La importancia de Tech E&O a medida que aumentan los riesgos cibernéticos y el ransomware
Tecnología Ciber

La importancia de E&O de tecnología a medida que aumentan los riesgos cibernéticos y el ransomware

Dan Silverman
Dan Silverman,Director de Responsabilidad Profesional y Cibernética de The Hartford
Dan Silverman
Director de Responsabilidad Profesional y Cibernética en The Hartford.
10/18/2022 8 min de lectura
Los riesgos cibernéticos y el ransomware están aumentando, lo que significa que tener la cobertura de seguro adecuada es esencial.
Facebook LinkedIn Twitter Correo electrónico Cancelar
Facebook LinkedIn Twitter Correo electrónico Cancelar
Cibernético es ahora un término familiar. Todos nos hemos visto afectados por eventos cibernéticos, ya sea que nuestras cuentas personales de redes sociales sean pirateadas, los empleadores sean cerrados por ransomware o los proveedores de servicios pierdan el control de la información de su tarjeta de crédito. 
 
Diferentes partes pueden verse afectadas de manera diferente por un hackeo:
 
  • El hackeo de una persona puede conducir al robo de identidad y al fraude para esa persona
  • El hackeo de un negocio puede desencadenar un cierre de operaciones y pérdida de ingresos
  • Una fitración de los datos privados de los clientes puede dar lugar a gastos y demandas
Las empresas de diversas industrias también pueden experimentar el riesgo cibernético de diferentes maneras. Por ejemplo, las empresas de tecnología son un objetivo de alto valor para los piratas informáticos. Si un pirata informático puede penetrar en un proveedor de tecnología, puede acceder a múltiples clientes y usuarios posteriores de una sola vez.
 
De hecho, el sector tecnológico representó casi una cuarta parte (23%) de los ataques de ransomware en 2021, más que cualquier otra vertical. 1
 
En los últimos seis meses, Bitsight experimentó un crecimiento en las vulnerabilidades y exposiciones comunes.
 
"Las vulnerabilidades y exposiciones comunes están creciendo en todas las categorías basándose únicamente en la creciente cantidad de tecnología utilizada en los negocios. Toda tecnología tiene vulnerabilidades y los tipos de vulnerabilidades son infinitos; existen en código, mala configuración, diseño, personas y procesos", dijo Aaron Aanenson, director senior de Bitsight. "Debería haber procesos para identificar estas vulnerabilidades y tener un plan para abordarlas, y este debería ser un área de enfoque para el proceso de suscripción, especialmente para las empresas tecnológicas".
 
Los tipos de empresas tecnológicas a las que se dirige pueden variar ampliamente. Pueden incluir:
 
  • Proveedores de servicios gestionados (MSP)
  • Proveedores de servicios de seguridad gestionados (MSSP)
  • Proveedores de software como servicio (SaaS)
  • Empresas en la nube
  • Empresas de Comunicaciones
  • Diseñadores de software
  • Revendedores
  • Editoriales
  • Desarrolladores de Hardware con Software Embebido

Seguro de responsabilidad cibernética y seguro de responsabilidad profesional para empresas de tecnología

Al igual que con otras industrias, los riesgos cibernéticos han aumentado las responsabilidades de red de muchas empresas tecnológicas. Pero más exclusivos de la industria tecnológica, estos riesgos también han aumentado sus exposiciones de responsabilidad profesional.
 
Es por eso que tener la cartera de servicios adecuada y la cobertura de riesgo cibernético, como el seguro de errores y omisiones tecnológicas (E&O), es más crucial que nunca para ayudar a prevenir, responder y recuperarse de un incidente.
 

Exposiciones a riesgos cibernéticos y tecnológicos

Rolando Torres, director de operaciones de Abacode, dijo que los riesgos cibernéticos están comenzando a cambiar a un modelo de riesgo compartido a medida que las empresas cambian su trabajo a la nube, los sistemas SaaS y el uso de proveedores de servicios externos.
 
