“Más vale prevenir que curar o lamentar” es un antiguo refrán que todos conocemos y, probablemente, hemos utilizado en multitud de ocasiones. Pese a su antigüedad, es perfecto para aplicar a algo tan moderno y contemporáneo como los ciberriesgos, un ramo que cada año se afianza más en los primeros puestos de la escala de los riesgos que es más necesario asegurar.

La prevención es imprescindible para evitar o aminorar los más de 900 ciberataques semanales que sufrieron las empresas en todo el mundo en el cuarto trimestre de 2021 (1.040 en España), según Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies, un proveedor líder de soluciones de ciberseguridad a nivel mundial. Unos ataques que, de acuerdo con esta organización, se incrementaron un 50% el año pasado en todo el mundo respecto a 2020, y un 61% en Europa. En caso de tener éxito, aparte del elevado coste económico que suponen, pueden generar problemas reputaciones y la eventual parada de servicios.

De hecho, la prevención es tan fundamental que, en nuestro caso, ofrecemos un informe de madurez cibernética, a través de un cuestionario, a todas las compañías que se interesan por los seguros de ciberriesgos antes de contratar el producto, que incluye, entre otros, la eficacia de los controles, cuantifica el impacto económico ante diferentes escenarios de riesgo tales como un ataque de denegación de servicio, brecha de datos y un incidente ransomware. A través de esas preguntas, que se convierten en más exhaustivas para quienes contratan el producto, podemos obtener información sobre el nivel de madurez cibernética que tiene cada empresa y ofrecerle las soluciones de transferencia de riesgos que más se ajustan a sus necesidades. Unido a esa recopilación de información, cada vez es más importante tener en cuenta el ecosistema en el que se mueven las compañías.

En los últimos años, el ransomware, es decir, los programas maliciosos que secuestran datos, se ha convertido en una importante amenaza. Rescatar esos datos supone verdaderos quebraderos de cabeza para las empresas, ya que las cuantías solicitadas por los ciberdelincuentes son cada vez más desorbitadas y pueden llegar a poner en riesgo su propia continuidad. Nuestro informe Cyber-Risk Oversight 2020 (elaborado con Internet Security Alliance y ecoDa) recomienda abordar la ciberseguridad como una cuestión de gestión de riesgos en toda la empresa y, de forma continuada, adoptar una cultura que se asuma por todas las personas y las diferentes áreas de la compañía.

Por todo ello, es imprescindible que las empresas trabajen hacia un modelo en el que se busque la reducción del impacto de los siniestros. Algo que pueden conseguir elaborando planes de actuación ante los ciberataques basados en los resultados obtenidos del análisis de su madurez cibernética. En ellos debe incluirse un protocolo pormenorizado que permita evitar el acceso a los sistemas por parte de los ciberdelincuentes y, al mismo tiempo, conocer los pasos a seguir si estos consiguen abrir una brecha de seguridad. Y es fundamental actualizarlos continuamente y probarlos para saber que realmente funcionan.

El hecho de contar con todas las medidas de prevención posibles no significa que no se pueda producir un siniestro, porque la realidad es que los ciberdelincuentes evolucionan con una velocidad pasmosa y ponen el foco en todo tipo de empresas. Además, los ataques a veces comienzan meses antes de que se pida el rescate y la resolución puede durar semanas o, incluso, meses. Para ofrecer tranquilidad en esos momentos está la póliza del seguro, cuyas condiciones, para ser completas, deben ofrecer, además de una cobertura aseguradora adecuada, prevención, servicios de respuesta y asesoramiento ágiles.

Dentro de esas condiciones, conviene contemplar la formación de los empleados para evitar que un fallo humano abra la puerta a una brecha de seguridad, así como la inclusión de un plan de respuesta rápida y eficaz ante incidentes; la revisión individualizada de los informes de cibermadurez; información sobre ciberseguridad 24/7; la calificación del nivel de ciberseguridad; por supuesto, una línea telefónica directa para cibersiniestros disponible 24 horas los 365 días del año, o herramientas que permitan a las compañías verificar la posición de su organización ante el ciberriesgo, priorizar la implementación de controles de reducción del riesgo y mejorar la toma de decisiones de inversión en su programa de ciberseguridad.

Es necesario recordar, asimismo, que hoy en día se ha convertido en una obligación para las empresas cuidar de forma exquisita los datos, tanto su propia información como la que tienen de clientes o proveedores, pues, precisamente, estos son el tesoro más deseado para los ciberdelincuentes. Y, como he dicho, todo se reduce a prevención y análisis, las claves de bóveda de los seguros de ciberriesgos.

Olivier Marcén, Financial Lines Leader Barcelona Branch CyberEdge Iberia Product Leader de AIG