La mayoría de empresas ha sufrido un ciberataque. Y las que no, tendrán que enfrentarse a alguno en poco tiempo. Mientras antes, estos incidentes afectaban principalmente a grandes corporaciones, en los últimos años las pequeñas compañías también son objetivo de estos delincuentes. Bajo esta premisa, Agers ha elaborado la ‘Guía cyber de buenas prácticas en protección de ciberriesgos para no expertos’, con la que pretende explicar la necesidad de transferir estos riesgos para minimizar el alcance del siniestro.
ARTÍCULO PUBLICADO EN LA REVISTA PYMESEGUROS Nº 126
En la presentación de la guía, Alicia Soler, Executive Manager de Agers, fue la encargada de abrir el acto recordando que este es el quinto manual que presenta la Comisión de Ciberriesgos, “con el objetivo de concienciar sobre el riesgo”. En este sentido, Juan Gayá, director de Gerencia de Riesgos en El Corte Inglés Seguros y responsable de dicha Comisión, recalcó el valor de este documento porque pretende ser comprensible para todo el personal, aunque no sea experto en la materia.
Para ponerlo en valor, Rafael Ortiz, Senior Cyber Underwriter en AIG, y Carlos Rodríguez, Regional Cyber Product Leader APAC & Europe en AXA XL, escenificaron un supuesto en el que una aseguradora se reúne con una empresa para conocer su grado de desarrollo cíber y poder ofrecerles una póliza adecuada, en el que se apreció cómo la terminología es excesivamente compleja, si no se tienen unos conocimientos técnicos adecuados.
A ello hay que añadir un nuevo reto, como destacó Belén Medina, Insurance Manager en Globalvia, y es que el riesgo cíber evoluciona “mucho más rápido que otros”: “Cada año, hay muchas más líneas rojas que no se pueden traspasar para transferir riesgos”, comentó.
Carlos Rodríguez destacó que el principal impacto que sufren las compañías es la pérdida de beneficios, causada principalmente por el ransomware, que provoca una triple extorsión por parte de los ciberdelincuentes por la captura de los datos, la pedida de un rescate y la posterior venta de esos datos. También se está viendo más malware (“se está incrementando la frecuencia”), así como negligencias por parte de los empleados. Además, se pone mucho foco en las nuevas amenazas, como las surgidas por la computación cuántica o el malware creado por inteligencia artificial.
En el ámbito regulador hizo hincapié en las nuevas normativas que se están preparando, que incluyen mayores requisitos y sanciones a las que se exponen las compañías que no las cumplan. De hecho, quiso recordar que en la actualidad ya se le exige al propio Consejo de Administración estar pendiente de las medidas de ciberseguridad.
A ello hay que añadir que las aseguradoras cada vez tienen más empeño en realizar una buena selección de riesgos, según Rafael Ortiz, lo que a su entender “redunda en beneficio de todos”. De ahí que también se vaya revisando la información de la que se dispone de las empresas, porque los ciberriesgos evolucionan y las compañías deben implantar controles para evitarlos. “Las aseguradoras somos palanca de cambio para conseguir que las empresas sean más seguras”, confirmó. No obstante, como aseguró, en seguridad el riesgo cero no existe, por lo que las compañías se basan en el concepto de seguridad en profundidad para prevenir o minimizar el ataque, con varias protecciones, como la verificación de autentificación, un antivirus avanzado, backup online en otra red y, fundamentalmente, la formación y concienciación, pues “el factor humano siempre es el punto más débil” y por donde más fácilmente pueden filtrarse los ciberdelincuentes.
Efectivamente, Rodríguez confirmó que el tema de concienciar al personal es fundamental, por lo que abogó, entre otras medidas, por llevar a cabo campañas antiphising dentro de la empresa. Y apuntó también la necesidad de desarrollar la gestión de parches para entornos críticos.
Además, como constató Ortiz, el de las ciberamenazas es un problema que afecta tanto a grandes empresas como a pymes. Y aunque las mayores cuentan con más recursos para hacerlas frente, las de menor tamaño tienen una mejor “ciberhigiene”, al ser más sencilla su estructura. Esta creciente percepción del riesgo, provocada por el aumento de incidentes, ha llevado a que las pólizas Cíber, que antes solo contrataban las grandes empresas, empiezan a solicitarlas también las pymes, ya que en su caso los ataques “pueden llevarse sus negocios por delante”.
