A medida que las industrias se adaptan a los crecientes niveles de ciberdelincuencia, las aseguradoras aumentan las tarifas y se vuelven más estrictas sobre a quién aseguran y a quienes no. Aun así, si las organizaciones no cumplen los requisitos mínimos de seguridad y protección de datos, el seguro no les servirá de mucho. Por el contrario, un seguro debe ser sólo una parte de nuestras herramientas de resiliciencia digital. Veamos el panorama completo de los ciberseguros y lo que deben hacer las empresas a fin de alcanzar realmente la tranquilidad para operar.
¿El salvaje oeste?
El tema “ciberseguros” ha dominado la agenda de la ciberseguridad en los últimos meses. Las empresas buscan, inteligentemente, una garantía ante los casi inevitables ciberataques. Un informe reciente reveló que el 85% de las organizaciones fueron atacadas con éxito por ransomware en 2022, frente al 76% del año anterior. Mientras tanto, el sector de los seguros sigue luchando por adaptarse a una amenaza que no comprende del todo. A nivel mundial, los precios de los ciberseguros aumentaron un 28 % solo durante el cuarto trimestre de 2022, tras un incremento del 53 % en el trimestre anterior.
A la par del aumento de las tarifas, las aseguradoras se vuelven cada vez más exigentes a la hora de decidir a quienes aseguran – aumentando los niveles mínimos de protección que deben cumplir las organizaciones para ser aseguradas. Del mismo modo, el criterio sobre qué tipos de incidentes están cubiertos ha cambiado: uno de los principales mercados de seguros de Londres recientemente anunció que ya no aseguraría las interrupciones causadas por una guerra cibernética respaldada por el Estado.
Si todo esto parece el salvaje oeste, quizá sea de esperar. Es una industria joven y volátil, donde los incidentes cibernéticos tienen una complejidad única que las aseguradoras y las organizaciones aún se esfuerzan por comprender. Sin embargo, las empresas deben tenerlo en cuenta al contratar un seguro. Reclamar puede ser complejo y, como suele decirse, las aseguradoras se dedican a no pagar. Presentar un reclamo puede llevar mucho tiempo y requerir muchas pruebas, lo que complica aún más las cosas cuando se le suma a la escasez de recursos tras un incidente cibernético.
En el mejor de los casos
Incluso con un pago exitoso, las organizaciones deben entender que esto no es una cura para un fenómeno como el ransomware. Esto aplica a cualquier tipo de seguro, el dinero puede cubrir las pérdidas, pero no soluciona el impacto más amplio del incidente. Al recibir un ciberataque, las consecuencias son particulares y con muchos matices. Ya se ha producido un incidente de seguridad grave, y aunque un colchón financiero sin duda ayuda, no apaga los incendios por sí solo.
Inmediatamente después de un incidente como el del ransomware, se debe afrontar el desafío de la recuperación, que a menudo se produce paralelamente a una posible investigación criminal y a los reclamos con el seguro. Para la empresa, recuperar los datos, las aplicaciones y la disponibilidad del sistema es crucial: cada segundo puede costarle miles de dólares. Otro problema es que los sistemas normalmente no se pueden recuperar en el mismo lugar donde se produjo el ataque porque, no sólo es una escena del crimen en la investigación, sino que no se puede garantizar que el entorno sea seguro y no esté aún en la mira del atacante. Por ejemplo, si la oficina se incendiara de la noche a la mañana, no se podría construir inmediatamente una nueva en el mismo lugar. Habría que encontrar un entorno de trabajo alternativo para los empleados hasta que fuera seguro volver.
Inmediatamente después de un incidente como el del ransomware, se debe afrontar el desafío de la recuperación, que a menudo se produce paralelamente a una posible investigación criminal y a los reclamos con el seguro. Para la empresa, recuperar los datos, las aplicaciones y la disponibilidad del sistema es crucial: cada segundo puede costarle miles de dólares. Otro problema es que los sistemas normalmente no se pueden recuperar en el mismo lugar donde se produjo el ataque porque, no sólo es una escena del crimen en la investigación, sino que no se puede garantizar que el entorno sea seguro y no esté aún en la mira del atacante. Por ejemplo, si la oficina se incendiara de la noche a la mañana, no se podría construir inmediatamente una nueva en el mismo lugar. Habría que encontrar un entorno de trabajo alternativo para los empleados hasta que fuera seguro volver.
