Las pequeñas empresas siguen siendo objetivos de gran valor para los ciberdelincuentes. Las razones de la atracción son variadas, pero una de las principales es que muchas pequeñas empresas sirven como proveedores externos para empresas más grandes. Cuando no están debidamente protegidos contra los ataques cibernéticos, los terceros ofrecen a los atacantes un camino sin restricciones hacia las superficies de ataque de sus clientes corporativos.
La investigación de TransUnion muestra que de las 3495 empresas comprometidas en 2022, 1745 se originaron a partir de una violación de datos de un proveedor externo. Eso es un aumento de casi el 220% en comparación
al año anterior.
Además, las infracciones de terceros son cada vez más graves a medida que los actores de amenazas perfeccionan su oficio. Según lo medido por un algoritmo patentado de TransUnion, la gravedad de las infracciones de proveedores externos aumentó un 10 % en 2022. En comparación, la gravedad de las infracciones principales aumentó solo un 2 %.
Dado el enfoque felony en las pequeñas empresas, los dueños de negocios se están dando cuenta de que no tienen seguro o asegurado insuficientemente para la protección cibernética.
Los datos de reclamos de Cyberscout, una marca de TransUnion, muestran que la denegación de cobertura más frecuente para reclamos cibernéticos de pequeñas empresas involucra reclamos de ingeniería social, que a menudo no son un componente estándar de la cobertura cibernética adjunta a una póliza de paquete de pequeñas empresas. Para complicar las cosas, la ingeniería social se ha convertido en el tipo de esquema cibernético número uno que se ve hoy en día, desplazando al ransomware como la principal amenaza.
Cuando ni el banco ni la aseguradora pueden ayudar
En un incidente reciente, el propietario de una pequeña empresa fue engañado para que actualizara los detalles bancarios de ACH después de recibir un correo electrónico falso de lo que él pensó que period un socio proveedor de mucho tiempo. La información bancaria ilegítima permaneció en su lugar durante meses, mientras que los pagos mensuales directos de la pequeña empresa fueron a parar a un estafador.
Dado que el dueño del negocio había autorizado técnicamente los pagos, el banco no pudo ayudar. Del mismo modo, debido a que la póliza de seguro cibernético del propietario de la empresa excluía la ingeniería social, la compañía de seguros no pudo ayudar. Al last, la pequeña empresa perdió más de $50,000. El dueño del negocio perdió horas tratando de recuperar los fondos mientras se reconciliaba con el vendedor serious que nunca recibió los pagos mensuales adeudados.
Pérdidas como esta son asegurables por pólizas contemporáneas. Debido a que la industria ha tardado en estandarizar estas políticas, tienen muchos nombres (p. ej., políticas de fraude financiero, políticas de delitos informáticos, políticas de transferencia electrónica de fondos e incluso políticas de ingeniería social).
Los intermediarios pueden generar cambios
Los corredores son un recurso clave para ayudar a los clientes de pequeñas empresas y a los socios aseguradores a encontrar una cobertura cibernética adecuada y adecuada. Al hacer a los clientes algunas preguntas exploratorias relevantes (y comprometerse a repetir ese proceso en el momento de la renovación), los corredores pueden garantizar que los asegurados estén más adecuadamente asegurados para el panorama de amenazas real en el que operan. Los corredores también ocupan una posición de intimidación con sus socios aseguradores: pueden ayudar a impulsar a las aseguradoras a continuar actualizando sus ofertas cibernéticas para abordar las realidades del panorama de riesgos cibernéticos en constante cambio.
En cuanto a sus clientes de pequeñas empresas, aquí hay una serie de preguntas que los propietarios de negocios y los corredores que los atienden pueden responder juntos mientras seleccionan la política de protección cibernética adecuada para sus circunstancias únicas.
¿Qué tan rico es el propietario principal?
La riqueza y la prominencia del propietario de una empresa deben tenerse en cuenta en una evaluación de riesgos de política cibernética. Esto no es solo para calcular posibles pérdidas financieras relacionadas con un ciberataque. También es un medio por el cual los corredores pueden evaluar la probabilidad y la gravedad de ciertas huelgas en el negocio.
En los últimos meses, los ciberdelincuentes se han apoyado mucho en los ataques de phishing de ballenas y la extorsión dirigida a personas destacadas y ejecutivos clave dentro de compañías ocultas. Por lo tanto, la riqueza del propietario o propietarios principales de la empresa es un variable que se debe considerar al determinar la cantidad adecuada de cobertura cibernética.
Las pólizas de alto valor neto tienden a cubrir la mayoría de las formas de fraude financiero. Sin embargo, hay matices en esa cobertura que pueden excluir incidentes de ciberdelincuencia. De manera comparable, las pólizas más nuevas para pequeñas empresas o empresas en el hogar pueden incluir robo, pero esto a menudo se limita a incidentes como una computadora o impresora robada, no necesariamente pérdidas financieras derivadas de credenciales robadas, por ejemplo. Los propietarios y corredores deben leer detenidamente estas políticas para conocer las exclusiones y determinar si son aceptables para el propietario de la empresa.
¿Están los datos personales, comerciales y de los clientes correctamente almacenados?
