Espacio TiSEC concita el interés de cerca de 300 inscritos para debatir con foco sobre cómo dar respuesta a sus principales retos
La visibilidad, calificación e identificación de los proveedores críticos, clave para la protección de una cadena de suministro cada vez más compleja
Con cerca de 300 inscritos en formato dual -presencial y en línea- Espacio TiSEC, bajo el título ‘¿Encadenados a un suministro frágil? Dependiendo de ti’ reunió, el 18 y 19 de junio, a grandes referentes en lo que atañe a la ciberseguridad en los ecosistemas de subcontratación, la denominada ‘cadena de suministro’, quienes mostraron de forma práctica y desde una visión 360º cómo encarar este riesgo, transferirlo, reducir su impacto y hacer frente a lo que sería su ciclo de vida de la mano de actores de sectores y ámbitos concernidos en calidad de compañías copatrocinadoras como Advens, Aon, Arch Insurance, Leet Security, Resilience y Tokio Marine HCC, e igualmente con clarificadoras aportaciones de expertos en consultoría y de ámbitos asociativos, financieros y de telecomunicaciones.
Para el 54% de las grandes organizaciones, los problemas de la cadena de suministro son el mayor obstáculo para lograr la ciberresiliencia, según datos del último informe del Foro Económico Mundial. La Agencia de la Ciberseguridad de la UE (Enisa) también la ve como el principal riesgo cibernético para 2030. Así, en un momento de especial complejidad geopolítica, con amenazas cambiantes y complejas, y una gran interdependencia de terceras partes, Espacio TiSEC, de Revista SIC, dedicó su edición de junio a la ciberprotección en los ecosistemas de contratación. Dos jornadas, el 18 y 19 de junio, en las que casi dos decenas de ponentes de todos los ámbitos mostraron su visión experta a los casi 300 asistentes, in situ y en remoto, que pudieron debatir también de los principales retos de este aspecto que consideran crítico normativas europeas como DORA y NIS2, entre otras.
El congreso comenzó con el senior director de Alvarez&Marsal, Juan López Rubio, presentado por el director de SIC, José de la Peña, y su visión sobre “cómo dar carta de naturaleza a los riesgos de ciberseguridad de terceros en el sistema corporativo de gestión de riesgos sin morir en el intento”. En su intervención destacó la necesidad, como se ha hecho en la historia militar, de integrar la cadena de suministro y su gestión segura en “el sistema de gestión de riesgos digitales”.
Board as a Service
Así planteó un nuevo concepto, el de ‘Board as a Service (BaaS)’, como ejemplo de entendimiento entre la alta dirección y los responsables de ciberseguridad y tecnología. “Porque la gestión de riesgos tiene que venir de arriba abajo”. A modo de conclusión, destacó la necesidad de “tener la máxima visibilidad del riesgo digital -porque todo lo que no se ve no se controla-, así como la responsabilidad por parte del Consejo de Dirección, siendo consciente de los riesgos que se asumen, además de apostar por procesos de mejora continua y actualización de la gestión del riesgo en tiempo real y disponer de un plan de acciones preventivas que permitan actuar antes del incidente”. Además, a preguntas de los asistentes lamentó que cuando se hacen las cosas simplemente para cumplir la regulación, por imposición, “se tiende a pensar poco”.
Juan López Rubio
Silvia Senabre
Acto seguido, tomó el testigo la jefa del Grupo de Riesgo Tecnológico de la Dirección General de Supervisión del Banco de España, Silvia Senabre, que profundizó en los “avances en la mejora efectiva de la resiliencia operativa de clientes y proveedores”, en el sector bancario, recordando que, ahora, “el foco ya no está en lo contractual o formal sino en buscar la resiliencia”. Además, insistió en que “no hay que hacer las cosas porque el regulador lo pida, simplemente porque a cada empresa le va mucho en ello. La gestión eficaz del riesgo debe estar en el ADN de cada compañía, embebida en todos los niveles y siendo consciente de que es el Consejo el que tiene la responsabilidad de hacerlo”.
