Ciberseguros: Un complemento a las auditorías de seguridad
Tabla de contenidos
La digitalización de las compañías ha tenido infinidad de consecuencias. Una de las más evidentes es el hecho de que gran parte de sus activos críticos ya no son físicos, sino digitales. Para una compañía textil hoy en día es tan importante su plataforma de ecommerce como las fábricas donde elabora sus prendas. Es por ello que muchas compañías han querido proteger la dimensión digital de sus negocios contratando ciberseguros. Productos que ofrecen las compañías aseguradoras para ayudar a las empresas a hacer frente a las consecuencias de un incidente.
Según un informe de GlobalData, la industria de los ciberseguros llegará a registrar unos ingresos de 10.600 millones de dólares en 2025. Ello se debe, en gran medida, al aumento que han experimentado los ciberataques en los últimos años.
Sin ir más lejos, a mediados de julio, el Consejo Superior de Investigaciones Científicas (CSIC) sufrió un ciberataque de origen ruso que lo dejó sin conexión a internet. La vuelta a la normalidad no se produjo hasta un mes después del incidente. Mientras que a principios de agosto, Twitter, una de las redes sociales más populares del planeta, reconocía haber sufrido un ciberataque que se había saldado con el robo de los datos de 5,4 millones de usuarios.
Estos dos casos recientes ejemplifican a la perfección una realidad que las compañías y las instituciones públicas no deben eludir: los ciberataques están a la orden del día. Pero asegurarse frente a ellos no debe reducirse a contratar una póliza, sino a proteger los sistemas de forma permanente frente a las agresiones externas e internas.
Puesto que, al igual que tener aseguradas las oficinas de una empresa, no evita que se vaya producir un incendio, un robo o una inundación, los ciberseguros no protegen a las compañías frente a los ataques.
1. Ciberseguros: Aliados para lidiar con las consecuencias de los ataques
En primer lugar, debemos aclarar qué son exactamente los ciberseguros. Estos productos que comercializan las compañías aseguradoras tienen como misión proteger a las empresas frente a las consecuencias de los incidentes de ciberseguridad.
Es decir, los ciberseguros, al igual que los productos aseguradores que no llevan el prefijo ciber, son contratos que firman una compañía aseguradora con una empresa. La primera se compromete a abonar a la segunda la cantidad especificada en el caso de que se produzca un incidente de ciberseguridad contemplado en el contrato y que conlleve pérdidas para la empresa asegurada, así como a prestarle asistencia para gestionar la crisis. Por su parte, esta última paga una cuota por el ciberseguro. De la misma manera que la paga por tener asegurada su sede física.
Así, los ciberseguros se han convertido en interesantes aliados a la hora de afrontar crisis, garantizando a las empresas que dispondrán de liquidez para paliar sus efectos.
Su origen, como no podía ser de otra forma, se encuentra en la digitalización de la sociedad y la economía. Teniendo en cuenta el salto de las compañías a la nube, la multiplicación de aplicaciones y software o el desarrollo de tecnologías disruptivas como el machine learning o la inteligencia artificial, se hace evidente la necesidad que tienen las empresas de contar con mecanismos y herramientas que salvaguarden sus intereses en la era digital.
Jugando en el terreno metafórico, podríamos decir que los ciberseguros no son escudos frente a los ataques, sino redes que se extienden bajo los pies de las empresas para aliviar la caída si esta se produce.
Por ello, más allá de contratar ciberseguros, lo importante sería evitar que las compañías anduviesen haciendo funambulismo al filo del alambre.
2. ¿Qué cubren los ciberseguros?
Al igual que pasa con los seguros clásicos, la cobertura de los ciberseguros difiere en función de la aseguradora y del nivel de protección que desea contratar la empresa. Al fin y al cabo, no es lo mismo tener tu coche asegurado a terceros que a todo riesgo.
De entre las cuestiones básicas que suelen cubrir los ciberseguros podemos destacar: la responsabilidad civil, la asistencia durante un incidente de ciberseguridad y los gastos derivados de estos y las labores de recuperación.
Al igual que en el resto de seguros, la cobertura no es absoluta. Los ciberseguros no se hacen cargo en caso de que la empresa asegurada haya actuado de mala fe o de manera negligente, sin tomar las medidas mínimas para hacer frente a los ciber riesgos.
2.1. La responsabilidad civil
Numerosos ciberataques tienen por objetivo robar datos en el haber de las compañías. Muchos de estos datos pueden ser información privada de sus clientes o trabajadores. En el caso de que se produzcan reclamaciones por la violación de datos de personas, los ciberseguros pueden hacer frente a los gastos derivados. Así como a las sanciones en materia de protección de datos a las que tenga que hacer frente la compañía que ha cedido frente al ciberataque
2.2. Gestión del incidente de seguridad
Las crisis provocadas por los ciberataques pueden ser complejas de resolver y, sobre todo, costosas. La empresa necesita asesoramiento técnico e informático para hacer frente al ciberataque en sí, sea cual sea el tipo de técnica empleada por los atacantes. Pero también es preciso contar con asesoramiento legal para gestionar las posibles reclamaciones de las que hablamos en el subapartado anterior. Y, por supuesto, asesoramiento en comunicación y gestión de crisis para intentar reducir los daños reputacionales.
