“Més val prevenir que curar o lamentar” és un antic refrany que tots coneixem i, probablement, hem utilitzat en multitud d’ocasions. Malgrat la seva antiguitat, és perfecte per a aplicar a una cosa tan moderna i contemporani com els ciberriscos, un ram que cada any s’aferma més en els primers llocs de l’escala dels riscos que és més necessari assegurar.

La prevenció és imprescindible per a evitar o minorar els més de 900 ciberatacs setmanals que van sofrir les empreses a tot el món en el quart trimestre de 2021 (1.040 a Espanya), segons Check Point Research (CPR), la divisió d’Intel·ligència d’Amenaces de Check Point Software Technologies, un proveïdor líder de solucions de ciberseguretat a nivell mundial. Uns atacs que, d’acord amb aquesta organització, es van incrementar un 50% l’any passat a tot el món respecte a 2020, i un 61% a Europa. En cas de tenir èxit, a part de l’elevat cost econòmic que suposen, poden generar problemes reputacions i l’eventual parada de serveis.

De fet, la prevenció és tan fonamental que, en el nostre cas, oferim un informe de maduresa cibernètica, a través d’un qüestionari, a totes les companyies que s’interessen per les assegurances de ciberriscos abans de contractar el producte, que inclou, entre altres, l’eficàcia dels controls, quantifica l’impacte econòmic davant diferents escenaris de risc com ara un atac de denegació de servei, bretxa de dades i un incident ransomware. A través d’aquestes preguntes, que es converteixen en més exhaustives per als qui contracten el producte, podem obtenir informació sobre el nivell de maduresa cibernètica que té cada empresa i oferir-li les solucions de transferència de riscos que més s’ajusten a les seves necessitats. Unit a aquesta recopilació d’informació, cada vegada és més important tenir en compte l’ecosistema en el qual es mouen les companyies.

En els últims anys, el ransomware, és a dir, els programes maliciosos que segresten dades, s’ha convertit en una important amenaça. Rescatar aquestes dades suposa veritables maldecaps per a les empreses, ja que les quanties sol·licitades pels ciberdelinqüents són cada vegada més desorbitades i poden arribar a posar en risc la seva pròpia continuïtat. El nostre informe Cyber-Risk Oversight 2020 (elaborat amb Internet Security Alliance i ecoDa) recomana abordar la ciberseguretat com una qüestió de gestió de riscos en tota l’empresa i, de forma continuada, adoptar una cultura que s’assumeixi per totes les persones i les diferents àrees de la companyia.

Per tot això, és imprescindible que les empreses treballin cap a un model en el qual es busqui la reducció de l’impacte dels sinistres. Alguna cosa que poden aconseguir elaborant plans d’actuació davant els ciberatacs basats en els resultats obtinguts de l’anàlisi de la seva maduresa cibernètica. En ells ha d’incloure’s un protocol detallat que permeti evitar l’accés als sistemes per part dels ciberdelinqüents i, al mateix temps, conèixer els passos a seguir si aquests aconsegueixen obrir una bretxa de seguretat. I és fonamental actualitzar-los contínuament i provar-los per a saber que realment funcionen.

El fet de comptar amb totes les mesures de prevenció possibles no significa que no es pugui produir un sinistre, perquè la realitat és que els ciberdelinqüents evolucionen amb una velocitat esbalaïdora i posen el focus en tot tipus d’empreses. A més, els atacs a vegades comencen mesos abans que es demani el rescat i la resolució pot durar setmanes o, fins i tot, mesos. Per a oferir tranquil·litat en aquests moments està la pòlissa de l’assegurança, les condicions de la qual, per a ser completes, han d’oferir, a més d’una cobertura asseguradora adequada, prevenció, serveis de resposta i assessorament àgils.

Dins d’aquestes condicions, convé contemplar la formació dels empleats per a evitar que una fallada humana obri la porta a una bretxa de seguretat, així com la inclusió d’un pla de resposta ràpida i eficaç davant incidents; la revisió individualitzada dels informes de cibermaduresa; informació sobre ciberseguretat 24/7; la qualificació del nivell de ciberseguretat; per descomptat, una línia telefònica directa per a cibersinistres disponible 24 hores els 365 dies de l’any, o eines que permetin a les companyies verificar la posició de la seva organització davant el ciberrisc, prioritzar la implementació de controls de reducció del risc i millorar la presa de decisions d’inversió en el seu programa de ciberseguretat.

És necessari recordar, així mateix, que avui dia s’ha convertit en una obligació per a les empreses cuidar de manera exquisida les dades, tant la seva pròpia informació com la que tenen de clients o proveïdors, doncs, precisament, aquests són el tresor més desitjat per als ciberdelinqüents. I, com he dit, tot es redueix a prevenció i anàlisi, les claus de volta de les assegurances de ciberriscos.

Olivier Marcén, Financial Lines Leader Barcelona Branch CyberEdge Iberia Product Leader de AIG