Los seguros de riesgo cibernético como apoyo para la postura de ciberseguridad
- Actualidad
Los ciberseguros han tenido un crecimiento exponencial en la última década, paralelo al aumento de las ciberamenazas, especialmente desde que en 2020 se extendieran los ataques de ransomware. ¿Cómo deben prepararse las compañías para optar por un seguro de riesgo cibernético que responda a sus necesidades y les de el apoyo necesario en los momentos críticos?
Todos los CISO con los que he hablado a lo largo del año coinciden en que, antes o después, todos van a recibir un ataque, si es que no lo han sufrido ya. Uno de los mantras del sector es: “somos como los moteros, están los que se han caído ya y los que se van a caer”. Si bien la idea no es nueva, ahora es más real que nunca, con el constante incremento de los ciberataques, la mayor consistencia de las amenazas y la profesionalización de los atacantes.
Obviamente se toman medidas para reducir lo más posible la posibilidad del ataque, aunque la sensación es que siempre se va un poco por detrás, quizá por aquello de que nosotros tenemos normas y ellos no. Pero hay una sensación de inevitabilidad que carga las tintas también en lo que se hará después del ataque, de ahí que ya se piense más en ciberresiliencia que en ciberdefensa. En este escenario entran en juego los seguros de riesgo cibernético.
Las nuevas normativas de seguridad y ciberresiliencia, como DORA para el sector financiero o NIS 2 con impacto en muchos otros ámbitos, han introducido un factor clave: la responsabilidad de la cadena de suministro |
¿Cómo puede ayudarnos un seguro de riesgo cibernético en una situación de crisis provocada por un ciberataque? ¿Es útil frente a un ransomware, el temido secuestro de datos que tenga potencial para incapacitar las operaciones de la compañía? Y, más allá de todo ello, ¿tenemos una adecuada estrategia de seguridad que nos permita optar a un ciberseguro que nos de el adecuado respaldo?
El aumento de las pólizas específicas de ciberriesgo
El actual panorama de ciberseguridad también es nuevo para las compañías aseguradoras. Si bien, como señala Julián García-Ciaño, director de seguros en NTT DATA Europe & LATAM, “siempre ha habido seguros de Responsabilidad Civil y Daños Propios en empresas que podrían cubrir estos incidentes si no fueran excluidos directamente de la cobertura de la póliza”, hace un par de décadas empezaron a extenderse los seguros específicos, que se consolidaron hacer 10 años.
Sally Adam, senior director de Marketing en Sophos, explica que “hacia finales de la década pasada, el ciberseguro era de fácil acceso y tenía primas bajas, lo que llevó a algunas empresas a considerarlo una alternativa más barata a las ciberdefensas. Sin embargo, tras el rápido crecimiento en el número y el coste de los rescates en los ataques de ransomware a partir de 2020, las aseguradoras comenzaron a adoptar un enfoque más cauteloso a la hora de proporcionar cobertura”.
Esto es, las compañías de seguros se han adaptado a la nueva realidad. Las pólizas de riesgo cibernético pueden cubrir desde los costes legales o los provocados por las interrupciones de negocio hasta el análisis forense o las negociaciones para pagar un rescate. Según los datos de Sophos, el 83% de las empresas que pagaron un rescate dijeron que la aseguradora contribuyó a su abono, aunque solo en el 1% de los casos la compañía pagó la cantidad total.
Seguros de riesgo cibernético, un apoyo no solo para grandes empresas
Desde Hiscox, consideran que “los ciberseguros actúan como una red de protección tanto financiera como operativa. Ofrecen cobertura para los costos inmediatos de un incidente y fomentan la implementación de mejores prácticas de ciberseguridad, ayudando a las empresas a fortalecer sus defensas para prevenir o reducir el impacto de futuras amenazas”, teniendo en cuenta que “función principal de los seguros, desde su origen, ha sido proporcionar apoyo en momentos críticos”.
Según el Informe de Ciberpreparación 2024 elaborado por Hiscox, el 52% de las empresas españolas cuenta con una póliza independiente de ciberseguro. La compañía explica que las grandes empresas, con una mayor “sensibilidad frente a los riesgos digitales” que las pymes, son más proclives a contar con este tipo de seguros. Sin embargo, las pymes empiezan también a adoptar “seguros adaptados a sus necesidades específicas”.
Hay un vínculo bastante estrecho entre el volumen de la empresa y su decisión de optar por un ciberseguro. Según el informe de Sophos, 9 de cada 10 empresas de entre 100 y 5.000 empleados tiene algún tipo de cobertura de ciberriesgo. Aunque es algo variable en función del sector. Los más sensibles son el de energía y el de servicios públicos: el 97% de las empresas de ambos sectores tienen un ciberseguro y el 68% dispone de hecho de una póliza independiente.
