El ciberseguro, el riesgo humano y el potencial de las ciberclasificaciones

Es innegable que el ciberseguro y la ciberseguridad están intrínsecamente ligados. Uno requiere del otro, y forman un binomio perfecto, aunque puedan negar la relación. De cara al futuro, sin embargo, probablemente necesitemos añadir una tercera parte a la relación: la empresa. Ahora que todos están en la sala, ¿qué nos deparará el futuro?

Hay áreas obvias de evolución en la relación. Las aseguradoras quieren saber que la ciberseguridad no solo se presenta a trabajar, sino que además hace un buen trabajo. Es probable que las aseguradoras quieran ver este buen trabajo en acción, casi en tiempo real y, en algunos casos, posiblemente en tiempo real.

Por ejemplo, si una aseguradora requiere detección y respuesta de endpoints (EDR, sus siglas en inglés), no quieren decir “instalarlo y olvidarse de él” hasta la renovación del seguro del año que viene. Quieren saber que el sistema está operativo y que las alertas se responden con prontitud. Ya podemos ver este requisito de supervisión en la medida en que algunas aseguradoras se encaminan hacia la prestación de un elemento de servicios gestionados o exigen informes periódicos de los sistemas EDR. Sin embargo, esta prestación de servicios a través de la aseguradora puede estar provocando un entorno de monocultivo de productos de seguridad, en el que todos los asegurados estén protegidos por un único producto, algo que desaconsejo.

¿Hacia dónde podría ir esto a largo plazo? ¿Qué podrían ver las aseguradoras como otro método de reducir el riesgo que, en última instancia, elimina la necesidad de pagar un siniestro? Al fin y al cabo, su objetivo es minimizar los pagos y mantener la rentabilidad.

Los seres humanos suponen un riesgo importante en términos de ciberseguridad. Pueden ser manipulados socialmente, cometer errores, tomar atajos y, por desgracia, su comportamiento es difícil de cambiar. Mientras las aseguradoras tratan de proteger sus beneficios y reducir las reclamaciones, ¿cómo pueden resolver el problema del riesgo humano?

Este reto no es distinto del que afronta el sector financiero, que intenta reducir el riesgo financiero de prestar dinero a seres humanos que toman malas decisiones, no pagan o son, tal vez, un poco imprudentes con su dinero en efectivo. Una parte importante de la respuesta de la industria financiera son las calificaciones crediticias: a cada ser humano se le asigna una puntuación dinámica que cambia a medida que cambian los patrones de comportamiento, y las organizaciones financieras pueden ajustar su riesgo casi en tiempo real. Se trata de una decisión basada en datos que es posible gracias al uso de tecnología avanzada de IA y a que los datos sobre nuestras transacciones financieras son compartidos, al menos en parte.

¿Podrían las ciberclasificaciones ser el futuro?

¿Podrían las aseguradoras cibernéticas aprovechar un enfoque similar y crear perfiles de riesgo para las personas dentro de una organización que ayudarían a prevenir costosas reclamaciones prediciendo si es probable que una persona tome una mala decisión o realice una mala acción en materia de ciberseguridad? En otras palabras, ¿podríamos asistir al desarrollo de una “calificación cibernética”, similar a la calificación crediticia utilizada en finanzas?

En algunos países y regiones, un empleador potencial puede rechazar a un candidato basándose en su calificación crediticia, al menos para puestos en los que se requiere responsabilidad financiera, y puede llegar un día en que se utilice una cibercalificación de la misma manera.

Ahora imaginemos un escenario en el que cada usuario de Internet tenga una calificación de este tipo basada no en el detalle de sus transacciones o comunicaciones, sino en algunos elementos específicos de sus interacciones en línea y patrones de comportamiento. Con información suficiente, se podría hacer una predicción basada en datos sobre si una persona hará clic en un enlace de phishing, adjuntará datos no cifrados a un correo electrónico o tendrá hábitos de navegación cuestionables. Al igual que ocurre con las calificaciones crediticias, todo el mundo podría ver su calificación cibernética y recibir consejos sobre cómo mejorarla, al igual que hacemos hoy con las calificaciones crediticias.

Los empleadores podrían utilizar esta métrica para asegurarse de que ofrecen un puesto a una persona ciberresponsable que no pondrá en peligro a la empresa. Las aseguradoras pueden exigir a sus clientes que no contraten a nadie por debajo de una determinada puntuación, o poner limitaciones a quienes tengan puntuaciones más bajas, reduciendo así la exposición al riesgo de la aseguradora.

Algunos empleadores ya supervisan el comportamiento en línea de los empleados e identifican a los que suponen un riesgo, de modo que luego pueden reforzar la concienciación y la política de ciberseguridad para reducir el riesgo. Sin embargo, esto es controvertido, ya que puede vulnerar la privacidad y la legislación laboral. Por otra parte, un empleado potencial puede estar dispuesto a renunciar a estos derechos si con ello se asegura un puesto de trabajo, del mismo modo que puede consentir que el empleador realice una comprobación de su calificación crediticia.

Una calificación cibernética podría tener otros usos, e incluso reforzar el sistema de calificación crediticia. Los fraudes y estafas en línea a menudo requieren que la víctima haya realizado acciones en línea; si la probabilidad de que alguien haga clic en esa oferta poco creíble o en un correo electrónico fraudulento se conociera gracias a la cibercalificación, entonces un banco podría imponer requisitos de autenticación adicionales a esa persona a la hora de realizar transacciones en línea. Ambas calificaciones podrían complementarse mutuamente.

Por otro lado, obviamente la seguridad que rodea a las cibercalificaciones tendría que ser muy estricta. Si estas puntuaciones de riesgo cayeran en las manos equivocadas, los ciberdelincuentes podrían utilizarlas como arma para identificar a las personas más susceptibles de sufrir phishing y otros ataques. Esto podría convertir el sistema en una herramienta para atacar a personas vulnerables, socavando su propósito de mejorar las medidas de ciberseguridad y la gestión de riesgos.

Hay muchas formas en que el seguro cibernético podría evolucionar con el tiempo, pero la capacidad de eliminar o reducir el riesgo humano sería la próxima gran victoria más allá de imponer los requisitos actuales de ciberseguridad en los que las aseguradoras insisten hoy.

Transformación empresarial y trabajo híbrido con IA: ¿Cómo deben responder las organizaciones al creciente riesgo cibernético?