Los ciberseguros ofrecen o bien asesoramiento directo, o bien, cubren los costes de contar con asesores ajenos a la organización.
2.3. Labores de recuperación
Una cuestión central en la gestión de cualquier crisis desatada por la explotación de un ciber riesgo es la continuidad de negocio. Cada minuto que la compañía esté paralizada por los efectos del ciberataque se traduce en pérdidas económicas y reputacionales.
Regresar a la normalidad, restaurando las copias de seguridad, recuperando los datos perdidos y restableciendo el pleno de funcionamiento de los sistemas son acciones de vital importancia. Para ello es fundamental contar con profesionales de primer nivel en el ámbito de la ciberseguridad.
3. ¿Qué exigen las compañías aseguradoras para la contratación de pólizas?
El hecho ineludible de que los ciberseguros no tienen como misión prevenir los ciber riesgos nos permite señalar que no pueden ser pensados como alternativas a las auditorías de seguridad y el establecimiento de programas y protocolos de seguridad adecuados a las características, necesidades y recursos de cada compañía.
Pero, incluso, podemos ir más allá. No solo es que las empresas no deban contratar un ciberseguro y olvidarse de su ciberseguridad, sino que las propias compañías aseguradoras no lo permiten.
Cuando firmamos un seguro sanitario, la compañía aseguradora nos somete a una evaluación médica, de cara a dictaminar cuál es nuestro estado de salud y qué factores de riesgo presentamos. Para ello nos realizan pruebas, estudian nuestro historial y tienen en cuenta los antecedentes familiares. En el caso de los ciberseguros sucede algo muy similar.
Las compañías aseguradoras, antes de firmar ningún tipo de contrato, llevan a cabo una evaluación de la ciberseguridad de la empresa que quiere contratar el ciberseguro. Para ello, tienen en cuenta tanto las características de la organización, como su modelo de negocio y su nivel de digitalización.
En caso de que se detecten vulnerabilidades, problemas en los procedimientos o carencia de formación, la aseguradora puede exigir a la empresa su subsanación, de cara a alcanzar un nivel de seguridad mínimo que permita a los sistemas de la compañía resistir frente a un posible ciberataque. De lo contrario, el contrato no se llegará a formalizar.
Además, en la actualidad, las compañías que emiten las pólizas de ciber riesgo ya exigen a las empresas que quieran contratar ciberseguros que realicen una serie de acciones, conducentes a securizar sus sistemas de manera periódica.
3.1. Auditorías de seguridad
Como señalábamos antes recurriendo al ejemplo de un seguro sanitario, las aseguradoras, en primer lugar, deben comprobar que se cumplen los requisitos mínimos de salud para poder contratar el seguro. Puesto que, de lo contrario, las posibilidades de tener que asumir las consecuencias económicas de una enfermedad grave son altísimas. Esto también es extrapolable al terreno de los ciberseguros.
Las auditorías de seguridad elaboradas por compañías con un amplio bagaje en este ámbito y profesionales vezados en la materia son claves para que una empresa sea consciente de los ciber riesgos a los que está expuesta e implemente las medidas necesarias para subsanar las vulnerabilidades de sus sistemas.
Por ello, como decimos en el título de este artículo, los ciberseguros no pueden ejercer como sustitutos de las auditorías de seguridad, sino que están llamados a ser complementos de estas.
Auditar la seguridad de una compañía y sus sistemas es la piedra angular para construir una estrategia de seguridad que haga frente de manera exitosa a los ciber riesgos y reduzca la posibilidad de que los malos tengan éxito.
En función de las características de la compañía se pueden realizar múltiples acciones encaminadas a detectar vulnerabilidades. Auditoría de seguridad web, auditoría de seguridad de aplicaciones móviles, auditoría de código, auditoría de seguridad de infraestructuras en la nube…
Gracias a las auditorías y las medidas aconsejadas por los analistas que deben ser implementadas, las compañías aseguradoras pueden tener un mayor nivel de credibilidad sobre la capacidad de sus aseguradas de resistir a potenciales ataques o de reducir los daños al mínimo. Mientras que las empresas obtienen la información necesaria para protegerse frente a los ciber riesgos. Uno no contrata un seguro sanitario porque deseé usarlo, sino como último recurso para afrontar un problema que desea evitar a toda costa.
