Por qué el sector público necesita un seguro cibernético

Publicado el octubre 12, 2023

Las amenazas cibernéticas y los ataques de ransomware pueden ser paralizantes para las organizaciones del sector público. El costo de los ataques de ransomware en el gobierno suele ascender a millones de dólares, que se derivan principalmente del tiempo de inactividad y la recuperación (o, en algunos casos, del pago de un rescate). En su informe «El estado del ransomware» de 2023, Sophos señaló que, en 2023, el sector de la educación desde el jardín de infantes hasta el grado 12 ha experimentado la tasa de ataques de ransomware más alta de cualquier industria, ya que el 80 % de las escuelas informaron haber sido víctimas de un ataque de ransomware. Las agencias gubernamentales locales y estatales no se quedan atrás, dado que el 69 % informó haber sufrido un ataque de ransomware.

Las agencias gubernamentales estatales y locales necesitan un seguro cibernético para mitigar los riesgos financieros asociados con los ataques cibernéticos y las violaciones de datos. El seguro cibernético, también conocido como «seguro de seguridad cibernética» o «seguro de responsabilidad cibernética», es un tipo de cobertura de seguro diseñada para proteger a las organizaciones de las pérdidas financieras y las responsabilidades que provocan los ataques cibernéticos y las violaciones de datos.

¿Qué cubre un seguro cibernético?

Un seguro cibernético ayuda a las entidades estatales y locales a cubrir las pérdidas que generan los ataques cibernéticos. Si bien las pólizas varían según el estado y el proveedor del seguro, en general, todas cubren los costos de las violaciones de datos, las pérdidas por interrupción de los negocios, los costos de restauración de los datos y los pagos de ransomware.

Las pólizas de seguro cibernético no suelen cubrir los daños materiales o a la propiedad intelectual, las vulnerabilidades conocidas, los actos fraudulentos o delictivos de empleados o personas dentro de la empresa, las multas y las sanciones regulatorias o los daños causados por la naturaleza.

¿Cuáles son los diferentes tipos de seguros cibernéticos?

Hay dos tipos de seguros de responsabilidad cibernética que ayudan a las empresas a responder a las violaciones de datos y recuperarse de ellas:

Con un seguro de responsabilidad cibernética de primera parte, la aseguradora paga los gastos en los que incurre directamente una organización debido a una violación de seguridad. La cobertura de primera parte ayuda a las organizaciones a recuperarse rápidamente de los incidentes cibernéticos al proporcionar apoyo financiero para los esfuerzos de respuesta y recuperación inmediatos.
El seguro de responsabilidad cibernética de terceros cubre los daños o acuerdos que una organización debe pagar debido a demandas o reclamaciones resultantes de sus acciones u omisiones. La cobertura de terceros ayuda a proteger a las organizaciones de la responsabilidad financiera que puedan tener debido a demandas, acciones regulatorias u otras reclamaciones realizadas por personas o entidades afectadas por una violación de datos o un incidente cibernético.

Criterios comunes de suscripción

Los proveedores de seguros evalúan múltiples factores para determinar el perfil de riesgo de una organización al suscribir una póliza de seguro cibernético. Estos son algunos de ellos:

El tamaño y los ingresos de la organización.
Las prácticas de seguridad cibernética establecidas, como la implementación de la autenticación multifactor (MFA), la capacitación de los empleados, las medidas de seguridad de la red y la gestión de parches.
Los tipos de datos que almacena el asegurado, por ejemplo, información de identificación personal (IIP), como nombres, direcciones, números de licencia de conducir, formas de pago y números de seguridad social; información no clasificada controlada (Controlled Unclassified Information, CUI) o datos de tarjetas de pago.
El historial de incidentes cibernéticos, que puede incluir violaciones de datos, infecciones de malware u otras violaciones de seguridad.
Las ubicaciones geográficas en las que opera la organización o donde se almacenan sus datos pueden afectar las consideraciones de suscripción, ya que el riesgo cibernético puede variar según la región.

