Después de años y años de ciberataques, todos sabemos que el tamaño, el sector o la actividad de una empresa no suponen un impedimento para los ciberdelincuentes a la hora de intentar robar datos personales, bancarios, contraseñas o datos sensibles. Las grandes corporaciones, por el volumen y la importancia de su información, y las pequeñas y medianas empresas, por la facilidad de acceder a sus sistemas; todas son susceptibles de sufrir un incidente de seguridad.
En Escudo Digital hemos hablado en numerosas ocasiones de soluciones para proteger a una organización de los ciberataques, pero, aunque estas herramientas son imprescindibles, no pueden garantizar al 100% la seguridad de la empresa, de la misma forma que sus instalaciones físicas nunca están totalmente protegidas por más que se maximicen las medidas de seguridad. Es por eso que los ciberseguros son una opción a tener muy en cuenta de cara a prevenir amenazas y reducir sus consecuencias. Una opción en alza que, sin embargo, también tiene sus limitaciones.
¿Cómo protegen los ciberseguros?
Aunque son muchas las compañías que ofertan este tipo de productos y las coberturas varían entre cada uno, en general los ciberseguros ofrecen protección en tres aspectos: prevención, respuesta y protección. Es decir, antes, durante y después del incidente.
En el plano de la prevención, una vez auditado el grado de seguridad de la compañía, algunos ciberseguros proporcionan a las compañías recomendaciones para mejorar la seguridad de sus datos, aplicaciones antisecuestro, copias de seguridad y medidas de protección de la información.
Asimismo, ofrecen asistencia informática y legal en la respuesta a los incidentes cibernéticos, poniendo a disposición del cliente varios servicios para afrontar un ciberataque y ayudarle a recuperar datos y cuentas. Entre ellos, la asistencia 24/7 ante ciberincidentes, un servicio de seguridad informática y forense, asesoramiento y asistencia en procedimientos legales y regulatorios, gestión de la comunicación en situaciones de crisis y respuesta ante la vulneración de la privacidad.
Después del incidente, si se produce y se ha actuado frente a él de forma diligente, la mayor parte de estos seguros se encargan de reembolsar los gastos producidos por los perjuicios derivados del ataque, la pérdida de beneficios derivada de la interrupción de la actividad del negocio y las sanciones de las autoridades de protección de datos, así como de atender las reclamaciones.
Esto incluye los costes necesarios para reparar y restaurar los datos y aplicaciones de los sistemas informáticos dañados, los costes de rectificación, las pérdidas financieras sufridas por la interrupción de los sistemas, el daño reputacional consecuente y los gastos de ajuste de siniestro.
También responden ante las pérdidas financieras sufridas por sanciones y reclamaciones de terceros derivadas de un ciberataque. Por ejemplo, el CiberSeguro Empresas de Telefónica Seguros abarca la responsabilidad por seguridad en las redes, privacidad, gestión y multimedia; las multas y sanciones administrativas, los cargos por uso indebido de tarjetas de pago y la vulneración de los derechos de propiedad intelectual.
Por último, pueden afrontar las indemnizaciones por ataques y ciberextorsión, reembolsando las pérdidas financieras provocadas por una extorsión cibernética, una transferencia de fondos no autorizada o un robo de identidad digital, siempre y cuando haya habido un acceso no autorizado a los sistemas. Esta protección frente a las consecuencias de la ciberdelincuencia se puede ampliar a las pérdidas causadas por los robos de cuenta bancaria y de fondos personales cometidos por un tercero, tanto mediante malversación, vulneración de privacidad, hacking telefónico o suplantación de identidad del asegurado. Algunos incluyen la cobertura de Phishing Ampliada para proteger las pérdidas de clientes y proveedores.
A la hora de suscribir uno de estos seguros, es recomendable hacer un análisis previo de la organización para determinar qué riesgos necesita cubrir y en qué circunstancias. A partir de ahí, es más sencillo buscar y comparar seguros en función de las coberturas ofrecidas. Augusto Pérez Arbizu, director de Riesgos y Seguros del Grupo Telefónica, recomienda “no comprar un seguro para siniestros de mucha intensidad y baja frecuencia, pero sí para grandes catástrofes”. Desde la aseguradora, presentan al futuro cliente un amplio cuestionario de preguntas sobre sus medidas de ciberseguridad, aunque también se emplean servicios de terceros para realizar análisis de vulnerabilidades.
