Crónica junio 2024

El evento, con más de 350 inscritos en formato híbrido, constató la evolución de los ciberincidentes, sus coberturas y cómo se les está haciendo frente

TiSEC evidencia cómo afinan las pólizas y madura la medición continua del ciberriesgo ante un panorama creciente de amenazas

La más reciente edición de Espacio TiSEC, centrada en el ámbito del seguro cibernético frente a amenazas -con el ransomware a la cabeza-, repasó el estado del arte de este agitado escenario de la ciberprotección a través de la percepción de destacados CISOs y consultoras estratégicas -PwC y Alvarez and Marsal-, organismos públicos y fuerzas de seguridad (CCN, Incibe y Guardia Civil) sobre cómo hacer frente a este asunto de severa desconfianza digital, sobre cómo llevar a cabo el proceso de suscripción-contratación y qué debería mejorar, junto con la visión y el análisis de primera mano de referentes del propio sector mediador y asegurador, representado por Aon, Tokio Marine HCC y Arch Insurance, así como especialistas de compañías proveedoras de soluciones -como Commvault, Netskope y Veeam-, las cuales presentaron el estado del arte resiliente tecnológico ante el ransomware y fenómenos delicuenciales ciber.

El seguro cibernético goza de buena salud debido a la creciente madurez del mismo como herramienta imprescindible para transferir el riesgo y, también, por la cercanía del sector asegurador a sus clientes como partner en la gestión de las crisis para buscar el mínimo impacto. Así se destacó en la nueva edición de Espacio TiSEC, de Revista SIC, los pasados 19 y 20 de junio, bajo el título ‘Los ciberriesgos, en la encrucijada: El ransomware tiene un precio’. En formato híbrido y con una audiencia inscrita de más de 350 profesionales, se profundizó en el estado del arte -que no deja de mutar- en lo que respecta al impacto de los ciberataques (particularmente los derivados del letal ransonware y asociados), la mejora del proceso de ciberseguridad en organizaciones, el refinamiento de las tecnologías subyacentes, el juicio que al efecto hace de la situación el sector asegurador y mediadores, y la percepción de los investigadores policiales.

Potencial de la IA

Abrió la primera jornada una conferencia del Socio de Business Security Solutions de PwC España, Mario Benavente, presentado por el editor de SIC, Luis Fernández, sobre ‘El aterrizaje de la IA en los riesgos cibernéticos asegurables’, que comenzó recordando la alerta de Stephen Hawking a cerca de sus riesgos, hace ya casi una década. Referenciando datos del informe de la consultora ‘Digital Trust Insight’, alertó de que uno de cada tres participantes había sufrido ciberincidentes, siendo los riesgos tecnológicos y los temas de ciberseguridad el segundo aspecto que más preocupa a las compañías, según el 53% de los preguntados. Un aspecto en el que ya está siendo determinante la IA Generativa que la mayoría de los profesionales preguntados consideran “será muy útil en muchas áreas como el parcheado de vulnerabilidades, aunque también consideran que los atacantes la pueden usar de forma intensiva”. Sin embargo, al mismo tiempo, plantea retos como “la disponibilidad y calidad de los datos, la complejidad de la implementación, la no estacionariedad de los datos, la regulación y cumplimiento y, por supuesto, las preocupaciones éticas”.

Mario Benavente

Finalizó aconsejando “establecer un proceso continuo de supervisión del alineamiento y riesgo llevando a cabo evaluaciones estáticas y dinámicas”. “Se trata de disponer de un alineamiento dinámico para ver cómo responden los sistemas de IA en función de los dominios que hemos definido: fiabilidad, seguridad, equidad, resistencia al mal uso, entendimiento y razonamiento, norma social y robustez“, añadió.

Aseguradoras como socios

A continuación, el director de SIC, José de la Peña, dio paso al Head of Cyber Coverage and Claims en EMEA de Aon, Pablo Constenla, junto a Carlos Bereciartua, Director de Cyber Consulting de Aon España, sobre 'La visión del mediador'. Este último destacó la filosofía de su entidad, que pasa por sentarse con los actuales y futuros clientes a mostrarles los escenarios más frecuentes y su impacto en cada sector, cuantificando qué supone cada uno. Así, puso el ejemplo de un cliente al que le mostraron 17 posibles escenarios, con 35 áreas que hay que controlar para reducir su impacto. “Un ejercicio en el que se vio que en muchos de los posibles incidentes la póliza se quedaba corta, además de identificar los aspectos de ciberseguridad que se pueden mejorar”.

