¿Cuánta protección ofrecen realmente los ciberseguros a las empresas?. A medida que el sector se adapta a los crecientes niveles de ciberdelincuencia, las aseguradoras aumentan las primas y se vuelven más estrictas sobre a quién aseguran. Sin embargo, si las organizaciones no cumplen ni siquiera los requisitos mínimos de seguridad y protección de datos, el seguro les servirá de poco.
Por el contrario, debe ser sólo una parte de las herramientas de resistencia digital. Veamos el panorama general de los ciberseguros y lo que deben hacer las empresas para estar realmente tranquilas.
¿El salvaje oeste?
El tema de los ciberseguros ha dominado la agenda de la ciberseguridad en los últimos meses. Las empresas buscan, sabiamente, una garantía ante los casi inevitables ciberataques. Un informe reciente reveló que el 85% de las organizaciones fueron atacadas con éxito por ransomware en 2022, frente al 76% del año anterior. Al mismo tiempo, el sector de los seguros sigue luchando por adaptarse a una amenaza que no comprende del todo. A nivel mundial, los precios de los ciberseguros aumentaron un 28% en el cuarto trimestre de 2022, tras un aumento del 53% en el trimestre anterior.
Junto con el aumento de las primas, las aseguradoras se están volviendo más exigentes sobre a quién aseguran o no, aumentando los estándares mínimos de protección que las organizaciones deben pasar para ser aseguradas. Del mismo modo, la postura sobre qué tipos de incidentes están cubiertos está cambiando: uno de los principales mercados de seguros de Londres anunció recientemente que ya no aseguraría las perturbaciones causadas por una guerra cibernética respaldada por el Estado. Si todo esto te parece un poco salvaje, quizá simplemente es cuestión de tiempo.
Se trata de un sector joven y volátil, y los incidentes cibernéticos tienen una complejidad única que las aseguradoras y las organizaciones aún están tratando de comprender. Sin embargo, las empresas deben tenerlo en cuenta a la hora de contratar un seguro. Reclamar puede ser complejo y, como dice el refrán, las aseguradoras se dedican a no pagar. Presentar una reclamación puede llevar mucho tiempo y requerir muchas pruebas, lo que se suma a la escasez de recursos tras un incidente cibernético.
El mejor de los casos
Incluso con una indemnización, las organizaciones deben entender que esto no es una panacea para algo como el ransomware. Aunque lo mismo podría decirse de cualquier tipo de seguro, el dinero puede cubrir las pérdidas, pero no soluciona el impacto más amplio del incidente. Con un ciberataque, las consecuencias son más singulares y más matizadas. Cuando se produce un grave incidente de seguridad, pese a que un colchón financiero sin duda ayuda, no apaga los incendios por sí solo.
Inmediatamente después de un incidente como el ransomware, todavía queda por resolver el reto de la recuperación, que a menudo se produce paralelamente a la posible investigación penal y a la reclamación al seguro. Para la empresa, recuperar los datos, las aplicaciones y la disponibilidad del sistema es crucial: cada segundo puede costarle miles de dólares.
El reto añadido es que los sistemas normalmente no se pueden recuperar en el lugar donde estaban alojados antes (donde se produjo el ataque) porque, no sólo es una escena del crimen en una investigación, sino que no se puede garantizar que el entorno sea seguro y no esté comprometido. Por ejemplo, si tu oficina se incendiara de la noche a la mañana, no podrías construir inmediatamente una nueva en el mismo lugar. Tendría que encontrar un entorno de trabajo alternativo para sus empleados hasta que fuera seguro volver a la oficina.
Más allá de esto, hay varias posibles «secuelas» tras el incidente. La calidad de los datos es una de las mayores preocupaciones, por lo que es crucial auditar los conjuntos de datos y comprobar si alguno ha sufrido daños.
