1. Libros y videos
  2. Resiliencia cibernética en la empresa
  3. Ciberseguro
Extrait - Resiliencia cibernética en la empresa Retos, normas y buenas prácticas
Extractos del libro
Resiliencia cibernética en la empresa Retos, normas y buenas prácticas Volver a la página de compra del libro

Ciberseguro

Introducción

Este capítulo trata de los aspectos de la ciberseguridad relacionados con los seguros. Todas las empresas están obligadas a tener un seguro de responsabilidad profesional, que cubre cualquier daño involuntario causado por la empresa a terceros. Lamentablemente, dada la explosión de los ciberataques, las pólizas de seguros ofrecen poca o ninguna cobertura para los ciberriesgos, por lo que corresponde al director de la empresa decidir si contrata o no un seguro cibernético. Este capítulo presenta el funcionamiento del ciberseguro, un ejemplo de servicio de asistencia, un ejemplo de póliza de ciberseguro y una visión general de los distintos actores de este mercado.

Dado que cualquier tipo de organización es vulnerable a una crisis cibernética, el ciberseguro puede aplicarse a todos los sectores de actividad, y en particular a las microempresas y las PYME, que suelen ir a la zaga en materia de seguridad informática.

No existe un contrato genérico que pueda aplicarse a empresas privadas o públicas, porque los SI y las organizaciones son muy diferentes. El campo de la ciberseguridad es joven y muy técnico, por lo que realmente hay que demostrar a la aseguradora que su SI es seguro, para que ésta minimice su intervención. En determinadas situaciones, una empresa no será cibersegurable. Por ejemplo, la ausencia de un enfoque de SI, la ausencia de un CISO, etc. son obstáculos para la elegibilidad del seguro.

En la práctica...

Contratos de asistencia

En el mundo de los ciberseguros, hay apoyo antes, durante y después de la crisis.

1. Las fases de la ayuda

a. Antes de la crisis

Durante los periodos normales de producción, una empresa que desee suscribir una póliza de ciberseguro tendrá que realizar una auditoría preliminar de cibermadurez. Esta auditoría consta de varios elementos:

  • Una auditoría de la información realizada por una empresa especializada (distinta de la propia aseguradora), basada en las declaraciones: una serie de preguntas sobre la organización de la SSI, los elementos de protección existentes, etc.

  • Un pentest (test de penetración) interno y externo para conocer el estado de vulnerabilidad del SI; lo realiza la misma empresa que la auditoría o uno de sus socios.

  • Respuesta final al cliente que solicita el ciberseguro; en función del resultado, el cliente puede o no ser ciberseguro.

En tal caso, se hará una oferta de seguro al cliente.

b. Durante la crisis

Cuando se confirma la crisis y el cliente informa a su aseguradora o corredor de seguros asociado, se activa la asistencia para gestionar la emergencia. Un experto está de guardia las 24 horas del día, los 7 días de la semana, al comienzo de la crisis para llevar a cabo las operaciones iniciales. Presta asistencia jurídica y técnica.

En el caso de una empresa estructurada con experiencia en la gestión de crisis cibernéticas y que ya dispone de una base organizativa (unidad operativa, unidad de toma de decisiones, proveedores de servicios locales especializados, proceso de gestión de crisis formalizado, ejercicio de gestión de crisis, etc.), es importante informar previamente a la aseguradora, ya que ésta desempeñará un papel importante en la organización global de la crisis. Sin recurrir a la aseguradora, es seguro que no podrá obtener indemnización.

Es vital incluir a la aseguradora en el proceso de gestión de la crisis cibernética.

El recurso al ciberseguro pone en tela de juicio la gobernanza de la cibercrisis. En este caso, el cliente debe externalizar todo el proceso de gestión de la crisis.

c. Después de la crisis

Por lo general, se trata de una época más tranquila, ya que la producción vuelve a estar en marcha. Es entonces cuando llega el momento de indemnizar...