Como sucede con la mayor frecuencia de los desastres naturales, las compañías aseguradoras y los asegurados deben ser consciente del entorno en el que viven y adaptarse a sus condiciones cambiantes |
Las empresas pequeñas y medianas deben tener en cuenta también en qué sector trabajan y con quién colaboran. Las nuevas normativas de seguridad y ciberresiliencia, como DORA en el sector financiero o NIS 2 para muchos otros sectores, han introducido un factor clave: la responsabilidad de la cadena de suministro. Una brecha de seguridad en una compañía pequeña que forme parte, por ejemplo, de cadena de valor de una empresa energética, tendrá que afrontar consecuencias mucho más graves que la de la propia brecha.
No en vano, como explica Julián García-Ciaño, de NTT DATA, “cualquier compañía que envíe facturas por correo electrónico puede sufrir una suplantación de identidad, interceptar la factura, modificar la cuenta de abono de la factura y crear así un perjuicio al cliente, simplemente por no adoptar las medidas de seguridad apropiadas en su servidor de correo electrónico”. Esto es, en mayor o menor medida, todas las empresas están expuestas a sufrir un ciberataque.
Preparándose para el ciberseguro
Antes de optar por un seguro de riesgo cibernético, las empresas deben, “en primer lugar, llevar a cabo una evaluación exhaustiva de sus riesgos internos, identificando activos críticos y detectando vulnerabilidades. En segundo lugar, es aconsejable investigar y comparar distintas pólizas disponibles en el mercado, teniendo en cuenta sus coberturas, alcances específicos y costos de primas”, según explican desde Hiscox.
Para Sally Adam, de Sophos, los tres elementos fundamentales que se deben tener en cuenta son el nivel de cobertura que se necesite, entender cómo encajan los seguros en la estrategia general de mitigación del ciberriesgo y qué lagunas existen en sus ciberdefensas. La directiva recuerda que con un ciberseguro “se transfiere el riesgo de verse afectado por un incidente de ciberseguridad a la compañía de seguros. Al implementar ciberdefensas fuertes, se reduce el riesgo que se debe transferir, lo que permite acceder a pólizas más económicas”.
Según los datos de Sophos, el 83% de las empresas que pagaron un rescate dijeron que la aseguradora contribuyó a su abono, aunque solo en el 1% de los casos la compañía pagó la cantidad total |
Se trata, en realidad de una regla básica de cualquier tipo de seguro. Cuanto mayor sea el riesgo de lo asegurado, mayor es el coste del seguro. Por ello, las compañías aseguradoras necesitan tener una fotografía fidedigna de la postura de seguridad de la empresa que les quiere contratar.
Adaptándose a los cambios
Julián García-Ciaño, de NTT DATA, afirma que, “hablando de corporaciones o grandes compañías, el análisis de la seguridad cibernética, presente y futura, forma parte de las actividades que un bróker realiza para fijar si se cumplen las condiciones para asegurar el riesgo y fijar el precio adecuado de la misma. La revisión de las condiciones para renovar la póliza se ejecuta anualmente, en algún momento desde los dos últimos meses previos a la fecha de renovación”.
Una auditoría que no siempre es sencilla, como explica Sally Adam, de Sophos: “si bien es relativamente fácil saber si una empresa tiene instalada una solución EDR/XDR, es tremendamente difícil ver si esa herramienta se está utilizando de manera efectiva para detectar, investigar y responder a las amenazas. Como resultado de este desafío, muchas aseguradoras están considerando cada vez más el uso de los servicios MDR, que brindan la seguridad de que analistas expertos monitorizan y protegen el entorno del cliente las 24 horas del día, los 7 días de la semana”.
De hecho, para Hiscox “un buen ciberseguro no solo debe ofrecer apoyo financiero ante incidentes, sino también fomentar la ciberpreparación de la empresa. Por ello, es recomendable que la póliza incluya servicios adicionales, como formación online, herramientas de ciberseguridad y contenidos informativos, que ayuden a las empresas a fortalecer sus defensas y minimizar riesgos futuros”.
Igual que sucede con la mayor frecuencia de los desastres naturales debido al cambio climático, tanto las compañías aseguradoras como los asegurados tienen que ser consciente del entorno en el que viven y adaptarse a sus condiciones cambiantes. En el mapa de riesgos del Informe Anual de Seguridad Nacional 2023 presentado el pasado marzo, la vulnerabilidad del ciberespacio ocupa el puesto más alto, lo que nos da una idea del elevado riesgo que suponen las ciberamenazas y la necesidad de estar preparados para ellas.