Blog del CCI

viernes, 6 de mayo de 2016

¿Por qué las Empresas necesitan un Ciberseguro?


La seguridad 100% no existe en ningún entorno de sistemas de información, sobre todo cuando el avance y proliferación de los ataques cibernéticos es exponencial, debido a que el número de amenazas y las motivaciones para crearlas ha aumentado exponencialmente.

Las organizaciones de cualquier tipo tienen hoy en día un alto grado dependencia de los sistemas TIC (Tecnologías de la Información y la Comunicación), los procesos de negocio corporativos dependen del buen rendimiento y disponibilidad de las aplicaciones informáticas, las cuales dependen a su vez del correcto funcionamiento de otros elementos como bases de datos, servidores y redes de comunicaciones. Además, el grado de conectividad a Internet en todo tipo de sectores es casi absoluto, de cara a ofrecer todo tipo de servicios de alto valor añadido para sus clientes y proveedores.

No obstante, según un estudio de Deloitte publicado en el diario ABC, más del 40% de las empresas no se cubren frente a los ciber-riesgos. Según la encuesta realizada por Deloitte entre 200 empresas españolas, el 42,42% no ha desarrollado la función de la seguridad de la información, porcentaje que desciende drásticamente cuando se contempla la seguridad en los sistemas de automatización industrial. Los ciberataques son el riesgo más temido por el 49,5% de las empresas encuestadas, en cambio casi el 40% no hace ningún simulacro para conocer sus vulnerabilidades y el 36,1% no sabe si ha sufrido algún tipo de ataque.

Asimismo, muchas de las organizaciones tienen además dependencias de terceros, como los proveedores de servicios en la nube en todas sus modalidades (IaaS, PaaS, SaaS), empresas de outsourcing (externalización) de sistemas y proveedores de Telecomunicaciones y Servicios de Internet (ISPs).

Un gran número de organizaciones tienen un departamento de seguridad informática, que puede depender del departamento de sistemas de información, de la dirección corporativa de riesgos, continuidad de negocio o de las propias direcciones generales. Los responsables de estos departamentos, o CISOs, tienen una gran experiencia y han logrado en la mayoría de los casos un alto nivel de seguridad al haber aplicado políticas de seguridad corporativas, implantado tecnologías de seguridad perimetral de todo tipo (Cortafuegos, Sistemas de Detección y Prevención de Intrusiones (IDS/IPS), Pasarelas de filtrado de tráfico web y de correo electrónico, Sistemas de Prevención de Fugas de Datos (DLP), etc.) y sistemas internos de seguridad (gestión de identidades y autenticación única (SSO), cifrado de datos en reposo y en movimiento, anti-malware en PCs, sistemas de gestión de dispositivos móviles (MDM), etc.). Además en muchas de estas organizaciones se ha realizado un gran esfuerzo para cumplir con normativas como PCI-DSS (cuando se emplean medios electrónicos de pago), ISO 20000, ISO 27001, ISO 22301, ANSI/ISA 99, ahora IEC 62443 (cuando existen sistemas de control industrial), etc.

Sin embargo, como decíamos, la seguridad 100% no existe en ningún entorno, sobre todo cuando el avance y proliferación de los ataques cibernéticos, insistimos en este punto, es exponencial, debido a que el número de amenazas y las motivaciones para crearlas ha aumentado también exponencialmente.

Una de las principales amenazas es el cibercrimen y la ciberdelincuencia, cuyos integrantes están además muy conectados con redes de delincuencia organizada, sobre todo en países del Este, donde podemos comprar datos de una tarjeta de crédito robada o las credenciales de acceso a un sitio web de banca online, que podrían ser de cualquier persona en el mundo, por unos pocos Euros.

Por otro lado está el espionaje industrial y entre países, el ciber-terrorismo y el hactivismo. Organizaciones como Anonymous han causado estragos con sus ataques a muchas empresas y organizaciones. Por otro lado, son conocidos los ataques contra sistemas de Supervisión, Control y Adquisición de Datos (SCADA) de sistemas industriales en infraestructuras críticas, robos electrónicos masivos organizados a Bancos, la Denegación de Servicio (DoS y DDoS) de sitios web de múltiples empresas, el robo masivo de datos sensibles de clientes, etc. La lista es interminable. Y todas estas organizaciones descubren constantemente métodos y estrategias para traspasar las medidas de seguridad implantadas por las organizaciones.

