Redacción ‘MS’- Recientemente, las oficinas de Aon han acogido la celebración de la mesa redonda: «Ciberseguridad y Sector Seguros: ¿De dónde partimos? ¿Hacia dónde vamos?», con la colaboración de MAPFRE España, Beazley, Aon y Cluster CyberMadrid.
Han intervenido: Carolina González, Subdirectora Técnica de Casualty en Mapfre España, Verónica Jiménez, Directora Specialty Cyber Solutions en Aon. Ilaria Salvato, Underwriting Manager Cyber en Beazley, y Damián Ruiz, CISO de Singular Bank y Presidente Cluster CyberMadrid.
Ciberseguridad e industria aseguradora: ¿qué nivel de preparación e implicación tiene el seguro para hacer frente al riesgo cibernético?
Las compañías aseguradoras, con el apoyo de los corredores, ponen a disposición de los clientes su experiencia y vectores de ataque más utilizados por los hackers. «El objetivo es que el cliente sepa dónde tiene que invertir y cuáles son las medidas tecnológicas más importantes para alcanzar un nivel de madurez cibernética que le permita hacer frente a las amenazas de los hackers«, explica Ilaria Salvato. Algunas amenazas comenzaron en EE.UU. y finalmente llegaron a Europa, donde no dejan de aparecer nuevas formas de ciberriesgo. «El sector del seguro desempeña un rol muy importante en materia de ciberseguridad, principalmente para apoyar a sus clientes a comprender el riesgo que enfrentan. De modo especial, las Pymes necesitan recibir este asesoramiento«, incide Salvato.
Verónica Jiménez apunta que, aunque los CISOs se han centrado mucho en proporcionar medidas de ciberseguridad, se enriquecen con la visión tan completa que tiene el mercado asegurador y los brokers a la hora de conocer qué está pasando y por dónde están entrando los siniestros. «Los CISOs se han dedicado a proteger la entidad, pero valoran de manera muy positiva el asesoramiento que reciben. El ciberseguro, a diferencia del seguro tradicional, ha formado una parte integrante dentro del proceso completo de gestión de la ciberseguridad: ha dado claves acerca de dónde invertir; ha proporcionado herramientas y ha tomado un papel muy importante en el mercado, a nivel análisis y acompañamiento«, detalla Jiménez. El ciberseguro se posiciona como herramienta de asesoramiento y acompañamiento al cliente para saber manejar el proceso de siniestro desde una perspectiva 360.
Damián Ruiz destaca el ciberseguro como uno de los grandes pilares de la gestión del riesgo corporativo. «Les pediría a los grandes players que compartan la inteligencia que acumulan, pero de una manera sistemática. El sector tiene un gran déficit de colaboración: tipos de ataques, taxonomía, vectores de entrada, etc«. Según su experiencia, lo ideal sería que el sector implementara mecanismos de cooperación dentro de los marcos regulatorios (ej: privacidad). «Esto aportaría un valor añadido que en estos momentos no está prestando casi nadie«. Damián añade que el seguro puede ser una gran ayuda en la gestión del riesgo y en la manera en la que se comunica internamente: «Es una asignatura pendiente. El seguro tiene sus modelos de riesgo pero aún queda por desarrollar y entender bien la cultura de gestión del riesgo dentro de las empresas. Tanto el riesgo tecnológico, como el riesgo cyber, continúan sin ser entendidos realmente«, matiza.
Por lo tanto, una de las palancas a las que alude el CISO de Singular Bank y Presidente de Cluster CyberMadrid es que el seguro penetre, de la mano de los CISOs, en la cultura explicativa de riesgo. A nivel acompañamiento y madurez, Damián hace un llamamiento a los ciberseguros a comenzar a ofrecer productos/servicios de ciberseguridad adicionales al propio seguro como sucede en otros modelos de seguros.
A nivel directivo, en ciberseguridad se está exigiendo un nivel de madurez que otras áreas no tienen, incluso a nivel tecnológico. Esto debe ser aprovechado para posicionar la ciberseguridad a nivel directivo dentro de las compañías para facilitar un mayor conocimiento de la situación y cuáles son los mejores mecanismos que permitan afrontar los nuevos escenarios de ciberataque hacia las compañías.
