Cuándo debería la empresa contratar un ciberseguro
Las ciberpólizas son un eslabón más de protección ante unos ataques que se modernizan
Existen dos tipos de empresas desde el prisma de la ciberseguridad: las que han sido atacadas y las que aún no saben que lo han sido. Esta teoría que abrazan los expertos en el sector no deja espacio para la duda: no hay compañía que no haya sufrido una embestida cibernética. “Por eso, si los riesgos y las amenazas han evolucionado, lo lógico es que los métodos de defensa lo hagan también”, explicó ayer el director ejecutivo del Centro de Investigaciones de Seguros (CIR, por sus siglas en inglés) del IE Business School, Jorge Martínez, durante la jornada Ciberseguros y ciberseguridad, organizada por la citada escuela de negocios.
Hay diferentes eslabones dentro de la cadena de defensa que son críticos para la seguridad: “El mayor de ellos sigue siendo el propio factor humano y la baja concienciación en cuanto al riesgo por parte de ejecutivos y resto de profesionales”, recordó el profesor de Sistemas de la Información de IE José Esteves, quien ofreció una cifra demoledora, extraída de un estudio de PwC: “El 50% de los directivos ve la ciberseguridad como un problema tecnológico, no de negocio”. Sin embargo, la realidad, prosiguió, es que solo el 10% de los riesgos en la organización viene de la mano de la tecnología, mientras que el 90% restante está íntimamente relacionado con el comportamiento y los procesos humanos.
Razones de peso para las compañías
Recurrir a los servicios de una ciberaseguradora también es un buen método para guardarse las espaldas en el ámbito legislativo y económico.
Es en este punto cuando entra en acción el nuevo reglamento europeo en materia de protección de datos, que entró en vigor en España en mayo de 2016 y que será de obligado cumplimiento, tal y como especifica el documento, a partir del 25 de mayo de 2018.
De entre los muchos detalles a tener en cuenta, uno de ellos es que “se debe notificar un ataque a las 72 horas de que se haya producido e informar sobre él a un regulador”, explicó Jonathan Kewley. “Pero es muy difícil contar con información en tan poco tiempo y tener contratada a una aseguradora ayuda a ello”. Otro matiz a tener en cuenta es que, dependiendo del daño del ciberataque y del valor de la información sustraída, “la multa puede llegar a suponer un 4% del total del volumen del negocio de la empresa”, llegando en muchos casos a los miles de millones de euros.
Sea como fuere, y dado que tarde o temprano cualquier sistema va a ser atacado, es preciso adoptar todo tipo de medidas preventivas. Una de ellas, que debe trabajar siempre en simbiosis con otras como la concienciación o la formación, es recurrir a agentes externos que se hagan cargo de los costes en el caso de que un ataque informático haga brecha en la organización. Las ciberaseguradoras pueden ser una solución. “Pero hay que entender que las pólizas en estos casos cuentan con distintas coberturas, debido a la complejidad de este sector y a que son una herramienta que aún está consolidándose”, apuntó el jefe de seguridad y privacidad para EMEA de Zurich Global Corporate, Jérôme Gossé. Las más comunes son “la cobertura a la parte que se ve afectada tras un ataque, normalmente una empresa; la cobertura a terceros agentes, que en gran medida son los propios clientes y usuarios de la compañía dañada, o la combinación de ambas”, añadió.
Sin embargo, estas pinceladas son solo un boceto de todo el entramado que esconden las ciberaseguradoras. “Estamos continuamente en evolución, porque las amenazas también lo están”, prosiguió Gossé. Así, dentro de todos los apartados presentes en una ciberpóliza se encuentran aspectos como la madurez de seguridad de las organizaciones con las que se trabaja, la legislación de cada país o la política de precios según el sector o el área en el que se mueve cada firma.
Un ejemplo de esta heterogeneidad lo dio el director de tecnología y operaciones de riesgo del grupo Santander, Ignacio Guinea: “Los ataques pueden ser muy variados. En nuestro caso, también por la naturaleza de nuestro negocio, los que más nos preocupan tienen que ver con la fuga de información, tanto la del propio banco como la de los clientes; la interrupción del servicio derivado de ataques o de accidentes; y aquellas arremetidas que tienen que ver con los daños a los activos tecnológicos”.
Pero aunque no sea el caso del grupo Santander, cuyo seguro ofrece las citadas garantías, estos contratos no pueden cubrir absolutamente todos los daños. “Por ejemplo, los costes que supone mejorar un sistema informático obsoleto no puede cubrirlos una póliza, eso es responsabilidad de la compañía”, recalcó Gossé. Es aconsejable, por lo tanto, tener todos estos matices presentes, porque en muchas ocasiones, cuando una organización recurre a la protección de una aseguradora, tiende a dejar de preocuparse por la defensa, “y cuando eso pasa, no es positivo para ninguna de las tres partes que intervienen: ni para la aseguradora ni para la empresa ni para los clientes”, añadió el director de la división de ingeniería, telecomunicaciones y ciberseguridad de informática en El Corte Inglés, Juan Carlos Crespo.
Dicho de otra forma, “aunque se recurra a una póliza, la protección debe ser un trabajo en común de los departamentos de la firma y la ciberaseguradora”, continuó Guinea. Entre otras razones, ejemplificó Jonathan Kewley, abogado de Clifford Chance London, porque antes de firmar, cualquier aseguradora va a requerir información precisa de la compañía, “y para tener todos estos datos es importante que todo el equipo colabore. Esto, por ejemplo, atañe también a los proveedores y clientes de la empresa principal”. “Además, que todo el equipo esté involucrado también sirve para mitigar cualquier ataque, repercutiendo en los futuros costes”, sentenció el directivo de la aseguradora suiza.