"Aunque las empresas se benefician de heredar los controles de seguridad de los proveedores maduros de plataformas SaaS y en la nube, también comparten el riesgo de compromiso de un incidente que afecte a las tecnologías y proveedores de servicios que tienen acceso a sus sistemas", explicó.
 
La exposición al riesgo cibernético y tecnológico de una empresa puede provenir de:
 
Responsabilidad de la red:  Desde empresas tecnológicas hasta bufetes de abogados, escuelas e instituciones gubernamentales, entidades de todos los sectores están experimentando ciberataques y filtraciones de datos. Sus propias redes están siendo bloqueadas, los datos están siendo exfiltrados, los rescates están siendo pagados, las operaciones comerciales están siendo interrumpidas y la restauración de datos es necesaria.
 
Profesional / Responsabilidad por productos: El riesgo de piratería de una empresa de tecnología también aumenta materialmente su exposición a la responsabilidad profesional y podría generar un impacto potencialmente vasto en el futuro. Las empresas tecnológicas suelen ser el trampolín para los ataques a la cadena de suministro y las vulnerabilidades sistémicas de todas las demás empresas.  Cualquier hackeo de la industria puede provocar la interrupción de sus productos o servicios, pero es posible que puedan recuperar esos costos presentando un reclamo contra la empresa tecnológica responsable de la vulnerabilidad.
 
El hackeo de cualquier empresa de software o comunicación magnifica el potencial de transmitir vulnerabilidades cibernéticas a los usuarios intermedios a través de las siguientes vías:
 
  • Uso de software de código abierto: Piense en el incidente de Log4J en 2021, donde un código abierto de uso común se cargó con malware.  2 Alrededor del 90% de los desarrolladores de software utilizan software de código abierto en su propio producto. En algunos casos, un programador puede reutilizar el código que usó anteriormente en su último empleador. 3
  • Parches remotos: La administración remota de parches permite a los administradores instalar parches y actualizaciones en aplicaciones, software o dispositivos que operan o están conectados a una red desde cualquier parte del mundo. SolarWinds fue un buen ejemplo de malware que se propaga a los clientes a través de parches remotos. 4
  • Acceso remoto: Los MSP, MSSP y otras empresas con acceso remoto a sus clientes pueden verse comprometidos. Esto significa que sus credenciales y acceso se pueden usar para apuntar y comprometer a sus clientes.
  • Almacenamiento de nombres de usuario y contraseñas de clientes: Los hackeos de Okta y LastPass, ambos administradores de contraseñas, llevaron a hackeos de clientes posteriores mediante el uso de la información de inicio de sesión robada de sus clientes. 5
  • Herramientas de telegestión y monitorización: Este tipo de herramientas, como Kaseya, se ven comprometidas y se utilizan para acceder y comprometer aún más a la clientela.
  • Una promesa de tiempo de actividad: empresas de las que dependen los clientes para operar su propio negocio. como las empresas de comunicaciones u otros proveedores de servicios, también tienen un mayor riesgo de responsabilidad profesional. Dado que su propia responsabilidad de red aumenta, la exposición a la dependencia de un proveedor de servicios también aumenta.

Medidas de precaución que las empresas de tecnología pueden tomar para protegerse

Hay algunas precauciones específicas que un proveedor de tecnología puede tomar para ayudar a minimizar el riesgo de transmitir vulnerabilidades posteriores a los usuarios de sus productos y servicios.
 
Para las empresas que entregan software, pueden implementar un programa interno de gestión de seguridad de la información basado en un estándar de seguridad, como NIST Cybersecurity Framework; o ISO 27001, NIST 800-53, CIS Top 20, que tiene como objetivo proteger las propias redes de una organización y su ciclo de vida de desarrollo de software (SDLC).
 
También puede ser una buena idea seguir el SP 800-218 del NIST: Marco de desarrollo de software seguro (SSDF): recomendaciones para mitigar el riesgo de vulnerabilidades de software.
 