Además hay que tener en cuenta las nuevas regulaciones de protección de datos. En España tenemos en vigor desde el año 1999 la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal), donde la Agencia Española de Protección de Datos (AEPD) puede llegar a imponer multas de hasta 600.000 Euros por incidente. Más a tener en cuenta es el nuevo Reglamento General de Protección de Datos de la Comisión Europea que puede imponer multas de hasta 20 millones de euros o el 4% de su volumen de negocios total anual de las compañías.

Por otro lado, hoy en día, el nuevo mundo de IoT (Internet de las Cosas), el denominado Smart OT por el CCI, dentro del cual se encuadran la Smart Grid o el Smart Factory, así como la llamada Transformación Digital, donde miles de millones de objetos informarán de su posición e identidad a través de conexiones inalámbricas mediante RFID, Bluetooth, NFC, etc., añade nuevas posibilidades para que los ciberdelincuentes puedan llevar a cabo ciberataques contra las empresas y organizaciones de todo tipo.

En el caso concreto de España, tras EE UU y Reino Unido, somos el país que sufre más ciberataques, según un artículo publicado por el diario El País. Con más de 70.000 ciberincidentes, España fue el año pasado el tercer país del mundo, tras Estados Unidos y Reino Unido, que más ataques cibernéticos sufrió, según comentó el ministro de Asuntos Exteriores, José Manuel García-Margallo, a principio de este año. El ministro no detalló la gravedad de estos ataques, sus orígenes o destinatarios, pero ha dicho que afectaron tanto a la Administración como a ciudadanos particulares y empresas, incluidas las responsables de gestionar infraestructuras críticas. Así mismo el ministro anunció que España está elaborando un Plan Nacional de Ciberseguridad.

Y por si no tuviéramos suficiente, a todo esto hay que añadir los propios errores humanos (por negligencia o con dolo) de la persona que gestiona y opera los sistemas de información de las organizaciones que puede dar lugar a la parada de los sistemas, y por tanto del proceso de negocio asociado, con las pérdidas de beneficios correspondientes, a la destrucción de datos o a la fuga de datos sensibles.

Por todo lo anterior, considero que la contratación de una póliza de seguro para incidentes cibernéticos y fallos de los sistemas de información es una gran aportación de valor para las organizaciones, permitiendo transferir distintos tipos de riesgos cibernéticos para el negocio y añadir una capa de protección corporativa que aporte un nivel de cobertura adicional a la excelente labor desarrollada por parte de los CISOs, las áreas de Continuidad de Negocio y Recuperación ante Desastres y Departamentos de Gestión de Riesgos Corporativos.

Este tipo de seguros cubren (en algunos casos de forma opcional) aspectos como la responsabilidad frente a terceros por fuga de datos personales e información corporativa, las pérdidas de beneficios y costes de restauración de los datos por incidentes o fallos en los sistemas TIC, las multas de organismos reguladores, la gestión de Incidentes, la rehabilitación de la imagen pública, los servicios de consultoría forense y de restauración de sistemas y datos, los incidentes y fallos en sistemas de gestión de sistemas de control Industrial (SCADA), la asesoría técnica y legal, etc. Algunas de estas coberturas tienen límites y sub-límites y quedan reflejadas en los llamados condicionados (condiciones particulares y generales).

Efectivamente, en el caso concreto de este mercado de los ciberseguros, ENISA (European Union Agency for Network and Information Security) ha publicado un informe donde confirma que la Unión Europea confía en el fortalecimiento del mercado de las ciberaseguradoras para concienciar a las empresas. En este informe además se critica la distancia que separa a este sector en Europa con respecto a Estados Unidos. Además, según este informe, el potencial auge de las ciberaseguradoras podría contribuir a mantener los costes de seguridad TI en el sector privado y a devolver la racionalidad al sector público, actualmente sometido a importantes presiones presupuestarias. El profesor Udo Helmbrecht, director ejecutivo de ENISA, hizo hincapié en que existe la posibilidad de que las políticas europeas de seguridad cibernética y la legislación deben ser complementadas por un programa de prevención centrado en el mercado de seguros cibernético. Asimismo, añadió que además de proporcionar la seguridad de que la cobertura adecuada está disponible, un mercado desarrollado en esta área ayudaría a mejorar los niveles de seguridad cibernética para poner un coste real de incidentes cibernéticos y mostrar los beneficios de implementar buenas prácticas de seguridad. (Fuente: Euroalert.net).

Manuel Arrevola (marrevola@segmedia.es)
Business Development Management
SegMedia Seguros

No hay comentarios :

Publicar un comentario en la entrada