¿Te suena WannaCry? ¿Y Petya? Pues hace unos meses crearon un revuelo de la leche. La seguridad informática de muchas empresas se vio afectada por este ransomware cuyas consecuencias pudieron ser devastadoras.
Los abundantes ciberataques a nivel mundial, demuestran que la seguridad informática cada vez está más comprometida. Los hacker evolucionan sus técnicas a velocidad de vértigo, convirtiendo cualquier objeto conectado a Internet en una puerta de entrada.
Wannacry llego a secuestrar los ordenadores de redes de empresa de sectores tan dispares como las telecomunicaciones o la sanidad.
En 2014 un virus paró y causó graves daños en unos altos hornos en Alemania. En 2015 un ciberataque en Ucrania se hizo con el control de una central eléctrica, dejando sin electricidad a más de 230.000 ciudadanos. Pero un investigador realizando un simulacro, consiguió hackear el termostato de una casa, controlando la temperatura y estableciendo un código de acceso que había que introducir para modificar la temperatura de la vivienda.
En este escenario, las aseguradoras se han puesto las pilas para hacer su agosto. ¿Cómo?
Descúbrelo en este artículo, porque te voy a hablar de ciberseguro.
La seguridad informática, un riesgo creciente
Los sucesivos ataques de ransomware, phishing, etc. han conseguido hacer reflexionar a muchas empresas sobre este tipo de amenazas.
A mí también.
Y a las aseguradoras, que esperan aprovechar el miedo creado para incrementar sus ventas en ciberseguros.
Hoy podemos encontrar dos tipos de empresa en el ámbito de la ciberseguridad: las que han sido atacadas y lo saben y las que no lo saben. En definitiva son pocas las compañías que se han librado de un ataque a su seguridad informática.
En la empresa donde trabajo se produjo hace unos meses un ataque de encriptación de datos. Las consecuencias: un par de días en el dique seco y la certeza de tener un protocolo de seguridad insuficiente.
Actualmente hay unos 30 billones de aparatos conectados, en 2020 se espera que superen los 50 billones por lo que se incrementaran las amenazas. Esta interconexión hace del Internet de las cosas un medio vulnerable de ser hackeado.
Según el CERTSI, durante el primer semestre de 2017 ha gestionado en España cerca de 70.000 incidentes de ciberseguridad. De ellos 431 han ocurrido en operadores críticos mientras que el resto corresponde a ciudadanos, empresas o red académica. Estas cifras suponen un incremento del 21% sobre el mismo periodo de 2016.
Ciberseguro: el complemento ideal a la seguridad informática
La realidad es que son las pequeñas y medianas empresas las que resultan más vulnerables a un ataque cibernético. La falta de medidas de seguridad o carecer de una infraestructura adecuada para combatir estos ataques, hace que las consecuencias puedan ser devastadoras.
Los cambios en la normativa europea y legislación española, mucho más protectores con los datos, obligan a poner el foco en mejorar la seguridad informática.
Para hacerlo tenemos que empezar por una gestión de riesgo adecuada, que permita evaluar donde es necesario actuar y cómo. Tan importante puede ser tener las medidas para contener el ataque, como tener los mecanismos que permitan continuar con la actividad.
El Reglamento General de Protección de Datos que comenzará a aplicarse el 25 de mayo de 2018 contempla sanciones de hasta 20 millones de euros o el 4% de los ingresos de la empresa, por no observar determinadas normas de seguridad en la protección y uso de los datos.
Pero en ocasiones es menos rentable adoptar las medidas de seguridad necesarias que contratar un seguro que cubra la posible pérdida que podamos tener.
Se trata de transferir los riesgos al seguro y los ciberseguros están diseñados para dar cobertura a los de mayor impacto y menor probabilidad de que ocurran.
El ciberseguro es una línea de negocio donde las aseguradoras tienen un hándicap: la falta de datos.
No ha transcurrido el tiempo suficiente para saber el impacto real del riesgo y conocer el índice de siniestralidad que puede tener. Esto hace que todavía actúen con mucha prudencia a la hora de valorar el riesgo y establecer las primas adecuadas.
Unas coberturas a la medida de cada uno
Esta falta de historial asegurador hace que, las compañías antes de suscribir el seguro, puedan obligarte a pasar una auditoria de seguridad informática donde, entre otros, analizaran vulnerabilidades o incumplimientos legales. Con el ciberseguro aprenderemos a mejorar nuestra protección y seguridad, mejorando la ciberseguridad de nuestra empresa. Pero también arrastraremos en la tarea a clientes, proveedores o colaboradores…
Del mismo modo que el ciberriesgo muta rápidamente, las necesidades del cliente tambien cambian, y el asegurador tiene que adaptar su protección a cada situación.
En este sentido podemos agrupar las coberturas actuales en tres tipos:
1. Por daños causados a terceros
Este grupo engloba, fundamentalmente, la responsabilidad civil derivada de la pérdida de datos de carácter personal. La protección frente a las reclamaciones de terceros por actuación negligente o fallo al proteger los datos. Por infracciones de contenido, vulnerando la propiedad intelectual. También por invasión de la privacidad o difamación a terceros.
La cobertura prestada alcanza a los gastos de defensa judicial, las indemnizaciones por los perjuicios causados o las sanciones impuestas por el Regulador derivadas de infracciones a la privacidad de los datos.
2. La pérdida económica asociada a los daños propios
Son un conjunto de coberturas destinadas a enjugar las pérdidas de ingresos, por la interrupción de la red, debido a una vulneración de seguridad. A resarcirte de los gastos extraordinarios para mitigar las pérdidas o por la reposición de los activos digitales (datos y software).
También de las pérdidas por amenazas a los sistemas de información, incluyendo desde los gastos de consultoría hasta recompensas o rescates.
3. Gastos por gestión de la crisis
Se trata de todos los gastos necesarios para la gestión de la crisis. Desde los gastos forenses para determinar la causa y el alcance de los daños a los gastos de gestión y comunicación de la crisis. También se encuentran los gastos por asesoramiento legal o los gastos para atender a los afectados.
Conclusión
Si el Banco Santander o el BBVA cuentan desde hace unos años con su ciberseguro, por algo será.
Posiblemente te has habituado a convivir con la informática y ya no te planteas que tu empresa depende de la información y de la tecnología que la gestiona. Te va bien así y eres de los que piensa que la ciberseguridad es un problema tecnológico, no empresarial.
De cualquier modo, antes de contratar tu ciberseguro, debes empezar por planificar tu ciberseguridad incluyendo una evaluación de seguridad y gestión del riesgo.
Se trata de un primer paso para estimar que riesgos puedes trasladar al asegurador. A modo de ejemplo, estos son solo algunos de ellos: cobertura frente al malware, cobertura legal por robo de dominios, difamación, acceso no autorizado o extorsión, suplantación de identidad…
Cuando las grandes corporaciones son atacadas y se protegen ante las amenazas, será por algo.
Dinos, ¿Vas a ser tu más chulo que nadie de seguir expuesto a los ciberriesgos sin protección? ¿Qué piensas hacer?
Imagen gentileza de Pixabay
0 comentarios