Los ciberseguros, un mercado en auge por los perjuicios financieros de las brechas

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

El perjuicio financiero que puede provocar una brecha de seguridad es para Carlos Rodríguez, responsable del producto de CyberEdge de AIG España, una de las principales motivaciones que llevan a las empresas a contratar un ciberseguro, y especialmente tras los cambios normativos en materia de protección de datos. El experto de esta compañía aseguradora realizó este análisis durante su intervención en una mesa redonda en el ‘Foro de ciberseguridad en el sector asegurador’, organizado por Minsait by Indra en colaboración con Symantec para responder a los numerosos retos que se plantean, porque, como señaló Alberto López, Head of Cyber Security de la empresa organizadora, “hay que estar preparado para cualquier incidente de seguridad, porque, si no lo has tenido, lo vas a tener”.

En la mesa redonda, moderada por Miguel Ángel Martos, director general de Symantec Iberia, participaron, además de Carlos Rodríguez, Jorge Vidal Sanz, director del Departamento de Seguridad y Sistemas de Información de Fraternidad-Muprespa; Andrés Peral, director de Seguridad en Sistemas de Información de Mapfre; y Alan Abreu González, Suscriptor Líder Cyber de Hiscox.

Los ponentes abordaron las tendencias y preocupaciones más relevantes dentro del sector, las barreras y los dinamizadores en relación con la ciberseguridad, cómo se está abordando la protección de la información y cómo se está planteando la estrategia del ciberseguro, qué productos existen en el mercado y cuáles son las motivaciones para su contratación.

Sobre las preocupaciones que vive el sector en estos momentos, Carlos Rodríguez destacó, “para que se hagan una idea”, que su empresa ha recibido “en 2017 el mismo número de reclamaciones que en los cuatro años anteriores juntos”, refiriéndose al informe de cibersiniestros del año pasado recién publicado por AIG Europe. Este documento estima que los daños por ransomware encabezan los principales tipos de fallos en protección de datos (concretamente el 26%), seguidos de la violación de seguridad de datos por parte de hackers (12%), otro fallo de seguridad/acceso no autorizado (11%) y fraude de suplantación de identidad (9%).

El mismo informe refleja “ningún sector es inmune a los ciberataques”, aseguró el experto, y que los servicios profesionales y financieros encabezan la lista, con un 18% de las agresiones, seguidos del comercio minorista (12%), servicios empresariales (10%) y fabricación (10%).

Jorge Vidal, por su parte, subrayó que “muchas de las brechas de seguridad vienen del propio personal interno”, mientras que Andrés Peral se centró en los peligros de la transformación digital, “que nos llevan hacia la nube” y que hacen necesarias “un montón de tecnologías nuevas para proteger la información”. Alan Abreu, por su lado, apuntó que los ciberriesgos pueden suponer una oportunidad de negocio.

En cuanto a los factores que están dinamizando el sector de la ciberseguridad, el responsable de CyberEdge de AIG hizo hincapié en el perjuicio financiero que puede tener para una compañía una brecha de seguridad, “pues los costes de notificación pueden ser elevadísimos y, con la nueva normativa, daños propios así como a terceros”.

En este sentido, sostuvo que se ha producido un cambio de paradigma.  “Antes, cuando pasaba algo, se le decía al CISO que lo arreglase y que no se enterase nadie, ahora, en cambio, lo normal es que cuando se tiene un incidente de este tipo, la compañía notifique al regulador de manera proactiva y demuestre que su modelo de control interno minimiza los diferentes riesgos y amenazas en protección de datos”, aseguró.

Por su parte, el portavoz de Hiscox mantuvo que el nuevo reglamento es un gran impulsor de la preocupación por la seguridad y Peral, que compartió este punto de vista, añadió uno más, la gran repercusión mediática de los graves incidentes provocados hace un año por el Wannacry, “que hicieron concienciarse a los usuarios mucho más”. Algo apuntalado por Vidal, “las compañías ahora invierten en seguridad porque salir en la prensa hace más daño que la propia sanción”.

Los ponentes abordaron, asimismo, la protección de la información dentro del sector. Rodríguez distinguió dos aspectos. “Por una parte, la clasificación de la información en los activos de información y los controles a aplicar de los mismos, y, por otra, la implicación de los equipos de seguridad en los proyectos de las diferentes etapas del ciclo de vida de desarrollo del software de las compañías”.

En opinión de Andrés Peral, “es necesario entender los flujos de información para protegerla, en Europa las expectativas de privacidad de los ciudadanos son mucho más altas que en otras partes del mundo, por ejemplo”. Jorge Vidal añadió a estas apreciaciones la importancia de los proveedores y el análisis de riesgos, mientras que Alan Abreu agregó a los planteamientos de sus compañeros que “no hay que olvidar las medidas básicas y los sistemas no críticos, tenemos que poner los estándares de seguridad suficientemente altos”.

Por lo que se refiere a la situación actual de los ciberseguros, el responsable de CyberEdge de AIG destacó que se trata de un mercado en auge, “cuyos condicionados están cambiando, ahora las buenas pólizas incluyen tres pilares básicos: servicio de prevención, respuesta desde el punto de vista técnico, legal y reputacional y perjuicio financiero (derivado de sanciones, falta de suministro, pérdida de beneficios o garantías de ciberextorsión, entre otros)”. Alan Abreu se mostró de acuerdo con él en que “hay una evolución permanente de las coberturas”, mientras que Andrés Peral puntualizó que, “aunque en España es novedoso, en EEUU, por ejemplo, las empresas están obligadas a contratar un ciberseguro”. Y Jorge Vidal reiteró el incremento considerable de la concienciación que ha provocado el nuevo reglamento de protección de datos.