Un producto que puede salvar a la empresa
Como hemos visto, los ciberseguros son una solución cada vez más necesaria para las empresas y los profesionales que quieren estar protegidos ante los efectos económicos y legales de la ciberdelincuencia y los ciberataques. En un entorno digital que cambia continuamente y en el que los riesgos cada vez son mayores, el número de grandes empresas, pymes y autónomos que contratan uno de estos productos está en constante crecimiento.
Según los datos del distribuidor de soluciones IT Ingram Micro, en 2022 los ciberseguros alcanzaron la cifra de 13.300 millones de dólares asegurados. Y la previsión es que sigan creciendo a un ritmo del 26% anual, hasta llegar a los 84.000 millones de dólares en 2030. Y lo mismo sucede con su uso: este año han crecido hasta el 47% las empresas que han utilizado su ciberseguro en más de una ocasión.
¿Por qué es importante contar con un seguro de este tipo? En primer lugar, hay que tener en cuenta que un ciberseguro no sustituye a las medidas de seguridad informática que toda organización debe poseer. Estas previenen el ataque, mientras que los seguros, que sí nos pueden ayudar nuestro nivel de resiliencia digital, mitigan sus consecuencias. De hecho, como veremos más adelante, contar con esas medidas de seguridad es condición sine qua non para poder contratar algunos ciberseguros. Pérez Arbizu lo resumía así en el primer Encuentro SEG-TEC de Escudo Digital: “El seguro es la última línea de defensa en una estrategia de riesgos”.
Los beneficios de los ciberseguros para el negocio son fundamentalmente económicos y legales. Un informe realizado por IBM y Poneman Institute señala que el coste medio de una fuga de datos para empresas con menos de 500 empleados es de 2,9 millones de dólares. Una cifra que para una pequeña e incluso una mediana empresa puede ser inasumible y poner en peligro la supervivencia de la compañía.
Por ello, un seguro cibernético es necesario para todas las empresas, pero aún más para las más pequeñas y vulnerables. Las pymes no sólo tienen menos músculo financiero para recuperarse de las pérdidas provocadas por los ciberdelincuentes; también, al contar en general con menos medidas de protección, son un objetivo goloso para los “malos” y están más expuestas a ciberataques poco sofisticados pero masivos. Así lo aseguraba Peter Capelluto, director de Seguridad y Arquitectura del proveedor de software centrado en pymes N-Able, en la conferencia XChange NexGen 2022.
Desde el punto de vista legal, las responsabilidades de una compañía que ha sufrido un ataque cibernético son cada vez más estrictas, llegando a incluir, además de multas e indemnizaciones, la destitución de los directivos prevista en la reglamentación europea NIS2. A ello se suman las posibles demandas de los afectados. Los ciberseguros proporcionan asistencia legal de cara a minimizar o evitar las sanciones. Además, a la hora de determinar estas responsabilidades, acreditar que la empresa actúa con diligencia en la gestión de los riesgos es clave. Y aquí, según señala Francisco Pérez Bes, abogado y socio de Derecho digital en Ecix Group, “una de las medidas organizativas que se consideran adecuadas para acreditar esta diligencia es contar con entidades aseguradoras que tratan de minimizar el impacto de estos ciberincidentes en la propia actividad y en terceros”.
Además, las firmas de ciberseguros también pueden actuar como un equipo adicional en el que el departamento de TI podría apoyarse para resolver una crisis. Algunas aseguradoras ofrecen a sus clientes acceso a centros de operaciones de seguridad y asesores externos para ayudarles a recuperar los ingresos perdidos, así como a profesionales de relaciones públicas para enviar un mensaje tranquilizador a sus stakeholders después de que se haya producido un incidente. Y, en el caso de empresas que no tienen una cultura de seguridad digital, la aseguradora puede ejercer una función formativa, indicando al cliente qué prácticas debe, o no debe, llevar a cabo para mantener su organización segura.
