¿Qué es un seguro ciberriesgo (o ciberseguro)? ¿Mi empresa debe tener un seguro ciberriesgo? Éstas son algunas de las preguntas que más nos hacen últimamente, como expertos en gestión de riesgos.

No paramos de ver ciberataques contra empresas. Es algo que sucede todos los días, cada vez en mayor número y por un daño económico más alto. Son ataques realizados por ciberdelincuentes contra empresas de todos los sectores. En muchos casos, las empresas evitan la publicidad, para progeter su reputación, pero miles de ciberataques se dan a diario.

Hace unos años, éste era un riesgo importante sólo en empresas del sector tecnológico. Pero hoy día, que casi la totalidad de las empresas han completado su digitalización, en todas existe un alto riesgo de sufrir ataques por ciberdelincuentes (ciberriesgo).

Ciberdelincuencia

Los ciberdelincuentes atacan los ordenadores y servidores mediante: hacking (robo de datos, chantaje), malware (virus) o ingeniería social (engañando al usuario para que realice alguna acción, como es el caso del phising).

En los últimos meses, el ataque más frecuente contra empresas y negocios de todo tipo y tamaño ha sido el ransomware. Consiste en inhabilitar todos los equipos informáticos de la empresa, secuestrar datos y pedir un rescate. El negocio tarda en recuperarse, implica un gasto de dinero muy importante y es fácil que se pierdan datos si no se ha previsto un plan de contingencia adecuado.

Ejemplos muy recientes de ataques por ransomware han sido los sufridos por Garmin y Adif, en julio de 2020. El 53% de las empresas españolas fueron víctimas de un ataque de ransomware en 2019. No todos fueron existosos, pero sí pone de relieve que todos los negocios, antes o después, sean grandes o pequeños, sufrirán ciberataques.

Las perjuicios causados en una empresa por la ciberdelincuencia pueden ser pérdidas económicas, afectación en la continuidad del negocio y hasta traducirse en un perjuicio para su imagen y reputación.

Según el estudio 2020 Cost of Data Breach Report, patrocinado por IBM, las brechas de seguridad tienen un coste medio de 3,29 millones de euros para una empresa en todo el mundo.

Al analizar el coste de las violaciones de datos que tuvieron lugar entre los meses de agosto de 2019 y abril de 2020, el estudio concluyó que, además, los datos personales de los clientes estuvieron expuestos. En la Unión Europea, esto puede suponer también sanciones por parte de los organismos reguladores.

Al final, estamos hablando de pérdidas económicas muy importantes. Por eso, es más que recomendable plantearse la contratación de un seguro adecuado que reduzca el riesgo y las pérdidas del negocio.

También existe una relación directa entre proteger el negocio de ciberataques y mejorar la cuenta de resultados, ya que el 48% de las empresas bien preparadas en términos de seguridad TI han conseguido un aumento de facturación de más del 5%.

A pesar de estos números, solamente el 24% de las organizaciones pueden considerarse razonablemente preparadas frente a ciberataques (cyber ready).

El ciberriesgo en las empresas españolas

El seguro ciberriesgo

Si la empresa tiene un seguro multirriesgo, éste cubre, entre otras cosas, los daños que pueda sufrir en sus instalaciones físicas (oficina, fábrica, tienda). En esta póliza se debe contratar la cobertura de los daños a los equipos electrónicos, que son una parte fundamental del negocio. Quedarán entonces cubiertos los daños que puedan sufrir por picos de tensión en la corriente eléctrica, por un incendio, una inundación, robo…

Pero quedan excluidos los daños sufridos por virus y ataques informáticos. Para cubrir este tipo de daños es necesario contratar un seguro ciberriesgo que indemnice por las pérdidas y ayude a la recuperación de los datos y del negocio cuanto antes.

A continuación, algunas de las coberturas que puede ofrecer un seguro ciberriesgo y que varían según la compañía aseguradora:

• Cubrir los costes de restauración del sistema de control de acceso al servidor.
• Un servicio técnico (en algunos casos 24/7) para restaurar el servicio y poder acceder al servidor cuanto antes.
• Cubrir los costes de descontaminación del malware.
• Cubrir los costes de restauración y recuperación de datos.
• Indemnizar por la pérdida de beneficios.
• Cubrir los perjuicios económicos causados a terceros por alteración, destrucción, pérdida o robo de información o de datos.
• Pago de las sanciones por incumplimiento del RGPD o de la LSSICE.
• Asumir la defensa jurídica y pago de fianzas.

