La ciberseguridad se ha convertido en una de las principales preocupaciones de los estados y CEOs a nivel mundial y riesgos como los ciberataques, fuga de datos o ataques a infraestructuras críticas aparecen dentro de los principales riesgos que pueden afectar a la estabilidad económica mundial según el informe Global Risk Landscape del World Economic Forum. Esto ha derivado en una mayor presión regulatoria por parte de los legisladores estatales.
Estos riesgos no solo afectan a las grandes organizaciones y entes gubernamentales. Las consecuencias para las PYMES pueden ser catastróficas. Por ello, se requiere que las PYMES dispongan de una estrategia de ciberseguridad y unos planes de acción para mitigar dichos riesgos. Pero ¿cuáles son las principales amenazas para empresas? Por un lado, está la ciber-amenaza y por otro, la presión regulatoria. La ciber-amenaza se traduce en los siguientes riesgos:
Ransomware: Software de carácter malicioso mediante el cual el ciber-delincuente «secuestra» la información del usuario cifrándola. Seguidamente el ciber-delincuente solicita un rescate económico para que los datos puedan ser recuperados.
Phising: Estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta.
APT – Advanced persistent threats: Se trata del más sofisticado de todos. Una APT usa múltiples vías de ataque para conseguir un fin concreto. Por ejemplo, el acceso a una información altamente confidencial para la organización. Para ello, el atacante puede usar técnicas de ingeniería social, explotar vulnerabilidades, acceder a sistemas sensibles y por último proceder al robo de la información confidencial.
La presión regulatoria se materializa en las siguientes legislaciones:
GDPR: Reglamento Europeo General de Protección de Datos.
Directiva NIS: Directiva sobre seguridad de las redes y los sistemas de información. Directiva que impactará en los proveedores de servicios digitales (mercados en línea, motores de búsqueda y servicios en nube) así como en los proveedores de servicios esenciales.
Estas legislaciones llevan aparejadas además un régimen regulatorio con unas sanciones muy estrictas que pueden afectar a la cuenta de resultados de cualquier organización. Ante esta situación de amenaza global las PYMES no pueden mirar para otro lado.
La materialización de una amenaza de estas características puede tener consecuencias catastróficas para el negocio impactar en la cuenta de pérdidas y ganancias con costes económicos directos, de servicio, de reputación e imagen, por sanciones, etc.
Es por ello que consideramos imprescindible que todas las PYMES dispongan de una estrategia de gestión de riesgos de ciberseguridad desde un doble enfoque:
Probabilidad: La implantación de controles de ciberseguridad debe partir de un análisis de riesgos. Para ello las organizaciones pueden partir de estándares internacionales como la ISO 27000.
Impacto: Disponer de procedimientos de detección y respuesta a incidentes de seguridad, copias de seguridad o planes de continuidad de negocio se convierten en controles necesarios para mitigar el impacto de cualquier incidente.
Minsait es la unidad de negocio de Indra que tiene como objetivo dar respuesta a los retos que la transformación digital plantea a empresas e instituciones. Pero ¿cómo se mitiga el impacto y cómo hacemos frente a las ciberamenazas? En primer lugar, mediante un decálogo para empresas que detalle los controles clave en materia de ciberseguridad.
1. Disponer de una política de seguridad de la información.
2. Disponer de un inventario de controles que permita cumplir con la normativa de aplicación en materia TIC (privacidad, servicios de sociedad de la información, ciberseguridad, etc.).
3. Disponer de mecanismos de control de acceso y una política de contraseñas seguras.
4. Disponer de tecnologías de protección antivirus.
5. Efectuar revisiones periódicas del nivel de ciberseguridad mediante técnicas de hacking ético.
6. Desarrollar software seguro desde la concepción del mismo (privacy-by-default).
7. Disponer de capacidades de detección y respuesta a incidentes de seguridad: Dichas capacidades pueden ser alcanzadas mediante servicios de monitorización de la ciberseguridad (también denominados SOC, Security Operations Center).
