¿Por qué adquirimos un seguro? La respuesta es muy sencilla: en caso de un siniestro, una póliza ofrece una indemnización por el daño generado, y reduce el impacto en nuestro bienestar y nuestras finanzas. Nos ayudan a afrontar, y recuperarnos de los riesgos a los estamos expuestos todos los días: accidentes de tránsito, robos, pérdidas, enfermedades, incendios, desempleo, vida, entre muchos otros.
Son un componente fundamental de una cultura de prevención que individuos y organizaciones deberíamos de adoptar. Una cultura que, desafortunadamente, no se ha arraigado debido, en gran medida, al pensamiento de “a mí no me va a suceder”, aunque los hechos dicen lo contrario.
Y las empresas deberían estar conscientes de esto, pues, el entorno en el que se mueven existe riesgos y amenazas de mayores dimensiones que pueden poner en grave peligro su reputación y continuidad.
Según la Global CEO Survey 2022 de la Asociación de Bancos de México y la American Chamber, México fue blanco del 66% de los ataques informáticos ocurridos en la región de América Latina en los dos últimos años, provocando pérdidas entre $3,000 y $5,000 millones de dólares por año.
En particular, los ataques de ransomware se han vuelto más sofisticados. Los ciberdelincuentes utilizan técnicas de ingeniería social avanzada, spear-phishing y vulnerabilidades de día cero para infectar sistemas. Además, han surgido variantes de ransomware más destructivas.
Gartner estima que para 2025, el 70% de los directores generales (CEO) adoptarán una cultura basada en la resiliencia de la organización para sobrevivir a las amenazas coincidentes de la ciberdelincuencia, los desastres climáticos, los disturbios civiles y la inestabilidad política.
El valor de la organización
Las empresas actuales, por tanto, contratan ciberseguros con el propósito de reducir los impactos en caso de que un ataque informático se materialice y comprometa sus activos de información y, por ende, sus operaciones.
Al igual que los productos disponibles en el mercado, las empresas necesitan determinar la cobertura y el alcance del seguro que contratarán. Esta no es una tarea sencilla debido a que deben estimar con la mayor precisión posible el valor de la información que puede estar en riesgo en un momento dado. ¿Saben realmente las organizaciones dicho valor?
No siempre. La mayoría de las veces la medición de dicha variable se realiza desde una perspectiva más cualitativa que cuantitativa, debido a la naturaleza inherente de los datos. De ahí la necesidad de verlo desde una óptica más integral y estratégica para considerar aspectos como las posibles sanciones o multas a las que se harían acreedoras las empresas en caso de sufrir un ataque que comprometa la información de clientes, empleados y socios.
Asimismo, se deben incluir variables sensibles como la proyección de ingresos con base en los estados financieros, y las posibles afectaciones a estos por pérdidas generadas por fraudes, transacciones ilícitas, pérdidas monetarias y del valor comercial, así como del daño reputacional.
Si bien estos parámetros serían de gran utilidad en el momento de contratar un ciberseguro, la realidad es que el grueso de las empresas no los conoce. Y son pocas las que destinan los recursos suficientes para realizar la trazabilidad de sus operaciones.
Este ejercicio es de gran relevancia dado que permite determinar cuál es el valor de los activos que soportan la operación. Y es que conocer cuáles serían las pérdidas potenciales de un ciberataque les permitiría darse cuenta de que pagar un ciberseguro resulta más económico y conveniente que afrontar pérdidas millonarias.
Conocer dicho valor será también crítico en el momento de la contratación del ciberseguro, pues las aseguradoras querrán conocer tal suma para ofrecer el producto idóneo.
Además del valor intrínseco de la información, las compañías de seguros consideran la resiliencia de una organización para, de este modo, hacer sus cálculos de riesgo y determinar las primas.
Cuanta mayor sea su nivel de resiliencia, mejor será capacidad de respuesta a incidentes, de protección y se recuperará mucho más rápido de un ataque en caso de sufrirlo. Evidentemente, lo anterior tiene una influencia directa en el costo de la prima del seguro.
Protección con discreción
Como se mencionó al inicio, es importante que las empresas adopten una cultura de prevención en la que los ciberseguros tengan un rol destacado. La oferta de estos productos es cada vez más amplia, aunque por ahora es una decisión de los negocios contratar uno.
Existen discusiones alrededor de si debieran ser obligatorios, como en el caso un seguro automotriz. No obstante, mientras la normatividad no exija contratar un producto que respalde y proteja la información de clientes, proveedores y colaboradores, queda a discreción de cada jugador hacerlo.
Por otra parte, si una empresa ha decidido tener un ciberseguro, los especialistas hacen una recomendación clave: mantener un bajo perfil y no divulgar que cuenta con uno. Si bien podría ser un diferenciador comercial, también podría convertirlo en un blanco de ataque.
¿La razón? Los ciberdelincuentes ponen en la mira a las empresas con ciberseguros para hacer con ellas negociaciones abusivas y extorsionarlas para obtener beneficios económicos considerables. El mecanismo consiste en advertirles que las van a atacar con ransomware, y que deben cobrar un seguro para obtener liberar la información y, de paso, llevarse una buena tajada de la indemnización recibida.
Muchas organizaciones podrían ceder a las demandas de estos actores maliciosos para evitar mayores daños, pero también podría involucrarlas en casos de fraude y hacerse acreedoras a enormes multas y penalizaciones. Incluso, los ejecutivos involucrados como el director general (CEO), el director de Información (CIO), el de Seguridad (CISO), podrían ser procesados y ser enviados a prisión. Incluso, en países como Estados Unidos el fraude por ciberseguro está tipificado como terrorismo.
Del cuidado al gobierno
Los ciberseguros se relacionan con dos de los procesos importantes de la ciberseguridad empresarial: el debido cuidado (due care) y la debida diligencia (due diligence). Esto significa que un seguro que protege la pérdida de información entra en el rubro de cuidado, esencial para brindar resiliencia y respuesta, y materializarla a través de procesos perfectamente definidos y estructurados.
No menos importante es el establecimiento de un modelo de gobierno, riesgo y cumplimiento que integre los controles tecnológicos con una visión del entorno de amenazas imperante, y en el que se involucre toda la organización.
Al final del día, todo lo anterior se conjugará para conformar un panorama completo de los activos de información, “las joyas de la corona” que deban cubrirse, encontrar el ciberseguro idóneo, y negociar con la empresa proveedora una prima acorde con el perfil de riesgo de las empresas, su capacidad de resiliencia y su actividad e industria.