Carlos Bereciartua

Constenla destacó las estrategias que hay que poner en marcha para prepararse ante cibercrisis. “Cuando ocurre un ciberincidente, a diferencia de otro tipo de ramas del seguro, la compañía se convierte en un socio del cliente, alineándose con él y ayudándole. La aseguradora, en este ámbito, no está para enviar la factura final de indemnización, sino que es una ayuda imprescindible para recuperarse, sobre todo, en las primeras 72 horas”. De hecho, subrayó la importancia de plantear las políticas y acciones claras que hay que seguir cuando se produce el ciberincidente. En este sentido, señaló que “no todo es ransomware y cada vez los criminales piden cosas más raras más allá del rescate: hemos tenido un caso en el que reclamaron cinco años de consultoría gratuita como pago para poder recuperarse”.

Finalizó resaltando que, “ante un siniestro, la aseguradora no es tu enemigo: somos flexibles y ayudamos siempre en cualquier crisis, aunque partimos de que hay que confiar desde el principio en nosotros”, así como contar con “un panel de expertos de confianza”.

Pablo Constenla

Isaac Guasch

Más que un seguro

De igual forma, fue seguida con mucha expectación la ponencia del Cyber Security Leader, EMEA, APAC y Latam, Isaac Guasch, y la Cyber Underwriter Italy, Iberia & Latam, Cristina Brau, ambos de Tokio Marine HCC, sobre la visión de la aseguradora en este ámbito. “Hay que tener en cuenta qué aportamos más allá de la transferencia, ya que intentamos acompañar al cliente con una visión 360º. Somos muy activos en inteligencia y podemos aportar mucho a la parte proactiva y mejora de la madurez en ciberseguridad”, recordó el primero. “Y eso es lo importante: que se nos vea como un socio, que puede aportar información, métricas, tendencias para anticiparse a incidentes o gestionar mejor las vulnerabilidades”, además de ser “muy activo en lo que atañe a la concienciación y capacitación tanto con clientes, como con brokers”.

Cristina Brau

Brau también puso en valor la necesidad de “colaborar más entre aseguradoras, corredores y clientes, en todos los niveles” para poder ofrecer las mejores pólizas. Así, especificó tres aspectos que considera vitales: “tener clara la cobertura que se precisa, en función del tipo de empresa, contar con una visión clara de los pasos que hay que dar en caso de vivirse una crisis, sobre todo, en los primeros tres días, y por último, facilitar las cosas a la aseguradora mostrándola cómo es la empresa para entenderla mejor y ayudarla en lo que realmente necesita a través de sus casos de riesgo y un roadshow claro”.

Terceras partes

El Branch Manager y Head of Cyber Iberia en Arch Insurance, José Carlos Jiménez, continuó profundizando en el papel de la aseguradora comentando que, “aunque el nivel de ‘siniestralidad’ en lo cibernético se mantiene desde 2020, cada vez se pagan menos rescates porque las empresas están más concienciadas con no financiar al cibercrimen y, también, porque cuentan con mejores sistemas de recuperación, como copias de bases de datos offline que permiten volver a funcionar rápido”. Eso sí, recordó desde la compañía, que cuenta con más de 20.000 millones de dólares en primas, que “cada vez se hace más foco en la cadena de suministro, en lo que suponen los incidentes a través del correo-e -incrementados por la facilidad para hacer suplantaciones gracias a la IA-“. También recordó que, por ejemplo, en el sector salud, el “90% de los incidentes vienen por errores humanos” y que es necesario “una mejor concienciación en este ámbito”.

Además, aconsejó dedicar tiempo al proceso de precontratacion, contratación y postcontratación del seguro, “invitando a tener una relación cercana entre las partes” para que “con una llamada se pueda activar una gestión de crisis adecuada”, además, de “acometer análisis de riesgos a los que siempre ayuda tener una ciberpóliza que cubra pérdidas catastróficas, que es lo que realmente le da sentido”.