Carolina González resalta que las grandes empresas están más concienciadas en materia de ciberriesgos, si bien es cierto que las Pymes van alcanzando poco a poco una dimensión digital. «La falta de concienciación de las Pymes es mucho mayor que en la gran empresa, quizás porque no son tan conscientes del riesgo que enfrentan. Es muy importante acompañarlas y aquí el papel del seguro es determinante, no solamente en el asesoramiento previo de los riesgos a los que se enfrentan y el tipo de pérdidas a las que pueden verse sometidas sus cuentas de resultados si no tienen una adecuada protección; sino también desde el punto de vista de la concienciación y de la prevención a la que deben apuntar«, detalla González. En este sentido, el ciberseguro de MAPFRE realiza una labor importante de evangelización de la Pyme, ya que es muy necesario que todas las Pymes cuenten con una serie de requisitos previos y cumplan unos estándares altos de seguridad. «Muchas veces nos encontramos con compañías que no tienen cosas tan básicas como un antivirus profesional, una protección antimalware, o no tienen los firewalls configurados adecuadamente, incluso que no cuentan con softwares originales y no tienen las actualizaciones descargadas«.
Según apuntan varios informes, casi todos los ciberataques que sufren las Pymes son «devastadores», ya que no contaban previamente con las herramientas para hacerles frente y su nivel de concienciación hacia los ciberriesgos era bajo. Ante este escenario, el papel de las compañías aseguradoras es determinante para ayudar a conocer los riesgos a los que se enfrentan, y también para acompañar cuando ocurre un siniestro en toda la gestión y en las coberturas adecuadas.
En lo que respecta a los métodos de evaluación del ciberriesgo, Damián Ruiz argumenta que deben perfeccionarse. «Aunque existen los cuestionarios de evaluación, habría que empezar a buscar una certificación unificada. Se trata de buscar un tercero, independiente, con el cual vamos a ganar todos: el seguro puede tener más profundidad, mediante un marco común de evaluación y control profundo». Al respecto, la Underwriting Manager Cyber en Beazley argumenta: «En Beazley estamos en contacto con una de las Big Four, que ha lanzado al mercado una herramienta para evaluar las medidas de seguridad y herramientas que el cliente tiene que implantar para alcanzar un nivel de ciberseguridad elevado y, además, basándose en el nivel de exposición, mide el riesgo concreto del cliente y recomienda un plan de acción personalizado, del más sencillo al más complejo, lo que permite ajustar la inversión«.
La Subdirectora Técnica de Casualty en MAPFRE España argumenta que una de las cosas que más preocupa a los reaseguradores es que el riesgo cyber es sistémico: «Estamos ante un riesgo muy importante de acumulación, que puede venir por dos partes: provocado por una acumulación en la cadena de los proveedores; y, por otro lado, por parte de las cláusulas silenciosas: todas aquellas coberturas que no están bien definidas en las pólizas tradicionales de seguro y que, finalmente, pueden acabar cubriendo un ciberriesgo que no estaba previsto inicialmente ni contemplado en las primas que ha pagado el cliente«. Al sector le preocupa, por lo tanto, cómo gestionar la acumulación. «Otro punto preocupante es la ciberactividad hostil: los ataques de ciberterrorismo y ciberguerra, ataques procedentes de grupos terroristas que buscan desestabilizar por objetivos políticos, ideológicos o religiosos. Por ejemplo, la guerra de Ucrania ha provocado un efecto revisión de cláusulas a nivel generalizado«, añade González.
Un debate importante se centra en cómo la industria aseguradora, pese a estar muy involucrada en el ciberriesgo, no puede asumir este tipo de pérdidas tan cuantiosas únicamente por el sector privado: «Nos arrastraría a todos«, asegura Carolina González. «Nos encontramos en varios foros tratando de establecer mecanismos de colaboración público-privada para cubrir estos riesgos sistémicos, como ocurre con los riesgos catastróficos«, explica. «En el grupo de trabajo de UNESPA se está trabajando mucho en abrir vías de colaboración con la Administración para que el sector privado no tenga que asumir estas pérdidas tan cuantiosas e inasumibles en caso de eventos cibernéticos extremos«. En este sentido, en EE.UU. están más avanzados que en Europa y las conversaciones están más adelantadas.