También, aconsejó encarar los planes de ciberseguridad de forma anticipativa y “pensando no sólo en ciberataques que aprovechen el punto más débil, sino en todo tipo de eventos disruptivos operativos, porque cualquier fallo en un proveedor al final será tu problema”.
Mucho por hacer
En este sentido, lamentó que muchas entidades “aún no cuentan con un inventario de sus terceros actualizado, lo que es muy preocupante”. Y conminó a acometer un “mapa claro y bien hecho de dependencias de las compañías sabiendo quiénes son los suministradores críticos, no sólo por el valor de los contratos que se tiene con ellos sino, realmente, por lo que supone no disponer de su servicio”. “Puede haber muchos de menor coste, pero con un gran impacto si se carece de él”. “Las cadenas de suministro cada vez son más largas y complejas, no es fácil implementar seguridad frente a ellas, pero es un riesgo imprescindible que hay que gestionar, está en juego tu negocio. Cuesta mucho ganar reputación y es fácil perderla”. Eso sí, también puso en valor todo lo avanzado y la madurez de las empresas en la relación con sus proveedores y su protección. “En 20 años se ha avanzado mucho y bien, pero no es suficiente. Hay que hacer más: no hay otro camino para ser resilientes”, finalizó recordando que “los supervisores estamos para remar en la misma dirección que los profesionales de gestión de riesgos y animar a los consejos a que sean más diligentes”.
José Carlos Jiménez
Transferencia del ciberriesgo
A continuación, el editor de SIC, Luis Fernández, dio paso al bloque protagonizado por los grandes referentes en el ciberseguro en España. Un apartado que inauguraron José Carlos Jiménez, Branch Manager & Head of Cyber Iberia, y Rafael Ortiz, European Senior Cyber Underwriter de Arch Insurance para profundizar en “los riesgos tecnológicos en la cadena de suministro” y de los “impactos de la tecnología en las operaciones empresariales”. En su intervención, destacaron la evolución de los riesgos pidiendo también un esfuerzo por unificar regulaciones y facilitar el reporte de incidentes. “Lo que mejoraría mucho las cosas”.
En este sentido plantearon los que consideran grandes problemas para la seguridad de la cadena de suministro, como la ‘ciberdesigualdad’ entre empresas y su madurez en protección cibernéticas, la reducida visibilidad de las cadenas de suministro que tienen muchas compañías como las vulnerabilidades de software introducidas por la terceras partes, las dependencias de proveedores críticos y, también, el impacto de los problemas geopolíticos en las cadenas de suministro, "ya que el 60% de las estrategias cibernéticas de las organizaciones se ven influidas por tensiones de este tipo, que llevan al 16% de las empresas a cambiar de proveedor".
Riesgo cambiante
Frente a ello, pusieron en valor los esfuerzos en evaluar, mitigar y saber transferir el riesgo, teniendo en cuenta el tipo de incidente que se quiere cubrir, su alcance, su impacto y, también, lo que no cubre la ciberpóliza. “El riesgo va cambiando y hay que tener las herramientas necesarias para detectarlo”, destacaron. Así plantearon lo que consideran seis aspectos claves. "En primer lugar, tener clara la identificación nuestros proveedores críticos nos permite hacer una correcta evaluación del riesgo, y de la exposición a terceros", comentó Jiménez, además de considerar vital "adoptar controles que nos permitan tanto prevenir como mejorar la respuesta ante una indisponibilidad en un tercero, lo que nos ayuda a reducir la exposición”, así como contar con una mayor “transparencia” frente a los posibles riesgos para tener “una cobertura más eficaz y adaptada a las necesidades del cliente”.
Por su parte, Ortiz recomendó “adaptar las coberturas a las necesidades de la compañía ayuda a estar más protegido y realizar una transferencia del riesgo más eficiente". Además, “establecer mecanismos de colaboración público-privada para eventos sistémicos ayudaría a ofrecer una mejor respuesta ante estos eventos", finalizó comentando que "la respuesta que ofrecemos ante un incidente puede marcar la diferencia. Asegurar la continuidad de las operaciones es clave para el éxito a largo plazo de las organizaciones".
