Antes de la pandemia, el CISO y el equipo de ciberseguridad eran vistos como los frikis del pasillo que siempre decían que no. Incluso después de la pandemia, aunque se aprecia que la ciberseguridad puede ser un elemento facilitador del negocio, suele haber una falta de comprensión, especialmente a nivel de la junta directiva, sobre cómo lograr una postura de ciberseguridad sólida y cómo realmente permite al negocio.

La Comisión del Mercado de Valores de Estados Unidos (SEC) ha puesto en marcha una normativa que obliga a las empresas a revelar si su consejo de administración cuenta con un miembro experto en ciberseguridad. Esto puede cambiar las reglas del juego para los CISO que busquen aprobación presupuestaria o propongan cambios operativos en la empresa por motivos de ciberseguridad.

Casi todas las empresas dependen de la tecnología. Puede ser algo tan sencillo como pedir suministros en línea, realizar operaciones bancarias o enviar correos electrónicos. La ciberseguridad no solo es esencial para las empresas que operan en línea o tienen importantes comunicaciones digitales con los clientes, sino que es una necesidad para todas las organizaciones. Comprender el riesgo cibernético, sea significativo o no, es —y seguirá siendo— fundamental para las empresas que deseen tener éxito en el mercado actual.

Esta necesidad de comprensión se acentúa cuando nos fijamos en los avances de tecnologías como la IA, tanto si una empresa adopta la IA para su propio uso como si utiliza servicios que incorporan alguna forma de IA. Incluso el uso de una herramienta de IA generativa en la empresa conlleva riesgos: por ejemplo, un empleado podría filtrar involuntariamente información confidencial de la empresa al cargar texto en un motor de IA generativa y pedirle que perfeccione el lenguaje.

Este blog es el tercero de una serie que analiza el ciberseguro y su relevancia en esta era cada vez más digital (véanse también las partes 1 y 2). Obtenga más información sobre cómo las organizaciones pueden mejorar su asegurabilidad en nuestro último informe, Prevent. Protect. Insure

 

La IA será sin duda una herramienta estratégica para muchos. Adoptar políticas sobre el uso ético, proteger los datos utilizados para entrenar el modelo y actualizar y parchear las herramientas utilizadas son solo algunas de las prácticas que las organizaciones deberán tener en cuenta.

Es probable que también haya regulación en torno a la IA, y la ciberseguridad será un elemento que conllevará sus propios requisitos. Esto se suma a las numerosas normativas que las empresas deben cumplir desde una perspectiva cibernética. El Reglamento General de Protección de Datos, el cumplimiento de la normativa PCI, las normas de divulgación de incidentes cibernéticos de la SEC... hay muchas normativas que deben cumplirse y sobre las que hay que informar para garantizar que una empresa sigue cumpliendo la normativa. En el núcleo de muchas de estas normativas está la ciberseguridad, lo que añade más complejidad a las operaciones de los equipos de ciberseguridad.

Para reducir el riesgo, la ciberseguridad debe integrarse en la infraestructura digital de la empresa bajo la premisa de “seguridad desde el diseño”. Esto puede adoptar la forma de seguir un marco de ciberseguridad como el del National Institute of Standards Technology, con políticas y métricas claras para garantizar que la empresa

  • cumple la normativa
  • sigue un marco de ciberseguridad aprobado
  • dispone de las políticas necesarias para reducir el riesgo cibernético
  • puede hacer frente a cualquier incidente de ciberseguridad.

Para las pequeñas empresas, puede parecer exagerado documentar y crear políticas sobre lo que ya se sabe, quién está facultado para tomar decisiones y qué ocurre “si”. Sin embargo, crear una postura de gobierno dentro de la empresa ayudará a garantizar su longevidad y es un requisito para el crecimiento: empezar como se quiere seguir.

Desde la perspectiva de la ciberseguridad, este puede ser el punto en el que la externalización ofrezca la mejor opción, ya que las competencias suelen ser escasas y difíciles de retener. Los proveedores de servicios gestionados que pueden implantar la ciberseguridad de forma operativa y ayudar con la gobernanza necesaria podrían ser una opción, y muchos de ellos ofrecen acceso a soluciones avanzadas como los servicios gestionados de detección y respuesta (MDR).

¿Cómo encaja todo esto con los seguros contra ciberriesgos? Las aseguradoras exigen cada vez más a las empresas que dispongan de medidas sólidas de ciberseguridad. Es probable que una empresa con un proceso formal y documentado consiga primas más bajas y dedique menos tiempo a intentar aplicar los requisitos previos al seguro.

Aunque los costes iniciales pueden ser más elevados, las empresas con una mejor protección digital van a ahorrar dinero en sus primas de seguro y evitar los costes de recuperación de los posibles ciberataques a los que podrían haberse enfrentado sin un seguro cibernético.

Obtenga más información sobre cómo el seguro contra riesgos cibernéticos, combinado con soluciones avanzadas de ciberseguridad, puede mejorar sus posibilidades de supervivencia si, o cuando, se produce un ciberataque. Descargue nuestro whitepaper gratuito: Prevenir. Protect Insure, aquí.

Aprenda cómo el seguro de ciberriesgos y cómo la cobertura de ciberriesgos, combinada con soluciones avanzadas de ciberseguridad, puede mejorar sus posibilidades de supervivencia si, o cuando, se produce un ciberataque. Descargue nuestro whitepaper gratuito: Prevent. Protect Insure, aquí.