Los expertos de la industria dicen, inequívocamente, que ahora es el momento de que los proveedores de servicios de TI inviertan en seguros de ciberseguridad MSP si aún no lo han hecho.
2019 fue un año excepcional para los ciberataques, con los ciberdelincuentes apuntando cada vez más a los MSP como plataformas de lanzamiento para campañas de ransomware. Los expertos de la industria predijeron que 2020 sería igual de malo, si no peor, incluso antes de que los atacantes comenzaran a planear para explotar la pandemia de COVID-19.
Para un MSP, «comienza con la premisa básica de que un cliente piensa que lo está contratando para asegurarse de que no ocurra nada malo», dijo Robert Scott, socio gerente del bufete de abogados de tecnología Scott & Scott LLP. Independientemente de lo que diga el contrato de un MSP sobre los servicios de TI específicos que proporcionará, el cliente siempre está pensando en la transferencia de riesgos, enfatizó.
«El panorama de las amenazas ha evolucionado … tanto que, para muchas empresas, no se trata de si se verán comprometidas, sino de cuándo y quién es el responsable», agregó Scott.
Obtener un seguro de responsabilidad civil de ciberseguridad profesional es la forma más pragmática de garantizar a los clientes que están protegidos contra incidentes que puedan causarles daños económicos. Cuando un contrato de servicio administrado está estructurado correctamente, permite que un MSP brinde servicios a un cliente que aborden el panorama de riesgos y amenazas sin que el MSP asuma más riesgo que el que se ha transferido a la compañía de seguros. El seguro puede permitir que un MSP transfiera el riesgo de responsabilidad asociado con la pérdida de datos, el compromiso de los datos y las infracciones.
Compra de un seguro de ciberseguridad
A partir de hoy, las pólizas de seguro de ciberseguridad de MSP no están reguladas ni estandarizadas, por lo que es fundamental que un MSP utilice una empresa que se especialice en seguros de errores y omisiones de responsabilidad de ciberseguridad, dijo Justin Reinmuth, fundador y director ejecutivo de Techrug, asegurador de riesgos tecnológicos.
Pero algunos MSP se resisten al costo del seguro de ciberseguridad. Debido a que puede costar más de varios miles de dólares al año, no lo compran, lo cual es «estupidez» e «ignorancia», dijo Scott. Es probable que algunos MSP sientan que su negocio es tan pequeño que no tienen nada que perder, pero esa es una suposición errónea.
«Veo esto como un médico que ejerce la medicina sin seguro por negligencia o un abogado que ejerce sin seguro de responsabilidad legal o conduce sin seguro», dijo Scott. «Es muy arriesgado para su negocio y lo coloca en una desventaja competitiva en el mercado».
Sin embargo, si la compra de un seguro de ciberseguridad de MSP se reduce a elegir entre hacer nómina y alimentar a su familia, esa es una buena razón para no comprarlo, señaló Scott. Pero más allá de eso, dijo que no podía pensar en ninguna razón por la que un MSP que ofrece servicios de ciberseguridad tendría que salir al mercado sin un seguro de ciberseguridad.
Reinmuth estuvo de acuerdo y dijo que el costo del seguro podría ser alto para algunos MSP, pero que si va a realizar servicios de ciberseguridad, «tiene el potencial de que las cosas salgan de lado». Al igual que Scott, citó la analogía de un médico que no tiene seguro por negligencia. No importa si proporciona seguridad de red a un solo cliente o 100, el seguro de ciberseguridad es imprescindible.
Scott dijo que recomienda a sus clientes de MSP que ofrecen servicios de ciberseguridad que incluyan una disposición en su contrato de que su cliente también obtenga una cobertura de responsabilidad cibernética de primera parte.
«Le permite al MSP explicarle al cliente: ‘Mi seguro lo cubre en caso de que algo salga mal y sea culpa mía, pero hay muchas cosas que pueden salir mal en TI que no son culpa mía’ ‘. «Scott explicó. Por ejemplo, si el empleado de un cliente hace clic en un correo electrónico de phishing y expone a la organización a malware, la infección no es culpa del MSP.
Cómo reducir las tarifas del seguro de ciberseguridad
Los MSP pueden realizar cambios internos para reducir cuánto pagan en primas de ciberseguro. Las aseguradoras quieren ver instaladas herramientas como firewalls, protección antivirus y respaldo seguro, dijo Eran Farajun, vicepresidente ejecutivo del proveedor de software de respaldo en la nube Asigra Inc.
«Si una empresa no demuestra que está reforzando sus prácticas de seguridad, [an insurance agency] no renovará una política «, dijo Farajun. Los MSP deben asegurarse de que están haciendo su debida diligencia para estar más seguros.
