Amy Gross, Líder Global de la Práctica de Capital Privado de Liberty Mutual y Dan Frusciano, Jefe de Suscripción Cibernética de América del Norte de Liberty Mutual
Las estadísticas sobre ciberataques en los EE.UU. del 18º informe anual de IBM sobre el costo de una violación de datos son asombrosas.
"El coste medio global de una filtración de datos en 2023 fue de 4,45 millones de dólares, lo que supone un aumento del 15% en 3 años".
"El cincuenta y uno por ciento de las organizaciones planean aumentar las inversiones en seguridad como resultado de una infracción, incluida la planificación y las pruebas de respuesta a incidentes (IR), la capacitación de los empleados y las herramientas de detección y respuesta a amenazas".
"Casi una cuarta parte de los ataques involucraron ransomware. Los costos de los ataques de ransomware aumentaron significativamente en 2023".
Como hemos mencionado anteriormente en esta serie cibernética de tres partes, en nuestra primera publicación sobre las mejores prácticas de diligencia debida y en nuestra segunda publicación sobre cómo las juntas de capital privado pueden ampliar su experiencia cibernética, los problemas de seguridad cibernética para las empresas de capital privado son únicos en el sentido de que pueden surgir para las empresas de cartera individuales, así como para la empresa en su conjunto. Esta configuración significa que, por naturaleza, los incidentes cibernéticos no se producen de forma totalmente aislada. Un ataque a una sola empresa de cartera puede causar daños por efecto dominó en toda la organización.
En esta última publicación, mi colega Dan Frusciano, jefe de suscripción cibernética de Liberty Mutual en América del Norte, y yo exploramos los entresijos de un plan de respuesta a incidentes cibernéticos, que es fundamental para el éxito a largo plazo de una empresa. Hemos visto una y otra vez, tanto en el sector de capital privado como en general, que adoptar un enfoque proactivo para abordar el riesgo cibernético y fomentar la resiliencia con un plan de respuesta es, en última instancia, un movimiento operativo, reputacional y financiero inteligente. Y, para las empresas de capital privado con responsabilidades con los inversores, es primordial proteger la salud financiera de la empresa y de las empresas de cartera.
¿Cuál es el marco general de un plan de respuesta a incidentes cibernéticos?
Si bien todos difieren según la organización, un plan completo de respuesta a incidentes debe especificar:
- Equipo de respuesta a incidentes: descripción general de quién debe ser notificado y qué función y responsabilidades tiene cada persona/parte.
- Descripción general del proceso de respuesta: un diagrama de flujo de alto nivel de los pasos que se deben tomar y cuándo debe ocurrir un incidente.
- Detección y notificación de incidentes: instrucciones sobre cómo documentar un incidente, preservar las pruebas e informar adecuadamente de los detalles.
- Compromiso y análisis inicial: investigación inicial de qué sistemas o información se han visto afectados, el alcance de la interrupción y la clasificación del incidente.
- Respuesta al incidente: instrucciones sobre todo, desde la realización de una investigación forense hasta la determinación de las obligaciones legales y la notificación a terceros y personas afectados.
- Revisión, documentación y resumen posteriores a los incidentes: evaluación de los puntos fuertes y débiles de la respuesta y directrices sobre revisiones y actualizaciones periódicas de incidentes.
¿Por qué un plan de respuesta a incidentes cibernéticos es único para una empresa de capital privado?
Los planes de respuesta a incidentes específicos de capital privado deben ir más allá de lo básico y tener en cuenta la vulnerabilidad añadida que tiene una empresa matriz en toda su cartera. El plan debe incluir:
- Qué empresas están conectadas a la red de la empresa y especifican cómo se debe implementar una respuesta en función de la composición digital y la conectividad de la empresa.
- Donde hay agregación de proveedores. Esto significa saber si varias empresas de la cartera están utilizando el mismo proveedor y, cuando se enfrentan al mismo problema cibernético con ese proveedor, desarrollar una respuesta y un plan que pueda abarcar a toda la empresa.