En particular, las empresas deben emplear DevSecOps, la práctica de integrar la seguridad en el ciclo de vida del desarrollo de software. Esto incluye limitar el uso de código fuente abierto y:6
 
  • Realizar un análisis de composición de software y rastrear las fuentes de código que se implementan dentro de un producto de trabajo para localizar y abordar vulnerabilidades conocidas más fácilmente.
  • Revisiones de código periódicas a través de una revisión de código por pares, un equipo de revisión de código interno que no forma parte del equipo de desarrollo o una revisión de código de terceros. Estas revisiones pueden incluir un análisis estático que valida la práctica de codificación de seguridad durante el desarrollo o un análisis dinámico para validar las vulnerabilidades que se producen cuando se ejecuta el software.
  • Pruebas de seguridad o pruebas de penetración de un producto. Esto se puede hacer con un equipo interno o a través de un tercero.
  • Tener un plan de respuesta a incidentes en el que una empresa anticipe que un producto de software va a ser pirateado y tener un plan para responder rápidamente para reducir el impacto.
  • Tener un plan de reversión para cerrar vulnerabilidades y limitar el impacto.
  • Monitoreo del producto y más allá. Algunas compañías de software monitorean la web oscura en busca de conversaciones tempranas sobre exploits en su código para que puedan tratar de "dejar la brecha" y cerrar puertas antes de que se vuelvan ampliamente conocidas.
Para las empresas que se conectan de forma remota con los clientes, aproveche un enfoque de confianza cero que incluya una separación de preocupaciones entre:
 
  • Compatible con portátiles
  • Entorno técnico
  • Entorno de sus clientes

Ejemplos del mundo real

Lea sobre ejemplos reales en los que los seguros E&O ayudaron a las empresas de tecnología:
 
  1. Una empresa de TI brindaba varios servicios a bufetes de abogados. Cuando la empresa de TI fue violada, los piratas informáticos utilizaron el acceso administrativo de las empresas de TI para acceder a los archivos de correo electrónico de sus clientes. Luego, los piratas informáticos enviaron correos electrónicos fraudulentos a los bufetes de abogados haciéndose pasar por un nuevo cliente y solicitando la liberación de varios fondos retenidos por la firma en custodia. Como resultado, el bufete de abogados emitió pagos de más de $3 millones a cuentas bancarias fraudulentas y el dinero se perdió permanentemente. Si bien la respuesta inicial a la filtación le costó a la compañía de TI menos de $50,000, el bufete de abogados ahora está demandando a la compañía de TI por $3 millones, alegando que la intrusión inicial causó la pérdida en cuestión.
  2. Nuestro asegurado brinda varios servicios de TI a cientos de clientes, que incluyen alojamiento, seguridad de red, firewalls y asistencia por correo electrónico. Cuando el asegurado fue violado, su sistema informático estuvo inoperativo durante casi una semana. Esto resultó en que todos los clientes se desconectaran y sus datos se vieran comprometidos. Como resultado, nuestro asegurado perdió cientos de miles de dólares en ingresos debido a esta interrupción del negocio. También todavía están tratando de resolver más de 40 reclamos hechos por sus clientes debido a su propia incapacidad para operar mientras el sistema del asegurado estaba inactivo.

Cómo The Hartford puede ayudar a las empresas de tecnología

Ofrecemos soluciones profesionales, de medios y de riesgo cibernético a través de nuestro conjunto de productos FailSafe® , que ayuda antes, durante y después de los ataques cibernéticos. Ofrece una protección más fuerte que otras pólizas que pueda encontrar. Algunas de nuestras ofertas holísticas incluyen:
 
The Hartford Ransomware Mitigation Suite, que reduce los riesgos de manera proactiva a través de las mejores prácticas, recursos y capacitación de los empleados. Después de registrarse, los asegurados pueden acceder al soporte de riesgo cibernético proporcionado a través de nuestros socios, como:
 
  • "Conoce a tu entrenador de brechas"
  • Identificación de las vulnerabilidades cibernéticas de su organización a través de un análisis de red proporcionado por Bitsight
  • Contratación de una empresa experta en TI para ayudar a remediar vulnerabilidades, un servicio opcional proporcionado por Abacode
  • Capacitación opcional en concientización sobre seguridad
CyberChoice First Responders, un panel de proveedores de servicios externos con una profunda experiencia en respuesta a infracciones.
 
