kⒶosTICa

Las aseguradoras afinan sus ciberpólizas

(Pixabay)

El aumento de ciberataques, especialmente las oleadas de ransomware que encripta los discos duros y no lo liberan hasta que no se paga un rescate en criptomonedas, ha comenzado a popularizar la contratación de seguros cibernéticos. "Dado que no existe la seguridad al 100%, al menos estar preparada para posibles consecuencias nefastas", pensarán muchas empresas. Y si algo caracteriza a las aseguradoras es que siempre están ojo avizor para ver dónde es posible rascar más negocio. Dicho y hecho.

La pandemia ha sido otro motor de crecimiento de este tipo de seguros. Al haber impulsado el teletrabajo, muchas veces con los equipos personales de los empleados, la superficie de ataque para los ciberdelincuentes no sólo se ha ampliado, sino que además se ha simplificado pues el blindaje de un equipo personal, obviamente, no es equiparable al de una empresa. Algunas consultoras, como PA Consulting, estiman que el coste medio que puede suponer un ataque grave ronda los 4 millones de dólares. Otro informe de IBM de este mismo año, eleva este coste hasta los 4,54 millones, sin contar siquiera el rescate en caso de ransomware.

Por este motivo, cada vez más empresas se plantean la contratación de estos seguros y lo primero que es importante hacer es delimitar qué se considera realmente crítico, dónde se encuentran y cuáles son esos activos imprescindibles para la organización. Una vez identificados, la siguiente pregunta a plantearse es: ¿cuáles pueden ser las consecuencias de que el ataque tenga éxito o cuánto puede costar hacerle frente? En realidad, son las mismas preguntas que debería formularse cuando se define un plan de políticas de seguridad. En este sentido, resulta crucial no sobrestimar el blindaje real con que se cuenta.

Los costes pueden ser muy variados en cualquier caso; más allá de los reputacionales –que son intangibles-, existen los de la contratación de proveedores externos que sean necesarios para afrontar la amenaza hasta, incluso, las multas y sanciones que cada vez más legislaciones incorporan, por no hablar de las indemnizaciones a terceros cuando queda comprometida su información personal o un cliente ve dañada su cadena de suministro. En algunos casos, además, las pérdidas son multimillonarias porque el daño es tal que se para la producción.

En uno de sus recientes informes, la firma Forrester llama la atención sobre el aumento en la contratación de estos seguros que, sin embargo, no debería suponer mengua alguna en los controles de seguridad a implantar. Otro fenómeno que ha identificado Forrester es que las aseguradoras han comenzado a hilar fino respecto a cuando comenzaron a ofrecer este tipo de seguros. Ya no es sólo que el precio de las pólizas haya experimentado incrementos de hasta un 25%, sino que se ha limitado la cobertura para algunos ataques específicos, como es el caso de guerra y ciberterrorismo.

En este sentido, los expertos de PA Consulting también alertan de la vaguedad sobre esta cobertura y la inconsistencia –además del coste- de estas pólizas. Quizás por este motivo, aunque se trate de una tendencia al alza, el número de seguros de este tipo no es aún relevante. Otro de los frenos que en ocasiones encuentran las aseguradas son los permisos para realizar una completa y exhaustiva auditoría de seguridad. A las empresas no suele agradarles demasiado que un tercero lleve a cabo una investigación a gran escala de su funcionamiento interno. Y, claro, estas revisiones son imprescindibles para ajustar precios y ayudar a cumplir con los requisitos de las pólizas.

Por último, es importante destacar que la contratación de un seguro siempre es un arma de doble filo. Según Forrester, el último boom de los ataques de ransomware y los problemas en la cadena de suministro de la industria tecnológica empujaron a algunas empresas a contratar o ampliar sus pólizas, convirtiéndolas irónicamente en un objetivo más atractivo para los atacantes.