¿Un seguro de Riesgos Cibernéticos es la solución absoluta al problema?

En mi experiencia, no considero que el seguro sea la solución absoluta al problema, y en parte el error que muchas veces se comete es empezar buscando una póliza de esta naturaleza, cuando no han sido adoptados los controles y medidas mínimas de ciberseguridad. El seguro es parte de una solución que debe ser integral, pero tiene que ser la consecuencia de una adecuada y apropiada estrategia de ciberseguridad.

En Latinoamérica hemos encontrado grandes falencias en cuanto a los controles y las seguridades cibernéticas de las empresas, no en una industria específica, la escasa madurez cibernética de nuestro continente, hasta donde hemos podido ver no discrimina industria, al igual que los riesgos cibernéticos, tampoco tienen industrias de preferencia y considero que es el primer punto que se debe abarcar.

Hace años se consideraba que las empresas del sector financiero eran las más sensibles de sufrir un ataque o ser víctimas de cualquier ciber riesgo, en principio por la gran cantidad de datos que manejan y la poca especialización en ciberseguridades que se encontraba.

No obstante, los años nos han demostrado que las vulnerabilidades no solo están en los datos, que, si bien son muy importantes, existen otras debilidades que en mi concepto se evidenciaron gracias a la pandemia, y es la alta dependencia que las empresas de todos los sectores tienen de los sistemas y las redes. Por ende, tenemos que ir más allá de la industria o actividad de la compañía, si ésta maneja datos y trabaja a través de sistemas, es vulnerable.

Lee más

Opinión

La relación que pueden tener los riesgos cibernéticos con el medio ambiente

Por más completo que el seguro pueda ser (dependiendo de un adecuado proceso de suscripción y colocación), no es la única solución al problema, y debe evolucionar la forma en la que muchas empresas lo identifican. El seguro es un apoyo al momento de sufrir un impacto severo como consecuencia de un evento, pero el ideal es que las empresas que lo toman, o pretenden tomarlo, hagan todo lo diligentemente posible para evitar la ocurrencia del evento.

Los diferentes eventos que surgieron como consecuencia de la pandemia; por ejemplo, el incremento significativo en casos de ransomware han llevado a que el mercado asegurador y reasegurador se especialice mucho más en la materia.

Ahora los suscriptores encargados del análisis de riesgo de las empresas que buscan ser aseguradas son mucho más técnicos y realizan un proceso de suscripción más detallado y minucioso. Incluso algunos mercados se apoyan en empresas expertas en ciberseguridad para que analicen en detalle a los futuros asegurados.

En consecuencia, si una organización que busca colocar su riesgo en el mercado asegurador no consigue soporte por parte de los mercados, ello significa en la mayoría de los casos, que sus controles y seguridades son deficientes. Ahora hemos llegado a clasificar a algunas empresas como “no asegurables” por no ser aptas para conseguir un seguro, casi siempre por falta de controles. Por esto insisto en que el seguro no debe ser el primer paso ni la solución absoluta para hacer frente al problema.

Las compañías deben crear una estrategia de ciberseguridad, tener personas especializadas y enfocadas en proteger a la compañía, contar con un plan de respuesta a incidentes estructurado y probado, con el fin de tener muy claro la manera en la que se actuará en caso de una crisis cibernética (teniendo o no un seguro), tener back ups, contar con seguridades específicas como una autenticación multifactor (MFA – es un método de control de acceso a través de dos o más controles), detección y respuesta de endpoints y una estructura de ciberseguridad robusta, donde el seguro sea el apoyo en caso en que algo falle.

Lee más

Opinión

La importancia del rol de la mujer en la ciberseguridad

En ese orden de ideas, el seguro de riesgos cibernéticos es parte de la estrategia de ciberseguridad de las empresas, es parte de la solución al problema, y se convierte en un apoyo real al momento en que se materialice el evento. Entonces, así como el mercado de seguros ha buscado especializarse en la materia, asimismo, las empresas, independiente de su industria, deben enfocar sus esfuerzos en tener adecuadas seguridades cibernéticas para así poder lograr una mejor negociación de su riesgo en el mercado y obtener una póliza que sirva de apoyo en momentos de crisis.

Nota del editor: Marcela Visbal es Líder de la Práctica de Riesgo Cibernético de Willis Towers Watson América Latina. Síguela en LinkedIn . Las opiniones publicadas en esta columna pertenecen exclusivamente a la autora.

Consulta más información sobre este y otros temas en el canal Opinión