¿Es imprescindible contar con un ciberseguro?

La frecuencia y gravedad de los ciberataques han aumentado drásticamente en los últimos años, dejando a empresas y particulares expuestos a pérdidas económicas y daños en su reputación. A medida que la tecnología sigue avanzando y con la amenaza de los ciberataques siempre presente, se ha desencadenado una creciente necesidad de seguros de ciberseguridad.

Los seguros cibernéticos se crearon a finales de la década de 1990, cuando las organizaciones empezaron a trasladar sus negocios a Internet. A medida que muchos líderes empresariales trataban de comprender las complejidades del mundo digital, surgieron las pólizas de seguros para mitigar los riesgos asociados a Internet y proteger a las empresas contra el acceso no autorizado a los sistemas y datos de una organización.

Las primeras formas de ciberseguro eran pólizas que a menudo tenían un alcance amplio y no estaban específicamente adaptadas a las necesidades de una organización. Sin embargo, a medida que fue aumentando el número de ciberataques, también lo hacían los alcances de los seguros cibernéticos. Hoy en día, los empresarios pueden optar por pólizas de seguro altamente especializadas que cubren una amplia gama de riesgos, como el ransomware, la violación de datos y la interrupción de la actividad empresarial.

Según el último Reporte de Tendencias de Ransomware de Veeam, en Latinoamérica, el 77% de las víctimas cibernéticas pagaron por el rescate a través de sus ciberseguros. Sin embargo, estos son cada vez más difíciles de conseguir, por consiguiente se vuelven más caros, es más, el 20% de las organizaciones declaran que el ransomware está ahora específicamente excluido de sus pólizas. Mientras que la inteligencia artificial, la robótica, la realidad virtual y el IoT han proliferado los avances tecnológicos, esto ha dado lugar a nuevos parámetros de amenaza. Se espera que el seguro cibernético proporcione compensación financiera y cubra la responsabilidad de una empresa frente a sus datos.

Es importante recordar que el ciberseguro no está pensado como una solución aislada. Como los ataques pueden variar en gravedad, el seguro cibernético también varía en los precios de las primas, que pueden llegar a ser millonarias. Según un informe de S&P, se prevé que el conjunto mundial de primas de cobertura cibernética aumente a una media del 25% anual. Existen distintos grados de cobertura para una organización.

En el caso de la cobertura a terceros, suele cubrir el coste de aspectos como la investigación del incidente, la pérdida de ingresos por interrupción de la actividad, la evaluación de riesgos para futuros incidentes cibernéticos, los pagos por ataques de ransomware en función de los límites de la cobertura y la notificación a los clientes afectados. La cobertura de responsabilidad civil o cibernética puede adquirirse para proteger a una empresa en caso de que un tercero la demande por daños y perjuicios derivados de un incidente de ciberataque. Esto puede cubrir los honorarios legales, los acuerdos y las multas reglamentarias por incumplimiento.

La complejidad de las pólizas de ciberseguro y la naturaleza de la cobertura que ofrece una empresa pueden convertirla en una tarea desalentadora para las empresas interesadas en adquirir un seguro. Esto puede suponer un gran desafío para las empresas más pequeñas, que pueden carecer de los conocimientos o recursos necesarios para adquirir una póliza adecuada. Además, con el aumento de los ciberataques, pueden surgir disputas entre las compañías de seguros y las organizaciones debatiendo sobre los pagos. Esto puede llevar a una larga y costosa batalla legal.

Aunque el ciberseguro existe desde los años 90, sigue siendo un concepto relativamente nuevo que continúa actualizándose en función de los nuevos métodos de ciberataque. Hay una falta de normativas en las compañías de seguros, y hay que hacer más para garantizar que se cumplan las normas reguladoras en cuanto a lo que se puede cubrir y lo que no.

Las organizaciones suelen ser blanco de ataques por diversas razones, siendo el beneficio económico la motivación más común. Los atacantes utilizan diversas formas de acceder a la información más sensible, desde el phishing hasta el pirateo de sistemas para extraer información confidencial.

El ciberseguro es sólo una parte de una buena ciberresiliencia. Aunque proporciona alivio financiero, no elimina el hecho de que se haya producido un ciberataque y que la confianza y reputación de la organización se haya visto comprometida. Más allá del cifrado de datos sensibles, la instalación de software de ciberseguridad y la formación periódica del personal en materia de ciberataques, hacer un backup de los datos es una buena forma de garantizar la continuidad de la actividad en caso de ataque, y de que los piratas informáticos no tengan el poder de exigir dinero a las organizaciones para recuperar sus datos.

Siempre hay que hacer backups de los datos siguiendo la regla 3-2-1-1-0, según la cual debe haber tres copias de los datos en dos soportes diferentes, una de las cuales debe estar fuera de las instalaciones y la otra debe estar desconectada, debe ser inmutable y, por último, hay que conseguir que no haya errores en el sistema de recuperación. Esto protegerá los datos y garantizará que, en caso de que una empresa se desconecte, los datos se puedan restaurar rápidamente sin apenas tiempo de inactividad.

Según el reciente informe de Veeam sobre tendencias en protección de datos, el 82% de las organizaciones tienen una ‘brecha de disponibilidad’ entre la rapidez con la que necesitan que los sistemas sean recuperables y la rapidez con la que el departamento de TI puede recuperarlos. Otro 79% cita una «brecha de protección» entre la cantidad de datos que pueden perder y la frecuencia con la que TI protege sus datos en la nube y en las instalaciones. Esto subraya aún más la importancia de cuantos backups se deben tener.

En última instancia, un backup sólido es el seguro que necesitan las organizaciones. El ciberseguro puede formar parte de un plan general, pero no es aconsejable depender únicamente de él. A medida que el panorama tecnológico avanza y crece, las empresas deben liderar su propia defensa contra los ciberataques.