Recomendó que los MSP «eviten el uso de soluciones de MSP todo en uno, como el software de gestión y supervisión remota». Incluso los herméticos han sido pirateados, dijo, y eso ha permitido a los atacantes obtener acceso a la red de un MSP. «Si un componente se ve comprometido, todos se verán comprometidos. Y eso ha sucedido».
Scott dijo que las compañías de seguros preguntarán si un MSP tiene una política de seguridad integral, como un plan de respuesta a incidentes de brecha interna. «Esto hará que la práctica de sus servicios administrados tenga un riesgo menor que otros», dijo.
Otro paso es tener un marco auditable para que terceros puedan verificar y certificar que ha implementado las mejores prácticas, dijo Scott. «Desde una perspectiva de responsabilidad, alguien que esté siendo auditado para ver cómo se han implementado sus controles y está continuamente realizando evaluaciones y revisiones de riesgos, tendrá un riesgo mucho menor de reclamos».
La responsabilidad se basa en los ingresos comerciales de un MSP. Si los servicios administrados son parte de otro negocio que ofrece y obtiene una cotización alta, considere la posibilidad de crear una entidad separada para esos servicios, sugirió Scott. Otra opción, por supuesto, es comprar varias compañías y corredores de seguros. También puede ajustar su límite agregado o el total de dólares que pagaría la póliza, así como el deducible.
Consejos para presentar reclamaciones
Si un MSP debe presentar un reclamo, Scott dijo que tenga en cuenta que, en la mayoría de los casos, será porque un cliente tuvo un incidente que el MSP revela. Sin embargo, el cliente podría creer que el MSP tiene la culpa y escribirá una carta reclamando daños o entablar una demanda. En ese caso, el MSP debe comunicarse con un abogado, quien notificará a la compañía de seguros.
Robert ScottSocio gerente, Scott & Scott LLP
Esto desencadena un proceso de reclamos, que comienza con un reconocimiento del aviso y una posición preliminar con respecto a la cobertura. «Es posible que tenga una situación en la que el transportista diga: ‘Nos reservamos nuestros derechos porque no sabemos de qué se tratará este reclamo y hay ciertas exclusiones, pero mientras tanto, le brindaremos una defensa'». Scott explicó.
El operador incluso podría contratar a expertos forenses para recuperar datos o investigar malware para determinar quién tiene la culpa, dijo. Los MSP deben considerar cuál sería el costo si tuvieran que contratar a sus propios abogados y hacer la investigación forense ellos mismos.
Una vez que se ha presentado un reclamo, el interés del transportista es mitigar la exposición del MSP, su cliente. «Están comprometidos contractualmente para defender y pagar una reclamación».
Tener la cobertura adecuada desde el principio ayudará a garantizar que se acepten las reclamaciones. Scott dijo que le gusta el seguro de responsabilidad de ciberseguridad que ofrece MSPAlliance, una asociación de la industria de servicios administrados con sede en Chapel Hill, Carolina del Norte, porque el seguro es «extremadamente amplio» y esencialmente cubre cualquier servicio que un MSP presta a sus clientes.
Sin embargo, tenga en cuenta que todas las pólizas tienen exclusiones. «En una gran cantidad de cyber[security] casos, no está del todo claro qué sucedió. Simplemente decir, ‘Mi cliente tuvo una pérdida y yo soy un MSP’ no va a ser suficiente «, dijo Scott.
El MSP debe compartir los resultados de una investigación exhaustiva con el transportista. En ausencia de eso, si la causa de los daños no se demuestra de manera concluyente, la cobertura se vuelve cuestionable.
¿Cómo pueden los MSP garantizar que se acepten las reclamaciones?
La clave para garantizar que se cubra un reclamo es informar a la compañía de seguros que está haciendo todo lo que debería hacer desde una perspectiva tecnológica, dijo Reinmuth.
«No tergiverses lo que estás haciendo», enfatizó.
Además, busque un agente que se asegure de que no haya exclusiones innecesarias en su póliza de seguro de ciberseguridad de MSP. Por ejemplo, en una política que Reinmuth revisó recientemente para un proveedor de TI que quería cambiarse a Techrug, se enteró de que el proveedor actual de MSP «hizo todo lo posible para agregar una inclusión sobre las copias de seguridad que no están cubiertas».
Reinmuth también encontró una serie de elementos básicos no incluidos: «cosas como ciberextorsión, interrupciones comerciales, análisis forense, multas y sanciones regulatorias». Por eso es importante encontrar a alguien que se especialice en ciberseguros.
«El trabajo del MSP no es convertirse en expertos en seguros», dijo.