Por desgracia, los ciberataques contra empresas e instituciones financieras están a la orden del día en los últimos tiempos. El último que ha traído cola es el del banco central de Bangladesh: su gobernador acaba de dimitir después de que los ciberdelincuentes se hicieran con 81 millones de dólares (73 millones de euros) de sus arcas.
Otros ataques también pasarán a los anales de la ciberdelincuencia. El caso de Sony Pictures, la multinacional a la que los delincuentes robaron gran cantidad de información confidencial y películas no estrenadas; el de Ashley Madison, en el que filtraron los datos de 39 millones de adúlteros; o los preocupantes robos de información a aseguradoras médicas en Estados Unidos como Anthem, que afectaron a 80 millones de pacientes, son algunos de ellos.
Según Ponemon Institute,Ponemon Institute el coste medio de un robo de información para una empresa estadounidense es de 3.8 millones de dólares (3.35 millones de euros) y el coste por cada registro robado es de 154 dólares (136 euros).
Ahora bien, ¿qué puede hacer una empresa para tratar de recuperarse del perjuicio que supone sufrir un ciberataque? Aunque el daño corporativo puede ser irreparable, lo cierto es que hay una forma de salvar parte de los muebles: contratar un ciberseguro. De hecho, la propia Sony había suscrito uno antes de que los ciberdelincuentes hicieran el agosto en 2014. Pese al grave daño a su imagen, sus portavoces señalaron que la aseguradora cubrió al menos todo el coste.
Según los datos de ABI Research, menos del 20% de las grandes empresas de Estados Unidos han contratado ya un ciberseguro, y la cifra desciende al 6% para las pequeñas y medianas empresas. Pese a ello, esta firma pronostica que el mercado de los ciberseguros moverá 10.000 millones de dólares (unos 8.800 millones de euros) en 2020.
Mientras consultoras como IDC animan a las aseguradoras a ofrecer herramientas y medidas contra las amenazas cibernéticas, los CIOs han de plantearse ya la importancia de asegurar los datos sensibles de su empresa para barajar las opciones que tienen disponibles.
¿Qué cubre un ciberseguro?
Evidentemente, las primas que deberá de pagar tu empresa por disponer de un ciberseguro variarán según el nivel de protección que desees proporcionar a la organización, por lo que primero que has de hacer es valorar cuál es la información confidencial que quieres cubrir. Normalmente, los ciberseguros recogen la violación de datos confidenciales, fraude informático por transferencia de fondos o la limpieza de los equipos informáticos.
Algunas empresas se han centrado en cubrirse las espaldas ante posibles fugas de información de sus clientes, por los que la aseguradora podría cubrir tasas legales, juicios y denuncias. Es el caso de la cadena de supermercados estadounidense Target, que sufrió un robo masivo de datos de tarjetas de crédito de 40 millones de clientes o del gigante del bricolaje Home Depot, víctima de unos cibercriminales que se quedaron con los datos de 56 millones de consumidores.
El banco Santander, por su parte, anunció recientemente que ha contratado un seguro con cobertura global ante el aumento de los ataques informáticos que está sufriendo el sector financiero. Recordemos que el año pasado un grupo de ciberdelincuentes robó cerca de 1.000 millones de dólares (880 millones de euros) a unos 100 bancos de 30 países.
Si tu empresa opera en varias naciones, puedes tomar ejemplo del seguro que ellos firmaron con Zurich Insurance: uno para cada banco local y otro para la institución global, si bien se desconoce la cuantía de las primas. Eso sí, no pienses que por ser una empresa pequeña no hay un ciberseguro a tu medida: las aseguradoras están comenzando a incluir este tipo de pólizas para todo tipo de compañías.
¿Quién ofrece ciberseguros?
Una de las primeras que llegó a España fue la póliza Dataguard de la aseguradora británica ACE Group, que ofrece cobertura por los gastos de recuperación de datos de propios y de terceros, por el uso no autorizado del sistema informático, los derivados de la rehabilitación de imagen pública, la limpieza de virus informáticos o la vulneración de derechos de autor, entre otras cosas.
También comprende medidas relativas a procedimientos en materia de protección de datos de carácter personal, un ámbito especialmente relevante en el presente y de cara al futuro cercano. El Parlamento y el Consejo europeos acaban de alcanzar un acuerdo para la reforma de la Ley protección de datosreforma de la Ley protección que entrará en vigor a los dos años de su aprobación definitiva. Este acuerdo prevé multas del 4 % del total de ingresos de una empresa en caso de violar la privacidad de un ciudadano comunitario.
Allianz es otra de las que ha decidido traer a España su seguro Cyber ProtectCyber Protect, que cubre riesgos similares dependiendo de la versión que se elija, estándar o 'premium'. Si quieres contratar la más costosa, has de tener que el proceso suele durar entre seis meses y un año, ya que se adapta la protección a cada cliente.
Según la compañía, por el momento son las empresas con una facturación superior a los 100 millones de euros, como instituciones financieras, empresas de suministros o compañías de 'retail', las que se han decantado por estos, aunque están convencidos de que la nueva directiva europea sobre protección de datos hará que las pequeñas empresas demanden también sus servicios.
No basta con el ciberseguro: has de levantar tus propias barreras
Uno de los mayores peligros de contratar un ciberseguro es pensar que el simple hecho de hacerlo garantiza la seguridad de la compañía. El CIO y el CISO deben hacer ver al resto de la empresa que una póliza de este tipo solo garantiza que la compañía no tendrá que asumir el coste de un ciberataque una vez que este ya se haya producido.
Ahora bien, toda empresa debe seguir incluyendo un enfoque completo de seguridad más allá de los requisitos mínimos que requiera las condiciones del ciberseguro. Además, las empresas pueden decantarse por contratar una auditoría de seguridad externa adicionalauditoría de seguridad que valore la robustez de las medidas adoptadas.
También hay que tener en cuenta que al ser un sector incipiente, aún están por estandarizar los niveles de seguridad, y que las coberturas de los ciberseguros no siempre evolucionan al ritmo adecuado. Por eso, lo mejor es que los responsables del departamento tecnológico de la empresa evalúen bien los riesgos a los que se enfrentan para contratar la póliza que mejor se adapte a sus necesidades. Todo ello sin dejar la prevención de lado.
------------------------------
Las imágenes son propiedad, por orden de aparición, de Leonardo Rizzi, Perspecsys Photos y Pexels
Sobre este blog
Aplicaciones, cloud computing, parques móviles (MDM) y todas las soluciones informáticas que necesita una gran empresa para incrementar la productividad de sus empleados y optimizar sus procesos de negocio. La firma española NTS, líder en consultoría tecnológica, te pone al día de las últimas tendencias en el sector corporativo.