¿Están todos los protagonistas implicados listos para hacer frente a los riesgos actuales? Visión gran empresa, visión Pyme y perspectiva cliente
Como se decía anteriormente, a nivel Pyme aún falta mucho nivel de concienciación. La pandemia aceleró mucho el proceso de digitalización. «Es necesario que la Pyme comprenda a qué riesgos se enfrenta, que sepa que tiene que proteger un patrimonio frente a reclamaciones de terceros que pueden llegarles por vulneración de datos de carácter personal o multas por sanciones de la Agencia de Protección de datos. También tienen que proteger sus sistemas informáticos y comprender la importancia de la interrupción de su negocio por ataque cibernético«, explica la portavoz de MAPFRE. En la Pyme persiste la cultura de pensar que las víctimas de los ciberataques son las grandes corporaciones. El seguro debe jugar un papel importante en prevención y asesoramiento al respecto, es necesario que establezcan planes de contingencia que contemplen el ciberriesgo, y que cuenten con planes de continuidad que les permita reanudar su actividad lo antes posible.
Damián Ruiz añade que en CyberMadrid están trabajando con un proyecto asociado a la cadena de suministro: «La idea es empezar a concienciar que el perímetro de las grandes empresas se ha diluido«, explica. «Aquellas empresas que tengamos toda una serie de Pymes satélites proveedoras de servicios con impacto tecnológico, podemos empezar a exigirles tener un circuito de ciberseguridad y, dentro de él, como mínimo, que cuenten con un ciberseguro«. En este sentido, Cluster CyberMadrid está trabajando con el Ayuntamiento de Madrid para fomentar la ciberseguridad en la seguridad de la cadena de suministro. «Seré tanto más seguro, cuanto más seguro sea todo el satélite de empresas que están a mi alrededor», expone Damián. El ciberseguro es una palanca perfecta para impulsar la colaboración y homologar a los proveedores.
Por su parte, la Directora Specialty Cyber Solutions en Aon destaca que a nivel concienciación sí que ha existido en los últimos años una fuerte inversión: «A nivel general, en España ha habido una fortísima inversión en ciberseguridad y el trabajo de concienciación se está haciendo. No se puede pasar de golpe de no saber prácticamente qué es la ciberseguridad, a contar con unas medidas a nivel extremo, pero sí que constituye una de las principales preocupaciones de todos los Consejos de Administración, de los rankings de riesgos a los que están expuestas las empresas, les preocupa y constituye un área destacada de inversión para la mejora de las compañías«, explica Jiménez. «Hay que seguir concienciando pero poniendo el foco en el asesoramiento personalizado y exacto de medidas en cada caso concreto. No se trata de establecer un decálogo de medidas de ciberseguridad para todos, sino de saber qué herramientas concretas se necesitan en determinada situación«. El enfoque se dirige al asesoramiento personalizado a las empresas. Aon establece el análisis del ciberseguro atendiendo a cuatro fases: asesoramiento y análisis de riesgo; mitigación; transferencia; y apoyo en la parte de recuperación. «Cada vez hay más conciencia y es una preocupación que existe a nivel general, y también por parte de los proveedores. El ciberseguro no es una certificación pero sí una garantía de que se cuenta con una serie de garantías que han pasado el filtro del mercado asegurador; y una garantía de que, si sucede algo, se va a recuperar la pérdida«, matiza Verónica Jiménez.
Ilaria Salvato coincide en señalar que el nivel de concienciación de la Pyme está mejorando: «De nuestro reciente informe anual se desprende que, muchas veces, la Pyme tiene una idea que no se corresponde con la realidad y no se considera objetivo de un ciberataque. Esto no es así, los hackers lanzan ataques muchas veces generalizados y la Pyme forma parte de ellos, de carácter masivo y que se lanzan prácticamente cada minuto«, expresa.