José Carlos Jiménez

La visión del directivo de ciberseguridad

Finalizó el primer bloque matinal el Responsable de Proyectos Estratégicos en Ciberseguridad de Cepsa, Rafael Hernández, uno de los profesionales más reconocidos en este ámbito. En su intervención, destacó la necesidad de entender y asumir la propiedad del ciberriesgo que “no sólo depende de los sistemas, sino que además implica a todas las áreas de la empresa”, poniendo en valor la importancia de la ciberpóliza para calibrarlo ya que “lo que no se cuantifica no existe”.

Durante su intervención, fue mostrando aspectos de gran interés sobre cómo Cepsa contrató su primera ciberpóliza y cómo la ha ido renovando, “a través de un equipo multidisciplinar con el departamento de seguros y de ciberseguridad”, entre otros muchos expertos que han comenzado por “entender y analizar los escenarios de riesgos cibernéticos y poniéndoles un impacto económico” gracias a fuentes de calidad, análisis de riesgo, etc. Precisamente, definir los posibles impactos fue “uno de los trabajos más complicados”, pero también más necesarios. A ello se suma como tercer punto clave “la estrategia de gestión del riesgo”, un proceso en el que la figura del CISO es imprescindible como “acompañamiento” por su “visión 360º”.

En definitiva, se trata de “ofrecer información muy concreta a la aseguradora”, para lo que la compañía utiliza complejas tablas en Excel recordando a los asistentes que, al final, “los ciberseguros no sustituyen a nada, pero sí son un ‘además’” cada vez más imprescindible para generar confianza.

Rafael Hernández

Propuesta de la industria

Con los participantes en el segundo tramo de la jornada inicial se dieron a conocer las principales tecnologías y servicios de empresas referentes de la industria que abordan con foco preciso estas problemáticas aportando soluciones tecnológicas resilientes. Así, César Cid, Chief Customer Officer EMEAI de Commvault, profundizó sobre el concepto de ciberresiliencia desde una visión holística de la gestión de datos, exponiendo las cuatro principales tendencias de mercado al respecto, como son: la nube o la multinube, la IA, el ransomware y las regulaciones, como DORA, NIS2, HIPPA, etc.

Para darles respuesta y minimizar todos los riesgos posibles, el experto desgranó la apuesta de la compañía por “la separación de planos”, como parte de su plataforma Commvault Cloud: el plano de control y el plano de datos. “Cada uno ellos tienen otras capas de seguridad de forma que, si alguien malicioso es capaz de romper la seguridad, se aísla esa parte”.

A continuación, Cid destacó “cinco superpoderes” de su propuesta para alcanzar la ciberresiliencia. Así, subrayó la portabilidad ‘Any 2 Any’, así como la gestión de riesgos, siendo capaces de indexar la información en modo 4D. A ello, se le une la seguridad, con detección de anomalías mediante IA e integración de threat scan, entre otras capacidades. También, destacó su cyberdeception, emulando los entornos de backup para saber si se está siendo atacado o existe un comportamiento anómalo. Y, por último, la recuperación, con su Cloudburst, para orquestar recuperaciones de forma masiva.

César Cid de Rivera

Tampoco se quiso olvidar de soluciones como Airgap Protect y, especialmente, de su tecnología de cleanroom, mediante su innovador Commvault Cloud Cleanroom Recovery, que “posiciona a la compañía en un lugar único en el mercado”, concluyó.

SSE y Confianza Cero al servicio del cumplimiento

A continuación, subió al estrado Manuel Lorenzo, Regional Sales Manager de Netskope, quien enfocó su presentación en el área del Security Service Edge (SSE) y Zero Trust como habilitadores del cumplimiento regulatorio en la contratación de ciberseguros.

Entre otras capacidades, Lorenzo explicó que en la compañía “contamos con un equipo que ayuda a nuestros clientes a cumplir con el marco legislativo, a través de una serie de controles requeridos por las regulaciones”. Entre ellos, destacó la detección de las amenazas de ransomware y malware. En este sentido, “lo que hace SSE es minimizar en tiempo real el software malicioso que se descarga, a través de un sistema de Doble Barrera”, indicó. De forma conjunta, mediante IA y Machine Learning (ML) se maximizan las capacidades para detener amenazas, a través de funciones como PE Classifier, OfficeClassifer o su motor de phishing, PhishingClassifer. “Todo, integrándose además con otras capas de seguridad”, puntualizó.

