El creciente aumento de los ciberataques en todo el mundo, hace que las empresas consideren diferentes alternativas para protegerse de este tipo de amenazas, los seguros contra ciberataques se han convertido en una capa de protección cada vez más popular para las compañías de todos los sectores. Sin embargo, a pesar de su claro atractivo para apoyar y aumentar la gestión del riesgo cibernético, se deben analizar diferentes factores internos y externos para determinar si es la mejor opción para nuestra empresa y, sobre todo, saber si realmente lo necesitamos.
Lo primero que se debe tomar en cuenta es que el seguro es un control post-mortem y no debe reemplazar los controles que las empresas deben tener dentro de su estrategia de seguridad integral para el blindaje de activos, aunque se están poniendo de moda es importante valorar cómo las organizaciones están estructurando su estrategia de seguridad, qué métodos y controles están disponibles para hacer frente a los riesgos.
Dentro de los aspectos que una empresa debe evaluar están: el aumento de los precios de los seguros contra ciberataques, requisitos muy puntuales para contratar y hacer válido el seguro y en algunos casos existen limitaciones de la cobertura, para esto, el experto en ciberseguridad, Víctor Hernández, de la empresa A3Sec, dedicada a blindar activos digitales en todo el mundo, nos responde las siguientes preguntas.
¿En qué momento una empresa debe contratar este tipo de seguros?
El momento exacto donde una empresa debe adquirir un seguro contra ataques cibernéticos es cuando hace uso, manejo o almacenamiento de información de carácter personal o bien, información altamente confidencial de sus clientes, ya sean personas físicas o morales; siempre se debe buscar que sea un seguro adecuado al giro de negocio de cada empresa, evaluando sus posibles riesgos de negocio, financieros, tecnológicos o bien, que pudiese afectar la reputación de la organización.
¿Qué tipo de cobertura brinda un seguro contra ciberataques?
‘La cobertura depende del tipo de información y el uso que se haga con ella, ya que hay seguros que pueden ser solo contra exposición de información y no contra posible secuestro de la misma, por lo cual se debe buscar una cobertura de acuerdo al uso que se le da a la información y el grado de exposición que tiene de acuerdo a los procesos de negocio. Primero se tiene que cuidar la información de los clientes’ remarca Víctor Hernández.
Aquí cabe destacar que el aumento de los ataques de ransomware, los cuales son un claro secuestro de información, en donde existe una alta probabilidad que ésta se pierda, incluso si está cifrada o sin importar que se haya pagado la cantidad monetaria solicitada en el ataque, son una de las mayores ciberamenazas a las que se enfrentan las empresas y los gobiernos, dada su prevalencia, creciente sofisticación y potencial para causar daños generalizados. Se estima que en el 2022 el aumento de este tipo de ataques fue de 300% tan sólo en México.
¿Al tener un seguro ya no se requiere contratar a especialistas en ciberseguridad o bien ambos servicios se complementan?
Para el experto en ciberseguridad de A3Sec todo se complementa, ‘un seguro contra delitos cibernéticos por lo regular se adquiere para nunca usarlo y tenerlo como respaldo en caso de sufrir alguna incidencia o fuga de información, pero siempre será importante tener una plantilla interna o externa de especialistas de seguridad que brinden el conocimiento adecuado para evitar que existan fugas de información, o disminuir el impacto de un incidente de seguridad que ponga en riesgo la operación del negocio. Incluso el tener un blindaje fuerte o contemplando algunos controles de seguridad puede ser de ayuda al contratar un seguro de delitos cibernéticos ya que la póliza puede disminuir notablemente’.
¿Ante el incremento de ciberataques, el costo de los seguros se va a incrementar y sus coberturas serán menores o más estrictas?
Hablando de coberturas, serán más definidas y con alcances más delimitados, contemplando el tipo de controles o medidas que se tienen para evitar esos posibles ataques; incluso el uso de este tipo de seguros también puede llegar a ser adquiridos por personas físicas, por el tipo de información que hoy en día se maneja en redes y cuidar la imagen en dichos medios. Un ejemplo claro podrían ser los influencers; recordemos que al digitalizar nuestras vidas y trabajos, hoy en día manejamos todo por medio de estos canales de comunicación y ellos prácticamente viven de eso, así que son activos que deben cuidar celosamente.
Los costos serán variables, las empresas en el rubro de aseguramiento, que puedan aprovechar ese mercado, tendrán un portafolio inmenso y segregado, para adecuar un paquete al grado de exposición de las personas o de las empresas; pero siempre habrá necesidad de tener especialistas o asesores en ciberseguridad para evitar o disminuir el grado de exposición de información’, concluye Víctor Hernández.