 
1 The Manufacturer, “A Pathway to Digital Success: Why the C-Suite Needs to Understand Cyber Risk”, September 2022
 
2 The Conversation, “What Is Log4j? A Cybersecurity Expert Explains the Latest Internet Vulnerability, How Bad It Is and What’s at Stake, September 2022
 
3 ZDNet, “Open-Source Software: Nine out of 10 Companies Use It, But How Much Is It Really Worth?”, September 2022
 
4 Business Insider, “The U.S. Is Readying Sanctions Against Russia Over the SolarWinds Cyber Attack. Here’s a Simple Explanation of How the Massive Hack Happened and Why It’s Such a Big Deal”, September 2022
 
5 Forbes, “Okta Hack Exposes a Huge Hole in the Tech Giant Security: Their Call Centers’, September 2022
 
6 Vince Kuchar, CEO of Risk Mitigation Consulting, September 2022
 
Los proveedores de servicios externos mencionados en este documento, aunque no son afiliados de The Hartford, están aprobados previamente por The Hartford para proporcionar servicios relacionados con la cibernética. No está obligado a hacer uso de sus servicios. Compartir cualquier información con dicho proveedor queda a su entera discreción. Las referencias a cualquier proveedor se proporcionan solo para su conveniencia y no pretenden sustituir su propia diligencia debida y selección de proveedores para satisfacer las necesidades de su empresa. Los proveedores son contratistas independientes que cobran sus propias tarifas. Las tarifas de servicio de terceros con descuento ofrecidas por cualquier proveedor no son ofrecidas por The Hartford, ni en ninguna prima para una póliza de seguro. Cualquier descuento de proveedor de este tipo está sujeto a cambios sin previo aviso y no está garantizado por The Hartford. The Hartford no garantiza el rendimiento o los servicios de los proveedores o sus sitios web. The Hartford no asume ninguna responsabilidad por el control, la corrección o el cumplimiento legal de sus medidas de seguridad cibernética u otras prácticas y operaciones comerciales. La notificación de cualquier reclamo, acto, hecho o circunstancia a un proveedor no constituye una notificación de la misma a The Hartford. Los proveedores aprobados están actualizados a partir de abril de 2022 y pueden cambiar a nuestra discreción en cualquier momento, con o sin previo aviso.
 
The Hartford no ofrece ni proporciona servicios de terceros y no puede hacer ninguna afirmación o promesa de que el uso de esos productos o servicios resultará en menores pérdidas cibernéticas. Todos estos productos y servicios son proporcionados por servicios de terceros.
 
La información proporcionada en estos materiales pretende ser de naturaleza general y consultiva. En ningún caso The Hartford será responsable de daños directos, especiales, incidentales o consecuentes (incluidos, entre otros, daños por pérdida de ganancias comerciales, interrupción comercial, pérdida de información comercial u otra pérdida pecuniaria) que surjan directa o indirectamente del uso (o falta de uso) o la confianza en la información contenida en este documento, incluso si The Hartford ha sido advertido de la posibilidad de que surjan tales daños.
 
Los enlaces desde este sitio a un sitio externo, no afiliado a The Hartford, pueden proporcionarse solo para la conveniencia de los usuarios. The Hartford no controla ni revisa estos sitios ni la provisión de ningún enlace implica un endoso o asociación de dichos sitios que no sean de Hartford. The Hartford no es responsable y no hace ninguna representación o garantía con respecto al contenido, integridad, precisión o seguridad de los materiales en dichos sitios. Si decide acceder a dichos sitios que no son de Hartford, lo hace bajo su propio riesgo.
Dan Silverman
Dan Silverman
Director de Responsabilidad Profesional y Cibernética en The Hartford.

Artículos relacionados