Redacción ‘MS’- Recientemente, las oficinas de la Asociación Española de Gerencia de Riesgos (AGERS) han acogido la celebración de una jornada organizada por Beazley España en la que expertos en ciberseguridad han analizado el futuro del sector. En ella han intervenido: Alicia Soler, Directora Gerente de AGERS; Ilaria Salvato, Suscriptora Internacional Cyber de Beazley; Carolina Daantje, Directora de Ciberriesgos de Willis Towers Watson (WTW); Belén Medina, Insurance Manager de Globalvia; Damián Ruiz, CISO de Singular Bank y Presidente de Cluster CyberMadrid; y Eduvigis Ortiz, Presidenta y Fundadora de Women4Cyber.
Durante sus palabras de bienvenida, Alicia Soler ha argumentado que: “Es crucial reinventar el ciberseguro para adaptarse a las nuevas amenazas y fortalecer las debilidades actuales”. La Directora Gerente de AGERS ha destacado la necesidad de una mayor colaboración y concienciación en el sector.
¿Hacia dónde se orientan las soluciones de mercado integrales, que incluyen servicios preventivos, seguro Cyber y gestión del propio siniestro? ¿El mercado está evolucionando desde la pura transferencia del riesgo hacia una visión más amplia con una solución integral?
Para Ilaria Salvato, sin ninguna duda, el mercado está evolucionando, de modo especial en Cyber: “El riesgo tecnológico evoluciona cada día y las aseguradoras tienen que estar al tanto”. Beazley acaba de lanzar una solución que engloba servicios de prevención, respuesta y acompañamiento al cliente, además de la transferencia del riesgo a través del seguro, y seguro de gestión de la incidencia.
“En los últimos 20 años nos hemos dado cuenta de que el cliente necesita comprender el riesgo que enfrenta. Los riesgos tecnológicos evolucionan muy rápidamente y esto no suele ser tenido en cuenta”, matiza Salvato. Beazley pone a disposición de sus clientes su experiencia en la valoración de riesgos para que éstos puedan entender cuál es su situación. “No todos los riesgos se pueden prevenir, de ahí el valor de la transferencia del riesgo”, matiza la Suscriptora Internacional Cyber de Beazley.
“Como aseguradora, contamos con un seguro Cyber. Pese a tener todas las medidas y prevención necesarias, los cibercriminales encontrarán nuevos vectores de ataque, que son muchos”. En caso de suceder el incidente, Beazley también ofrece su servicio de respuesta para la gestión del mismo: “Un ciberataque puede suceder y, bien gestionado, el cliente puede recuperarse y sufrir pérdidas mucho menores de lo que podría suceder sin este acompañamiento profesional”, asegura Salvato.
¿Qué nivel de interés genera en el mercado una propuesta global de estas características?
Para Carolina Daantje, la suscripción del riesgo es mucho más proactiva en el momento actual. “Aunque los suscriptores detecten determinadas debilidades, aún así aseguran el riesgo. Estamos en contacto continuo con el cliente y con la aseguradora para implementar un plan de acción junto con el CISO y saber en qué debe poner el foco de cara a la renovación de la póliza al año siguiente”, expresa Daantje.
La Directora de Ciberriesgos de WTW coincide en apuntar que no solo es importante la prevención, sino también saber qué hacer y cómo actuar cuando acontece el incidente, con un protocolo previamente establecido. “Estos incidentes suceden en los momentos más inesperados. Todo el mundo debe conocer dónde debe llamar para activar la póliza; solo hay una persona autorizada para notificar, ha de saber cuándo hacerlo, qué información va a ser preciso aportar, etc.”. Las aseguradoras se enfocan mucho en que exista un plan de continuidad de negocio que incluya ransomware.
¿Cuáles son las necesidades más destacadas de aseguramiento que demandan hoy las compañías y con qué dificultades se encuentran a la hora de abordar el contexto de ciberriesgos actual y emergente?
En opinión de Belén Medina, lo principal es identificar cuál es el riesgo, evaluarlo y cuantificarlo. “Se trata de saber exactamente cuáles son tus activos críticos, que son diferentes de una empresa a otra,”, asegura. “Hay que conocer cuáles son las principales amenazas, y saber que están en continua evolución”, enfatiza la Insurance Manager de Glovalvia.
“El robo de información, el ransomware y la brecha de seguridad son nuestras principales amenazas. Una vez identificadas, tenemos que cuantificarlas, dado que, normalmente, al acudir al mercado e intentar transferir el riesgo, compramos un límite”, detalla Medina. Para la experta de Globalvia, hay que poner el foco en las coberturas que más daño pueden causar a la empresa. “La primera de ellas es la pérdida de beneficios. Pero no solo a nivel de ingresos, sino en relación con los extra-costes que se generan durante el proceso”, aclara. Las reclamaciones también resultan un asunto de vital importancia, como lo son las sanciones en materia de protección de datos y, además, los gastos de respuesta ante incidentes. “El servicio de respuesta es muy importante y supone una gran ayuda para el asegurado en este tipo de pólizas”, matiza. Globalvia cuenta con un protocolo, consensuado con la aseguradora, que integra a los asesores de IT de la empresa; y dispone además de otro tipo de asesores legales, de comunicación, etc., que resultan importantes. La Insurance Manager de Globalvia hace referencia, además, a la necesidad de poner el foco en los proveedores que trabajan con la compañía y entran en sus sistemas, pues constituyen un riesgo destacado para éstas.