3.2. Medidas de control
Conocer las vulnerabilidades y los riesgos es muy importante para subsanar deficiencias y securizar la infraestructura digital de una empresa. Pero los requisitos de las compañías de seguros no se limitan a esto. Sino que se exige que las empresas implementen, a mayores, medidas de control:
- Tecnología EDR. Detrás de estas tres letras se esconde el sistema Endpoint Detection Response. Dicha tecnología está focalizada en la protección de los sistemas de una empresa a través de la detección de riesgos y amenazas que pueden pasar desapercibidos y que se caracterizan por un alto nivel de complejidad. Para ello se emplean la inteligencia artificial o el big data.
- Threat Hunting. Un tipo de servicio de ciberseguridad que se caracteriza por su proactividad. Puesto que, como su nombre indica, los profesionales salen a la caza de las ciber amenazas, llegando a conocer a los atacantes de manera profunda, partiendo de principios básicos como la hipótesis de compromiso o la mentalidad ofensiva.
- Red Team. Mediante los servicios de Red Team, los profesionales de ciberseguridad simulan ser agentes externos y atacan los sistemas de la empresa. De esta forma se puede testear en un escenario de ataque cómo responden los sistemas de protección y los procedimientos de respuesta, de cara a optimizarlos al máximo. A la vez que se entrena al personal de seguridad para afrontar con éxito incidentes reales.
Toda ayuda es poca en un escenario en el que los actores maliciosos lanzan ataques cada vez más sofisticados y complejos. De ahí que las compañías aseguradoras sean cada vez más exigentes en lo relativo a las auditorías de seguridad y las medidas de control que deben implementar las empresas que deseen contratar ciberseguros.
4. ISO 27001: Máximos estándares de ciberseguridad
A partir del contexto y de los servicios que venimos de describir se puede dilucidar lo importante que es seguir los máximos estándares de ciberseguridad tanto para la prevención de los ciber riesgos como para la obtención de ciberseguros.
Precisamente esto es lo que verifica la certificación ISO 27001 centrada en la planificación, implantación, verificación y control de un Sistema de Gestión de Seguridad de la Información.
Esta certificación internacional acredita que la confidencialidad de los datos de una empresa está garantizada. Para ello se lleva a cabo un exhaustivo análisis de riesgos que pone el foco sobre las infraestructuras de la organización, pero también sobre los profesionales involucrados en la gestión de la información.
Además, la certificación visibiliza el esfuerzo de la empresa de ciberseguridad por operar de forma interna con los mismos niveles de rigor, profesionalidad y meticulosidad que emplean a la hora de trabajar codo con codo con sus clientes.
5. Directivas NIS: Garantizar la protección de empresas y ciudadanos
Al igual que las compañías se han ido concienciando sobre la importancia de la ciberseguridad, la ciudadanía y las administraciones públicas también han multiplicado su interés en esta área. Puesto que, como vimos antes con el CSIC, los organismos públicos también son targets de los actores maliciosos. Y las personas pueden ver cómo sus datos privados son robados y expuestos.
Así, además de normativas sobre la protección de datos, como el RGPD, se han aprobado o están a punto de aprobarse nuevas regulaciones que inciden en la importancia de que las empresas estén protegidas ante las amenazas y se facilite el intercambio de información sobre las mismas. Precisamente ese es el objetivo de la directiva NIS y de su secuela, más ambiciosa y adaptada a los desafíos del presente: la directiva NIS2.
Esta norma, cuyo contenido ya ha sido pactado por el Consejo y el Parlamento Europeo, a espera de su aprobación oficial, busca mejorar la resiliencia y la capacidad de respuesta de instituciones y compañías ante los ciberataques. Para ello, es primordial detectar y subsanar las vulnerabilidades y mejorar la información disponible sobre las nuevas amenazas que van surgiendo.
6. De los ciberseguros a las normativas: La seguridad como cuestión estratégica
En definitiva, la contratación de ciberseguros, las auditorías de seguridad, los servicios de Red Team o Threat Hunting, la obtención de la certificación ISO 27001 y las directivas NIS van, todas ellas, en la misma dirección. La ciberseguridad y la protección frente a los ciberataques, así como la gestión de los incidentes se han convertido en cuestiones estratégicas para las instituciones públicas y las compañías.
El auge de los ciberseguros viene a visibilizar que los ciber riesgos son cada día que pasa mayores y más desafiantes y que las compañías se han concienciado de los peligros que circundan a sus activos digitales.
Lejos de suponer una suerte de panacea, los ciberseguros y, sobre todo, los requisitos que exigen las aseguradoras para contratarlos, demuestran la importancia de contar con una estrategia de seguridad integral, sustentada en auditorías profesionales y con medidas y protocolos adecuados. Los ciberseguros solo son una herramienta más para mitigar los ataques y luchar porque estos, en el caso de producirse, no afectan a la continuidad de negocio y a los intereses empresariales.