Limitaciones de estos productos
Los ciberseguros son, por tanto, una pieza clave en la estrategia de seguridad informática de las organizaciones, lo cual no quiere decir que estén exentos de problemas y limitaciones. Sin ir más lejos, la complejidad creciente de las ciberamenazas está llevando a cambios en el sector de los seguros cibernéticos que hacen la contratación más complicada.
El informe de Delinea titulado Estado del Ciberseguro 2023 alerta del surgimiento de una “brecha significativa” entre las aseguradoras y las empresas que buscan una “cobertura asequible y completa”. El número de empresas que tardan seis meses o más para contratar un ciberseguro se ha multiplicado por 20 en el último año, al tiempo que el 67% de los encuestados ha sufrido un incremento de entre un 50% y un 100% en las primas tras la solicitud o su renovación. Pérez Arbizu pronostica que “en muchas actividades se acabará pagando más prima por el seguro de ciberriesgos que por el seguro tradicional de los activos materiales de la compañía, porque es ahí donde están los riesgos operacionales”.
Esto con respecto a la contratación y el coste, pero las coberturas de los ciberseguros también suponen un quebradero de cabeza para los clientes. El informe de Delinea explica que la lista de incidentes excluidos de la cobertura de los ciberseguros es cada vez mayor. La carencia de protocolos de seguridad, los errores humanos y no respetar los procedimientos de cumplimiento adecuados son causa de anulación de la cobertura en el 43%, el 38% y el 33% de los seguros, respectivamente. Un tercio de los seguros, además, no cubre los ataques considerados como actos de guerra. Ese fue el caso de Allianz, que denegó la cobertura a un ataque de ransomware por considerar que se había producido dentro de un contexto de ciberguerra, lo que quedaba expresamente excluido de la cobertura aseguradora de la póliza.
A ello se suman los requisitos cada vez más estrictos que exigen las aseguradoras a sus clientes actuales y futuros. Si hace dos años la autenticación multifactor era una sugerencia, a día de hoy las firmas de seguros ponen dificultades a la hora de asegurar a las empresas que no disponen de funciones de seguridad básicas como esta. Otras demandas comunes son los controles de gestión de identidades y accesos y los de gestión de accesos privilegiados, exigidos en el 51% y el 49% de las pólizas. Esto también impactaría en la prima.
Y pese a todo, se da la paradoja de que las empresas que tienen contratado un ciberseguro sufren más ataques informáticos. Así lo señalaba una encuesta efectuada este año por Barracuda Networks y Vanson Bourne entre directivos de TI. El 77% de las empresas con póliza cibernética sufrió al menos un ataque de ransomware, en comparación con el 65% de las compañías que no tienen seguro. La encuesta apunta además que el 39% de las empresas con seguro pagaron un rescate y que las organizaciones tenían un 70% más de posibilidades de padecer múltiples ataques.
Esta aparente paradoja podría explicarse por dos motivos. Uno tiene que ver con el hecho de que, como cualquier otro seguro, los de ciberriesgos exigen denunciar el ataque para poner en marcha el proceso de indemnización, por lo que incidentes que de otra forma quedarían ocultos pasan a engrosar las estadísticas. Otra causa, apuntada por el CTO de Barracuda Networks, Fleming Shi, es que los ciberdelincuentes consideren más probable que las compañías aseguradas paguen rescates, por lo que, tras identificar empresas que cuentan con una póliza, las fijan como objetivos prioritarios.
La parte positiva de esta complejidad creciente en la contratación es que muchas organizaciones están aumentando su inversión en soluciones de ciberseguridad para cumplir con los requisitos de las compañías de seguros. Según los datos de Delinea, el 96% de los clientes ha adquirido al menos una solución de seguridad antes de que una aseguradora aprobara su solicitud para contratar una póliza, mientras que para el 36% de las compañías disponer de un ciberseguro es actualmente un requisito de los equipos de gestión ejecutiva y los Consejos de Administración. Para Pérez Bes, “las empresas y las compañías de seguridad tienen que trabajar mucho más juntos. Habría que hacer un esfuerzo, tanto las empresas como las propias compañías de seguros, de entender ese negocio y de adaptar la póliza aseguradora a una realidad, que es diferente en cada compañía”.