Si la recuperación se realiza utilizando versiones antiguas de datos y sistemas, hay que asegurarse de que se actualizan lo antes posible. Básicamente, hay que comprobar que todo sigue intacto y que aún se integra y funciona conjuntamente. Al mismo tiempo, es difícil saber si estos incidentes han terminado, ya que el riesgo de reinfección por el malware que permanece en el sistema o la amenaza de doble o triple extorsión es alto.
¿Cuánta protección ofrecen realmente los ciberseguros a las empresas?
Por supuesto, todo esto suponiendo que la empresa se recupere sin pagar las demandas del ransomware. Si una organización paga la demanda (quizás pensando que el seguro cubrirá los costes de hacerlo), se plantean toda una serie de problemas. El más importante es la posibilidad de que los datos no puedan recuperarse a pesar de pagar el rescate, pero incluso si se consigue, utilizando las claves de descifrado suministradas, puede ser un proceso increíblemente lento.
Otro riesgo para las empresas que pagan rescates es la repetición de los ataques: los ciberdelincuentes suelen marcar a los que pagan, para que ellos u otros grupos puedan volver más tarde a por otro bocado de la tarta.
¿Qué pueden hacer las empresas con los ciberseguros?
Esto no quiere decir que no merezca la pena tener un seguro, sino que debe formar parte de una estrategia de resistencia digital más amplia. Un buen modelo de protección de datos cuenta con sólidos procesos de seguridad, copia de seguridad y recuperación, no sólo para reducir la probabilidad de un ataque, sino, lo que es más importante, para preparar a la empresa para responder y recuperarse en caso de desastre.
En cuanto a la seguridad, hay que probar y parchear los sistemas con regularidad para detectar y eliminar vulnerabilidades. Asegurarse de formar al personal de toda la empresa en higiene digital y acceso remoto seguro. En última instancia, esto ayudará a ser más seguro e incluso puede dar lugar a primas más bajas. Lo siguiente que deben hacer las empresas es proteger sus datos y asegurarse de que pueden mantener la disponibilidad de las TI en caso de incidente cibernético.
Las empresas deben identificar los datos y sistemas sin los que no pueden funcionar y asegurarse de que se copian y almacenan de forma segura en caso de ataque de ransomware. A veces, las organizaciones dan por sentado que ya lo tienen, bien internamente o a través de su proveedor de servicios en la nube (es un mito muy extendido), pero lo más frecuente es que no sea así.
En una encuesta realizada a miles de responsables de IT de empresas, se descubrió que el 79% tiene una «brecha de realidad», entre los datos y sistemas que las unidades de negocio esperan que estén protegidos y la realidad. También es importante que los datos se almacenen en varias copias de diversas formas, como copias externas, offline e inmutables.
Por último, las empresas deben contar con procesos de protección de la disponibilidad y recuperación en caso de catástrofe para evitar y reducir al máximo el tiempo de inactividad. Según la misma encuesta, la brecha de realidad en lo que respecta a la disponibilidad es aún mayor: 4 de cada 5 empresas no confían en que sus sistemas informáticos sean lo suficientemente resistentes como para garantizar la continuidad de la actividad.
Incluso con una copia de seguridad a partir de la cual restaurar, los equipos informáticos deben tener un entorno preparado y listo para recuperar los sistemas (aunque sólo sea temporalmente) y las organizaciones que diseñan su infraestructura informática pensando en la recuperación podrán recuperarse mucho más fácilmente.
El sector de los ciberseguros va a seguir cambiando y adaptándose a medida que aumente el panorama de amenazas. Pero esto es natural teniendo en cuenta que lo que el sector asegura es muy nebuloso y muta constantemente. Aunque el seguro puede ayudar a las organizaciones a recuperarse cuando se produce un desastre, es sólo una parte del rompecabezas. A medida que aumentan los umbrales de seguridad, las empresas no deben limitarse a cumplir el estándar mínimo exigido, sino que deben aspirar a superarlo por completo con un enfoque más holístico de la protección de datos.
Autor: Dave Russell, vicepresidente de Estrategia Empresarial de Veeam