Espacio TiSEC planteó el estado y grandes retos del ciberseguro y cómo responde la ciberprotección con una veintena de referentes del sector, la industria y la administración
La ciberpóliza recupera auge, afina mejor la medición y llega a la Dirección como recurso estratégico para transferir el riesgo
La industria del seguro cibernético está cogiendo de nuevo velocidad. En un mercado donde ya se ha alcanzado una masa crítica de clientes, como consecuencia a una demanda a la que ha sabido responder el sector con pólizas y coberturas adaptadas al riesgo actual, muchos analistas confirman una reactivación de la contratación y la oferta, fruto de un mercado de ciberpólizas donde cada vez se mide mejor el riesgo y, también, la apuesta por transferirlo por parte de las empresas.
Alfredo Zorzo
La cuarta edición de Espacio TiSEC, dedicada a este ámbito y a cómo reducir el riesgo frente a amenazas colosales, persistentes y crecientemente sofisticadas como el ransomware, comenzó de la mano de Alfredo Zorzo, director de Ciberseguros de One eSecurity, con una ponencia de título polémico: ‘El fin de los ciberseguros’. En ella mostró cómo han ido evolucionando desde su gestación y resaltó que, en los últimos años, este mercado ha estado marcado por el impacto del ransomware, “que está ya excluido en algunas pólizas o se limita”. A pesar de ello, en el último año, las suscripciones han crecido porque “las empresas entienden que necesitan este tipo de pólizas”.
En un giro lleno de ironía, el ponente recordó que ‘fin’ no es sólo el final de algo sino, también, el objeto con el que se ejecuta algo. Así, destacó un amplio listado con lo que aporta el ciberseguro, “aunque muchos sectores consideran que ha tocado techo”. En él destacó los beneficios que da la competencia en este ámbito, la madurez que evidencia, la mejora de comportamientos y su negociación, las alternativas que hay en el mercado, lo que facilita, lo que supone tanto en el aspecto legal y, también, la evolución de los cuadros de mando y el equilibrio entre la ciberseguridad y los ciberseguros, algo que, “algunos”, recordó, “consideran que debería clarificarse a nivel mundial”.
No obstante, también recordó que esta área de negocio tiene que superar los actuales problemas como muchos riesgos que las aseguradoras consideran “no asegurable”, el incremento de los costes de respuesta y de impacto, las limitaciones de las coberturas, los ataques estado, así como las mejoras de la ciberseguridad que pueden hacer que se apueste por invertir en ella más que en las pólizas como tal, entre otros aspectos.
La visión del mediador
Verónica Jiménez
A continuación, Verónica Jiménez, Director Specialty Cyber Solutions de Aon y Carlos Bereciartua, director de Ciber Consulting de Aon España, hablaron de cómo se está viendo la evolución de este tipo de mercado desde el punto de vista de los mediadores. Así, Jiménez destacó que, en el lado asegurador, se está planteando esta área como una oportunidad en la que cada vez hay más competencia. “Aunque el proceso de suscripción es cada vez más riguroso, pero la mayor madurez de las empresas también está haciendo que sean más rápidos” y recordó que las exclusiones de ciberguerra están marcando el sector este año.
En su ponencia subrayó que se ha pasado de un mercado muy duro a otro más favorable, con la mayoría de las aseguradoras intentando aumentar sus carteras en ciberseguros. De cualquier forma, comentó que “la tecnología operativa y el riesgo de la cadena de suministro o riesgo sistémico siguen siendo objeto de gran escrutinio por parte de los suscriptores, lo que pone de relieve la necesidad de recopilar y presentar datos de calidad en el momento de la renovación”. En cuanto a perspectivas de futuro, Jiménez destacó la exclusión de guerra, que ya está contemplada, igual que se está estudiando la posibilidad de sufrir el “riesgo de un evento sistémico o catastrófico, por ejemplo, por proveedores de servicios en nube”.
Carlos Bereciartua
Bereciartua, por su parte, comentó la presión que existe para lograr una ciberresiliencia. “Los ciberriesgos cambian continuamente, lo que puede dificultar que las empresas establezcan las medidas adecuadas”. Así, resaltó los tres niveles ejecutivos de la empresa y recordó que “llegar al seguro a través del CISO es complicado porque hay que hacerlo a través de la dirección, que tiene que tener claro a qué riesgos se enfrentan”. Junto con la necesidad de que la dirección esté muy integrada en la gestión de los ciberriesgos, destacó la importancia del rol del mediador como Aon, “actuando como puente para conseguir el seguro de la mejor forma posible”.
