'Las aseguradoras debemos, no solo ofrecer un colchón de seguridad, sino soluciones de prevención y recuperación' (Hiscox)

Con 120 años de historia Hiscox es hoy una de las aseguradoras que ha apostado por ofrecer un producto que ayude a las empresas a recuperarse de un ciberataque. Se trata de un mercado que crecerá un 21,2% hasta los 20.400 millones de dólares para 2025, según datos de Markets&Markets.

Dice Nerea de la Fuente,  Directora de Suscripción de Hiscox España, que la posesión de un ciberseguro garantiza en cierta medida que la empresa posee normas de prevención, ya que de lo contrario no sería posible contratar la póliza; que los puntos de seguridad menos considerados por las empresas son los que se han convertido en los principales focos de entrada de los ciberdelincuentes; que a la hora de seleccionar un seguro, es importante considerar que cubra las posibles indemnizaciones, pero también que preste una gama de servicios cuando se necesiten; o que las empresas de ocio y turismo encabezan el listado de sectores empresariales de empresas con mayor porcentaje de cibernovatas.

¿Cómo está evolucionando el mercado de ciberseguros?

En los últimos años, los ciberataques han crecido y se han hecho más sofisticados, algo que se intensificó aún más con la llegada de la pandemia, el auge del teletrabajo y la aceleración de la transformación digital. En 2020, un 53% de las empresas españolas sufrieron un ciberataque según los resultados de nuestro último Informe de Ciberpreparación. Lejos de quedarse de brazos cruzados, las compañías han intensificado su lucha dedicando más recursos y atención que nunca a su ciberresiliencia en el último año.

Lamentablemente, a pesar de que las empresas destinen cada vez más recursos para frenar los ciberataques, el incremento de la actividad de los atacantes hace que el riesgo de que tengan éxito también se haya incrementado. Además, es algo que puede afectar a cualquier compañía, independientemente de su actividad o de su tamaño: desde una farmacia, un taller mecánico, o una compañía que cotiza en Bolsa.

Esta realidad ha hecho que todas las compañías necesiten una cobertura que les permita minimizar el impacto de estos ataques si en algún momento tienen éxito. Poco a poco, los seguros ciber se han ido especializando y cubriendo todos los posibles problemas que puede sufrir cualquier organización, que cada vez son más numerosos y variados: fugas de datos, fallos de seguridad, ataques cibernéticos, extorsión, errores humanos, interrupciones del negocio, fraude y crimen financiero, reclamaciones por contenido digital, paralización de sistemas de un proveedor tecnológico...

Esta creciente preocupación e incremento de las necesidades también se está traduciendo en un aumento de la transferencia del riesgo a una aseguradora, bien a pólizas específicas ciber (27% en 2020 en comparación a un 26% en 2019) como a otros seguros que cuentan con alguna cobertura ciber (un 34% en 2020 frente al 32% en 2019).

¿Cómo han impactado normativas como GDPR en este mercado?

El Reglamento General de Protección de Datos (RGPD o GDRP, en sus siglas en inglés) se desarrolló con el objetivo de fortalecer los derechos de privacidad personal de los individuos. Si bien la ley no obliga a las empresas a tener un seguro para proteger los datos de sus clientes, sí es cierto que estos podrían pedir compensaciones en caso de que sus datos se vieran comprometidos, bien por pérdida o por robo. Un seguro ciber cubre precisamente la responsabilidad y el coste de defensa por investigaciones regulatorias tras una brecha de datos, incluso sanciones por incumplimiento voluntario.

Por otra parte, el RGPD exige que las empresas cuenten con medidas de prevención suficientes para evitar o minimizar ciberataques que puedan dejar expuestos los datos personales de sus clientes y empleados, pudiendo incluso ser sancionadas por ello. La posesión de un seguro garantiza en cierta medida que la empresa posee estas normas de prevención, ya que de lo contrario no sería posible contratar la póliza.

Así, los seguros ciber se han adecuado a esta nueva realidad haciendo tanto de garantía de que las empresas que los contratan se preocupan por proteger los datos a terceros que poseen, como el hecho de que protegen a las empresas en caso de posibles sanciones y pérdidas si, desgraciadamente, sufren un ciberataque.

¿Qué debe tenerse en cuenta a la hora de contratar un ciberseguro?

Lo primero es que la amenaza de un ciberataque es lo suficientemente real y extendida para que ninguna compañía se sienta exenta de sufrirlo. En cuanto a la elección de un seguro, es importante que cubra las posibles indemnizaciones, pero también que preste una gama de servicios cuando se necesiten: disponibilidad de profesionales que den una primera respuesta tecnológica cuando hay un incidente, disponibilidad de profesionales del mundo de la abogacía que ayuden en las reclamaciones o violaciones de datos de carácter personal e incluso agencias de relaciones públicas para gestionar un posible impacto mediático.

En paralelo, la aseguradora debe trabajar en la prevención, formación y concienciación para que los asegurados sepan gestionar sus propios riesgos. Necesitamos que ellos entiendan realmente las posibles amenazas a las que están expuestos, que pongan de su parte y existan ciertas garantías para que sea posible contratar el seguro. Lo ideal es que, a través de la contratación de los seguros, las empresas puedan anticiparse a estos ataques. Para ello, hemos puesto a su disposición nuestra herramienta Modelo de Madurez que les ayudará a comprender sus fortalezas y debilidades en materia de ciberseguridad y a medir su ciberpreparación, analizando tres variables: personas, tecnología y procesos.

