La ciberseguridad y su cobertura en las empresas españolas

En los últimos años hemos observado un cambio considerable sobre la concienciación de las empresas españolas ante los ciberriesgos; ya no se trata de un mito, y menos después de los famosos Wannacry y nonPetya, que afectaron directamente a empresas locales. Todo ello, junto con la presión regulatoria, la aparición de noticias a diario sobre incidentes -como por ejemplo el reciente ciberataque a Ticketmaster- y las recomendaciones de organismos como la CNMV, está provocando que los empresarios españoles presten atención a este tipo de riesgos y den un paso hacia adelante.

Muchas empresas españolas todavía no cuentan con Planes de continuidad de negocio que reflejen la actuación de las mismas ante un ciberincidente y este punto es esencial en sectores industriales donde la dependencia tecnológica afecta directamente a la producción. Por ello, es importante que la ciberseguridad sea un proyecto transversal de las empresas en el que se involucren todos los departamentos, desde el equipo de IT hasta Recursos Humanos, pasando por Contabilidad y Marketing, hasta el propio departamento de negocio.

En cuanto a las actuaciones básicas para preservar la ciberseguridad, es primordial contar con unas medidas técnicas de protección que actúen en primera instancia, y contar con protocolos de actuación y formación de los empleados ya que el factor humano es el eslabón más débil en la cadena de ciberseguridad. Además, es interesante plantearse una protección financiera que actúa como última barrera de defensa para que los ciberataques no afecten a la cuenta de resultados.

Situación del mercado de los ciberseguros en España

En España, se ha detectado un gran incremento en el número de aseguradoras que están apostando por este ramo. Hace unos años, las aseguradoras que ofrecían productos cyber eran una minoría, sin embargo, ahora es inusual que no cuenten con este producto o que no lo estén desarrollando. Este ramo necesita acuerdos previos con profesionales de distintas disciplinas, como las técnicas y legales, para ofrecer con ello un panel de respuesta inicial que minimice el impacto potencial.

Dependiendo del sector de actividad existe un tipo de demanda u otra. En el caso del sector industrial, se demandan más coberturas de interrupción de negocio, mientras que si nos acercamos al sector sanitario, o empresas que manejan datos personales, nos enfocamos más en las coberturas de paneles de respuesta, de responsabilidad civil y posibles sanciones administrativas asegurables.

¿Qué coberturas se dan?

El mercado asegurador está en continua evolución y las coberturas que se ofrecen se pueden dividir en tres grandes grupos:

• Daños propios: donde se incluyen, entre otros, la posible pérdida de beneficios y los gastos de mitigación, la ciberextorsión, los gastos de notificación - tan mencionados a raíz del cambio del RGPD- , las sanciones administrativas derivadas de incidentes de privacidad, los gastos de recuperación de la información y los sistemas, etc.
• Responsabilidad Civil: grupo de coberturas que aglutinan gastos de defensa y posibles indemnizaciones derivadas de reclamaciones de terceros por la publicación o uso de su información, así como otros posibles perjuicios que se les cause a consecuencia de un ciberincidente.
• Gestión de crisis: es en este punto donde las aseguradoras ofrecen sus paneles de respuesta ofreciendo servicios técnicos que resuelvan el incidente, servicios legales centrados en el asesoramiento en materia de protección de datos y ante posibles reclamaciones y, finalmente, asesores en materia de comunicación que minimicen el impacto negativo que un incidente pueda causar a la imagen y reputación de una empresa.

También existen coberturas adicionales, como los perjuicios causados por proveedores tecnológicos, hacking telefónico, etc. Se trata de un producto en constante evolución y muy posiblemente en un año encontraremos modificaciones que amplíen determinados puntos de las coberturas.

El futuro de los ciberseguros en España

La previsión del mercado de los ciberseguros es de un gran crecimiento, y ya se está observando una mayor concienciación en la contratación de este tipo de productos por parte de las empresas españolas. En general, todo el sector -reaseguradores, aseguradores y brokers - está invirtiendo tanto a nivel humano como a nivel tecnológico para, con ello, desarrollar estos departamentos y dar un mejor servicio a los clientes.

Marsh está invirtiendo a nivel de gestión de riesgos y ofreciendo servicios que no solo se centran en la transferencia del riesgo, sino también en servicios que van desde la definición de los escenarios de riesgo, pasando por la cuantificación de los mismos e incluso en el desarrollo de planes de continuidad de negocio.

¿Qué retos debemos superar para conseguir desarrollar estrategias eficaces contra los ciberriesgos?

Desde el principio hay que involucrar a toda la organización en estas estrategias, abarcando con ello todas las preocupaciones de la compañía. Es necesario concienciar sobre la presencia y aumento de este tipo de riesgos, que pueden paralizar, al igual que lo haría un incendio, la actividad de una empresa. Cada vez más tenemos una dependencia de la tecnología en todos los sectores, no solo en los críticos, y debe haber un cambio de mentalidad en este sentido.

Habiendo superado los puntos anteriores, es esencial definir un plan de mejora e integración de sistemas, e ir avanzando para conseguir con ello un nivel de protección que dé seguridad y tranquilidad a la empresa, puesto que la seguridad al 100% no existe.