La visión de la aseguradora
Isaac Guasch, Cyber Security Leader de Tokio Marine HCC, y Cristina Brau, Junior Cyber Underwriter de la compañía, dieron una visión en profundidad de uno de los referentes en este ámbito. “Nuestro principal reto es transmitir por qué hacemos cuestionarios con un nivel concreto de detalle para ser capaces de trabajar de forma conjunta”. “Es importante saber no sólo que se tiene MFA o Confianza Cero, sino que además la compañía muestra un notable nivel de madurez”, dijo Guasch, que puso en valor “la actitud de las compañías que evidencian que se preocupan por su ciberseguridad, qué tienen planes de gestión de crisis y qué evolucionan en ello más que tener o no una medida de protección concreta”.
Isaac Guasch
Cristina Brau
Brau recordó que “cuanto más sólidas son las medidas preguntadas en un cuestionario, mayor será el grado de seguridad. Por eso, hay cuestionarios muy extensos, pero tiene explicación: cuanto más se conoce de una compañía, más ajustado será el precio y las coberturas”. Los dos expertos explicaron que aseguradoras y brokers van de la mano y puso en valor cómo se han creado nuevos productos de seguro adaptados a las tendencias de amenazas. “La buena noticia es que hay pólizas de ciberseguridad no sólo para grandes compañías sino, también, para pymes. Pero el producto no va a ser el mismo porque los riesgos son diferentes y no podemos hacer esos ejercicios de analizar su riesgo de la misma manera, porque son muy complejos”, destacó.
Los especialistas de Aon también destacaron que, además del mercado de grandes organizaciones, cada vez más pymes buscan contar con una ciberpóliza, por lo que se han personalizado para este tipo de compañías. “Lógicamente la contratación es más ágil y sencilla, pero también sus coberturas son más limitadas. La buena noticia es que ya hay disponibilidad de pólizas cibernéticas para todo tipo de empresas”.
El papel del CISO en las pólizas
Finalizó este primer bloque con la intervención de uno de los CISOs españoles con mayor solvencia y trayectoria, Francisco Lázaro, de Renfe, “compañía que tuvo el primer ordenador que llegó a España y que también fue la primera en poner un departamento de ciberseguridad”. En su ponencia explicó cómo se trabaja en este ámbito en Renfe. “Nosotros definimos hacia dónde hay que ir y supervisamos, pero lo hace otro grupo de operaciones de ciberseguridad. En cierto modo es parecido al trabajo del DPO, asesoramos pero ‘no limpiamos pescado”. En una ponencia muy ilustrativa mostró cómo la compañía de transporte está trabajando, desde hace seis años, en su primera ciberpóliza, cuyo concurso está cerca de ver la luz. En este sentido, puso en valor que cuando “trabajas en ciberseguridad empiezas por la protección, pero terminas preocupándote por las capacidades de recuperación. Hay que trabajar en reducir probabilidad, riesgo o ambas cosas. Cuando se habla de ciberseguros la clave es qué voy a hacer para reducir esa probabilidad, impacto o para transferir el riesgo”, destacó. “Cuando vas creciendo te das cuenta de que necesitas más supervisión”. De hecho, recordó que, a final de año, Renfe espera registrar más de 3.000 eventos de ciberseguridad diarios como parte de su visión proactiva en este terreno, recordando también, con orgullo, que “desde hace años, cualquier compra que hace la compañía lleva la protección cibernética en sus pliegos, para incorporarla por defecto, igual que la protección de datos”. Y es que, entre sus conclusiones destacó que es fundamental para contratar un ciberseguro tener capacidad de análisis y visibilidad de lo que ocurre en la empresa, tanto en OT como en TI, “teniendo claro los objetivos”. De cualquier forma, también lamentó que no existe un marco común para pedir información del grado de madurez de los proveedores por parte de los operadores de servicios esenciales.