Rafael Ortíz
Diego Rodríguez
Plataforma de medición del riesgo
A continuación, Diego Rodríguez, Cyber Underwriter Manager Iberia, y Edoardo Zorzin Senior Cyber Underwriter de Resilience, mostraron su innovadora solución en este ámbito a través de una plataforma y una ciberpóliza que permite involucrar al cliente, no sólo en el proceso de transferencia del riesgo sino también, hacerle partícipe de diferentes iniciativas para mejorar su postura de ciberprotección y mitigar riesgos. “En 2024, el número de reclamaciones en lo cibernético se mantuvo estable en cuanto a número, pero sí creció mucho en su impacto. Por lo que esto hay que tomárselo muy en serio”, comentó Zorzin. “Hay que ser más proactivos en la mitigación el riesgo, implementando controles de buena gestión y teniendo clara la situación de cada empresa”, añadió Rodríguez lamentando que aún hoy “mucha gente no ve el riesgo cibernético”.
Frente a ello, mostraron el valor diferencial que aporta su plataforma, como solución SaaS, que permite conocer de forma dinámica y en detalle informes de riesgos de los proveedores y su postura de ciberseguridad, permitiendo evaluar y cuantificarlo, y priorizar los controles que son más críticos, adaptados a la situación de cada momento.
En este sentido, desde la empresa ofrecen dos niveles según la complejidad del riesgo: por un lado, la denominada ‘Essential’, de seguro cibernético, que ofrece una cobertura integral, incluso con simulaciones para validar controles; y otra bautizada como ‘Edge’, para una “gestión completa del riesgo ‘ciber’ siendo la única solución que prioriza financieramente tu riesgo cibernético con datos reales de pérdidas”, resaltó Zorzín.
Edoardo Zorzín
Isaac Guash
Impactos ciberfísicos
A continuación, Isaac Guasch, Cybersecurity Leader, y Cristina Brau, Cyber Underwriter Italy, Iberia & Latam, de Tokio Marine HCC, mostraron el concepto, en estudio en la multinacional, del denominado ‘Kinetic Thinking’ que despertó gran interés en los asistentes por lo que supone: “romper la frontera crítica entre el seguro digital y el físico”. Una aproximación que "combina lo digital (ciberataques) con consecuencias físicas reales". Así, mostraron cómo la multinacional está valorando poner en marcha pólizas híbridas (ciber+kinetic), evaluando riesgo físico derivado de lo digital (especialmente en cadena de suministro) e integrando la prevención en todo tipo de áreas y procesos (IoT, escaneo continuo, equipos de respuesta)”. “Están surgiendo nuevas coberturas y necesidades de los clientes y estamos viendo cómo darles respuestas”, explicó Brau.
Guasch ilustró de forma simpática, con imágenes basadas en Lego, cómo se producen los ciberataques a través los proveedores generando daños tanto digitales como físicos. Ambos pusieron en valor la tendencia de ciberataques, ya sea a hospitales o fábricas, que pueden terminar teniendo impacto en las personas y frente a lo que está reaccionado el mundo del seguro “con iniciativas como la de Tokio Marine HCC que involucra a muchos departamentos y que busca mejorar su propuesta”. Además, recomendaron a los tomadores de seguros contar en sus pólizas con una “descripción detallada de las operaciones y equipos, una contratación basada en la exposición real al riesgo, aplicando las mejores normas de ciberseguridad y capacitando siempre a los empleados, así como notificar a la aseguradora incidentes y cambios operativos de forma correcta”.
Cristina Brau
Identificar proveedores críticos
Tras ellos, terminó el bloque del primer día con una ilustrativa intervención de la visión de un mediador, a cargo, al alimón, de Verónica Jimenez, Director Specialty Cyber Insurance España, y Pablo Constenla, Head of Cyber Coverage and Claims de Aon, sobre el actual panorama en lo que atañe a la “incidencia de los ciberataques a terceros en la negociación de pólizas entre clientes y aseguradoras”.