En la solicitud inicial, es probable que se formulen varias preguntas técnicas y operativas detalladas. En general, las organizaciones deben contar con los siguientes controles de seguridad para poder acceder a un seguro cibernético:

Implementación de sistemas sólidos de copia de seguridad
Programa de concienciación sobre seguridad para los empleados
Seguridad de correo electrónico contra el phishing en toda la organización
Protección de los puntos de conexión contra el malware
Autenticación multifactor tanto para el correo electrónico basado en la web como para el acceso administrativo o con privilegios
Cifrado de los datos personales y la información confidencial y sensible almacenada en sus sistemas y redes

El costo de un seguro cibernético

Contar con un seguro cibernético se está convirtiendo en algo esencial para todo tipo de organizaciones gubernamentales debido al aumento de los riesgos de ataques cibernéticos contra aplicaciones, dispositivos, redes y usuarios. Las agencias gubernamentales y las instituciones educativas suelen ser objeto de delitos cibernéticos debido a la información confidencial a la que tienen acceso. Los cibercriminales también saben que las organizaciones del sector público tienden a tener equipos de TI, presupuestos y recursos más reducidos para frustrar sus ataques.

Lamentablemente, muchos gobiernos han observado un rápido aumento de los costos de las primas de los seguros cibernéticos debido al incremento general de los ataques cibernéticos y al perfil de mayor riesgo del sector público. Las primas de los seguros cibernéticos en los Estados Unidos aumentaron un 50 % en 2022, dado que el aumento de los ataques de ransomware impulsó la demanda de cobertura. Las primas varían mucho. Para las agencias de gobierno, las primas anuales son más reducidas, de entre USD 5000 y USD 20 000, pero las organizaciones gubernamentales más grandes, como las agencias estatales o federales, pueden llegar a pagar primas anuales de USD 100 000 o más.

Cómo Keeper Security Government Cloud puede ayudar a mejorar la asegurabilidad

Contar con controles y prácticas de seguridad sólidos, como el uso de la autenticación multifactor para los inicios de sesión de la empresa y de un gestor de contraseñas, puede reducir las primas o el deducible de su póliza.

Gestión de contraseñas

Los gestores de contraseñas ayudan a los empleados a crear contraseñas seguras y únicas para todas sus cuentas y las almacenan en un lugar seguro. Las contraseñas robadas y las débiles son la principal causa de las violaciones de datos, pero la mayoría de las organizaciones no tienen visibilidad, seguridad ni control sobre las contraseñas y las credenciales de sus empleados.

Keeper Security Government Cloud (KSGC) utiliza políticas de administración delegada y de cumplimiento basadas en funciones para proporcionar visibilidad y control total sobre la seguridad de las identidades y los riesgos dentro de su organización. Los administradores pueden aplicar la MFA, que requiere que los usuarios proporcionen más de una forma de autenticación para acceder a un servicio o a una aplicación.

Gestión de identidades, credenciales y acceso (ICAM)

La solución de Gestión del acceso privilegiado (PAM) de Keeper simplifica la forma en que las organizaciones gestionan y protegen el acceso a los sistemas y los datos altamente sensibles, lo que comprende el acceso a los sistemas de nómina y de administración de TI, por nombrar algunos.

Además de la MFA para verificar la identidad de los usuarios, las soluciones de gestión del acceso privilegiado aplican el principio de privilegios mínimos, que garantiza que los usuarios tengan el acceso mínimo necesario a los sistemas y los datos al permitirles acceder únicamente a las cuentas que necesitan para desempeñar su función. Los controles de acceso también proporcionan niveles granulares de control y cumplimiento para las cuentas privilegiadas. Los administradores pueden registrar la actividad de cada cuenta y sesión, lo que ayuda a respaldar las auditorías y los informes con fines de cumplimiento y reglamentación.

Si bien la gestión del acceso privilegiado puede ayudar a las organizaciones a abordar los requisitos para acceder a un seguro cibernético, las soluciones tradicionales suelen ser prohibitivas, difíciles de implementar y a menudo contienen funciones que no se utilizan. KeeperPAM aborda las principales vulnerabilidades y requisitos de las organizaciones para evitar las violaciones de datos con solo las características que necesita.

Rentable: una única plataforma que requiere muy poco personal de TI para su administración.
Aprovisionamiento rápido: se implementa y se integra a la perfección con cualquier pila de tecnología o de identidad en solo unas horas.
Fácil de usar: ofrece una consola de administración unificada y una interfaz de usuario moderna para cada empleado en todos los tipos de dispositivos, y el tiempo promedio de capacitación es de menos de dos horas.

Para obtener más información sobre KeeperPAM y cómo puede reforzar la seguridad cibernética de su organización, solicite una demo hoy mismo.

Kim Howard

De Kim Howard

Kim Howard is the Public Sector Marketing Manager at Keeper Security. She has over a decade of experience in Marketing and has worked at technology and software companies of all sizes, ranging from startups to enterprises. Her goal is to help public sector organizations understand the importance of cybersecurity and how they can safeguard against cyber attacks. Kim has a B.A. in Business Administration from Governors State University.