Francisco Lázaro
El impacto del ransomware
Javier Candau
Comenzó el segundo bloque del primer día con un clarificador debate, moderado por el editor de Revista SIC, Luis Fernández, con la participación de Javier Candau, jefe del Departamento de Ciberseguridad del CCN, Juan Delfín Peláez, responsable del Sector Estratégico Financiero y TIC del Incibe, así como Álvaro de Lossada, jefe de la OCC, sobre la ‘Evolución del impacto del ransomware en ámbitos públicos y privados’. En su intervención, Candau destacó la necesidad de tener procedimientos de actuación en incidentes críticos y la importancia de implementar la doble autenticación, entre otros aspectos, para dificultar los ataques de ransomware, a través de la defensa activa. Peláez, que recordó que el Incibe registró el año pasado más de 118.000 incidentes, precisó que el 60% eran intentos de fraude y de instrucción aprovechando sistemas vulnerables. De Lossada, por su parte, recordó que el ransomware, como cualquier actividad delictiva, tiene como último fin el lucro económico y, por lo tanto, hay que actuar con ese enfoque de atajar el delito alertando de la gran organización y medios con las que cuenta los grupos criminales.
Juan Delfín Peláez
Además, respondieron a si es proporcional los rescates que reclaman los cibercriminales en casos de ransomware, en relación al tamaño de las víctimas. “Y sí, claro que se ajusta porque te conocen”, recordó Candau, añadiendo Peláez que también tienen en cuenta, por ejemplo, la sanción a la que se puede exponer la empresa por fugas de datos. De hecho, De Lossada destacó que entre el 30% y el 80% de las empresas pagan, aunque también coincidieron en que muchas compañías se recuperan de este tipo de ataques sin sucumbir a la extorsión económica, por lo que se recomienda no hacerlo y, en último caso, de suceder, delegar la negociación a los expertos de las fuerzas y cuerpos de seguridad, además de denunciarlo, ya que permite adquirir una información del cibercrimen que puede ayudar en ese y otros casos. Candau aprovechó para sugerir al sector asegurador, como medida para medir la ciberprotección de una organización, utilizar el Esquema Nacional de Seguridad. Eso sí, también se comentó que el mero pago del rescate no supone un delito y no hay sentencias de condena en este ámbito.
Álvaro de Lossada
Para mejorar la protección frente a amenazas como el ransomware, Candau pidió mayor colaboración y compartición de información, mientras que Peláez apostó, además, por invertir en concienciación y formación a los equipos técnicos, además de destacar la necesidad de contar con políticas de ciberseguridad robustas y conocidas por todos, según Lossada.
Referentes de la industria
Miguel López
A continuación, cogió el testigo el country manager de Barracuda en Iberia, Miguel López, con su ponencia ‘Ciberdefensa y ciberseguros: dos caras de la misma moneda’. En ella, el directivo mostró de forma muy ilustrativa cómo cada vez es mayor el impacto de los ciberataques, con casos como Ferrari, el Clinic de Barcelona o The Guardian, poniendo en valor el enfoque de contar con backups que permitan recuperar la información. Además, comentó que, en 2022, el 38% de las víctimas sufrieron varios ataques de este tipo en el mismo año y que el sólo el 51% consiguió recuperar la información por sus medios. En este sentido, apostó por tecnologías como las de su compañía para ayudar a reducir el riesgo e implementar, entre otros, el doble factor de autenticación (MFA), control de acceso a la red, backups inmutables... además de tener un plan de ciberseguridad y respuesta, probándolo en ciberejercicios para saber cómo reaccionar y qué priorizar si sufres un incidente crítico.
Recordó, asimismo, la importancia de reducir el área de exposición que supone el correo-e, “con hasta 13 tipos de ciberamenazas identificadas a través de él”, y puso en valor tecnologías como sandbox para evitar este tipo de amenazas, aunque “sólo el 18% cuenta con ésta”. Asimismo, recomendó apostar por enfoques como el de Confianza Cero y la necesidad de contar con herramientas forenses para determinar por dónde han entrado los cibercriminales, y desplegar mecanismos de respuesta y de recuperación. En este sentido, comentó la necesidad de que “las empresas de ciberseguridad y las de ciberseguros trabajen juntas. No tiene sentido las unas sin las otras. Una póliza cibernética no puede sustituir a la ciberprotección y viceversa”.