Donde el Regional Cyber Product Leader APAC & Europe en AXA XL aprecia un agujero es en la mediana empresa (“no han dado ese paso de transferencia”), mientras que la exposición de las grandes compañías es mayor (entre otros factores porque tienen más empleados), pero también son las que mejor tienen cuantificados los riesgos que contratan.
Tras el análisis de la situación actual de los riesgos cíber, se procedió a la presentación de la guía, que “se ha hecho para saber cómo transferir los riesgos”, evidenció Belén Medina, Insurance Manager en Globalvia, de modo que las empresas sepan qué medidas preventivas necesitan, cómo monitorizar y detectar los riesgos, cómo recuperar los datos…
Juan Ramón Claver, Insurance Manager en Abertis, precisó que la guía cuenta con una fase 0, que consiste en meditar, antes de llevar a cabo ningún procedimiento de ciberseguridad, qué tipo de empresa se tiene, de qué medidas se dispone, en qué entorno opera, cómo quiere protegerse… ya que “cada vez más compañías tienen este tipo de incidentes”.
El documento se ha dividido en cinco grandes bloques por fases de actuación:
- Identificación. Lo primero que se ha de hacer es un inventario de archivos críticos para poder transferir los riesgos, priorizando recursos y determinando qué personas son las que tienen que actuar. Además, se añade una parte importante de gobernanza, de modo que toda esta información esté bien comunicada y los empleados perfectamente formados.
- Protección. “Debemos protegernos bien para mitigar los riesgos”, recordó Claver al explicar el que se considera la fase más importante y extensa de la guía. Hay que establecer diferentes protocolos, como el control multifactor, la minimización de cuentas de servicios con privilegios de administrador, las copias de seguridad de todos los sistemas, junto a las encriptaciones, y el parcheado frecuente en las aplicaciones, priorizando su actualización.
- Detección. Para identificar la ocurrencia de un evento de seguridad cibernética y detectarlo a tiempo hay que monitorizar continuamente el flujo en la red, ya no solo de las actuaciones que lleven a cabo los empleados, sino también la de otros agentes con los que se trabaja, como los proveedores, ya que a través de sus sistemas se puede colar algún ataque.
- Respuesta. Para responder correctamente cuando ocurre un incidente hay que utilizar dos herramientas de gran importancia: EDR, que es un software antimalware que se basa en reglas de comportamiento para detectar la ejecución de programas maliciosos en el sistema, actualizando entradas y salidas en la red y avisando para poder actuar al momento; y segmentación de redes, rompiendo enlaces entre las OT (tecnología operativa) y las IT (tecnología de la información) para contener el ataque.
- Recuperación. Lo importante para la empresa es volver a operar cuanto antes, para lo que se necesita un plan de continuidad, con copias online y offline. Ese plan debe estar probado y que cada persona sepa qué es lo que tiene que hacer. Para eso es esencial una comunicación individual previa.
Como se explicó en la presentación, esta guía no solo pretende trasladar las distintas medidas recomendadas para gestionar y prevenir los incidentes cibernéticos, tanto a los gerentes de riesgos y seguros de las empresas como a todo el personal no técnico implicado en la mitigación de los riesgos cíber, sino que pretende hacer hincapié en que una buena transferencia de los riesgos ciber resulta esencial ya que, como manifestó Gayá, “el seguro puede salvar a la empresa”. No obstante, como recalca la guía, las pólizas de seguro permiten disponer de servicios que ayudan a gestionar el siniestro, además de reducir o cancelar el impacto económico de este.
Pero sus connotaciones van más allá, ya que el cibernético es un riesgo sistémico, pues la caída de una red de una compañía importante puede afectar a muchas otras y a la población, especificó Carlos Rodríguez: “Las aseguradoras analizamos cuál sería el impacto para grandes eventos; hemos hecho los cálculos y resultaría devastador, sería un riesgo catastrófico”, advirtió. Para esos casos, en los que el propio sector del seguro se vería sobrepasado, abogó por que se llevase a cabo una colaboración público-privada, al igual que existe con el Consorcio de Compensación de Seguros para otro tipo de siniestros de gran magnitud.
De ahí que Rafael Ortiz instase a las empresas a tener bien definidos cuáles son sus proveedores críticos, por su exposición al riesgo, ya que podría afectarles enormemente. No obstante, en un mercado asegurador cada vez más complejo y especializado, y en un ramo como Cíber, en el que la siniestralidad es elevada y la incertidumbre todavía muy alta, es muy importante realizar una apropiada gestión del riesgo en todos los ámbitos.
www.pymeseguros.com