8. Efectuar planes de formación y concienciación periódicos.
9. Efectuar copias de seguridad y almacenarlas en un lugar seguro.
10. Disponer de un plan de continuidad de negocio.
Además, consideramos que la contratación de seguros de ciber-riesgo es una estrategia clave de cara a la mitigación del impacto de dichas amenazas. Nuestras pymes podrán desarrollar su actividad con mayor tranquilidad si ponen en práctica este decálogo, van de la mano de un experto en materias de prevención que le presente una propuesta de valor adaptada a cada una de sus necesidades, e implemente internamente una estrategia en materia de ciberseguridad.
El 30% de las empresas españolas tienen previsto contratar un seguro de ciberriesgos este año
“Hiscox Cyber Readiness Report 2018”
Las empresas españolas están más concienciadas frente a los riesgos cibernéticos, además, son las que más previsión tienen de contratar este tipo de seguros, según el último informe elaborado por HISCOX, ‘Hiscox Cyber Readiness Report 2018’, que analiza el nivel de ciberpreparación de grandes y pequeñas corporaciones en cinco países: Estados Unidos, Gran Bretaña, Alemania, España y Holanda.
Así, se pone de relieve que el 30% de las empresas españolas tiene previsto contratar un seguro de ciberriesgos en 2018. En esta edición, que ha sido presentada a nivel internacional, se confirma que España es el país con mayor porcentaje de previsión de contratación de este tipo de seguros de los cinco analizados, frente 26% de Holanda, y el 25% de Estados Unidos, Gran Bretaña y Alemania.
Un dato representativo que muestra el informe es que para las empresas españolas el papel de las aseguradoras especializadas en ciberseguridad va más allá de ofrecer una cobertura económica ante un posible ataque, señalado por el 34% de los encuestados. El motivo principal por el que las compañías contratan este tipo de pólizas es, sobre, todo, por su experiencia en este ámbito, indicado por el 35%, ofreciendo unos conocimientos adicionales de los que la compañía no dispone.
Concienciar más a la pyme
“La demanda de seguros de ciberriesgos está creciendo, pero hay un largo camino por recorrer hasta que las empresas y, sobre todo, las pymes vean el riesgo cibernético al mismo nivel que el riesgo de que sus oficinas se inunden, o que un empleado se lesione en el trabajo”, indica Alan Abreu, responsable de Riesgos Cibernéticos de la aseguradora. Es más, añade, “las compañías deben afrontar este riesgo, no pensando en que pudiera suceder, sino pensando en qué van a hacer cuando suceda, porque tarde o temprano ocurrirá”.
En cuanto a la postura de las pymes en lo que se refiere a la previsión de contratación de un seguro en 2018 está muy dividida: una de cada tres (31%) planea contratarlo (frente al 27% de las grandes empresas), mientras que también una de cada tres (32%) no tiene previsto hacerlo (frente al 10% de las grandes corporaciones). Finalmente, el informe detalla que en España una de cada cuatro corporaciones (25%) no tiene previsto contratar ningún seguro de ciberriesgos en 2018.
Cualquier entidad, no importa su tamaño o actividad, es vulnerable a sufrir ataques cibernéticos, tanto internos como externos por eso con Hiscox CyberClear podrás dedicarte a lo que realmente importa, hacer crecer tu negocio. Como aseguradora especialista gozamos de una experiencia y de un conocimiento único de seguros que requieren un alto grado de especialización lo que nos permite ofrecer soluciones adaptadas a cada caso. Nuestra experiencia de más de 15 años suscribiendo seguros de ciber en EEUU y en todo el mundo nos otorga un gran conocimiento de los riesgos a los que nos exponemos en el complejo mundo de la economía de los datos.
Si desea ampliar información sobre un seguro cibernético contactar con Ricardo Sanmartin Tel. 933019708 / 661533353 o bien por email a ricardo.sanmartin@grupmach.es
Artículo publicado en la revista Gremi núm. 262 2ºT/2018
Autor: JAVIER PÉREZ GARCÍA, Cybersecurity Business Development Manager Minsait (INDRA)