"Los incidentes originados en la cadena de suministro se han convertido en una de las principales fuentes de reclamaciones de ciberseguridad en los últimos años”, destacó Jiménez, quien recordó que “el reto para las empresas es garantizar que cada eslabón de su cadena cumpla con estándares mínimos de seguridad y esté adecuadamente protegido”. Frente a ello, mostró la aproximación del mediador que pondera la ciberseguridad de los proveedores, buscando identificar su madurez de forma numérica, además de aconsejar a sus clientes clasificarlos por su criticidad, impacto operativo, realizar auditorías periódicas, etc. Constenla destacó la necesidad de plantearse la posibilidad de “riesgos sistémicos y catastróficos”.
Verónica Jiménez
Pablo Constenla
Ambos pusieron en valor cómo han de evolucionar las pólizas de ciberriesgo para proveedores hacia la inclusión del proveedor tecnológico. En este sentido, recomendaron, en caso de no tener este tipo de seguros, apostar por uno “ya que, tras un tiempo de ‘mercado duro’, hay ahora uno muy favorable que hay que saber aprovechar por sus amplias coberturas, entre ellas la de la cadena de suministro”. Eso sí, también destacaron que hay que tener claro qué no te cubre este tipo de pólizas como, por ejemplo, las perdidas por fallos de la infraestructura. Además, expusieron varios casos reales de los últimos meses sobre reclamaciones y cláusulas debatidas con los proveedores en incidentes habituales, como el caso del ransomware.
Mariano J. Benito
Segunda jornada
Abrieron la segunda jornada de Espacio TiSEC dos destacados profesionales como Mariano J. Benito, Cybersecurity & Privacy Ambassador de GMV, y Francisco Lázaro, CISO y DPD de Renfe, que presentaron conjuntamente la propuesta que han realizado, en nombre del ISMS Forum, de un ‘Modelo único y compartido de Declaración Responsable para la Gestión de Terceros’. Una propuesta en la que han participado, al menos, 50 empresas, y que pasa por ofrecer un formulario “para que sea común a todos los requerimientos”, y evitar “que te pidan cosas absurdas. Eso sí, no es un modelo de certificación, es un complemento -consta de ocho capítulos, con 60 preguntas y 11 requisitos de ciberprotección, incluso nueve de IA-. Y la idea es concienciar a muchos proveedores medianos y pequeños que tienen que hacer cosas en ciberseguridad”, destacó Lázaro.
Por ejemplo, identificar al responsable de ciberseguridad de una empresa, “lo que no siempre está claro”, añadió.
Cadena de suministro en la sombra
Benito afirmó que “hay expectativas falsas sobre la cadena de suministro porque no hay un proveedor como tal, sino una cadena de proveedores con los que muchas veces no existe, de hecho, un acuerdo contractual. Es lo que se denomina ‘shadow suply chain’ y para afrontarlo hay que apostar por “hacer un inventario de requisitos, ya que, como tal, la cadena de suministro no existe.
Así, mostraron los apartados más significativos del formulario, que intenta evitar que sea ‘prerespondido’ y que trata de “conocer las limitaciones de los suministradores, dar confianza, mejorar el tiempo de respuesta, optimizando recursos, generando eficiencia”, comentó Benito. Además, Lázaro recordó que este modelo de formulario ya cuenta con el apoyo del CCN, la OCC y, en su nueva versión -actualmente en marcha- también con el Incibe.
Francisco Lázaro
Jorge Hurtado
MSSP como ayuda imprescindible
A continuación, Jorge Hurtado, COO en Iberia de Advens, mostró la importancia de contar con servicios de ciberseguridad gestionados (MSSP) orientados a la cadena de suministro. En su conferencia recordó muchos de los grandes errores de terceros que, en ocasiones, han terminado incluso con la pérdida de vidas humanas, como en el accidente del transbordador Challenger. Frente a los riesgos de la cadena de suministro, destacó la necesidad de “contar con cualificaciones y requisitos” que permiten conocer que un proveedor es de confianza”, como el hecho de pertenecer a reconocidos foros como CSIRT.es, la Red Nacional de SOC (RNS) o FIRST, hasta tener una ISO o el ENS y, también, contar con una calificación de empresas como las emitidas por Bitsight o SecurityScorecard y, en especial, la validación que realiza la española Leet Security, de Uptime Institute. En este sentido, puso en valor lo que aportan los proveedores de seguridad gestionada (MSSP), como Advens, “por cuanto permitimos definir marcos, habilitar proveedores, identificar los que son de confianza y los que no, etc”.