Otro de los controles más habituales que ofrece Netskope es el de descubrir y proteger la información sensible a través de un sistema de ‘Data Protection’ + DLP unificado que controla vectores de fuga. Animismo, destacó su capacidad de DLP con IA/ML, acelerando la detección de datos sensibles y ahondó en la disponibilidad, dentro de la resiliencia operativa, como otro control que Netskope proporciona mediante su red NewEdge, con una cobertura mundial de 74 regiones, con nodos propios. Por último, destacó la nube como un control en sí mismo. Aquí, una de las mayores ventajas competitivas de la compañía radica en su motor Zero Trust, con políticas en tiempo real.

Manuel Lorenzo

El especialista terminó su ponencia con el uso seguro y las buenas prácticas de la IA Generativa, indicando que “tenemos más de 200 aplicaciones de IAGen controladas para que se utilicen y no creen un riesgo para una organización”.

Santiago Campuzano

Hacia la ciberresiliencia

Para cerrar este bloque, tomó el testigo Santiago Campuzano, Country Manager de Veeam Software, quien ofreció una visión global de la resiliencia ante los ciberataques, destacando que el denominado “Modern Data Protection es la respuesta a las necesidades de gestión de la información de las empresas para tener una Resiliencia Absoluta”.

Campuzano afirmó que el estado de salud de la ciberseguridad va “muy mal”. Y es que “el mercado del cibercrimen es de un billón de dólares, tres veces más que el mercado de la ciberprotección dentro de cinco años”, afirmó. Junto a ello, describió los tres ciberriesgos más importantes: la interrupción de negocio, el impacto reputacional y el impacto legal y normativo.

Tras describir dicho contexto, Campuzano destacó que la compañía está trabajando en España “con los especialistas en ciberresiliencia y en el entorno de los ciberseguros de la firma LazarusCyber”. “Ellos trabajan con las cuatro reaseguradoras del mundo porque hacen una cosa muy bien que es el análisis forense”, señaló.

A continuación, explicó que Veeam trabaja con el modelo ‘3-2-1’, es decir, tres copias distintas en dos medios diferentes con una copia offsite, “que es lo que todos plantean dentro del backup tradicional”. Pero, además, la compañía le suma dos variables: ‘1-0’. Es decir, que sea offline air-gapped (aislado) inviolable, y cero errores en la recuperación.

La compañía plantea dicho modelo ‘3-2-1-1-0’ con tres variables: Data Security, Data Recovery y Data Freedom. “En la primera, tenemos que ser capaces de prevenir amenazas, inmutabilidad en cualquier lugar donde trabajemos y ofrecer acceso seguro”. En la segunda, “hay que ser los más rápidos recuperando con precisión, disponer de orquestación segura automatizada y evitar la reinfección”. Y dentro del Data Freedom, “tenemos que ser libres de poner las cargas donde queramos, elegir la infraestructura y movilidad multicloud”. Además, destacó la compra de una de las principales compañías de negociación en rescates, Coveware, así como sus soluciones Veeam Data Platform y Veeam Data Cloud. Campuzano finalizó resumiendo, entre otras conclusiones, que “lo que tenemos que buscar es confianza sin complejidad”.

DEBATE
Compartición de información y transparencia a la hora de informar sobre un ciberincidente, a debate

La primera jornada de TiSEC terminó con un debate de gran parte de los intervinientes de dia inaugural. Moderado por José Manuel Vera, redactor de SIC, participaron Santiago Campuzano (Veeam Software), Manuel Lorenzo (Netskope), César Cid (Commvault), Isaac Guasch (Tokio Marine HCC), José Carlos Jiménez (Arch Insurance) y Carlos Bereciartua (Aon España).

