Javier Huergo, socio de Watch&Act Protection Services.
Desde 1988, cada 30 de noviembre se celebra el Día Internacional de la Seguridad Informática, creado por la Association for Computing Machinery para concienciarnos de la importancia de proteger la información de nuestros sistemas.
Las empresas españolas sufren de media 400 ciberataques al día. Aunque el conocimiento y la concienciación en materia de ciberseguridad va en aumento, siguen siendo muchas las empresas que consideran que, por su tamaño o actividad, no son «atractivas» para un ciberdelincuente. Por desgracia, los ciberataques se producen de forma indiscriminada y, si en el caso de empresas de menor tamaño el beneficio económico puede ser menor, el esfuerzo también es menor, y se compensa con el volumen (repitiendo las mismas fórmulas sobre muchas compañías).
Virus, robo de datos, extorsión o fraude son los principales ciber riesgos a los que se enfrentan, y las consecuencias pueden resultar devastadoras. El coste medio de los daños producidos por un ciberataque es de 50.000 euros, pero lo peor es que puede llegar a suponer el cierre de la empresa si no se cuenta con la protección adecuada, desde el punto de vista técnico y económico.
La protección tecnológica pasa, en primer lugar, por lo que se conoce como la «ciber higiene»: mantener buenos hábitos en materia de ciberseguridad (contraseñas robustas, evitar descargas y páginas no seguras, etc.). Además, es imprescindible contar con las medidas adecuadas (antivirus, cortafuegos, actualizaciones, etc.). Pero sean cuales sean los esfuerzos y la inversión, los expertos coinciden en que el riesgo cero no existe.
Por esta razón es importante contar también con protección económica, porque, aunque las consecuencias del ataque no puedan evitarse por completo, su impacto sí puede reducirse. Los seguros de ciber riesgo son la última línea de defensa frente a los ataques, intrusiones y robo de información de la empresa. Proporcionan seguridad jurídica y económica frente a las responsabilidades derivadas.
Una póliza de ciberriesgo cubre a las empresas frente a:
- Ataques cibernéticos: Recuperación de los datos y reparación o reemplazo del software.
- Robo de datos: Investigación del origen y alcance, recuperación de datos y gestión del incidente si se trata de información sensible o confidencial.
- Responsabilidad civil frente a terceros o por publicación en Internet a través de cuentas hackeadas.
- Paralización del negocio: Actuación de emergencia y contingencia por la interrupción de venta a través de la web y pérdida de beneficios.
- Extorsión: Gestión del incidente (secuestro o suplantación web, ransomware) y desbloqueo de los equipos.
- Fraude por robo de identidad, ataque al CEO o acceso a cuentas bancarias.
Dependiendo de la magnitud del incidente, un ciberataque supondrá gastos por gestión de crisis en el primer momento (asistencia técnica inmediata), responsabilidad civil, defensa jurídica, pérdida de beneficios, daños reputacionales y posible pago de sanciones.
En este ámbito, quizá uno de los aspectos que más preocupa y que mayor impacto puede tener son las obligaciones que todas las empresas tienen en cuanto al tratamiento de datos personales de sus clientes, conforme al Reglamento Europeo de Protección de Datos (RGPD) y la Ley Orgánica que lo desarrolla. Conviene recordar que la norma afecta a todo tipo de empresas, independientemente de que la información que maneje sea o no confidencial. Cuanto mayor sea el volumen de datos, mayor será el riesgo.
En el mercado actual, compañías como AIG, Allianz Global Corporate & Specialty, AXA/XL, Beazley, Chubb, Hiscox, QBE, Specialty o Zurich ofrecen seguros de ciber riesgo muy completos y competitivos. Sin embargo, las primas pueden variar mucho en función del tamaño, tipo de empresa, cobertura y franquicias que ofrezcan, dentro de una horquilla que puede oscilar entre los 350 euros y los 150.000 euros anuales.
No es fácil decidir cuál se adapta mejor a nuestras necesidades. Por eso, consultoras como Watch&Act Protection Services realizan un análisis pormenorizado de las necesidades reales de cobertura y una valoración precisa del riesgo de la compañía. Al ser una empresa especializada, cuenta con amplio conocimiento de este sector, con información permanentemente actualizada.
Al mismo tiempo, al formar parte de la consultora tecnológica Watch&Act International Consulting, no sólo puede identificar y valorar las vulnerabilidades existentes, sino que, en caso de que sea necesaria una intervención, cuenta con expertos que pueden ayudar a la resolución rápida y favorable del siniestro.