La ciberseguridad como amenaza… y negocio #Negocios

La ciberseguridad, aun teniendo un origen tecnológico, afecta a las capacidades del negocio, por lo que las medidas que una
empresa debe tomar deben ser de diferente índole, tanto tecnológicas como cualquier otra que mitigue el impacto potencial de un ciberataque. La ciberpóliza es la solución aseguradora para cubrir los potenciales siniestros de naturaleza digital. Pero, ¿comprende el asegurado la ciberpóliza?

Los asegurados de las ciberpólizas han ido evolucionando con el crecimiento del ecosistema, y este seguro que inicialmente estaba especializado en dar servicio a grandes corporaciones ha virado su foco en los últimos años para dar servicio a la pequeña y mediana empresa. Es en este sector, donde no existe una cultura tecnológica avanzada, donde surgen los primeros problemas para entender la ciberpóliza y la cobertura que ofrece la misma:

 No valorar el dato como un activo dentro de una sociedad digital implica no establecer medidas de gestión y protección, lo que conlleva una mayor exposición al riesgo.
 No dedicar recursos a asegurar la continuidad del negocio y garantizar el servicio al cliente.
 No ser consciente de las normativas existentes para poder así garantizar que el tratamiento y protección del dato del cliente cumple con la regulación, evitando sanciones e indemnizaciones relacionadas con la protección de datos
 No valorar el concepto de reputación digital, que cada negocio tiene un nivel de confianza con su cliente, y que se está expuesto de manera continua a la pérdida de la credibilidad.

La falta de datos históricos de ciberincidentes y de su impacto, debido a la reticencia a informar de incidentes y amenazas, tiene como consecuencia la ausencia de una preocupación social sobre este tema. Son ataques esporádicos y masivos los que provocan una mayor apetencia social por esta problemática. El ransomware, de moda en las últimas fechas, es el tipo de ataque que más ha crecido en 2016, con casi 150.000 casos por mes, según datos del Centro Criptográfico Nacional. En España se ha producido un incremento de un 375% respecto al 2015, lo que da una idea de la tendencia del problema al que nos enfrentamos.

Por tanto, no conocer la frecuencia con que estamos expuestos a este riego, no conocer el coste que este tipo de siniestros puede tener sobre nuestra actividad como empresa, y no comprender qué aporta una ciberpóliza para mitigar este riesgo son los principales problemas que ralentizan el crecimiento de esta línea de negocio.

¿Qué cubre la ciberpóliza?
Este tipo de seguros trata de mitigar el riesgo en tres grandes ámbitos. En primer lugar, las pérdidas propias, orientado a asegurar la continuidad del negocio, la pérdida de ingresos en la actividad, lucro cesante, costes de restaurar la red, etc... Un segundo ámbito es la protección frente al daño en terceros, que ocurre si no somos capaces de dar servicio a otros o extendiento nuestro problema a los sistemas de otros, como puede ser Responsabilidad civil (RC) medios digitales y de privacidad y seguridad. Por último, el ámbito de la protección frente al cumplimiento de una normativa muy rigurosa, con coberturas como gastos de defensa, sanciones, etc… Además suelen incluir todos los costes relativos a servicios de expertos informáticos y gastos derivados de defensas frente a sanciones, notificaciones, restitución de reputación, gestión de extorsión y secuestros, etc...

Aunque en principio el servicio que se presta pudiera entenderse, desde el desconocimiento, como una extensión de un servicio de reparación de hardware o de recuperación de datos, nada más lejos de la realidad: está mucho más cerca de la criptografía y la defensa que de un servicio de “manitas” informático.

Es importante recalcar que el foco principal del servicio no debe ser la reparación sino la prevención. Dotar al asegurado de las medidas necesarias para mitigar las causas del problema es un punto esencial para aminorar el riesgo, que será beneficioso para compañía y asegurado. Determinar con un análisis intrusivo dónde pueden estar las brechas de seguridad en los sistemas y establecer procedimientos, incluso llegando a la formación de los empleados en temas de ciberseguridad, son aspectos fundamentales en los servicios que la compañía debe dar a sus asegurados como medidas de prevención. En este punto, las empresas tecnológicas especializadas en ciberseguridad y planes de continuidad del negocio pueden aportar sus servicios al sector asegurador, aprovechando las sinergias de su actividad en las tradicionales grandes corporaciones para dar servicio similar pero adaptado a las necesidades de las pymes, foco actual de esta línea de negocio.

Evolución del mercado
En julio de 2016, la UE publicó la Directiva 2016/1148 donde establece las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, dándole por tanto a la seguridad de éstos un papel primordial en la protección de la sociedad actual. Entre otros, establece también la obligación por parte de los estados miembros de la UE de identificar cuáles son los operadores de los servicios esenciales, adoptar una estrategia de seguridad en las redes y montar equipos de respuesta ante incidentes. Se identifica como operadores principales los destinados a energía, agua, transporte, banca y mercados, sector sanitario e infraestructuras digitales. Establece además la necesaria notificación de los incidentes por parte de los proveedores de los servicios digitales y la obligación por parte de los estados de generar un régimen sancionador proporcionado y
disuasorio.

En conclusión, la maquinaria legal se pone en marcha para proteger al ciudadano e impacta claramente en las infraestructuras tecnológicas que necesitarán evolucionar procedimientos y sistemas para adaptarse a la normativa.

Este primer paso, orientado a servicios clave de la sociedad, evolucionará con un alcance más restringido hacia todos los servicios de la sociedad digital, adecuando necesidades a cubrir y cantidad de sanciones según la naturaleza de cada sector. Esta evolución marcará dos tendencias: la tecnológica, basada en solucionar el problema en base a una externalización del mismo y buscando soluciones globales (es aquí donde las plataformas cloud aportarán una solución a este problema); y la de protección frente al régimen sancionador, donde se espera que la ciberpóliza sea la solución elegida y por tanto el despegue definitivo de este seguro, tal y como lleva ocurriendo en Estados Unidos desde el 2002.