Entre otros aspectos, los intervinientes destacaron que el seguro cibernético no es una moda, sino que “seguirá evolucionando y ha llegado para quedarse”. Junto a ello, hubo un especial interés en conocer qué es lo determinante para estar protegido, pero, a su vez, no se presta suficiente atención en las empresas. En este sentido, Campuzano indicó de forma concisa: “saber que no eres ciberseguro”. “Tienes que ser consciente de que estas permanentemente en crisis”, puntualizó. Por su parte, Lorenzo añadió lo que ya destacó en su ponencia, “el riesgo de las instancias, que la mayoría de las veces no está mitigado en las empresas, y no se trata precisamente de una pequeña parte de la fuga de datos”. Para Cid existe un “exceso de confianza”, es decir, “el hecho de pensar que ante un ransomware puedes ‘levantarte’ con, por ejemplo, solo un backup recovery, pero no es así”. Para Guasch reside en el “factor humano, que siempre va a estar ahí” y Jiménez indicó que “es importante entender el ciberriesgo y asumir que hay riesgos que son conocidos y otros no”. Bereciartua, por su parte, señaló que “como los clientes son tan variados, el factor determinante es diferente para cada uno de ellos”.

Otra de las cuestiones que generó más interés fue conocer de mano de los participantes las principales lecciones aprendidas del último ciberincidente en el que han participado. Bereciartua respondió sin dudar que, “desde el inicio, hay que involucrar a la aseguradora, decir la verdad, con quién estas contactando… En definitiva, ser muy claro”. Jiménez manifestó, asimismo, “transparencia y explicar abiertamente el incidente en todas sus etapas”. Guasch añadió dos factores clave, “humildad, en el sentido de reconocer que no siempre se sabe lo suficiente y, junto a ello, también es importante entender el negocio y el contexto para saber si las medidas propuestas tienen sentido o no”. Del lado de la industria, para Cid “la clave está en no relajarte nunca y pensar en todo lo que tienes que tener para darle respuesta”. Lorenzo se inclinó por “monitorizar todos los sistemas”, “cuanto más consolidemos los controles y estén más unificados, mejor va a ser para la compañía”, subrayó. Y, Campuzano esgrimió “tener visión realista, saber dónde estoy y a qué me estoy enfrentando. Seguir las mejores prácticas y ser transparentes con los que trabajan junto a ti”.

Asimismo hubo mucho interés en conocer si en el mundo asegurador existen intentos formales de compartición de información. “Oficialmente no”, confesaron. No obstante, indicaron que “utilizamos herramientas para trata de abrir un canal de compartición, es lento pero vamos en dirección de colaborar y compartir” porque “todas estamos muy en línea en cuanto a preocupación y conocimiento”.

Para concluir, también se quiso conocer por parte de las tecnológicas sus predicciones sobre los nuevos escenarios de ataque. Todos estuvieron de acuerdo en que los ciberdelincuentes “están empezando a utilizar la IA y será el día a día en los próximos años”, “atacando al eslabón más débil que es usuario final” y “poniendo foco en la suplantación”. “Esa es la razón por la que todos tenemos que colaborar”, subrayaron.

Álvaro

El termómetro público: CCN-CERT e Incibe-CERT

Comenzó la segunda jornada con una impartición al alimón sobre la 'Evolución del impacto del ransomware en ámbitos públicos y privados', en el que participaron Álvaro, Coordinador del Equipo de Respuesta a Incidentes del CCN-CERT -donde, por seguridad, no se dan apellidos de sus integrantes-, y Daniel Fírvida, Experto de Vigilancia, Alerta Temprana y Prospectiva del Incibe-CERT. Dos ponentes que mostraron cuál es el nivel de alerta y frente a qué amenazas se enfrenta el país y cómo se acomete su defensa tanto en el sector privado, como en el público, en razón a la información obtenida y gestionada por sus entes.

Álvaro comenzó mostrando el “cada vez mayor número de incidentes y el impacto que tienen en las administraciones”, poniendo en valor que la recomendación del organismo es “ser transparentes desde el primer minuto, para que el relato sea el real y evitar que se publique lo que no ha pasado, evitando daños reputacionales”. Además, lamentó que muchos ciberincidentes se producen por fallos muy básicos como la falta de doble factor de autenticación (MFA).