Por supuesto, todo esto suponiendo que la empresa se recupere sin pagar las demandas del ransomware. Si una organización paga el rescate (quizás pensando que el seguro cubrirá los costes de hacerlo), se plantean toda una serie de problemas. El más importante es la posibilidad de que los datos no puedan recuperarse a pesar de pagar el rescate, pero incluso si se consigue, al utilizar las claves de descifrado suministradas, puede iniciarse un proceso increíblemente lento. Otro riesgo para las empresas que pagan rescates es la repetición de los ataques: las bandas suelen marcar a los que pagan, para que ellos u otros grupos puedan volver más tarde a por otra porción del botín.
¿Qué pueden hacer las empresas?
Esto no quiere decir que no valga la pena tener un seguro, sino que debe formar parte de una estrategia de resiliencia digital mucho más amplia. Un buen modelo de protección de datos cuenta con sólidos procesos de seguridad y backup y recuperación, no sólo para reducir la probabilidad de un ataque, sino, lo que es más importante, para preparar a la empresa a la hora de responder y recuperarse en caso de que se produzca un desastre. En cuanto a la seguridad, comenzar por probar y parchear los sistemas con regularidad para detectar y eliminar vulnerabilidades. También asegurarse de formar a los colaboradores de toda la empresa en higiene digital y acceso remoto seguro. En última instancia, esto ayudará a las organizaciones a ser más aptas para las aseguradoras e incluso puede dar lugar a tarifas más bajas. Lo siguiente que deben hacer las empresas es proteger sus datos y asegurarse de que pueden mantener la disponibilidad de las IT en caso de un incidente cibernético.
Las empresas deben identificar los datos y sistemas que son imprescindibles para el funcionamiento y asegurarse de que se copian y almacenan de forma segura en caso de ataque de ransomware. A veces, las organizaciones dan por sentado que ya tienen el problema resuelto, ya sea internamente o a través de su proveedor de servicios en la nube (es un mito muy extendido), pero lo más frecuente es que no sea así. En una encuesta realizada a miles de responsables de TI de diferentes empresas, se descubrió que el 79% tiene una «brecha de realidad» entre los datos y sistemas que creen tener asegurados, y la realidad. También es importante que los datos se almacenen en varias copias diferentes, como copias externas, fuera de línea e inmutables.
Por último, para evitar y reducir al máximo el tiempo de inactividad ante un ataque, las empresas deben disponer de sistemas de protección y disponibilidad de datos. Según la misma encuesta mencionada anteriormente, la brecha de realidad en lo que respecta a la disponibilidad es aún mayor: cuatro de cada cinco empresas no confían en que sus sistemas informáticos sean lo suficientemente resilientes como para garantizar la continuidad de la actividad. Incluso con un backup a partir de la cual comenzar la restauración, los equipos informáticos deben tener un entorno preparado y listo para recuperar los sistemas (aunque sólo sea temporalmente). De esta forma las organizaciones que diseñan su infraestructura informática pensando en la recuperación podrán recuperarse con mayor facilidad.
El sector de los ciberseguros va a seguir cambiando y adaptándose a medida que crezca el panorama de las amenazas. Pero esto es natural cuando el producto a asegurar es nebuloso y suele mutar constantemente. Aunque el seguro puede ayudar a las organizaciones a recuperarse cuando se produce una crisis, esto es sólo una parte del rompecabezas. Los criterios de lo considerado “no asegurable” aumentan, por ende las organizaciones no deben limitarse a cumplir el estándar mínimo requerido, sino que deben aspirar a superarlo por completo con un enfoque más integral sobre la protección de datos.