Por Daniel Hernández Arroyo, director de Risk Advisory especializado en ciberseguridad de Deloitte

Durante la crisis de la Covid-19, los ciberataques se han convertido en una amenaza mucho más peligrosa para las empresas debido a los distintos factores que las hacen más vulnerables en un período donde las infraestructuras tecnológicas se han puesto a prueba de fuego. Las compañías del sector asegurador no son la excepción a este riesgo que puede comprometer la actividad comercial y la confianza de los clientes.

Según el estudio ‘Termómetro de Ciberseguridad y Riesgos TI en el Sector Asegurador’ de ICEA, las principales dificultades para implementar medidas de ciberseguridad son el incremento en la sofisticación de los ciberataques y la evolución continua de las tecnologías. Como consecuencia de esto, las entidades con mayor porcentaje de su presupuesto en tecnologías IT destinado a ciberseguridad, han recibido ataques de bajo impacto.

El mismo estudio, concluye que casi en el 50% de las compañías del sector asegurador existe una ausencia de Planes Estratégicos de Seguridad y Riesgo Tecnológico formalmente aprobados. Esta radiografía nos demuestra que es cada vez más necesario profesionalizar la prestación algunos servicios mediante la externalización.

Cuando hablamos de amenazas de ciberataques, es necesario contemplar los riesgos a los que se expone una compañía aseguradora. El informe ‘Insurance Threat Landscape’ de Deloitte específica el impacto que ha tenido la Covid-19 para la industria y habla del profundo daño que puede provocar un robo de datos, afectando la relación B2C, donde la confianza lo es todo. La información de seguros de Salud son un bien preciado por los cibercriminales y utilizan tácticas, técnicas y procedimientos (TTPs) que toda empresa debe saber contrarrestar en todo momento.

El otro target para los ciberdelincuentes son las relaciones entre los aseguradores de Salud y los proveedores de atención médica (B2B), donde los primeros se exponen indirectamente a a los daños que puedan surgir de un ataque al segundo. La oportunidad adicional de llevar a cabo un fraude con detalles de pólizas de seguro de Salud comprometidas, códigos de facturación, detalles de reclamaciones y otros puntos de datos de infracciones en los proveedores de atención médica es una razón adicional para dirigirse a los hospitales, clínicas y centros de salud.

La falta de recursos especializados y la inexistencia de metodologías adecuadas de análisis de riesgos son los principales retos a la hora de la gestión del riesgo de externalización de servicios TI. Por esto, es imprescindible invertir cuanto antes en materia de ciberseguridad, siguiendo el ejemplo de otros sectores que han sabido destinar una parte importante del presupuesto para evitar ciberincidentes que comprometan el negocio.

Aunque es cierto que el sector ha venido invirtiendo en seguridad y gestión del riesgo tecnológico durante los últimos años y el nivel de madurez alcanzado, esto sigue siendo dispar entre las entidades y falta mucho camino por recorrer. 

A pesar del revés económico que ha significado la pandemia y los posibles ajustes en las inversiones a futuro de una empresa, proteger las bases de datos y la información sensible en una compañía aseguradora puede ser el factor diferencial para resistir la crisis y salir adelante con un sistema de ciberseguridad reforzado y con la adecuada implementación de nuevas tecnologías, tales como la Inteligencia Artificial, IoT y Blockchain.