Además, “asistimos al cliente en la ciberseguridad activa de su cadena de suministro a través de la monitorización de accesos, reevaluación de la seguridad de las empresas, acometiendo ejercicios de red team y, también, con enfoques de confianza cero en el acceso de terceras partes”, comentó.
“Es fundamental que cada vez que se habilita a un proveedor se audite su seguridad y que se haga de forma continua. No hacerlo es ser adicto a la adrenalina”, dijo con ironía recordando también, el valor de los planes de respuesta, con buenas prácticas, canales de comunicación compartida e integrando a los proveedores en los ciberejercicios de la empresa, entre otros aspectos.
Luis Saiz
Cadena de clientes
A continuación, bajo un título muy revelador, el director de Innovación en Seguridad de BBVA, Luis Saiz, profundizó en la ciberprotección de la cadena de suministro en entornos SaaS, IaaS y PaaS. En su intervención, destacó que el ataque a Solarwinds “marcó un antes y un después”. Así, lamentó que, ahora, “todo es software y servicios”, por lo que se ha incrementado el riesgo y las interdependencias. Por ello, recalcó la importancia de proteger los entornos de desarrollo que es lo que pasó en el incidente de la citada compañía. Además, destacó que en entornos como la nube, al que están yendo todas las empresas, “no hay CVE, vulnerabilidades identificadas, porque no hay contra qué mapearlas”, pidiendo más esfuerzos “por tener visibilidad de los servicios externos que se tienen” y qué es lo que hay “por detrás”, lo que exige “mayor transparencia a los clientes, pero es difícil”. Terminó destacando la importancia que están cobrando servicios con IA y agentes, aunque destacó que son “nuevos servicios, nuevos riesgos… pero suponen establecer viejos controles”, alertando de lo que está llegando y el uso intensivo que hace el cibercrimen de esta tecnología.
Finalizó destacando que con el uso de agentes de IA se “debería pasar de hablar de cadena de suministro a cadena de clientes, donde esos agentes autónomos actúan en nombre de la empresa haciendo todo tipo de operaciones”. Y ello también obliga a dar un nuevo giro a la protección y gestión de la identidad de esos agentes”.
Durante el coloquio de Saiz con los asistentes, moderado por Luis Fernández, también se habló de contar con más transparencia por parte de los hiperescalares “que ha mejorado mucho, aunque es muy complicado por cuanto tampoco se pueden dar pistas a los cibercriminales”, respondió Saiz.
Antonio Ramos
El valor de la calificación
Le siguió el CEO de Leet Security, de Uptime, Antonio Ramos, que también generó mucho interés entre los asistentes por su propuesta de calificación de ciberseguridad para proveedores y su ponencia “Mercado y confianza: percepción y realidad en la posición de ciberseguridad de terceros”. La empresa de origen español “ya es la agencia de calificación de ciberseguridad más importante de Europa y una de las primeras del mundo”, destacó poniendo en valor la confianza que se genera a través de su propuesta de calificación en todo tipo de aspectos, recordando al conocido Bruce Schneier que decía que una “sociedad no puede funcionar sin confianza”. Además, destacó que actualmente más del 50% de las empresas ya realizan evaluaciones anuales de sus proveedores. “El problema es que cada compañía evalúa a cada uno de los que tiene, igual que hace su competencia de las mismas empresas. O sea se pierden meses de trabajo para hacer todos lo mismo”.
Ante este problema, planteó la necesidad de apostar por una solución “a nivel sistema, no individual”, con un “enfoque compartido” con la “responsabilidad del usuario, la cobertura del ciclo de vida y los procesos ad hoc y todo basado en el riesgo”. También, mostró la propuesta de su compañía que permite realizar y contar con evaluaciones de todo tipo de aspectos de la ciberseguridad de una empresa, además de adelantar que su marco de trabajo de evaluación para el sector financiero, Pinakes, hecho en colaboración con el Centro de Colaboración Interbancaria (CCI), verá pronto su segunda versión con notables mejoras.