José Antonio Castro
Terminó las ponencias de la primera jornada, José Antonio Castro, responsable global de Cyber Guardian, quien mostró cómo puede mejorarse la ciberseguridad en las pymes a través de su plataforma, “basada en tres pilares: máxima protección, sencillez y modelo de precios sencillo”. Un enfoque que permite a este tipo de empresas contar con un “nivel de ciberseguridad continuo y entendible para anticiparse a los riesgos”. Así explicó cómo permite contar con seguridad en los equipos, el correo-e, la navegación e involucrar también a los empleados a través de, por ejemplo, simulaciones de phishing. Además, permite monitorizar de forma proactiva las redes para responder “a las amenazas más avanzadas, tanto de riesgos internos como externos, y de la forma más sencilla posible”. Por eso, comentó que “la plataforma Cyber Guardian también supone una notable ayuda para las aseguradoras y para conseguir una ciberpóliza, ya que permite entender el nivel de seguridad de cualquier empresa a través del scoring dinámico que ofrece, adaptado a cada perfil de organización”.
Segunda jornada: dando respuestas
Comenzó la segunda jornada de Espacio TiSEC de la mano de Julio San José, managing director de Transformación Digital y Ciberseguridad de Alvarez&Marsal, con una ponencia sobre cómo desarrollar y disponer de un ‘Cuadro de mandos de riesgo continuo”, que permita ir “hacia un consenso entre asegurados y aseguradoras”.
En su intervención, destacó que actualmente no se puede “trabajar en momentos puntuales para medir el riesgo respecto a la póliza”. Por ello, denominó su propuesta como ‘modelo continuo’, que supone “conocer los riesgos y poder revisarlos cada día, cada mes, cada año y, en definitiva, en cualquier momento”.
Julio San José
En concreto, explicó que la virtud de este cuadro de mandos de riesgo continuo es “permitir ver lo que otros no ven con una ventaja clara para el asegurado, por cuanto se establece una relación de confianza con un proveedor estratégico como es la aseguradora, ya que transferimos lo que no podemos proteger”. Además, comentó la necesidad de trabajar de arriba abajo, ya que el cuadro de mandos sirve para la aseguradora, para los CISO, para auditoría interna y “es posible, incluso, ponerlo en modo piramidal para representar muchas cosas”. Eso sí, debe cumplir una serie de premisas, como estar basado en “un marco de trabajo claro para que sea entendido por todo el mundo”, dijo destacando que, a través de esta propuesta, también la alta dirección puede conocer el nivel de ciberseguridad de la organización “de un solo vistazo” e, incluso, destacar lo que realmente sea relevante para la Junta. “En definitiva, se trata de adoptar con él un enfoque estratégico apostando por el cuadro no como una herramienta sino como un método”, que permita el acercamiento y consenso con la aseguradora”.
Buenas prácticas
Juan Gayá
A continuación, el director de riesgos y seguros de El Corte Inglés, y miembro de la junta directiva de la Asociación Profesional Española de Gerentes de Riesgos y Seguros (Agers), Juan Gayá, presentó en primicia la ‘Guía Ciber: buenas prácticas en protección de ciberriesgos (para no expertos)’. En su intervención, destacó la importancia de hablar para no ‘entendidos’ en ciberseguridad. Un objetivo que se ha venido plasmando, desde 2017, en la publicación de sucesivos documentos para este ámbito, el primero de terminología especializada. “Para gestionar ciberriesgos hay que prevenirlos y, también, transferirlos”, recalcó mostrando los aspectos más destacados de la última guía, que incluye notables buenas prácticas de gestión de riesgos, basándose en el enfoque del NIST. “Se trata de medidas genéricas para todo tipo de amenazas porque el riesgo cero no existe, pero sí hay que intentar detectarlas lo antes posible para tener el menor impacto, sabiendo cómo gestionarlo”. Como colofón a su intervención, desveló el tema de la próxima publicación de Agers, prevista para 2024, que tratará sobre cómo poder conocer el alcance de una póliza de seguro sin tener un sinestro. “Cada vez se tiene más conciencia de la importancia de las pólizas cibernéticas para proteger las cuentas de la empresa gracias a la transferencia del riesgo, algo de lo que cada vez es más consciente la alta dirección”.
Antonio Osuna
Acto seguido, el responsable de Arquitectura y Riesgos del Grupo Santa Lucía, Antonio Osuna, explicó las consideraciones más importantes que las compañías tienen en cuenta para la viabilidad en la contratación de una ciberpóliza. En este sentido, mostró cómo se analizan los riesgos de los seguros, destacando que para conseguir uno cibernético hay que implicar y trabajar de forma transversal con muchos departamentos de la empresa, siempre liderados por el de ciberseguridad. También recordó que, actualmente, aparte del impacto económico, las compañías aseguradoras miran mucho la capacidad de respuesta a un incidente.