Daniel Firvida

Por su parte, Fírvida remarcó la necesidad de tener capacidades proactivas, una filosofía con la que actúa Incibe para evitar que “un ataque que comienza con un malware no termine con un ransomware”, intentando buscar y parchear “sistemas vulnerables”. Lamentó que, a pesar de lo que se ha mejorado, aún se pagan “demasiados rescates de ransomware y eso alimenta la extorsión”, recomendando “no abonarlo nunca porque no hay garantías de que puedas recuperar la información”.

A continuación, ambos expertos protagonizaron un interesante debate, moderado por De la Peña y con preguntas de los asistentes, en el que se manifestó la necesidad de proteger mejor a los actores de la cadena de suministro, “que también suponen una pérdida de confianza, algo fundamental en ciberseguridad”, resaltaron. Además, explicaron cómo el cibercrimen está cambiando su estructura surgiendo con mucha fuerza el ‘ransomware as a service’ con afiliados que alquilan la infraestructura para realizar ataques ‘de oportunidad’.

Pagar no es delito

Entre las conferencias que más expectación despertaron en TiSEC también estuvo la del Jefe del Departamento contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil, el teniente coronel Juan Sotomayor, que habló sobre ‘Casos notables de extorsión’. En su exposición, repasó algunas de las últimas operaciones realizadas por su unidad, recordando que en los últimos años tiene tanto trabajo que ha obligado a triplicar su personal, aunque aún sigue siendo insuficiente. “Nuestro trabajo se basa en la atribución, por lo que nos centramos mucho en la inteligencia económica y también hacemos mucha labor de campo. En definitiva, nos movemos entre lo físico y lo virtual para lograr una atribución adecuada”, recalcó a la vez que puso en valor su enfoque proactivo, más que reactivo, frente a muchas evidencias del cibercrimen. Por ello, explicó que se está invirtiendo mucho en herramientas de ciberinteligencia, como Q Intel. Asimismo, dio a conocer muchos aspectos curiosos de tres operaciones notables realizadas por el Departamento en los últimos meses.

Juan Sotomayor

Además, aprovechó su intervención para recordar que, aunque pagar rescates de ransomware no es delito, sí es fundamental notificarlo a las Fuerzas y Cuerpos de Seguridad para que puedan ayudar en la negociación y, sobre todo, buscar en la trazabilidad de los abonos para intentar determinar la autoría del grupo cibercriminal. “Cada vez resulta más imprescindible trabajar con las empresas cuando sufren una crisis, porque son ellas las que mejor conocen lo que ha pasado y nos permiten tener el mejor punto de partida”, quedando todo “entre la víctima, el juez, el fiscal y nosotros”. Finalizó pidiendo la máxima colaboración para facilitar su trabajo en el que también destacó que cada vez se hace de forma coordinada con otros cuerpos policiales de otros países.

Juan Antonio Calles

Test antiransomware

A continuación, Luis Fernández presentó al siguiente ponente, el CEO de Zerolynx Group, Juan Antonio Calles, quien disertó sobre 'Petición de rescate, mediación y negociación'. En su intervención, mostró de forma muy ilustrativa y práctica dos casos de ransomware en los que la firma ha ayudado a una empresa privada y otra pública a continuar con su actividad. En el primero de ellos, sufrido por una compañía privada en 2021, el ejecutivo destacó la gran profesionalidad de los criminales a la hora de llevar a cabo el ataque, de pedir el rescate en función de la facturación de la empresa y de la importancia de contar con copias de seguridad offline que, en esta ocasión, permitieron restaurar los sistemas. “Uno de los aspectos más curiosos es que hasta que no llamaron de la empresa para negociar, el cibercriminal no sabía que la había atacado, por lo que nosotros recomendamos hacerlo en última instancia: si no saben que te han robado información, no la publicarán. Y yo soy de los que recomienda no pagar”, confesó.

