Por Jesús Canovaca, consultor en Gerencia de Riesgos, Perito Judicial en materia de seguros y Mediador de Seguros Titulado.
La Ciberseguridad es algo de lo que desde hace años venimos escuchando hablar, pero como en el cuento de Caperucita con el lobo, con la ciberseguridad nos ha pasado algo parecido. En el cuento era: “Que viene el lobo, que viene el lobo”; y con la Ciberseguridad ha sido: “Que vienen los ciberataques, que vienen los ciberataques”. Que vienen no, que ya están aquí y que cada día que pasa se incrementan exponencialmente.
«¿Quién no ha oído hablar de los Ciberataques? ¿Cuántas noticias han salido en los diferentes medios de comunicación haciéndose eco del ataque a alguna empresa o institución? Creo que todos, de una manera u otra, lo hemos oído en alguna ocasión y últimamente ya se escucha cada vez más cerca. Raro es no conocer algún compañero, amigo, conocido, familiar o cliente que no haya sufrido una de las múltiples variables de ataques Cibernéticos (Ransomware, Fhishing, Smishing, Vishing…)».
Hace más de 4-5 años, hablar de seguridad era poco menos que hablar de algo muy lejano y de algo que solo pasaba en las grandes corporaciones y en los gobiernos. Poco después, en los últimos 3-4 diría yo, ya se escuchaba como algo no tan extraño ni tan lejano, pues ya se oían todo tipo de Ciberataques a cualquier empresa. Y en los dos últimos años se escucha como algo que está aquí y que es un riesgo más o de los más importantes que debemos analizar, medir y transferir.
«La pandemia ha favorecido esta llegada y un incremento exponencial de los casos de ciberataques».
Por un lado, millones de personas hemos tenido que teletrabajar (49,8% más que en 2019, según Gatner) y el modelo de relación con nuestros clientes nos obligó a cambiarlo, lo que ha hecho que a la mayoría de empresas no nos haya quedado otra que acelerar nuestros procesos de digitalización para adaptarnos a la nueva realidad. Sin duda, esta nueva realidad ha ayudado a que los ciberdelincuentes pongan el punto de mira en esta nueva forma de trabajar y de interactuar con nuestros clientes.
Solo para hacernos una idea de hasta qué punto los ciberdelincuentes han puesto el foco en los últimos dos años y principalmente en las empresas, veamos algunos datos: España es el segundo país más atacado de la UE con un incremento de un 217% de los ataques en teletrabajo (Fuente Aluken). Según el CNI, en 2019 hubo 3.172 Ciberincidentes de peligrosidad muy alta, y en 2020 se han duplicado para llegar a los 6.690. En 2020 se detectaron 73.184 Ciberamenazas, un 70% más que en 2019.
«Una vez analizadas las cifras, solo nos queda hacer una reflexión del porqué la mayoría de las empresas continúan a día de hoy pensando que sus sistemas son seguros y que no es necesario una valoración del riesgo Ciber y, por tanto, no es necesaria una mayor inversión en este área de la empresa».
En mi opinión, hay varios factores que hacen que esto sea así, cuando los datos y las cifras nos demuestran lo contrario a lo que la mayoría de los empresarios piensan.
El primero de los motivos es la desinformación y falta de concienciación, lo que lleva a pensar a algunas empresas que, por ejemplo, al ser pequeñas o medianas empresas no son un objetivo de los ciberdelincuentes. Después de este, el que me he encontrado con más frecuencia es el pensar que su departamento informático, bien sea externo o interno, es más que suficiente para evitar en un Ciberataque y es aquí donde también es tarea de todos el informar a nuestros clientes de que el hecho de contar con un departamento de IT no garantiza en modo alguno un ciberataque o las consecuencias de este. Por otra parte, existe el mito de pensar que con solo tener algún software de seguridad (un antivirus, por ejemplo), es suficiente para evitar un ciberataque. Nada más lejos de la realidad, las técnicas utilizadas por los ciberdelincuentes para saltarse o deshabilitar un software básico van en aumento.
En otros casos me he encontrado empresarios que confían la seguridad de su empresa en contar con un buen soporte de copias de seguridad que en muchos casos se encuentran conectadas a la red, por lo que son totalmente vulnerables.
Estos serían, desde mi experiencia, los principales motivos por los que las empresas aún no tienen una valoración real del riesgo Ciber.
«Por otro lado, si analizamos este riesgo desde el punto de vista de la externalización del mismo, también nos encontramos con el mismo problema. Falta de información y concienciación, aparte de un mercado poco maduro».
Aquí nos encontramos a las aseguradoras, que son pocas de momento, las que están dispuestas a asumir estos riesgos. Y aquellas que lo hacen, en la parte preventiva aún les queda recorrido para mejorar sus coberturas, incorporando nuevas soluciones más efectivas a nivel preventivo. En la parte reactiva sí que se podría decir que la cobertura es más completa, pero también varían considerablemente de unas aseguradoras a otras, por lo que se hace necesario un análisis exhaustivo del riesgo concreto para determinar la oferta que mejor se adapte a las necesidades de nuestro cliente.
«Para continuar, tenemos a los mediadores que en muchos de los casos no saben muy bien ni de la existencia de productos que garantizan este riesgo».
En otros casos, hay una falta de formación brutal que les impide dar un asesoramiento adecuado a las necesidades del mercado. También creo que no hay una concienciación real del impacto que estos riesgos pueden suponer en nuestros clientes, que en algún caso es mayor, por ejemplo, a un incendio.
Dicho todo esto y en mi condición de Gerente de Riesgos, comenzaría por recomendar a las empresas que realicen un informe específico de gestión del riesgo Ciber para tener una idea exacta de la situación de la empresa frente a este riesgo, para posteriormente buscar externalizar y minimizar el mismo con aquellas medidas que mejor se adapten a su empresa.
Por último, y como indicaba en el título de este artículo, creo que es una tarea de todos, administración, profesionales del sector TI, mediadores, aseguradoras, Gerentes de Riesgos, TODOS, tenemos la obligación de informarnos e informar a nuestros clientes de uno de los mayores riesgos a los que se enfrentan principalmente las empresas, y en general cualquier usuario que use tecnología, que no es otro que el riesgo Ciber.