“En Leet medimos más de 327 parámetros de cada empresa, en cinco niveles, y por cada uno con varias capacidades, exigiendo demostrar qué se cuenta con ella”, destacó poniendo en valor su rating para facilitar la contratación de proveedores por un lado y para, como tal, generar confianza en el cliente.
Desconfianza como punto de partida
Para conocer en profundidad el enfoque de la parte del cliente, TiSEC finalizó con dos ponentes destacados. En primer lugar, Javier Checa, CISO de Europa Continental de la multinacional Equifax, un referente en el sector financiero, que lamentó que, a pesar de que se ha mejorado, aún se piden pocas certificaciones para constatar el nivel de ciberprotección de las empresas, a pesar de que los ataques a la cadena de suministro se incrementaron en frecuencia y sofisticación en 2024, según constata uno de sus informes. Además, recordó que la compañía sufrió un ciberincidente de gravedad en 2017 el cual supuso un punto de partida para una apuesta muy clara en este ámbito, en el que ha invertido más de 3.000 millones de dólares, con un foco decidido en “la transparencia y en la colaboración”.
En este sentido, la compañía propone un enfoque “de confianza cero, unificando su marco de seguridad – que incluye 60 controles y 1.700 requisitos técnicos- para fusiones y adquisiciones y expansión de la visibilidad, en tiempo real, del riesgo de terceros y también cuando Equifax actúa como subcontratado”. “Se trata de convertir los riesgos en oportunidades y prueba de ello es que hemos respondido a más de 3.550 cuestionarios de clientes y hemos auditado a más de 2.250 proveedores que son críticos para la compañía”.
Javier Checa
Con ello, la compañía ya detecta más de 15 millones de ciberamenazas, al día, un 20% más que en 2023 sin que tengan impacto. “Y para ello también apostamos por no homologar proveedores como tal, sino empresas. Y las que no quieren que les auditemos, no cobran, ya que nuestra información es muy sensible y queremos reducir al máximo el riesgo”. Al igual que otros ponentes también resaltó el cada vez mayor peso que tiene la gestión de la identidad y el enfoque de confianza cero, por ejemplo, a la hora de incorporar o dar de baja empleados. Finalizó destacando cómo normativas como DORA también les han impactado, “a pesar de no estar concernidos directamente, pero sí por cuanto muchos de nuestros clientes la tienen que cumplir”.
José Ramón Monleón
Análisis de proveedores
Como colofón, José Ramón Monleón, Manager de Ciberseguridad, Technology, Cybersecurity Third Party Risk, Management & Awareness de MasOrange, aportó la visión de un sector crítico como el de telecomunicaciones. “Se incrementan las amenazas y se incrementan los terceros. Es una relación directa, ya que también se apuesta por entornos en nube y servicios y eso hace que lo que teníamos en la empresa ahora esté fuera”, comenzó resaltando. Asimismo, explicó que entidades como la Agencia de Ciberseguridad de la UE (Enisa) han destacado los ataques a la cadena de suministro como el principal ciberriesgo para 2030. También, la necesidad de identificar los proveedores más críticos, “sin importar su tamaño o lo que facturan”. Durante su intervención mostró, de forma muy ilustrativa, cómo la compañía ha ido evolucionando la gestión y control de sus proveedores en todo tipo de ámbitos y con datos muy concretos como, entre otros, quién es el punto de contacto de cada empresa en ciberprotección.
