A principios de año comenté acerca del informe de ciberseguridad del Foro Económico Mundial, preparado con la ayuda de Accenture, en el que se mencionan los seguros de fraude cibernético. Yo no los mencioné en el artículo de febrero porque dichos seguros no estaban disponibles en el país.
Recientemente, en una presentación organizada por Camtic, me enteré de que ya están disponibles en el país los seguros contra este tipo de riesgo. Siempre he creído en los seguros como una forma de mitigar riesgos. Pero los riesgos asociados a la cibercriminalidad no son fácilmente expresables en términos financieros.
Recientemente, la telefónica australiana Optus fue hackeada y los datos de cinco millones de clientes fueron comprometidos. Conozco clientes que tuvieron que ir a sacar de nuevo su licencia de conducir —con un nuevo número—, pasaportes etcétera. Todos esos no son clientes contentos, el daño reputacional no es directamente traducible a dinero.
Potencialmente más serio es el hackeo de Medibank, una aseguradora de salud australiana, dada la naturaleza ultra confidencial de los datos que maneja. Otra vez los dueños de los datos comprometidos no son clientes satisfechos, todo lo contrario.
Las pólizas aseguran contra los costos asociados a un hackeo, pero el costo de la imagen y la reputación pueden ser la diferencia entre permanecer en el negocio o no. Sin embargo, estos seguros tienen un enorme potencial antes de firmar la póliza, ya que exigen una auditoría, por lo general, implementada como un formulario detallado, en el que si mienten se invalida la póliza, y que determina si la empresa es asegurable.
Asegurables son las organizaciones que cumplen con los requisitos mínimos de ciberseguridad: versiones de software al día, control de tallado de acceso, detección y reacción (en tiempo real) de comportamiento atípico en la red, copias de respaldo con pruebas de funcionamiento, control de usuarios que dejan la organización o cambian de puesto, etcétera.
Esa auditoría es, obviamente, realizada todos los años a la hora de renovar la póliza, los detalles del formulario también cambian conforme avanzan los conocimientos en el ramo.
Se han comercializado muy pocas pólizas de riesgos cibernéticos en el país, y me aseguraron que ninguna se ha vendido en el sector público, que, como hemos visto, es el que más las necesita.
Obligatoriedad
Me parece que estos seguros deberían ser obligatorios en el sector público, ya que manejan datos confidenciales de todos nosotros, sin que podamos decidir si queremos o no que lo hagan. El seguro no solo nos garantiza a los ciudadanos que las medidas de seguridad mínimas han sido tomadas, sino también que, en caso de un incidente, la recuperación será expedita.
El seguro también cubre el costo de los “bomberos” durante y después del ataque. Estos que llamo bomberos son expertos en ciberseguridad —tan escasos como los dientes de las gallinas—, para repeler a los atacantes y ayudar a restaurar los sistemas lo antes posible. Nótese que ninguna organización que se considere “asegurable” debería tomar meses en restaurarse.
La disponibilidad de los bomberos en el momento requerido, me indican, debe ser gestionada por el cliente, el seguro elimina la negociación de los honorarios, solo se deberían llamar y ya, la aseguradora paga la cuenta, dentro de ciertos parámetros establecidos.
Desconozco los detalles de la auditoría basada en un formulario, pero esperaría contenga detalles de la información que es rutinariamente capturada, procesada y almacenada por la organización. En particular, me ha llamado la atención la información personal detallada que algunas instituciones deben, regulatoriamente, recopilar para “conocer a su cliente”.
Minimización del riesgo
Me parece que una vez confirmado que un cliente es quien dice ser, se debería haber un proceso de registro que certifique que se hizo la debida diligencia, para poder destruir esos datos y así reducir el riesgo de que sean comprometidos. La idea de tener que guardar información indefinidamente, por si algún día hay que comprobar que se hizo la debida diligencia, me parece totalmente anacrónica.
No sé cuántos encargados de la gobernanza de los datos se han preguntado qué hay que hacer para reducir el riesgo disminuyendo la cantidad y variedad de los datos almacenados.
Guardar datos de tarjetas de crédito, cuando se hace, se hace con la idea de mejorar la experiencia del cliente (no hay que volverle a pedir la información), pero el almacenamiento de este tipo de información debe ser siempre encriptado o, incluso, subcontratado con una institución financiera que además se encargue de la autenticación con doble factor.
Es bastante obvio que el riesgo asumido es directamente proporcional a la cantidad y variedad de datos en custodia, de manera que al reducir los datos se reduce el riesgo y, por lo tanto, la prima del seguro (asumiendo que las aseguradoras son racionales).
También desconozco el costo de estos seguros, en las instituciones públicas podría generar problemas presupuestarios, pero lo que aprendimos del Ministerio de Hacienda y de la Caja Costarricense de Seguro Social, sugiere que bien vale el costo extra. No obstante, con o sin póliza, la auditoría basada en un formulario puede ser administrada internamente o por la Contraloría General de la República, con un costo cercano a cero. Claro que el costo de modificar los procesos de las instituciones que resultaron no asegurables será significativo, pero el costo de asumir riesgos no medidos es mucho mayor.