• 21 millones

    de seguidores diarios

  • Líder de Prensa

    digital en España

  • Una amplia gama

    en revistas líderes en su segmento

Noticias

Observatorio Ciber-riesgos de EXPANSIÓN

Los ponentes del Observatorio sobre Ciber-riesgos, organizado por EXPANSIÓN, creen que las pequeñas compañías son la puerta de entrada de los ‘hackers’ a las grandes empresas.

​Las empresas se enfrentan cada día a los ciberriesgos. Para mitigarlos existen muchas opciones, como la contratación de un seguro de Ciberriesgos, pólizas que en España se empezaron a hacer hace 3 o 4 años, pero que tienen un amplio recorrido. Según los expertos, en 10 o 15 años será tan común para una empresa contratarlas como ahora lo son las de incendios. Representantes de aseguradoras y corredores expertos en estas soluciones han analizado en un Observatorio organizado por EXPANSIÓN y Aseguranza el contexto en el que se está desarrollando este seguro y sus características.  
Lo primero que hay que tener en cuenta es que se habla mucho de virus, malware, ataques, espionaje industrial a través de Internet…, pero el principal ciberriesgo procede de la propia empresa, es el que genera el empleado negligente o el que decide ‘traicionar’ a su compañía (insider risk). De hecho, según asegura Olivier Marcen, responsable de Cyber Edge para la zona sur de EMEA de AIG, tras el 70% de los ataques importantes hay un trabajador de la empresa.  
PYMES  
Hay que añadir otro elemento a la ecuación, la vulnerabilidad que genera el hecho de que en un país de pymes, como es España, las pequeñas y medianas empresas exhiban una ignorancia tan grande en esta materia. Según Santiago Sánchez, director de Ventas y Distribución de ACE Iberia, “las pymes suelen tener un gran desconocimiento de las amenazas a las que están expuestas y pocos conocimientos informáticos. Por eso son objeto de ataques”.  
Son más fáciles de atacar, pero alguien podría pensar que la recompensa de hacerlo para un hacker no es tan valiosa como la que le ofrece un ataque a una gran empresa. Sin embargo, nada más lejos de la realidad. Según advierte Claudia Beatriz Gómez, directora de la Specialty Ciber Riesgos de Aon Risk Solutions, “las pymes son tan vulnerables como cualquier gran empresa porque pueden tener, por ejemplo, una patente muy valiosa. Nadie es inmune”.  
En cualquier caso, según destacan los tres ponentes, lo que no hay que perder nunca de vista es que las pymes son proveedores de las grandes compañías, lo que las convierte en la puerta de entrada de los hackers. Es decir, “los ‘grandes’ se ven expuestos a la situación en la que se encuentran en este ámbito estos proveedores más pequeños”, apunta Santiago Sánchez (ACE Iberia). Las consecuencias de un ataque pueden ser nefastas.  
Según destaca Olivier Marcen (AIG), a los consejos de administración lo que más les preocupa es el riesgo reputacional, “pero un problema de este tipo entraña otros muchos, desde la paralización del negocio hasta la imposición de una sanción o la caída de los títulos en Bolsa”.  
Una vez planteado el problema, ¿qué se puede hacer? Aquí entra en escena el seguro de ciber-riesgos, pólizas que “no son una solución; son un remedio cuando el siniestro ya ha ocurrido. Las empresas tienen que invertir en procedimientos y medidas de seguridad”, advierte Claudia Beatriz Gómez (Aon Risk Solutions). Algo que, además, las aseguradoras tendrán en cuenta a la hora de suscribir el seguro.  
En el momento de la suscripción las aseguradoras analizan los datos que maneja la compañía y cómo está interconectada con terceros. Toda esta información es necesaria para que la aseguradora o el mediador puedan ofrecer a la empresa el producto que necesita. En este punto surgen los cuestionarios previos a la suscripción, los cuales generan mucha polémica: unos clientes creen que la información es excesiva, otros lo contrario, y alguno no quiere facilitar ningún tipo de datos.  
El responsable de Cyber Edge para la zona sur de EMEA de AIG explica que no es lo mismo suscribir un riesgo con una pyme que con un gran banco, por ejemplo. Y conscientes de esa diferencia, “hay unas preguntas mínimas que toda empresa debe responder a la hora de suscribir un seguro, porque en el caso contrario no hay póliza”.   No hay una norma estándar sobre las preguntas que se hacen al cliente. No obstante, con el paso del tiempo estos cuestionarios, según comenta el director de Ventas y Distribución de ACE Iberia, se han ido reduciendo un poco, “pero sigue habiendo temas candentes, que son los que analizamos a la hora de suscribir un riesgo. Si una compañía no tiene medidas de seguridad decentes no va a conseguir una póliza porque el seguro no sustituye a las decisiones para protegerse”.  
COMPARTIR INFORMACIÓN  
La polémica sobre los cuestionarios previos está muy relacionada con una tendencia de las empresas, la de ocultar información en este ámbito, algo contraproducente. Según explica la directora de la Specialty Ciber Riesgos de Aon Risk Solutions, es necesario compartir información respecto a las amenazas, lo que a su vez ayudará a blindarse mejor. No obstante, las cosas evolucionan y, según apunta Santiago Sánchez (ACE Iberia), hubo una primera fase en la que las empresas españolas no querían decir nada acerca de estos problemas, pero ahora se habla más. Además, en un futuro a las compañías no les va a quedar más remedio que compartir esta información tras la adaptación de la Directiva comunitaria de ciberseguridad.  
Esta adaptación es una de las reclamaciones del sector. Olivier Marcen (AIG) destaca que la Directiva europea debía haber entrado en vigor hace dos años, pero hay muchos grupos de presión que lo han ralentizado. A su juicio, su entrada en vigor supondrá una revolución: “Las compañías, según las nuevas normas, tendrán que notificar a todos los afectados, y si no lo hacen se les podrá sancionar. Desde el punto de vista de los costes y el cumplimiento de la normativa va a ser bastante agobiante para las empresas”.  
Otra visión tiene Claudia Beatriz Gómez (Aon Risk Solutions). Considera que “la norma no es perfecta y meter miedo para hacer las cosas no funciona. Las empresas deberían poner en marcha buenas prácticas. Hay que premiar a los que lo hacen bien, más que sancionar”. Además, echa de menos que el Gobierno ponga más énfasis en desarrollar los marcos de la ciberseguridad para fomentar la protección en las transacciones y el mundo tecnológico.