“Actualmente, el sector es conservador a la hora de ofrecer este tipo de productos, pero sí considera que es rentable y que no depende sólo del CISO, ya que estos incidentes impactan en el negocio”. Por ello, indicó que para lograr una ciberpóliza adecuada hay que involucrar a la alta dirección. De hecho, comentó que “cada vez más empresas de calificación financiera tienen en cuenta qué pólizas de este tipo tienes. Y que no es fácil conseguirla, ya que ahora, por las cantidades que se piden cubrir tienes que negociar con varias aseguradoras para que cubran cada tramo de un incidente”. “Y es que la valoración del riesgo ciber, con pocos datos históricos, hace que el apetito de las aseguradoras por él sea más bajo de lo esperado”. De cualquier forma, también destacó que se trata de un mercado en el que hay muchos competidores de confianza, donde se puede escoger y que cada vez es más evidente en las empresas que “la ciberseguridad es un tema para el Consejo de Administración, no solo para los CISO”.
Pagar o no pagar rescates
Al igual que en la primera jornada, también tuvo lugar un segundo debate de muy elevado interés, en esta ocasión sobre ‘Pagar, no pagar… o como si no’, tras un ataque de ransomware, moderado por el director de Revista SIC, José de la Peña, y en el que participaron algunos de los máximos expertos en la materia, como el Fiscal Delegado contra la Criminalidad Informática de la Fiscalía Provincial de Madrid, Fidel Solera, el teniente coronel Juan Sotomayor, jefe del Departamento contra el Cibercrimen de la UCO de la Guardia Civil, y el comisario jefe de la Brigada Central de Seguridad Informática, de la Unidad Central de Ciberdelincuencia, de la Policía Nacional, Juan Carlos Sancho.
Se trató de un coloquio en el que los participantes fueron muy directos y resolutivos. “Pagar como tal no es constitutivo de un delito, pero sí puede tener derivadas por a quién estás pagando, o a dónde va ese dinero y, lo más importante, qué te han robado para que quieras pagar el rescate, qué responsabilidad tienes sobre esos datos, etc.”, comentó Solera. Sotomayor pidió mayor colaboración con las fuerzas y cuerpos de seguridad (FF.CC.SE), “ya que la denuncia y permitir que seamos nosotros quienes negocien puede, además, dar mucha información sobre los atacantes y la trazabilidad de estos pagos en criptodivisas”. Sancho, de cualquier forma, recordó que en cada área geográfica hay leyes distintas sobre este tema poniendo el caso de Carolina del Norte donde está prohibido pagar a grupos terroristas o de ransomware, por lo que no se producen ataques de este tipo, ya que los cibercriminales son conscientes de que lo tiene más complicado para cobrar. Los tres, eso sí, pidieron que se denuncie más este tipo de ataques, ya que facilita su trabajo e, incluso, puede permitir recuperar lo pagado, además de la información robada, aunque sea de forma puntual. “Hay que colaborar más”, pidió Sancho, recordando muchas operaciones policiales con éxito en este ámbito, que han sido facilitadas gracias a la implicación del sector privado “porque, a diferencia de otros ámbitos, aquí la Inteligencia la llevan las empresas”.
Fidel Solera
Juan Sotomayor
Además, recordaron que las FFCCSE han adquirido muchas capacidades, experiencia y medios en los últimos años y cada vez se actúa de forma más exitosa contra el crimen cibernético. Así, pusieron en valor el cada vez mayor número de equipos conjuntos de investigación que permiten que se trabaje a la par en las denuncias hechas en diferentes países. Por eso, también plantearon si debería ser obligatorio la notificación del pago del rescate. “Que más allá de la obligación o no puede tener un aspecto ético, por lo que supone una ayuda para investigar”, dijo Sotomayor. Eso sí, “hay que tener claro cuándo comunicar ya que, si se han hecho cosas rápido, pueden haberse cometido, incluso, delitos”, dijo Solera que recordó las notables aportaciones que ha hecho la última actualización, de 2015, de la Ley de Enjuiciamiento Criminal al respecto.