Además, resaltó que con ello se puntúa la madurez en este ámbito de cada compañía facilitándola elementos de mejora. “Llevamos más de cuatro años haciendo auditorías de seguridad a un más de un centenar de proveedores, incluyendo que cumplan con requisitos que consideramos críticos”. También, resaltó la importancia de confiar en las empresas y en sus equipos de ciberseguridad, “porque esto también va de personas más que de tecnología”. Asimismo, mostró el cuestionario con el que evalúan a sus terceros basado en seis pilares muy concretos que van desde contar con información de reportes de inteligencia, hasta de vulnerabilidades previas, plan de gestión de incidentes y también de usuarios, entre otros aspectos. “Además, es vital integrar en ciberejercicios a los proveedores porque así conseguimos entender mejor al otro”. Por último, destacó los apartados de normativas como DORA y la gestión de terceros y todos los avances que han permitido gracias a la presión normativa.
DEBATE
IA, interdependencia de proveedores, identificación de riesgos y complejidad regulatoria, claves que redefinen el seguro cibernético
El primer día de TiSEC concluyó, como es habitual, con un debate. Moderado por el redactor de SIC, José Manuel Vera, que contó con destacados ponentes de la jornada, como Rafael Ortiz (Arch Insurance), Pablo Constenla (Aon), Diego Rodríguez (Resilience) y Isaac Guasch (Tokio Marine HCC).
El foro comenzó con una serie de recomendaciones a la hora de contratar una ciberpóliza, destacando, “desde el punto de vista asegurador, que se canalice a través de un bróker”, ya que “juega un papel relevante”. Además, los ponentes coincidieron en que, aunque depende del tamaño de la empresa, los principales interlocutores suelen ser el CISO, el risk manager e, incluso, el responsable financiero (CFO). Además, se destacó la importancia de implicar al Consejo de Dirección, ya que “es un proceso que requiere una coordinación transversal”.
También, se trataron cuestiones como los malentendidos que a veces surgen entre aseguradoras y asegurados. Guasch señaló que muchos “vienen por discutir cláusulas que, en el fondo, no son del todo relevantes ante un incidente realmente grave”. Rodríguez incidió en la importancia de contar con la máxima claridad sobre el objetivo de la póliza, ya que “muchos problemas provienen de cómo se interpreta la cobertura, especialmente, en partes concretas y puntuales que surgen dada la situación y el mercado en esos momentos”. Por su parte, Constenla identificó tres áreas recurrentes de conflicto: “las horas extra de los empleados cuando luchan contra el ciberataque; la exclusión de mejoras, ya que para contener un ciberataque se puede adquirir software y herramientas, y es probable que la aseguradora lo establezca como una mejora del sistema y no como una necesidad derivada del ataque; y la responsabilidad civil, que en ‘ciber’ suele estar más limitada”. Con todo, Ortiz destacó que, al final, “lo que tenemos que tener en cuenta es que la gestión del riesgo de una compañía es un puzle y podemos meter en ‘ciber’ cosas que están cubiertas por otras pólizas”.
IA y ciberpólizas
La IA también ocupó un lugar destacado en el debate. Por un lado, los ponentes indicaron que los clientes empiezan a preguntar si está cubierta por sus pólizas. En este sentido, afirmaron que se la considera una herramienta informática más que no difiere de otras y que está cubierta por ‘ciber’. No obstante, advirtieron que posibles sanciones derivadas del futuro marco regulatorio, como el ‘AI Act’ europeo, quedarían hoy fuera de cobertura. Desde el punto de vista de su uso por parte de las aseguradoras, la IA permite, por ejemplo, agilizar procesos de suscripción y evaluar riesgos, entre otros, aunque se hace un uso precavido de ella.
La última parte del debate abordó un conjunto de temas complejos pero cruciales, como la identificación de los riesgos inasumibles dentro de la cadena de suministro. Entre ellos, se destacaron el hecho de no tener un backup, así como no tener controles mínimos para prevenir ataques como el ransomware. Otro de los problemas surge cuando se tiene que asegurar a conglomerados, con compañías de naturaleza distinta, así como la complejidad de los proveedores TI y aquellos que no lo son. Para finalizar, también se dio respuesta a las inquietudes de la audiencia que, entre otros asuntos, se interesó por el factor humano como causa principal de ciberincidentes, especialmente en lo que respecta a la accesibilidad digital. Los ponentes dejaron claro que las aseguradoras cubren “errores humanos y no diferenciamos el motivo que ha llevado a ese error”.