Una de las razones por las que las pequeñas empresas son tan atractivas para los ciberdelincuentes es que un solo compromiso puede generar el doble, a menudo el triple, de trabajo. Cuando un pirata informático accede con éxito a la computadora portátil own del propietario de una empresa, por ejemplo, a menudo puede encontrar más que solo la información de identificación particular (PII) del propietario. También pueden encontrar datos comerciales valiosos. Esto podría ser cualquier cosa, desde detalles de cuentas financieras y números de identificación fiscal hasta registros de empleados y valiosos secretos comerciales. Si esa empresa sirve como proveedor, el pirata informático también puede comprometer los datos comerciales de varios clientes al mismo tiempo.
Para tener una visión completa del panorama de amenazas de la empresa, los dueños de negocios y sus intermediarios deben discutir qué parte de la información personal del dueño principal está presente en las redes de la empresa y viceversa. También deben comprender cómo se recopila, almacena y protege la información del cliente en los sistemas de la empresa.
Históricamente, las aseguradoras han sido buenas separando la cobertura particular de la comercial. Sin embargo, en medio de la aparición de tendencias en el lugar de trabajo, como traer su propio dispositivo, trabajar desde casa e incluso políticas de trabajo further, las cosas se han vuelto un poco turbias.
¿La empresa sigue las mejores prácticas de ciberseguridad?
Investigar las estrategias de protección cibernética de la empresa no solo es necesario para suscribir el riesgo, sino que también puede tener el beneficio adicional de educar al propietario de la empresa sobre los riesgos emergentes y las mejores prácticas para mitigar esos riesgos.
Los corredores deben preguntar acerca de la relación del proveedor de servicios administrados (MSP) de la empresa. ¿Con qué frecuencia se conectan con esa organización para actualizar los firewalls, descargar parches de seguridad o integrar tecnología emergente?
También deben preguntar acerca de las políticas y procedimientos de copia de seguridad. Las pequeñas empresas con una copia de seguridad de datos adecuada a menudo se ahorran la necesidad de pagar un rescate.
Los corredores también pueden hacer preguntas basadas en escenarios, como ¿qué hace la empresa si recibe una comunicación de un cambio en las instrucciones bancarias? ¿Hacen un seguimiento con una llamada directa al banco para verificar en lugar de confiar en las instrucciones por correo electrónico o mensaje de texto?
También se deben explorar los comportamientos de los ejecutivos clave. ¿Los líderes usan una VPN regularmente? ¿Tienen sus filtros de spam demasiado altos? ¿Están participando en la capacitación cibernética para empleados que su negocio requiere de sus empleados?
No es ningún secreto que este nivel de escrutinio puede desanimar a algunos propietarios principales. En estas circunstancias, un respaldo cibernético puede ser la mejor medicina. Los endosos son una buena manera de ayudar a los propietarios de pequeñas empresas a contratar seguros cibernéticos con la menor cantidad de fricción. Si bien no ofrecen tanta amplitud como una póliza completa, los endosos son ciertamente mejores que ninguna póliza cibernética. Los corredores querrán evaluar la voluntad de todos los directores de participar en conductas exploratorias y practicar evaluaciones caso por caso.
El resultado de la inconsistencia
Ningún corredor quiere ser el que explique a un asegurado que las primas que ha estado pagando no son suficientes para recuperarse por completo de un ciberataque. Sin embargo, ahí es exactamente donde muchos se encuentran hoy en día, ya que las amenazas en rápida evolución hacen que las políticas cibernéticas sean irrelevantes casi en el momento en que se escriben.
Más de dos décadas en el negocio de los seguros cibernéticos, la industria aún se ve limitada por la falta de estándares. Esto requiere que los corredores lleguen a cada póliza con un enfoque único. Sin embargo, el resultado de esta inconsistencia es que los corredores tienen mucho espacio para la flexibilidad y la personalización, sin mencionar el beneficio de los puntos de contacto adicionales con los clientes y las fuentes de ingresos. Lo importante es evitar el statu quo e insistir en controles frecuentes con los dueños de negocios.
El ritmo del cambio, tanto en el mundo de los negocios legítimos como en el mundo del delito cibernético, es demasiado rápido para los compromisos de establecer y olvidar entre las aseguradoras y sus asegurados. Necesitamos un cambio de mentalidad en las reescrituras de políticas. En lugar de verlos como una molestia, debemos verlos como una oportunidad para ampliar la conciencia de los clientes y mejorar su protección contra lo que es, para todos los efectos, una eventualidad.
Matt Cullina es director de seguros cibernéticos globales de Cyberscout, una marca de TransUnion, que ha dirigido durante más de 10 años. Cullina también ha sido miembro de la junta del Centro de Recursos para el Robo de Identidad, incluido un período como presidente de la junta de la organización sin fines de lucro. Él puede ser contactado en matt.cullina@transunion.com.
Únase a nuestro grupo de LinkedIn, Smaller Company Adviser de ALM, un espacio donde los propietarios de pequeñas empresas pueden reunirse para establecer contactos, tener debates y mantenerse al día con las tendencias y los problemas que afectan a sus industrias, o visite nuestro grupo Smaller Small business Adviser en Fb.
Relacionado:
Cómo las aseguradoras pueden protegerse contra los delitos cibernéticos
¿Cuánto cuesta el seguro para pequeñas empresas?