Juan Carlos Sancho
No faltó en el debate la referencia a la acción ofensiva realizada por los Mossos d’Esquadra, tras el ataque sufrido por el Hospital Clinic, autorizada por un juez. “Hay que tener mucho cuidado con este tipo de actuaciones, ya que suelen ser delictivas e, incluso, se puede llegar a obtener información que ha sido robada y que tampoco deberíamos tener”, dijo Solera. Y se recordó que ya se está viendo una tendencia en el mundo de los ciberseguros que es el propio fraude de la empresa reclamando la indemnización por ciberataque, cuando realmente no se ha producido. Por eso, “en algunos países para que el seguro responda se pide que haya una denuncia penal y una investigación en firme”, como el caso de Francia, “para evitar como cuando se denunciaba que te habían robado el radio cassette para sacar dinero”, dijo Sotomayor.
Propuesta de la industria
Cerraron Espacio TiSEC dos destacados especialistas, Marc Rivero, senior Security Researcher, Global Research and Analysis Team de Kaspersky y Thomas Dupont, presales Engineer para Iberia de Stormshield.
Marc Rivero
Rivero mostró en una ponencia basada en la inteligencia de amenazas de la compañía, cómo actúa el cibercrimen, dando a conocer las diferentes etapas de un ataque de ransomware, cada vez más como ‘modelo de servicio’ y desgranando qué hay detrás de los principales grupos cibercriminales que se logran con él. En este sentido, puso en valor que las empresas actúen, cada vez, de forma más proactiva. De cualquier forma, también recordó que cada año, se calcula que se pagan en torno a 5.000 millones de euros por extorsiones cibernéticas. Por eso, también destacó la necesidad de contar con socios de confianza para hacerles frente en todo tipo de aspectos, también, en caso de ser víctima, en la negociación “que termina siendo como una partida de ajedrez” y buscar que se cometan errores.
Por su parte, Dupont destacó cómo se puede reducir el riesgo a través de la tecnología que ofrece su compañía evitando, por ejemplo, la escala de privilegios cuando los cibercriminales entran en la red o facilitando la recopilación de indicadores de compromiso (IoC). “Entre la detección y la remediación pueden pasar horas y días y puede provocar movimientos laterales de los atacantes”, así que “actuar rápido es vital”, dijo a la vez que recordó que para reducir el riesgo hay que minimizar la superficie de ataque, por ejemplo, a través de aplicaciones maliciosas, incluso, descargadas de la tienda oficial de Windows.
Además, mostró cómo sacar partido de la tecnología de ciberprotección en tres casos de uso muy concretos: frente a USBs maliciosos, frente a un ataque DDoS a un servidor web de Windows y a atacantes que entran en la red corporativa buscando vulnerabilidades y tomar el control de los recursos críticos, además de frente a archivos maliciosos llegados por correo-e.
Thomas Dupont
COLOQUIO PRIMER DÍA:
Más coordinación, transparencia, confianza e inversión en seguridad, claves para impulsar el mercado asegurador ciber
Para concluir la primera jornada, tuvo lugar un interesante debate, moderado por el redactor de SIC, José Manuel Vera, en el que intervinieron José Antonio Castro (Cyber Guardian), Isaac Guasch (Tokio Marine HCC), Miguel López (Barracuda) y Verónica Jiménez (Aon), quienes ofrecieron sus impresiones finales y respondieron a las preguntas de la audiencia. La primera cuestión que suscitó interés fue si existe margen para, con una madurez alta en ciberseguridad, bajar el precio de las ciberpólizas. Tanto para Guasch, como para Jimenez, la respuesta fue clara y concisa: “sí”. Aunque Guasch la matizó argumentando que, siempre y cuando, “la revisión de los riesgos y las medidas sigan evolucionando y sofisticándose, además de estar al día con las tendencias de las amenazas”. “Si se cumple con eso, hay margen para que los precios bajen”, puntualizó. En este sentido, López añadió que uno de los parámetros más importantes que repercuten en el coste de una ciberpóliza “es la postura de ciberseguridad. Y aquí, uno de los grandes desafíos es optimizar la inversión”. Para ello, “los proveedores podemos implantar soluciones que optimicen la postura de protección del cliente”, recordó. De igual forma, Castro apuntó que “el producto de seguridad cibernética y ciberaseguramento encaja muy bien”. El directivo también mostró su visión acerca de las pólizas ciber dentro de 10 años, vaticinando que “todo deberá estar orientado a la madurez, pero será algo común”. López indicó, asimismo, que “el rumbo que sigue es el de la ‘comoditización’”. Para Guasch será un producto “más granular y específico”. Y Jiménez, por su parte, explicó que, de hecho, “el seguro cibernético ya ha evolucionado respecto a hace una década y se van adaptando a los nuevos retos. Creo que habrá un seguro cibernético de protección personal, además del corporativo”, presagió.