Otro de los riesgos a los que se apunta es a los empleados, importante vía de entrada de los ciberataques, junto con los mencionados proveedores. El teletrabajo ha producido que los trabajadores «se relajen» y no detecten correos sospechosos con tanta facilidad como en las oficinas corporativas. El teletrabajo, por lo tanto, ha sido una de las principales palancas para invertir en ciberseguridad. Ahora, de hecho, se está intentando atacar al perímetro familiar.
Nuevos riesgos cibernéticos: ¿hacia dónde vamos?
Para la Underwriting Manager Cyber en Beazley, la guerra de Ucrania no es un nuevo riesgo. «La guerra no está cubierta en la mayoría de las pólizas. Normalmente se cubren en pólizas «ad hoc» y en mercados especializados como Marine y Aviación. Este es un motivo más por el que pensamos en crear un producto para la Ciber guerra. Lo que hemos hecho es definir en qué consiste el concepto de guerra en la actualidad, pues también puede ser cibernética», detalla. La guerra de Ucrania ha incrementado exponencialmente el número de ataques a infraestructuras críticas, compañías de electricidad, de comunicación, satélites, etc., que se encontraban en Ucrania. «El objetivo de Rusia es desconectar el país de la posibilidad de contactar con otros países para pedir ayuda, y estas son las principales vías para lograrlo. Pero la guerra no es un riesgo emergente«. Salvato sí que destaca, en cambio, como importante riesgo emergente la Inteligencia Artificial. Y es que la Inteligencia Artificial también está creando determinados problemas a la industria aseguradora en materia de asesoramiento de riesgos. «Tendremos que modificar la manera de asesorar ante los riesgos, hemos de evaluar si nuestros clientes utilizan la Inteligencia Artificial, cómo la utilizan y cuál es el riesgo que se introduce. Aún es algo muy complicado que no se entiende bien, pero la gente lo utiliza incluso sin darse cuenta del riesgo al que se expone«, añade.
Según manifiesta la Directora Specialty Cyber Insurance en Aon, el ransomware sigue manteniéndose como gran ciberriesgo que preocupa a nivel generalizado. «También mencionaría la sofisticación de los ciberataques; los últimos, ni encriptan la información, se producen rápidamente y se han convertido incluso en commodities«. Y añade que: «Los propios riesgos que ya teníamos están avanzando y evolucionado«.
La Subdirectora Técnica de Casualty en MAPFRE España recuerda que es muy importante la formación de los empleados. «En las empresas grandes se realizan muchos cursos pero hace falta mucha más formación, incluso a nivel usuario. Muchas veces tenemos la confianza de que no pasa nada, pero es el propio usuario quien está exponiendo los datos para que se puedan visualizar«, explica.
El CISO de Singular Bank y Presidente Cluster CyberMadrid manifiesta que se está haciendo un trabajo muy importante a nivel regulatorio en materia de Inteligencia Artificial. «También hay una línea muy interesante que se llama Inteligencia Artificial Explicable que permita operativizar la ética, la fiabilidad y los riesgos en todos los niveles del ciclo de vida de un proyecto en IA», enfatiza. Adicionalmente, «A nivel de ciberseguridad se está hablando mucho de Inteligencia Artificial Generativa, pero también es necesario repensar la ciberseguridad de la IA del Dato (por ejemplo, la asociada a modelos de machine learning). Empezaremos a ver ataques dirigidos contra el dato para poder vulnerar los resultados, ataques contra el modelo, ataques contra la parametrización de los modelos, etc. Y, de hecho, se está empezando a trabajar en cómo proteger el ecosistema de Data en Inteligencia Artificial«, detalla Damián Ruiz.
En definitiva, se están democratizando las tácticas, técnicas y procedimientos de ataque. La sofisticación está prácticamente en manos de cualquiera y se está industrializando el cibercrimen. Es una oleada que está llegando y va a hacer que proliferen los ataques dirigidos con intereses particulares. Las empresas tienen que estar muy preparadas. Otro tema que sale a relucir es el fraude contra clientes, un añadido que se sale del perímetro de la propia compañía. Un panorama retador en el marco de un contexto cambiante y a velocidad acelerada ante el que todos los implicados tendrán que estar muy concienciados y preparados para actuar.