España tiene un tejido productivo principalmente integrado por Pymes, ¿cómo están transfiriendo el riesgo y qué desafíos particulares afrontan?
Para Eduvigis Ortiz, el mercado del ciberseguro ha experimentado una notable progresión durante los últimos años y se encuentra avanzando adecuadamente. “Según distintos estudios, poniendo el foco en la pequeña empresa, durante 2023, el 53% de las empresas ya tenían algún tipo de cobertura y hasta un 80% se estaba planteando contemplar la compra de una ciberpóliza en el próximo año”. En el caso de las pequeñas empresas, muchas de ellas no disponen de asesoría jurídica, necesaria para la correcta comprensión de un ciberseguro.
“Es importante conocer la letra pequeña y una valoración 360 grados del riesgo que se tiene”, expresa la Presidenta y Fundadora de Women4Cyber. Ortiz también incide en la importancia de la cadena de suministro: “Todos estamos interconectados y cada vez más. El impacto existente en una compañía de 3-4 personas, pero que le presta servicio a una gran empresa, es importante y puede causar un problema serio”, destaca. Así mismo, muchas empresas han de mejorar el nivel de comprensión de la cobertura de su ciberseguro. Las aseguradoras tienen la oportunidad de realizar un trabajo de concienciación y cercanía hacia sus clientes. “La ciberseguridad es una responsabilidad compartida. Es importante la concienciación por parte de la aseguradora y también que las empresas sean conscientes del riesgo que corren”, asegura Eduvigis Ortiz.
¿Hacia dónde ha de reinventarse el Ciberseguro? ¿Qué fortalezas y qué debilidades enfrenta?
Según Damián Ruiz, habría que ofrecer en un buen catálogo de servicios adicionales al propio ciberseguro. “A nivel de Pyme, empiezan a haber ofertas de complementos muy interesantes”, explica. “Por ejemplo, hay soluciones que incluyen agentes de telemetría para tener un sistema de valoración continua del riesgo”, detalla el CISO de Singular Bank.
Para otro tipo de empresas más grandes, Damián Ruiz propone, por ejemplo, la oferta de servicios de simulación de contingencias: “Es la mejor manera de evaluar y concienciar, no implica una inversión elevada y permite tomar el pulso real para conocer capacidades “reales” de respuesta ante incidentes de gran impacto”. Además, menciona que las herramientas empleadas por los ciberseguros para análisis de superficie de ataque deben mejorar y, además, deberían proporcionarse sus informes al cliente a modo de ayuda. “También hay que dar un salto más cualitativo: más allá de las herramientas de perímetro ofertar herramientas de análisis interno”, asegura Damián Ruiz. “Además, echo en falta una unificación de los criterios de evaluación. Los cuestionarios están bien, pero habría que buscar, por ejemplo, una certificación de terceros que realice unos análisis más exhaustivos que permitan obtener scorings más unificados”, detalla el CISO y además Presidente del Clúster CyberMadrid. “Creo que los ciberseguros tenéis la oportunidad de insertaros más dentro de las instituciones como palanca de aseguramiento interno”, matiza. Además, Damián Ruiz remarca la necesidad de profundizar en la especialización sectorial del ciberseguro y reforzar la importancia de la Ciberseguridad en el ámbito del Fraude Digital: “El fraude digital tiene otro tipo de esquema de seguridad que hay que conocer y que muchas veces las evaluaciones no recogen centrándose en la Ciberseguridad clásica de defensa de activos digitales de la Entidad. Sin embargo, el Fraude Digital hoy es un problema tangible, extendido y creciente y por tanto hay que saber evaluar su Ciberseguridad y proponer una buena oferta de coberturas”, resalta. Por último, Damián Ruiz destaca la importancia de transferir el conocimiento en materia de incidentes que poseen las aseguradoras para concienciar y actuar al respecto. “Es importante que estéis en los circuitos para poner en valor vuestro conocimiento. Ser herramientas de concienciación desde vuestra posición como conocedores del estado de la situación y sus casuísticas y desde vuestra experiencia”, asegura.
¿Es la Inteligencia Artificial una oportunidad? ¿Es una amenaza? ¿Cómo están evolucionando los riesgos y qué importancia tiene acompañar al cliente en este entorno adaptativo?