El coloquio prosiguió con otras cuestiones que recalaron en qué está haciendo mal la industria de ciberseguridad y el sector asegurador. Por un lado, y como representantes de este último, Guasch indicó que “lo que más se echa de menos es la transparencia” y Jiménez afirmó que, en el lado positivo, “estamos trabajando más coordinados para obtener información, tendencias, etc., y se tiene que seguir por este camino”. Por parte de los proveedores, López manifestó que “no se está haciendo nada mal, quizá hay áreas de mejora”, pero “están evolucionado a una velocidad muy rápida y muy bien en un sector muy dinámico”. Eso sí, Castro destacó la “confianza percibida”, como un aspecto que habría que mejorar “tanto por parte de las aseguradoras como de todos los que intervenimos en ese potencial mercado”. Y es que, “en general, en el mundo asegurador se transmite mucha confianza en pólizas tradicionales, como las de hogar, y tenemos que llegar también a ese entorno de confianza en el mundo de las ciberpólizas”.
COLOQUIO SEGUNDO DÍA:
Principales métricas en la obtención de un ciberseguro: alinearse con estándares, el número de amenazas, continuidad de negocio y la cantidad de activos críticos
Como colofón a Espacio TiSEC, la segunda jornada concluyó con un distendido debate para reflexionar sobre algunos de los temas tratados durante el encuentro. En esta ocasión, se reunieron en el estrado Thomas Dupont (Stormshield), Julio San José, (Alvarez&Marsal) y Marc Rivero (Kaspersky), quienes comenzaron analizando el estado actual de los ciberseguros. Los tres intervinientes coincidieron en considerar que están “en fase de maduración”, por lo que “no se está haciendo nada mal”, añadía San José. Eso sí, “el mercado del cibercrimen va muchísimo más deprisa y nos hemos quedado atrás”, recordó. Precisamente, sobre este último apunte se pidió la opinión de los ponentes sobre qué es lo que hace falta para ir por delante del cibercrimen. El directivo de Alvarez&Marsal indicó que “no podemos ir por delante, pero podemos acercarnos”. “El cibercrimen juega en otra liga porque están perfectamente organizados, no tienen reglas éticas, ni tienen que cumplir la ley en ningún país del mundo, además de ser grandes profesionales, aunque en el lado equivocado. Así que, debemos de trabajar para reducir esa distancia y en ser más resilientes”. Rivero señaló que es fundamental que “los CISO intenten alinear la organización con los estándares y reglamentos de ciberseguridad, así como con el framework MITRE ATT&CK, entre otras acciones, para ponérselo lo más difícil posible y no ser un target fácil”. Para Dupont “es importante colaborar entre todos, organizaciones públicas, privadas, etc., así como aumentar la cultura de la ciberseguridad, no solo en lo empresarial, sino también en el ámbito personal que, en mi opinión, está abandonada”.
A continuación, el debate siguió con cuestiones como qué se puede aprender del cibercrimen para ser más resilientes o qué tipo de métricas deberían de priorizar las empresas para conseguir un mejor ciberseguro. Ante esta última pregunta, Dupont destacó “cumplir con las normas y los estándares y, sobre todo, transparencia”. San José especificó “el tiempo que se está disponible, además del número de incidentes, tomando como ‘incidente’ cualquier cosa que provoca una disrupción, por un tiempo prudencial”. Rivero coincidió en el número de incidentes, además de añadir “un porcentaje de alineación con estándares, como NIST o ISO, y la cantidad de activos que son sensibles en la organización”.
El debate concluyó con una ronda final acerca de por qué los ciberseguros se han convertido en un recurso imprescindible. Para Dupont, “es algo obligatorio y, si la póliza no cubre todo lo que queremos, al menos, debe cumplir y ayudar con los riesgos y daños a terceros”. San José subrayó que “sin una ciberpóliza se carece de una correcta gestión de los riesgos porque eres incapaz de protegerlo todo”. Rivero concluyó apuntando que “según el sector en el que te muevas, también hay que tener en cuenta lo que te va a exigirte un ciberseguro tomando en consideración qué te cubre y qué no, así como el tipo de aseguradora donde se decida obtenerlo”, entre otros aspectos.