Para poder contratar un seguro ciberriesgo, la empresa debe cumplir estas condiciones imprescindibles:

• Tener un antivirus actualizado.
• Hacer copias de seguridad de la información que manejan con regularidad.
• Tener personal capacitado en seguridad IT y ciberseguridad (ya sea propio o externo) que ponga todas las medidas razonables para la protección del negocio.
• Haber realizado la adaptación completa a las normativas de protección de datos vigentes (RGPD, LOPDGDD, etc.)

Recomendaciones de expertos en ciberseguridad

Los expertos en ciberseguridad recomiendan a todas las empresas tomar las siguientes medidas para minimizar los riesgos y los daños ante un ciberataque:

• Velar por que haya una seguridad física. Es decir, que los servidores estén en un lugar seguro y custodiado.
• Contratar servicios de consultoría especializada que verifique el cumplimiento del RGPD y de la LSSICE por parte de la empresa.
• Tener un sistema de copias de seguridad, que éstas se hagan con regularidad y comprobar que dicho sistema funciona sin fallos.
• Disponer de antivirus actualizado.
• Cambiar las contraseñas periódicamente.
• Tener actualizados el sistema operativo y las aplicaciones que se usan en la empresa.
• Disponer de planes de continuidad de negocio y probarlos periódicamente.
• Formar a los empleados en ciberseguridad y protección de datos.

Informe de Ciberpreparación de Hiscox 2020

El estudio analiza la preparación cibernética del tejido empresarial de ocho países, así como sus planes para los próximos 12 meses.

Concluye que la menor preparación del tejido empresarial español provoca que empresas y profesionales tengan que asumir un 30% más de gasto para recuperar su actividad tras un incidente ciber o brecha de seguridad.

Las compañías españolas que afirman haber sufrido un incidente ciber o brecha de seguridad estiman que el coste medio para recuperar la actividad con normalidad superó los 66.800€ (la media del estudio se sitúa en 50.900€). Hablamos, sobre todo, de pymes.

Sin embargo, solo el 38% de los encuestados españoles considera que su empresa está en riesgo de tener un incidente cibernético (10 puntos menos que la media del estudio). Y España sigue siendo el país, de los 8 analizados, menos preparado para detectar, resolver y recuperarse de un incidente cibernético o brecha de seguridad.

Las empresas españolas calificadas como ciberexpertas han pasado en un año de ser el 9% al 14% de las analizadas. Pero aún se sitúan 4 puntos por debajo de la media del resto de países (18%), debido principalmente a que España continúa siendo el país con más compañías calificadas como cibernovatas, más de 7 de cada 10 de las analizadas (72%).

Si se desglosan los datos en el mercado español por número de trabajadores, la ciberpreparación disminuye junto con la dimensión de las compañías. Así, se califican como cibernovatas el 82% de las micropymes, el 76% de las compañías entre 10 y 250 empleados, y el 61% de las grandes empresas analizadas en el estudio.

Por otro lado, el 21% de las compañías de más de 250 empleados, el 13% de las pymes y el 5% de las micropymes obtienen la máxima calificación.

«En los últimos 3 años, las empresas españolas cibernovatas sólo se han reducido del 75% a 72%. Por un lado tenemos compañías y profesionales que poco a poco van evolucionando en sus estrategias de ciberseguridad (este año hemos alcanzado la cifra del 14% en ciberexpertas y también del 14% en ciberintermedias). Por otro lado, más de 7 de cada 10 no consiguen mejorar su ciberpreparación. Puede deberse a un exceso de confianza en algunos casos, pero sobre todo a que muchas de ellas no están siendo capaces de evolucionar al mismo ritmo que lo hace la sofisticación de los ciberdelincuentes», analiza Alan Abreu, responsable de riesgos cibernéticos de Hiscox. 

Al analizar el comportamiento de las compañías a la hora de resolver incidentes de naturaleza cibernética, vemos que 4 de cada 10 (41%) empresas españolas reconoce no informar totalmente a las partes internas y externas implicadas cuando se ha producido un incidente cibernético que ha puesto en riesgo datos de éstos. O que casi 3 de cada 10 de las compañías españolas que han sufrido un ataque ransomware han pagado el rescate para poder recuperar el acceso a sus sistemas. Este dato significa que el 7% del total de las empresas españolas encuestadas pagó un rescate en 2019.

Solo el 25% de las empresas españolas, sin embargo, tiene contratado un seguro especializado en riesgos cibernéticos.

Puedes leer el informe completo aquí.

Déjanos asesorarte sobre los riesgos cibernéticos de tu negocio. Si éste necesita un seguro ciberriesgo, no esperes a que sea tarde para contratarlo.

También puede interesarte este otro estudio sobre ciberseguridad:

El Informe Hiscox sobre la siniestralidad cibernética 2018.

photo credit: Visual Content Data Breach via photopin (license)