DEBATE
Ataques ‘inesperados’, la falta de responsabilidad clara y el nivel de preparación en ciberseguridad, principales desafíos del sector en su relación con terceros
Como broche de oro al encuentro, tuvo lugar un nuevo espacio de debate que, al igual que en el de la jornada anterior, reunió a los expertos de las compañías participantes ese día: José Ramón Monleón (MasOrange), Antonio Ramos (Leet Security), Javier Checa (Equifax), Jorge Hurtado (Advens), Mariano J. Benito (GMV) y Luis Saiz (BBVA).
El debate, moderado por Jose Manuel Vera, redactor de SIC, arrancó con una referencia al 50º aniversario del estreno de una de las grandes películas de la historia del cine, Tiburón, de Steven Spielberg, como metáfora de los riesgos empresariales, especialmente, en su relación con terceros, que están ahí, bajo la superficie, pero muchos no les dan la importancia que deberían. Uno de los ejes centrales fue, precisamente, la gestión del riesgo en proveedores. Los ponentes coincidieron en que no siempre está claramente definida su responsabilidad, ni suelen compartir el mismo ‘apetito de riesgo’ que las compañías que los contratan.
También, se remarcó que “los controles que tiene un proveedor deben ser los mismos que los que tiene la organización”, y se destacó la necesidad de diversificar, evitando que todos los proveedores estén “en el mismo cesto”, poniendo como ejemplo la Ley de 5G que promueve la ‘diversificación’. Otro aspecto destacado fue la necesidad de construir “sistemas de incentivos adecuados”. “Tenemos que ser capaces como industria de generar un sistema en el que los que de verdad inviertan en ciberseguridad se vean favorecidos porque si no, estamos penalizando a los que sí lo hacen bien”.
El papel de la alta dirección
También, se abordó el rol de la alta dirección que, según los ponentes, en la actualidad, está más concienciada que en años anteriores, como reflejan casos como BBVA, donde “la cultura de gestión de riesgos está muy interiorizada”, señaló Saiz, o Equifax, donde “todos los CISO están en el comité de dirección”, según indicó Checa, quien recordó que, además, regulaciones como DORA también ha supuesto un punto de inflexión en la responsabilidad ejecutiva. El resto coincidió en que “sí les preocupa porque cualquier cosa que impacte en el negocio y en las cuentas la tienen contemplada”, como destacó Monleón. Ramos discernió entre directivos y empresarios, apuntando que este último “tiende a actuar con más prudencia e invertir más que un CEO”. Hurtado, de igual forma, afirmó que, “hoy en día, la alta dirección se preocupa porque los incidentes, la regulación y el impacto de negocio les afectan directamente”. Por este motivo, “es necesario mantener un canal de comunicación con ellos”.
Sin señal de riesgo
A continuación, se analizó la situación de ataques a terceros que no habían mostrado señales de riesgo previas. En estos casos, la clave está en “la mentalidad con la que te aproximas al problema”. “Un proveedor es un potencial vector de ataque y hay que trabajar para minimizarlo”, afirmó Benito. Se insistió, asimismo, en la necesidad de “controlar los servicios que ofrece el proveedor”, ya que, a veces, “éste realiza cambios sin notificarlo introduciendo riesgos imprevistos”, además de subrayar la importancia de “anticiparse a las necesidades del negocio para evitar fenómenos como el Shadow IT”. Junto a ello, “transmitir tranquilidad, realismo y transparencia a la hora de explicar lo que está pasando, lo que se está haciendo y lo que se va a hacer, con el objetivo de tratar de construir la confianza necesaria”, son también pilares esenciales en estos contextos.
Además, se analizó la situación de los proveedores que pueden permitirse contar con ciberseguridad y los que no, y si están dispuestos a echarles una mano teniendo en cuenta la necesidad de cumplir con la legislación actual. En este sentido, el reto principal, según los ponentes, está en los departamentos de compras. Y es que, solo alrededor de un 2% de dichos departamentos que están involucrados en temas de ciberprotección. A menudo, además, se prioriza la opción más barata, entre otros aspectos.