¿Qué piden los aseguradores cibernéticos?

La mayoría de los seguros cibernéticos preguntan si su empresa tiene algunos salvaguardas fundamentales antes de ofrecer cobertura o renovar una póliza. Ejemplos comunes incluyen la autenticación multifactor, a menudo llamada MFA, para correo electrónico y cuentas importantes; antivirus o detección y respuesta en endpoints, llamado EDR; la aplicación regular de parches de software; respaldos; y capacitación del personal.

También suelen preguntar cómo manejan el acceso remoto, quién tiene permisos de administrador, si prueban los respaldos y si tienen un plan para incidentes como fraude, ransomware o dispositivos robados. Algunos aseguradores hacen preguntas detalladas en la solicitud. Otros pueden pedir evidencia más adelante.

Lo clave es esto. Los aseguradores no buscan la perfección. Normalmente quieren ver que usted tiene controles razonables, que sabe qué tiene y que hay alguien responsable de mantener esos conceptos básicos en buen estado.

El seguro cibernético puede ayudar con los costos después de ciertos incidentes, pero la cobertura está ligada a las respuestas en su solicitud y a los términos de la póliza. Si su empresa declara que un control está implementado y no lo está, eso puede causar problemas durante una reclamación. Por esta razón, los dueños de negocios deberían tomarse un momento para revisar despacio y asegurarse de que las respuestas sean correctas.

Para una pequeña empresa, el tema no es solo el seguro. Los mismos puntos que los aseguradores suelen pedir también son, con frecuencia, los mismos fundamentos que un buen proveedor de TI administrada, también llamado MSP, recomendaría de todos modos. Son pasos prácticos que reducen problemas evitables y facilitan la recuperación cuando algo sale mal.

Los requisitos también varían según la industria y el estado. Un consultorio médico puede tener preguntas relacionadas con HIPAA, la Ley de Portabilidad y Responsabilidad de Seguros de Salud (Health Insurance Portability and Accountability Act). Un negocio que maneja tarjetas de pago puede recibir preguntas sobre PCI, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard). Una empresa que vende a organizaciones más grandes también puede escuchar sobre SOC 2, un marco que muchos clientes usan para revisar controles de seguridad.

La seguridad del correo electrónico es una de las primeras áreas que revisan los aseguradores. Con frecuencia quieren MFA en Microsoft 365, Google Workspace y en cualquier aplicación en la nube que contenga información sensible. MFA significa que los usuarios necesitan un segundo paso para iniciar sesión, como un código de una app o una llave física, no solo una contraseña.

También preguntan sobre la protección de endpoints. Un endpoint es un dispositivo como una laptop, una computadora de escritorio o un servidor. EDR, detección y respuesta en endpoints (endpoint detection and response), es una herramienta más avanzada que un antivirus básico. Ayuda a detectar actividad sospechosa en los dispositivos y le da a un MSP una forma de investigar y responder.

Otro tema común es el parchado. Parchar significa instalar actualizaciones de seguridad y de estabilidad para sistemas operativos, navegadores, software empresarial, firewalls y otras herramientas. Los aseguradores pueden preguntar qué tan rápido se aplican las actualizaciones críticas y si los sistemas que no tienen soporte siguen en uso.

Los respaldos también son un enfoque importante. Muchas aseguradoras quieren respaldos separados de los sistemas del día a día y que se prueben con regularidad. Puede escuchar el término respaldo 3-2-1. Eso significa mantener 3 copias de los datos, en 2 tipos distintos de medios, con 1 copia guardada fuera del sitio o de alguna manera separada. Ningún proveedor honesto promete cero tiempo de inactividad, una red imposible de hackear o una recuperación garantizada, pero los aseguradores sí quieren ver que la planificación de la recuperación sea real.

El control de acceso también importa. Los aseguradores a menudo preguntan quién tiene permisos de administrador, qué tan rápido se eliminan los accesos de empleados anteriores, y si el acceso remoto está restringido y protegido. También pueden preguntar si proveedores o contratistas pueden llegar a sus sistemas y cómo se controla ese acceso.