Solo el trinomio formado por personas, procesos y tecnología pueden evitar los ataques digitales en el sector asegurador

Por Antonio Barriendos, director de Innovación de AV Group y Joan Balcells, CEO de A2Secure

Los ciberataques, como los que han sufrido recientemente algunas compañías destacadas del mercado español, se están produciendo de manera regular y sistemática con grandes afectaciones, tanto a nivel nacional como internacional. Basta hacer un poco de seguimiento de las noticias de los últimos meses para ver que tanto entes locales, como ayuntamientos, organismos públicos, empresas privadas y particulares, están recibiendo este tipo de ataques. 

Es cierto que a nivel empresarial ha habido una mejora sustancial en los últimos años, pero queda mucho trabajo por realizar. La pandemia y los procesos de transformación digital en los que están inmersas muchas compañías, han contribuido a sensibilizar a los ejecutivos de empresas de los riesgos existentes en el mundo digital y a invertir en prevención y ciberseguridad. Pero, lamentablemente, el éxito de los ciberataques es evidente.

Existe un movimiento organizado de delincuencia/terrorismo en el mundo digital, que se ve atraído por dos principales bienes: por un lado el dinero, al robar de forma directa, y por otro los datos, un activo fácilmente monetizable y muy atractivo de ser sustraído y usado con fines no legítimos.

Así, en la última década post-crisis financiera en 2008, con la mejora de la economía global, en el sector asegurador tuvo lugar una tendencia en la aceptación de riesgos por parte de las empresas, sin que articulasen mecanismos adecuados para la toma de decisiones. Esto ha provocado que se haya perdido la oportunidad de aplicar  dispositivos para guiar la inversión en ciberseguridad, convirtiéndose en uno de los principales riesgos para las aseguradoras. 

De aquí deriva otro de los riesgos para este sector, que es la falta de conciencia en la necesidad de disponer de coberturas de ciberriesgo que cubran estas contingencias. A ello se une un nivel de madurez de ciberriesgo bajo por parte de las empresas, que habitualmente deriva en que muchas de ellas contraten coberturas, sin realizar el ejercicio paralelo de situar su ciberseguridad en un nivel óptimo. Debemos de asesorar, cada vez más, a los clientes en esta materia y en auditorías de situación.

Actualmente, todas las organizaciones ambicionan mejorar e incrementar su nivel de seguridad digital, con el objetivo de abarcar a toda la empresa y a sus clientes. Este es un objetivo legítimo; pero no es realista porque la seguridad de la empresa es falible, como consecuencia de la vulnerabilidad histórica de los componentes que conforman la organización (procesos, sistemas…), por lo que las pólizas de ciberriesgo que contraten las empresas, deben proporcionar cobertura a esas vulnerabilidades. Y el éxito de las aseguradoras será cuantificar el riesgo asociado a esas carencias. 

Qué deberían hacer las aseguradoras para garantizar la seguridad de los datos, tanto de sus clientes, como los de las compañías. Lo primero, es primordial que los accesos y conexiones digitales sean óptimos, además de garantizados. Y también tener muy claro que la seguridad es una función de las personas, los procesos y la tecnología. Solamente liderarla con una de estas dimensiones, se está condenado al fracaso. De ahí que las recomendaciones pasen por mantener los niveles de inversión en seguridad digital; continuar desarrollando una resiliencia interna, concienciando a ejecutivos y generando compromiso en los empleados; y además, aceptar los nuevos modelos de trabajo y tecnologías basadas en cloud, machine learning,… que, aunque puedan aumentar el riesgo, permiten optimizar las operaciones y llegar con más eficacia a los clientes. 

En base a ello, es clave el desarrollo de la madurez de la ciberseguridad de las empresas, como argumento de tranquilidad para los clientes, que internamente pueden pensar “ahora ya tengo una póliza que me permite estar más tranquilo, es momento de recapacitar que podemos hacer para no tener que utilizarla”. Un ejemplo fácil de entender es que todos queremos tener un seguro de automóvil, pero es preferible mantener nuestro automóvil con todas revisiones realizadas: frenos, cambiar pastillas, ruedas en buen estado, niveles de líquidos, etc. de forma que sea mejor evitar un posible accidente causado por una deficiencia del coche que tener que recurrir a la póliza. Y en este aspecto, las compañías aseguradoras pueden ayudar mucho, ya que son conocedoras de los riesgos y cómo mitigarlos. 

Las nuevas pólizas deberían ser una puerta de entrada de la ciberseguridad en las compañías, de manera que, a través de colaboraciones con empresas especializadas, ayuden a sus clientes a evaluar correctamente su nivel de riesgo y trazar planes de mejoras. Al final, saber lo que se quiere proteger es esencial para hacerlo correctamente. La contratación de una póliza es un buen momento y una buena oportunidad de reflexión, donde pueden intervenir diversos actores de las empresas, desde los más técnicos, a los que tienen una clara perspectiva de negocio.

Las compañías deben trabajar, pues es vital, en prevenir las intrusiones y saber dar respuesta cuando éstas ocurren. El daño reputacional de una intrusión mal gestionada puede destruir una compañía. Si revisamos algunas cifras ilustrativas vemos, por ejemplo, que se  declararon 1.370 casos de brechas de seguridad en 2020 en España, triplicando las de 2018 según la AEPD, y un 62% de las empresas que cuentan con más de 1.000 empleados, admitieron que en el pasado año sufrieron más ataques, que en ejercicios anteriores. A todas luces, es necesario hacer los deberes y estar lo mejor preparados para afrontar una probable incidencia. Al final es lo que marca la diferencia.