Ejemplo de ciberseguro

El elemento más importante del contrato de seguro cibernético es sin duda la cobertura ofrecida por la aseguradora, así como las posibles opciones. También debes comprobar que se incluye un glosario.

1. Glosario

Este glosario nos ayuda a ponernos de acuerdo sobre las definiciones de los eventos que activarán la cobertura cibernética.

  • Sistema de información: se refiere a cualquier elemento utilizado para procesar información, como servidores, routers, bases de datos, software, la red, bahías de almacenamiento, datos, etc. El SI puede estar ubicado en las instalaciones o alojado (a menudo en parte), y puede ser operado en su totalidad por el tomador del seguro o por un proveedor de servicios (también en parte). Como el SI se ha convertido en híbrido, el tomador del seguro debe supervisar estrictamente sus contratos con los proveedores de servicios (contratos de alojamiento, contratos de mantenimiento de software y hardware, contratos de servicios, etc.). En efecto, la aseguradora se dirigirá en primer lugar a un prestador de servicios si el elemento origen del siniestro es de su competencia, por lo que el contrato celebrado entre el asegurado y su prestador de servicios se tomará como fehaciente, razón por la cual es más que recomendable subcontratar a un prestador de servicios certificado ISO 27001 e incluir cláusulas cibernéticas...

Los actores

1. Corredores

Los corredores son empresas especializadas con un profundo conocimiento del ciberseguro y la ciberseguridad. Algunos están especializados en un campo de actividad concreto.

Hay muchos corredores en el mercado, entre ellos :

  • Marsh (https://www.marsh.com/es/es/services/cyber-risk.html), capaz de operar en todo el mundo y en cualquier sector de actividad (organizaciones privadas/públicas).

    "Con oficinas en más de 130 países, Marsh es líder mundial en correduría de seguros y consultoría de riesgos. Prestamos servicios de correduría, asesoramiento y siniestros centrados en el sector. Nuestras soluciones tecnológicas y herramientas de análisis y extracción de datos ayudan a nuestros clientes a reducir el coste total del riesgo."

  • Cyber-Cover (https://www.cyber-cover.fr/) para seguros de ciberriesgos, RGPD y fraude

    "Aseguradora experta en ciberriesgos para pymes y ETI de todos los tamaños, CYBERCOVER es una correduría independiente que trabaja únicamente con empresas líderes."

  • Zenioo (https://www.zenioo.com/cyber-pro-zenioo/), un corredor mayorista especializado en seguros personales (salud, previsión y préstamos), que se ha asociado con la insurtech Stoik para ofrecer a sus clientes una oferta cibernética.

    "Asegure sus VSEs/SMEs contra ciberataques."

Conclusión y perspectivas

El ciberseguro es recomendable, pero no obligatorio. Ante la digitalización total e irreversible de nuestro mundo, tenemos que afrontar los hechos: protegernos y asegurarnos.

No todas las organizaciones tienen el mismo nivel de madurez en materia de ciberseguridad y, por tanto, de ciberseguro: Las grandes empresas ya se han lanzado a la carrera del ciberseguro ante el riesgo financiero de pérdida de volumen de negocio y, por tanto, de márgenes; las pequeñas y medianas empresas empiezan a estructurarse para hacer frente al ciberriesgo, pero aún no han dado el paso de asegurarse; las organizaciones públicas, que no tienen volumen de negocio en juego, siguen siendo reacias a contratar seguros; y los particulares son completamente ignorados, bien por falta de concienciación, bien por la ausencia de ofertas atractivas.

El legislador hará probablemente obligatorio el ciberseguro en el mundo profesional (y en particular para las organizaciones sujetas a la NIS/2) y después para los particulares, como ocurre en los sectores de la vivienda o el automóvil. Para las empresas, este seguro podría ser obligatorio en 2030, antes de la puesta en producción de cualquier sistema de información destinado a terceros. Europa tiene un importante papel que desempeñar en este ámbito, con vistas a armonizar una futura...