Ciberseguros: la última línea de defensa contra las amenazas cibernéticas en España

Mayor conexión implica mayor exposición a los ataques de cibercirminales, pero no se trata solo de este factor. El IoT es una industria que está avanzando a marchas forzadas dictadas por el time-to-market, mientras que la seguridad está siendo la última prioridad a la hora de diseñar dispositivos.

Este explosivo coctel va a provocar un ataque masivo a los hogares y a las empresas, convirtiendo la pregunta de si se sufrirá un ataque a cuando se sufrirá, una certeza indiscutible. Sin embargo el mercado siempre se adapta, y respondiendo a esta respuesta aparecen lo ciberseguros para cubrir los ataques  que suelen costar pérdidas millonarias a las compañías, un producto que en realidad lleva gestándose muchos años pero que es ahora cuando entra en auge.

THIBER, el primer think tank español enfocado en la protección y defensa del ciberespacio, ha presentado el informe “Ciberseguros: la transferencia del ciberriesgo en España”, elaborado con el patrocinio y la participación de AIG, AON, K2 INTELLIGENCE, MARSH, MINSAIT, TELEFONICA y el IE Business School como partner académico.

El estudio desarrolla una visión de conjunto sobre la situación de los ciberseguros en España, sirviendo como referencia y guía para organizaciones de todo tipo, tanto pymes como grandes empresas, combinando estrategias de mitigación de los riesgos cibernéticos con estrategias de transferencia de los mismos a través de su aseguramiento.

“Estas pólizas no sólo permitirán gestionar los ciberriesgos corporativos con mayor efectividad que hasta ahora y mejorar el nivel general de la ciberseguridad industrial de nuestro país; sino que también aportarán un conocimiento relevante de las amenazas cibernéticas que atenazan a nuestras empresas”, ha comentado Javier Solana, Ex Alto Representante para la Política Exterior y de Seguridad Común (PESC) de la Unión Europea, ex secretario general de la OTAN, ex ministro de Asuntos Exteriores.

Desde sus inicios en la década de los 90, con la gestión de los riesgos corporativos vinculados con la explosión de Internet, el mercado de los ciberseguros ha ido penetrando lenta pero decididamente en el tejido industrial.

 Con un número creciente de proveedores, una cadena de valor cada vez más madura, un volumen de negocio cada vez mayor y un aumento de la oferta y la competencia en el sector, los ciberseguros se han convertido en un producto cada vez más popular; cada vez son más las empresas que están contratando este tipo de productos como una compra obligatoria y no como una acción discrecional; además, el aumento de oferta y de la competencia en el sector está, a su vez, reduciendo los precios de las pólizas.

“En consecuencia, la mentalidad y el enfoque con el que las aseguradoras deben diseñar y comercializar sus productos en este entorno también debe tener un enfoque global, transversal y multidimensional”, ha continuado Solana. “No puede limitarse a la actividad que el asegurado realiza en el ciberespacio, sino que debe contemplar todas las interrelaciones que existen hoy – y que serán cada vez más en el futuro inmediato – entre este entorno y dichas actividades”.

Pero no todo está siendo un camino de rosas: la ciberseguridad es todavía una asignatura pendiente entre las empresas españolas, que tienen una falsa sensación de seguridad llevándoles a creer que conocen sus vulnerabilidades, cuando no es el caso. El problema aquí es doble: por un lado, los asegurados no han realizado aún un análisis de riesgos exhaustivo y les es difícil trasladar la información de forma adecuada al mercado asegurador. Y, por otra parte, esta falta de información, junto a la falta de conocimiento de las amenazas, siniestralidad e impactos por parte de las aseguradoras hace que dicho mercado opte por una posición conservadora, otorgando coberturas de daños materiales y responsabilidad civil, siendo reticente a proponer productos y capacidad.

Estas son las posibles coberturas básicas existentes:

1. Responsabilidades frente a terceros (Third Party Loss):

Por privacidad de datos y seguridad de redes: se da cobertura frente a reclamaciones de terceros (indemnización y gastos de defensa) por perjucios causados a dichos terceros como consecuencia de un fallo en la privacidad de datos de carácter personal o información corporativa de terceros, o por un fallo en la seguridad (como por ejemplo, transmisión de códigos maliciosos, participación en ataques de denegación de servicios o por un impedimiento de acceso a datos y sistemas como consecuencia de un virus o intrusión, entre otros).

2. Procedimientos regulatorios:

Se da cobertura de gastos de asesoramiento legal frente a un procedimiento administrativo iniciado por un organismo regulador por un incumplimiento de la normativa de protección de datos de carácter personal y eventualmente – siempre que no exista legislación en contra – se abona asimismo la potencial sanción administrativa.

3. Gastos de gestión de incidentes:

Siempre que se incurra en estos gastos mediante contratación de servicios externos:

a) Gastos forenses para analizar la causa y alcance del incidente/datos comprometidos y eventualmente terminar la causa del incidente.

b) Gastos de asesoramiento legal para analizar consecuencias legales frente a afectados, reguladores y asesoramiento en actuaciones como notificación, custodia de pruebas, etc.

c) Gastos de comunicación y/o gestión del riesgo de la reputación, que incluye tanto el asesoramiento durante la notificación como a la propia la realización de campañas de comunicación.

d) Gastos de servicios prestados a los afectados: comprende gastos tales como la contratación de servicios de atención de llamadas (call centers), gastos de servicios de prevención de fraude y robo de identidad, pagos de primas de seguros en caso de robo de identidad, etc.

Como conclusión, el mensaje general del informe señala al mercado de los ciberseguros en España como un mercado en auge, con productos que permiten mejorar el nivel de ciberseguridad tanto a nivel empresarial como a para la propia Administración, aunque está pendiente su consolidación.