- Cómo se pueden compartir las mejores prácticas desarrolladas para una empresa de cartera en toda la empresa para impulsar la seguridad cibernética y empresarial general.
- Cuál es la sofisticación cibernética de las adquisiciones potenciales. Las empresas con una estrategia de crecimiento agresiva quieren avanzar rápidamente en los acuerdos, pero es posible que los objetivos, en particular los medianos, no tengan los controles o el presupuesto necesarios para una seguridad cibernética sólida. Es importante no pasar por alto estas brechas ni tomar medidas para abordarlas al desarrollar un plan.
¿Quiénes son los actores cuando ocurre un incidente cibernético?
Hay un equipo de personas que deben entrar en acción si se produce un ciberataque. Internamente, esto puede incluir a miembros del equipo ejecutivo de capital privado, como el CISO y el CIO; asesoría jurídica interna; recursos humanos; o el equipo de finanzas. Externamente, dependiendo de la naturaleza del incidente, se debe alertar a los proveedores externos, a las fuerzas del orden o a los reguladores.
¿Por qué una empresa de capital privado debería recurrir a su compañía de seguros durante un incidente cibernético?
Las compañías de seguros suelen ser los mayores defensores de una empresa para capear un ciberataque. Tienen el objetivo compartido de minimizar cualquier daño financiero y lo más probable es que tengan un panel de recursos disponibles para ayudar a las empresas. Muchos, por ejemplo, contarán con entrenadores de infracciones, empresas de respuesta a incidentes forenses, acceso a proveedores de bitcoin y empresas de negociación de extorsión cibernética para ayudar a responder a las reclamaciones de ransomware. Estos recursos son cruciales a la hora de negociar, resolver y, a veces, pagar en una situación de ransomware, por ejemplo. Las empresas forenses, recurridas por una compañía de seguros, se especializan en minimizar las pérdidas y la cantidad de datos que pueden verse comprometidos, una experiencia que puede resultar invaluable en situaciones tensas.
El resultado final: las compañías de seguros aportan experiencia y acceso a recursos, lo que puede cambiar drásticamente el impacto de un ciberataque.
¿Cómo se mantiene un plan de respuesta a incidentes?
Es una buena práctica ser proactivo y desarrollar un plan de respuesta a incidentes antes de un ataque, pero también es importante asegurarse de que el plan de respuesta a incidentes se mantenga correctamente. Hay algunos momentos importantes para revisar un plan de respuesta a incidentes cada año:
- Cada año en una renovación cibernética es un buen momento para reevaluar si un plan de respuesta a incidentes está actualizado y tiene información actual del operador. Una empresa matriz también puede asegurarse de que las empresas de cartera recién adquiridas cuenten con una cobertura adecuada y planes de respuesta. Seguir estos pasos ayuda a analizar y abordar dónde se encuentra cualquier riesgo reputacional o de D&O además de las vulnerabilidades cibernéticas.
- No basta con redactar un plan de respuesta a incidentes, hay que probarlo periódicamente. Es una buena práctica realizar ejercicios y pruebas de mesa dos o tres veces al año. Hacerlo ayuda a revelar dónde están las brechas en el plan, mantiene la seguridad cibernética en la mente y proporciona al equipo de respuesta a incidentes un plan para responder en una situación real.
Si bien es desalentador pensar en desarrollar un plan de respuesta a incidentes cibernéticos, es vital hacerlo. Las empresas de capital privado, pequeñas y grandes, tienen vulnerabilidades cibernéticas únicas que requieren una planificación proactiva. Desarrollar un plan, probarlo y hacer un esfuerzo por mantener continuamente la seguridad cibernética en la mente ayuda a proteger las inversiones y los objetivos comerciales a largo plazo de una empresa.
Los suscriptores dedicados de Liberty Mutual, las estrechas asociaciones con nuestros clientes y corredores, y los recursos expertos en mitigación y reclamos nos ayudan a ofrecer soluciones de responsabilidad cibernética adecuadas a las necesidades individuales de las empresas en todas las geografías e industrias.