¿Por qué los ciberaseguradores no han ejercido más presión sobre las empresas para que sean mejores en seguridad? / Boing Boing

Durante décadas, las personas (incluyéndome a mí) han predicho que los ciberseguros podrían ser una forma de hacer que las empresas tomen en serio la seguridad. Después de todo, las aseguradoras tienen que vivir en el mundo real (razón por la cual el seguro contra el terrorismo es barato, porque el terrorismo no es un riesgo significativo en Estados Unidos), y en el mundo real, las malas prácticas de seguridad destruyen las vidas de las personas, todo el tiempo, en cantidades al por mayor que mendigan la imaginación.

Pero los datos empíricos muestran que las aseguradoras habitualmente escriben pólizas para compañías que hacen una mierda increíblemente estúpida y no ofrecen descuentos significativos a las compañías que tienen buenas políticas de seguridad (¡ni siquiera tiene que mantener su nivel de parche actualizado para mantener su seguro!) . En cambio, las aseguradoras se centran en los "servicios posteriores a la infracción" que ayudan a las empresas a volver a trabajar después de las infracciones.

en un próxima publicación en Privacidad y seguridad de IEEE, dos científicos informáticos (Oxford U, U de Tulsa) investigan esta pregunta, documentando el pésimo estado de los requisitos de las aseguradoras para el ciberseguro, y la facilidad de hacer reclamos, incluso para incidentes que eran completamente prevenibles.

Una posibilidad que los autores no profundizan: el ciberseguro es barato porque las sanciones por infracciones son ridículamente leves. Si bien es cierto que algunos incidentes (p. Ej. ransomware) tienen un costo operativo directo para la empresa, la gran mayoría de los incidentes implican violaciones de datos que afectan a los clientes o partes interesadas de la empresa.

La falta de un régimen legal de daños por infracciones significa que los clientes cuyos datos están comprometidos deben presentar recibos por los daños que han sufrido ante un juez, y dado que es difícil cuantificar esos daños (muchos de ellos no puede incurrirse en los próximos años), por eso Home Depot pagó centavos literales para resolver reclamos cuando perdió 50,000,000 de datos de clientes.

Y desde todos las empresas manejan mal los datos de los usuarios, y dado que es imposible distinguir a una empresa con prácticas responsables de TI de una imprudente hasta que sea demasiado tarde, tenemos un Mercado de limones en seguridad

Me parece que si desea que las aseguradoras impongan más restricciones a la conducta imprudente de sus clientes, podría aumentar las consecuencias de no hacerlo: si las compañías tuvieran que pagar daños legales a las personas cuyos datos perdieron, las aseguradoras excluirían esas pérdidas, imponen un sistema de rigurosas medidas de seguridad y auditorías, o cobran mucho más por el seguro que las compañías no pueden pagar, dejando a sus directores y funcionarios expuestos a responsabilidad. Un par de bancarrotas de alto perfil de miembros de la junta que perdieron sus camisas en demandas por violaciones de seguridad de la compañía sin duda llamarían la atención de las juntas corporativas.

Los encargados de formular políticas han tenido grandes esperanzas en el seguro cibernético como herramienta para mejorar la seguridad. Desafortunadamente, la evidencia disponible hasta el momento debería hacer que los políticos se detengan. El seguro cibernético parece ser una forma débil de gobernanza en la actualidad. Las aseguradoras que suscriben seguros cibernéticos se centran más en los procedimientos organizacionales que en los controles técnicos, rara vez incluyen procedimientos básicos de seguridad en los contratos y ofrecen descuentos que solo ofrecen un incentivo marginal para invertir en seguridad. Sin embargo, el costo de los servicios de respuesta externa está cubierto, lo que sugiere que las aseguradoras creen que las respuestas ex post son más efectivas que la mitigación ex ante. (Alternativamente, pueden traducir más fácilmente los costos asociados con las respuestas ex post en reclamos manejables).

La función de gobernanza privada del seguro cibernético está limitada por la dinámica del mercado. Las presiones competitivas impulsan una carrera hasta el fondo en los estándares de evaluación de riesgos y evitan que las aseguradoras incluyan procedimientos de seguridad en los contratos. Las intervenciones políticas, como los estándares mínimos de evaluación de riesgos, podrían resolver este problema de acción colectiva. Los titulares de pólizas y los corredores también podrían impulsar este cambio mirando a las aseguradoras que realizan evaluaciones rigurosas. Hacer lo contrario asegura una selección adversa y un riesgo moral aumentará los costos para las empresas con posturas de seguridad responsables. Avanzar hacia una evaluación de riesgos estandarizada a través de formularios de propuestas o escaneos externos respalda la base actuarial a largo plazo. Pero existe el peligro de que los asegurados sucumban a la ley de Goodhart al internalizar estas métricas y optimizar la métrica en lugar de minimizar el riesgo. Esto es particularmente probable dado que estas evaluaciones son construidas por actores privados con sus propios incentivos. Los efectos de la luz de búsqueda pueden hacer que las puntuaciones se basen en lo que se puede medir, no en lo que es importante.

El riesgo sistémico tiene varios futuros posibles. Las organizaciones pueden tener que aceptar la responsabilidad ya que las aseguradoras excluyen el riesgo. Los gobiernos podrían intervenir para ofrecer un reaseguro, aunque advertimos contra hacerlo hasta que se observe una suboferta de seguro cibernético. O las aseguradoras podrían mostrar liderazgo para alentar la diversidad en la tecnología y la provisión de servicios para reducir el riesgo sistémico.

¿El seguro tiene futuro en el gobierno de la ciberseguridad? [Daniel W. Woods and Tyler Moore/IEEE Privacy and Security]

(vía Schneier)

<! –

Cory Doctorow

Escribo libros. Mis últimos son: una novela gráfica de YA llamada En la vida real (con Jen Wang); un libro de no ficción sobre las artes e Internet llamado La información no quiere ser libre: leyes para la era de Internet (con presentaciones de Neil Gaiman y Amanda Palmer) y una novela de ciencia ficción de YA llamada Patria (es la secuela de Hermanito) yo hablar por todo el lugar y yo Pío y caída, también.

->


!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod?n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′;n.queue=[];t=b.createElement(e);t.async=!0;t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window,document,’script’,’https://connect.facebook.net/en_US/fbevents.js’);fbq(‘init’, ‘1174428159312267’);fbq(‘track’, ‘PageView’);

FUENTE ORIGINAL BOING BOING

Deja un comentario