¿En qué tipo de amenaza suelen pensar los clientes cuando contratan un ciberseguro? (Ramsomware, pérdida de datos…)

La realidad es que las empresas están sufriendo una amplia gama de ataques. De hecho, durante el pasado año el 31% de ellas se enfrentó a un virus informático, el 28% a un fraude por desvío de pagos derivado de compromiso de email corporativo (BEC) y el 27% a un ataque de denegación de servicio (DDoS). Y esto no solo ocurre en España ya que las empresas alemanas, francesas y estadounidenses fueron las más propensas a sufrir estos ataques.

Respecto a la vulnerabilidad de los datos, sí es algo que preocupa a las empresas  porque, en caso de ciberataque, mina la confianza en la empresa. Se aprecia un crecimiento de los casos de ransomware (16% de las empresas los han sufrido), una de cada seis víctimas fue extorsionada y más de la mitad pagó un rescate. A la pérdida económica se une una crisis reputacional que resulta igualmente dañina.

En esta línea, volver a la normalidad cuanto antes y recuperar la actividad es de suma importancia. Y es que, en el último año, las empresas han estado más expuestas que nunca por el crecimiento del teletrabajo y buscan protegerse ante posibles caídas de las redes, ya que muchas operan ahora en la nube. De hecho, casi un 60% de las empresas españolas reconoce una mayor vulnerabilidad a raíz de la implementación del trabajo en remoto y el 31% de los participantes en nuestro Informe de Ciberpreparación afirmó que los servidores alojados en la nube fueron la principal puerta de entrada de los ciberataques.

Por tanto, las aseguradoras debemos, no sólo ofrecer un colchón de seguridad, sino soluciones de prevención y recuperación. Por eso en las pólizas se incluyen servicios adicionales como formación académica en materia de ciberseguridad o asesoría técnica y legal, no sólo para “salvar”, sino para dar seguridad y garantías.

Según los datos recogidos en sus análisis, ¿qué tecnologías de seguridad serían las grandes olvidadas o las peor implantadas? (MFA, cifrado, protección email…)

Las empresas españolas son muy “cibernovatas”, un 35% del total, y sólo hay un 9% de “ciberexpertas”. Esto significa que hay déficits en la gestión de contraseñas y criptografía, identidades, accesos, información de seguridad... Por ejemplo, la contraseña más empleada en España es “123456”, algo que también pasa en el resto del mundo, y es la mejor muestra de lo expuestos que estamos.

Los puntos de seguridad menos considerados por las empresas son los que se han convertido en los principales focos de entrada de los ciberdelincuentes. Por nombrar alguno de ellos, encontramos los servidores propiedad de la empresa (36%), junto con los servidores corporativos en la nube (31%) - cada vez más extendidos debido a la digitalización y al trabajo a distancia- a lo que se suman las páginas web de las empresas (28%). Además, el aumento de uso de dispositivos personales, menos protegidos, para actividad profesional y el acceso a redes wifi públicas generan una mayor exposición a este tipo de problemas y a los que no se les presta la suficiente atención.

Un factor de riesgo que muchas veces es pasado por alto es el humano, pues no todos los ataques proceden de vulnerabilidades tecnológicas, sino de la falta de formación y concienciación de las personas. Por ejemplo, por errores humanos, casos como el phishing o el spoofing son la puerta de entrada de los ciberataques en un 28% de los casos. A veces nos olvidamos de que la formación y la prevención pueden ser la mejor de las garantías para minimizar los riesgos de un ciberataque.

Según datos de un informe reciente las empresas de ocio y turismo encabezan el listado de sectores empresariales de empresas con mayor porcentaje de cibernovatas, ¿a qué cree que se debe?

En España el sector del turismo y del ocio está constituido por un 50% de empresas denominadas cibernovatas, en comparación con el 35% de media de otros sectores, tal y como revela nuestro informe de ciberpreparación. Además, sólo al 5% se las puede clasificar como ciberexpertas, frente al 9% nacional, así que hablamos no sólo de un sector muy vulnerable, sino con menos empresas realmente preparadas y con políticas adecuadas para hacer frente a las ciberamenazas.

Esto se debe a la poca puntuación que estas empresas obtienen en diferentes aspectos como la gestión de contraseñas, de identidades y accesos, de cómo manejan las amenazas y vulnerabilidades, la confianza y de su resiliencia empresarial.

¿Qué sectores cree que prestan más atención a la ciberseguridad?

El sector que encabeza el ranking en España es el de Telecomunicaciones, Medios y Tecnología, con un 19% de empresas ciberexpertas, seguido de los sectores de la Energía y los Servicios Financieros. No es casualidad que estos sectores sean también los que más ataques sufren. Un 73% de las empresas del sector energético reportaron que sufrieron al menos un ciberataque, Servicios Financieros, un 70%; y Telecomunicaciones, Medios y Energía, un 61%.

El ser los sectores más atacados implica que son también los más concienciados y responsables respecto a la ciberseguridad y que la tengan entre sus prioridades. ¿Cree que la situación cambiará en un corto-medio plazo?

El sector turístico va a mejorar, pues seis de cada diez compañías tienen como principal objetivo mejorar la seguridad de las aplicaciones y servicios de cara al cliente. El 57% está dispuesta a abordar las amenazas y vulnerabilidades actuales y el 52% implementará sistemas de detección de personas, conexiones, dispositivos o software no autorizados.

Además, el 64% afirma que incrementará su presupuesto en ciberseguridad entre un 5 y un 10% en el futuro, especialmente invirtiendo en nuevas tecnologías, formación de empleados y externalización de los servicios de ciberseguridad. Se están poniendo los medios para mejorar la preparación del sector de cara a las ciberamenazas y es de esperar que los resultados se hagan notar.