Cómo se interrelacionan los estándares regulatorios y los ciberseguros
La complejidad de las regulaciones y la legislación puede ser abrumadora para las empresas y afectar su postura de ciberseguridad. Sin embargo, el ciberseguro puede proporcionar recursos legales para ayudar a la empresa.
Los gobiernos crean leyes y reglamentos principalmente para proteger los intereses públicos y mantener el orden, garantizando que la sociedad funcione como debe. En relación con los ciberseguros y la ciberseguridad, la regulación tiene como objetivo la conducta ética, la estabilidad económica y el crecimiento, proporcionando un marco legal que las organizaciones deben cumplir.
Sin embargo, la complejidad de los reglamentos y la legislación que deben cumplirse como parte de las operaciones comerciales normales puede ser enorme.
Hay muchos reglamentos, legislaciones y normas que afectan a la postura de ciberseguridad que adopta una empresa, dependiendo de dónde se encuentre usted o su empresa en el mundo. El seguro cibernético está intrínseca e indirectamente vinculado a muchas de estas regulaciones, ya que las pólizas a menudo cubren el pago de multas reglamentarias, como las impuestas por un regulador de privacidad debido a una violación de datos, o el pago de una demanda de extorsión por parte de una banda de ransomware.
Ciberseguro e incidentes
En la desafortunada situación de que una empresa se enfrente a un incidente cibernético, la aseguradora puede, dependiendo de la póliza, proporcionar recursos legales y de respuesta a incidentes para ayudar a la empresa. Son estos servicios especializados los que descubren si es obligatorio revelar información y si el pago de una extorsión a un determinado grupo de ransomware infringe las sanciones gubernamentales.
Por ejemplo, la Comisión de Valores de los Estados Unidos(Securities and Exchange Commission, SEC) exige ahora a las empresas que cotizan en bolsa que divulguen un incidente cibernético a través del formulario «8-K». El incidente debe considerarse «material» y la divulgación debe incluir aspectos de la naturaleza, el alcance y el momento del incidente, así como el probable impacto en la empresa. En las últimas semanas, una empresa química y de fabricación con sede en Luxemburgo ha revelado que puede haber sufrido el mayor fraude de la historia por transferencia electrónica. La presentación 8-K del 10 de agosto afirma que un empleado de la empresa fue el objetivo de un plan delictivo que dio lugar a múltiples transferencias electrónicas fraudulentas a desconocidos, cuyo resultado fue un cargo antes de impuestos de aproximadamente 60 millones de dólares (USD).>
Este tipo de incidente es muy diferente de un incidente de ransomware. Si bien no hubo una decisión ética sobre si pagar o no, el incidente aún necesitaba ser reportado y puede estar cubierto por un asegurador cibernético.
¿La normativa agobia a las pequeñas empresas?
Para las empresas más pequeñas, la cantidad de normativa y legislación puede resultar abrumadora. Es necesario tener muy en cuenta a las empresas más pequeñas cuando se proponen nuevos requisitos normativos: la complejidad de los diferentes reguladores y los complejos entornos jurídicos no son propicios para una empresa más pequeña que realmente debería centrarse en sus operaciones e ingresos.
Además, es probable que el panorama se vuelva más complejo con la adopción de nuevas tecnologías como la IA. Hay cuestiones éticas obvias con la adopción de dicha tecnología, así como importantes mejoras operativas y ventajas competitivas que pueden obtener las empresas que aprovechen la oportunidad. Es importante garantizar que el uso de tecnologías avanzadas se adopte dentro de unos límites aceptables para la sociedad. No regular abrirá las puertas a que las empresas maximicen el beneficio por encima de un uso responsable, una situación que podría acabar mal.
Si yo dirigiera hoy una pequeña empresa, podría suscribir un seguro cibernético para tener acceso a expertos en regulación. Alternativamente, prepararía mi negocio para optar a un seguro, ya que la lista de comprobación y los requisitos que exigen las aseguradoras supondrían una gran reducción de mi riesgo, tanto al garantizar el cumplimiento de la normativa como al adoptar un nivel aceptable de ciberseguridad para mi negocio. Teniendo esto en cuenta, el coste de la prima de mi seguro cibernético sería casi seguro más bajo debido al menor riesgo de siniestro.
Fuente: www.welivesecurity.com