Los expertos de Infosec dicen que los CISO deben agregar autenticación multifactor para los inicios de sesión para proteger mejor a sus organizaciones contra el robo de credenciales.
Pero también hay otra razón. A partir del 1 de enero, muchas aseguradoras cibernéticas de América del Norte tienen una nueva regla: sin MFA, las organizaciones no obtendrán cobertura.
Ese fue uno de los mensajes que surgieron de un panel sobre seguros cibernéticos y derecho cibernético en la Cumbre Internacional de Privacidad y Ciberseguridad de Vancouver, que comenzó el miércoles.
Derek May, un ejecutivo de cuentas con sede en Vancouver y especialista cibernético de HUB International Insurance Brokers, dijo que las aseguradoras están cansadas de pagar reclamaciones por filtraciones de datos y han endurecido sus requisitos de cobertura.
A fines del año pasado, las aseguradoras cibernéticas se dieron cuenta de que tenían un índice de siniestralidad en cibernética del 500 por ciento, dijo. Eso significaba que por cada $ 1 en primas perdían $ 5.
Desde el 1 de enero, las organizaciones que solicitan un seguro cibernético deben demostrar que están implementando una larga lista de tecnologías y prácticas de seguridad cibernética, incluida la MFA, y que tienen un plan de respuesta a incidentes para obtener cobertura, dijo May.
A los pocos minutos de sus comentarios, otro corredor le envió un mensaje de texto, señalando que una empresa que él conoce casi tuvo su ciberseguro cancelado porque la gerencia no estaba dispuesta a implementar MFA.
“Estoy trabajando con dos o tres organizaciones en exactamente la misma posición”, dijo May. “Una de las grandes compañías de seguros que todo el mundo conoce ha salido y dijo que ya no asegurará a una compañía a menos que tenga MFA. Están enviando avisos de no renovación en este momento, diciendo: ‘Si no puede marcar sí en estas tres preguntas, cancelaremos la póliza’.
“Muy pocas aseguradoras no piden algunas de estas cosas”.
Mientras tanto, dijo May, las primas y los deducibles del seguro cibernético están aumentando. Los municipios, cada vez más atacados por piratas informáticos, ahora tienen dificultades para obtener cobertura, agregó.
El seguro cibernético es ahora una “asociación de la mano entre el departamento de TI, la empresa y la aseguradora”.
Dependiendo de la cobertura, el seguro cibernético cubre los costos de una violación de los controles de seguridad, como restaurar datos, reemplazar hardware / software, contratar investigadores forenses, abogados externos, asesores externos y de comunicaciones.
Puede que no cubra las multas reglamentarias. Eso es particularmente importante, dijo la panelista Ruth Promislow, socia con sede en Toronto del bufete de abogados Bennett Jones, a la luz de la Ley de Protección de Privacidad Canadiense propuesta por el gobierno federal (CPPA – Bill C-11, todavía en segunda lectura). Le daría a un nuevo Tribunal de Protección de Datos la capacidad de imponer multas multimillonarias.
Promislow, que se centra en la ley de privacidad y la seguridad cibernética, a menudo es llamado por los clientes después de una violación de datos. Cuando se le preguntó si encuentra problemas comunes, respondió: “Me sorprende la frecuencia con la que me comprometo y me dicen que no hay autenticación multifactorial y que ellos tienen seguro … el correo electrónico se vio comprometido “.
Otro problema común que se descubre después de una infracción es la cantidad de datos innecesariamente retenidos por la organización que es antigua y debería haber sido eliminada.
La conferencia termina hoy.