Para Ilaria Salvato, la Inteligencia Artificial es de vital importancia desde distintas perspectivas, incluyendo la ética. “Aún es pronto para conocer si va a ser o no una amenaza. Hay muchísimas escuelas distintas y con opiniones diferentes, incluyendo las que argumentan que ésta puede ser utilizada por parte de los ciberdelincuentes para lanzar ataques masivos; y las que aseguran que va a ser una importante medida de defensa”, expresa. Según la Suscriptora Internacional Cyber de Beazley, todavía no estamos al nivel de saber cómo va a ser utilizada, si bien lo único que es evidente es que ha llegado para quedarse.
Para las organizaciones que avanzan hacia la transformación digital, el asunto de migrar a la nube ocupa un lugar destacado en su lista de prioridades. ¿Esto exime a las empresas de responsabilidad? ¿Es una responsabilidad compartida o a qué situación nos enfrentamos?
Según argumenta Carolina Daantje: “Esta es una situación a la que nos estamos enfrentando, sobre todo durante el año pasado y este, porque estamos teniendo muchos siniestros donde no han atacado al asegurado, sino a su proveedor. Esto es porque la tendencia actual de las empresas es migrar los sistemas y almacenar sus datos en la nube”, detalla. Para la Directora de Ciberriesgos de WTW, la digitalización actual da lugar a la necesidad por parte de las compañías de almacenar sus datos en un proveedor. “Es muy interesante porque les surge la duda a los clientes y piensan que, tras la migración, ya no necesitan una póliza pues ya no tienen responsabilidad”. Esto se aleja de la realidad: “Hay que leer bien la letra pequeña del contrato con los proveedores”, explica Daantje. “La responsabilidad muchas veces está limitada y solo se refiere a la actividad que va a realizar ese proveedor por contrato, los servicios que va a prestar y su calidad, y muchas veces hay un sublímite basado en lo que factura ese proveedor durante el año por prestarte ese servicio”, detalla la portavoz de WTW. No cabe duda de que la cadena de suministro tiene una importancia creciente en todo este contexto.
¿Cómo puede una empresa mejorar su resiliencia ante un ciberataque?
Para Belén Medina, un asegurado tiene muchas tareas entre manos, la primera de ellas, la prevención. “Entre muchos otros aspectos, cuando hablo de prevención incluyo los requisitos mínimos que se exigen a los proveedores para evitar un siniestro o reducir su impacto. En Globalvia, por ejemplo, sí que requerimos a muchos proveedores una serie de condiciones legales, fiscales, laborales, de ciberseguridad y también de seguros”, expresa la Insurance Manager de Globalvia, destacando la importancia creciente de los requisitos de los contratistas. Además, es importante que el asegurado cuente con unos procedimientos de seguridad en los sistemas, disponer de una serie de requisitos mínimos de los sistemas, como la separación de redes y conocer los roles de los responsables de ciberseguridad. “Desde hace un año disponemos de una persona que se encarga de la ciberseguridad, independiente de la gestión de sistemas de la empresa”, explica Medina. Otro punto importante que saca a relucir es el valor de la formación y la capacitación de empleados: “Para mí es un punto clave. El empleado, junto con el proveedor, son elementos clave en la exposición de una empresa al ciberiesgo”, detalla. Queda claro que la parte de prevención es un elemento clave al hablar de resiliencia.
Si usáramos la clásica agrupación conceptual en ciberseguridad: protección, detección y respuesta, desde tu experiencia, tanto como anterior director de un Equipo de Red Team, y ahora como CISO, ¿cuál de estos ámbitos tiene más recorrido de mejora?
“La ciberseguridad como disciplina, tiene que madurar en Detección y Respuesta. En la actualidad, es una realidad que no están funcionando los esquemas de Protección, Detección y Respuesta, por el simple motivo del creciente -casi exponencial- número de casos de ataques materializados con impactos. Y si admitimos que la Protección siempre será deficiente frente a cualquier ataque con recursos, sólo nos queda intervenir en las etapas incipientes del ataque o minimizar su impacto con adecuados esquemas de Detección y Respuesta”, asegura el CISO de Singular Bank.
Uno de los principales retos en el ámbito de la ciberseguridad y el ciberseguro es la falta de talento, ¿qué situación existe en España y cómo puede potenciarse?
Según explica Eduvigis Ortiz, los perfiles tecnológicos son escasos en términos generales. “Desde Women4Cyber trabajamos por atraer y desarrollar el talento femenino, que supone algo más del 50% de la población a nivel mundial”, detalla. “Sin embargo, somos minoría en la ciberseguridad, en la tecnología, en la Inteligencia Artificial y esto desequilibra el panorama. Nuestra visión es enriquecer este contexto como se hace con otro tipo de diversidades”, explica la Fundadora y Presidenta de Women4Cyber. “Es importante que en las organizaciones hablemos de las personas y cómo tienen que sentirse responsables también del ámbito de la ciberseguridad, pues ésta constituye una responsabilidad compartida”, concluye.