque cibernético, y por qué es importante gestionar su riesgo cibernético y establecer medidas de seguridad cibernética».
El ministro digital Matt Warman agregó: “Es vital que las empresas tomen medidas para protegerse a sí mismas y a sus clientes de los riesgos de seguridad y el seguro cibernético puede desempeñar un papel importante en estrategias sólidas de gestión de riesgos.
«Animo a las empresas a considerar esta guía y utilizar programas como Cyber Essentials para asegurarse de que tengan defensas fundamentales de seguridad cibernética».