En el caso de la empresa pública, entre otros aspectos, la ayuda se complicó porque, al llegar, el equipo de Zerolynx se encontró con que se había reinstalado toda la red de servidores por lo que se habían perdido todas las trazas del ataque. “No logs no crime”, destacó sobre la importancia de contar con la mayor información para buscar la respuesta más eficaz. Como conclusión, recomendó ser más proactivo con tecnologías como EDR, XDR, antimalware y una política adecuada de backup, además de la necesidad de realizar ‘auditorías antiransomware’ como la que ofrece Zerolynx y que permite conocer el nivel de preparación y capacidad de recuperación frente a este tipo de ataques basándose “en cuatro ejes que propone Mandiant: revisar la arquitectura, la respuesta, las comunicaciones y la recuperación”. “Con ello, estás cubierto en un 99%”.

Medición continua del riesgo

La segunda jornada prosiguió con el Senior Director de Alvarez & Marsal, Juan López-Rubio, que respondió a la pregunta '¿Buscando la piedra Rosetta de los ciberseguros?’, a través de una innovadora propuesta basada en “medir el riesgo de forma continua en la relación seguro-asegurado, para saber qué nivel se tiene que asumir”. Para ello, destacó que es imprescindible contar con “un cuadro de mandos por cliente que permita ver la evolución en ciberseguridad y saber el nivel en cada momento en función de las posibles amenazas”. Algo que consideró “vital”, por cuanto cada vez hay más ataques “y el próximo puede ser cualquiera”.

Frente a ello, planteó diferentes formas de medir el riesgo y mostró su original propuesta de un framework y metodología más allá de estándares, certificaciones y normativas. “Un sistema único con un ‘lenguaje común’, que permita entenderse de forma clara entre aseguradoras y asegurados y que, no siendo la ‘Piedra Rosetta’ del ciberseguro permite conocer el riesgo en cada momento”, para ofrecer primas “a medida”. “No digo que sea el mejor, pero sí que es un excelente punto de partida para calcular las magnitudes del seguro”, destacó en su propuesta de marco de trabajo, que está compuesta de cinco dimensiones -Vulnerabilidades Detectadas (VD), Frecuencia de Incidentes (FI), Impacto Financiero Potencial (IFP), Tiempo de Respuesta (TR) y Nivel de Madurez en ciberseguridad (NMC), que permitiría obtener “una puntuación para ofrecer una prima”. Además, realizó una “llamada a la acción” al sector asegurador para trabajar en un sistema de este tipo que aporte claridad y simplificación.

Juan López Rubio

Ramón Ortiz

Póliza de riesgo digital

Finalizó esta edición de TiSEC el responsable de Seguridad IT de Mediaset, Ramón Ortiz, hablando de la ‘Póliza de ciberriesgo: aportaciones del CISO y consideraciones para su viabilidad’. Una interesante exposición que repasó cómo el grupo multimedia contrató su primera póliza de ciberprotección hace años y cómo ha ido evolucionando hacia un concepto mayor de ‘póliza de riesgo digital’, activa hace cuatro años.

Se trata de un proceso, según explicó, en el que figuran ejecutivos de diversas áreas para tener una gestión integrada del riesgo, “ya que no siempre el propietario de los riesgos ‘ciber’ es el equipo de tecnología y ciberseguridad”. Mostrando cómo se ha aprobado un “modelo bastante estandarizado” para la contratación de este tipo de seguros, repasó los diferentes riesgos que puede sufrir una empresa como Mediset -interrupción del negocio, pérdida de interés por los contenidos, cumplimiento regulatorio, transmisión tecnológica, etc,- y recomendó apostar por este tipo de pólizas porque “la primera vez que se contratan siempre exige superar un proceso complicado, que no tiene que ver cuando se ha renovado cinco veces”.

Sí reconoció que en el proceso de contratación echa de menos algunas preguntas por parte de las aseguradoras, como una mayor información de los proveedores con los que se trabaja, inversión en infraestructuras “para tener más claro el riesgo que se cubre”. Y, para los que cuentan con ella, recomendó “leerla con detenimiento, comprender sus exigencias y coberturas, tener claro cómo usarla y quién es el gestor de ella dentro de la empresa”, así como las exclusiones que contempla: “si pagas un rescate de ransomware sin informar a la aseguradora y que te dé su autorización, por ejemplo, lo habitual es que no te lo cubra”. En definitiva “tener una ciberpóliza no elimina riesgos pero sí exige hacer un análisis continuo y mitigarlos”, lo que siempre es muy positivo.