Para el año 2020, 50 mil millones de dispositivos estarán conectados a Internet y a medida que más personas y dispositivos se conecten, el riesgo y el impacto de las brechas de datos de ataques cibernéticos maliciosos, fallos del sistema y errores humanos continuarán aumentando para perjuicio de las organizaciones.

El pasado 12 de mayo de 2017 se llevó a cabo un ataque cibernético  con virus ransomware, que innegablemente fue uno de los eventos cibernéticos de mayor difusión que se haya visto jamás.

Aon, Consultores en Administración de Riesgo y Capital Humano, a través de su división Cyber, inició un análisis integral y puntualizó lecciones clave que las organizaciones pueden aprender derivado del llamado “WannaCry”, que encerró más de 200 mil computadoras en más de 150 países exigiendo un pago de hasta $300 dólares en bitcoins para desbloquearlo.

El ritmo con el que el virus malware proliferó, y el alcance del impacto entre las empresas y regiones del mundo no tuvo precedentes, “Lo que hay que hacer primero para prevenir los ataques cibernéticos es concientizar a los empleados, mediante cursos y la adopción prácticas individuales y organizativas combinadas con un marco de gestión de riesgos completo; de este modo las empresas podrán comenzar a reducir la amenaza cibernética”, comentó Jesús González, VP Cyber de Aon Chicago.

A continuación lo que todas las organizaciones necesitan saber en esta era de creciente riesgo cibernético y algunas lecciones que puede tomar para ayudar a enfrentar el desafío.

Mientras que las empresas podrían haber sido tentadas a pagar los $300 dólares para liberar sus equipos, no sólo esto podría fomentar nuevos ataques, también podría correr el riesgo de anular sus pólizas de seguro. Y en cualquier caso, los riesgos financieros se propagarían mucho más allá del rescate.

Una póliza de seguro cibernético típico podría proteger a las compañías contra la extorsión incluyendo ataques de ransomware. Sin embargo, la mayoría de las organizaciones, fuera de los Estados Unidos todavía no tienen cobertura cibernética. El seguro también puede abordar otros costos incurridos después de un ciberataque, «La interrupción del negocio, los costos forenses, la pérdida de productividad y la responsabilidad potencial de terceros también pueden ser cubiertos por las pólizas de seguro cibernético», comentó Jesús González.

El seguro no es una solución general y es importante que los asegurados comprendan las limitaciones de sus programas de seguros.  Por ejemplo: Las organizaciones que utilizan software pirata, probablemente su reclamo de seguro hubiera sido negado.  «Si el pago del rescate cibernético está cubierto por la póliza de seguro cibernético, entonces el asegurador debe ser notificado antes del pago del rescate cibernético o el rescate probablemente se excluiría de la cobertura. Algunas políticas cibernéticas también requieren que el asegurado entre en contacto con la policía cibernética para obtener la aprobación para pagar el rescate cibernético», agregó.

Los ataques como WannaCry obligan a las organizaciones a tomar una serie de decisiones críticas, estos incluyen: pagar el rescate, cómo evaluar exhaustivamente y reparar cualquier daño hecho. “Es importante recordar que las acciones que las empresas toman en respuesta a tales ataques de ransomware pueden tener consecuencias duraderas, financieras, legales y de reputación. Además, las empresas tienen que saber cómo proceder con las aseguradoras, es importante que las organizaciones construyan procesos que les ayuden a lidiar con incidentes en tiempo real”, añadió González.

Recientes brechas cibernéticas de alto perfil han revelado cómo la complacencia por parte de los altos directivos puede conducir a un daño masivo a la línea de fondo y reputación de una organización. De acuerdo con el Estudio de violación de datos: Análisis Global de 2015 del Instituto Ponemon, 47% de los incidentes involucran un ataque criminal, el 25% se refiere a un error humano por algún empleado y 29% por fallas en el sistema que incluyen tanto fallas de TI como de procesos de negocio.