¿Seguro cibernético? Por qué hay que centrarse primero en la seguridad cibernética V2: ¿Por qué no basta con el ciberseguro?

En el primer semestre de 2021, la actividad de ciberintrusión a nivel mundial se disparó un 125% en comparación con el año anterior. El número de ataques de ransomware está aumentando y el desarrollo del "ransomware como servicio" (RaaS) ha transformado el entorno de la ciberdelincuencia, ofreciendo ransomware listo para usar incluso a los atacantes con conocimientos técnicos limitados. El rápido desarrollo de la economía digital y el cambio global hacia el teletrabajo, ambos ocurridos en parte como resultado de la pandemia, también han provocado el aumento de la ciberdelincuencia a nivel mundial.

El aumento del riesgo ha motivado a las empresas a buscar una red de seguridad: un ciberseguro que minimice los efectos de los ciberataques inminentes. Y las compañías de seguros reaccionan rápidamente a estas demandas. Muchas empresas creen que el seguro cibernético debería proporcionarles no solo el capital necesario para cubrir los costes de la posible vulneración, sino también para asegurarse la ayuda de especialistas seleccionados. Sin embargo, la oportunidad de estar asegurados no debe impedir que las empresas construyan su propio sistema de protección y desarrollen su resistencia cibernética. Al fin y al cabo, tener un nivel de seguridad avanzado reducirá el precio de la prima, e incluso se exigirán medidas de seguridad específicas para poder contratar un ciberseguro.

Preguntas que te pueden hacer al solicitar un ciberseguro

•  ¿Puedes darnos información general sobre tu empresa, como tu área geográfica de actuación, el volumen de negocio anual y la cantidad de datos personales que gestionas?
• ¿Utiliza controles de autenticación multifactor (MFA), gestión de identidades y accesos (IAM) y gestión de accesos privilegiados (PAM) para reducir tus riesgos?
• ¿Parchea y actualiza regularmente?
• ¿Están tus redes segmentadas?
• ¿Tienes un inventario de tus activos de software y hardware?
• ¿Tienes software de protección de equipos en todos tus ordenadores?
• ¿Utilizas un cortafuegos?
• ¿Realizas regularmente copias de seguridad de tus datos en un soporte externo/servicio en la nube protegido?
• ¿Están protegidos tus dispositivos móviles, por ejemplo, mediante el cifrado de datos?
• ¿Esta tu equipo informado regularmente sobre los posibles riesgos cibernéticos?
• ¿Dispones de un plan funcional de respuesta a incidentes?

Fuente: Federación de Asociaciones Europeas de Gestión de Riesgos, Preparing for cyber insurance

El ciberseguro puede ayudarte, pero no siempre

A las compañías de seguros les gusta promocionar el ciberseguro como un producto que, en última instancia, es indispensable para empresas de todos los tamaños, e incluso para particulares. Debería cubrir tanto los riesgos de primera parte de los ciberataques, es decir, la pérdida o el daño de sus propios datos, como los riesgos de tercera parte, que incluyen la responsabilidad ante clientes o entidades gubernamentales y reguladoras. Supuestamente, el seguro cibernético puede ayudarte con los costes de la notificación de la vulneración, los análisis forenses, la reparación, la restauración de los datos, y también las multas y tasas reglamentarias, o las demandas y reclamaciones presentadas por los clientes afectados. Cuando una empresa es golpeada por un ciberataque, una de las mayores cargas financieras reside en la interrupción momentánea del negocio antes de que el peligro haya sido gestionado con éxito. El seguro cibernético también puede ser de ayuda ahí, ofreciendo asistencia financiera así como especialistas que pueden intentar combatir el ataque. Sin embargo, uno de los aspectos más problemáticos de los seguros cibernéticos es el pago a los ciberdelincuentes cuando se enfrentan a un ataque de ransomware con éxito. Pagar un rescate no es recomendable tanto por motivos prácticos como éticos.

• Es posible que la herramienta de descifrado que se le ofrezca nunca se entregue, sea defectuosa o incluso contenga malware adicional.
• El proceso de cifrado podría haber corrompido algunos de los datos y, por lo tanto, es posible que no puedas recuperarlos incluso después de pagar el rescate.
• El dinero que pagas valida el delito y financia aún más la actividad criminal de los atacantes.
• Pagar el rescate puede ser incluso ilegal, por ejemplo, cuando los ciberdelincuentes tienen vínculos con grupos terroristas o cuando están en listas de sanciones.
• Pagar un rescate también puede animar a los ciberdelincuentes a atacarte reiteradamente.

Hay varios problemas potenciales que el seguro podría no cubrir. Entre ellos se encuentran los casos en los que un empleado o un proveedor pierden datos sensibles sin cifrar, otros errores de infraestructura que no son causados por un ciberataque intencionado, la pérdida de datos al cuidado de terceros (como algunos servicios en la nube o proveedores externos), o la pérdida de datos de dispositivos móviles (incluyendo tablets y ordenadores portátiles). Además, es posible que el seguro no cubra la notificación a los clientes afectados, o la restauración de los datos que fueron dañados, pero no robados. Por lo tanto, la principal entidad que posee las herramientas capaces de proteger a tu empresa sigues siendo tú.

Resiliencia digital: ¿Cómo puedes protegerte?

1. Sé consciente de tus activos

Conocer las posibles aperturas ,vectores de amenaza, para los ciberdelincuentes es uno de los primeros pasos hacia un sistema de seguridad eficaz. Definitivamente, debes hacer un inventario de tus activos orientados a Internet para poder protegerlos adecuadamente. Una regla idéntica se aplica a los activos "rescatables", que incluyen dispositivos IoT, routers SOHO, robots, sistemas de control y sistemas autónomos. Si quieres saber más sobre cómo medir la exposición al riesgo digital de tu empresa, consulta este artículo.

2. Utilizar los RDP con prudencia

El protocolo de escritorio remoto (RDP) puede servir de puerta de entrada a los ciberdelincuentes cuando se utiliza sin medidas de seguridad específicas. Según Infosecurity Magazine, los ataques contra RDP entre el primer y el último trimestre de 2020 se dispararon un 768%, convirtiéndose en el mecanismo de entrega más común para el ransomware en ese año. Aprende a reducir las posibilidades de que un ataque RDP tenga éxito en tu empresa aquí. 

3. Utiliza la autenticación multifactorial (MFA)

Además de las contraseñas seguras, el uso de la autenticación multifactor puede reforzar la protección de tu empresa. Sin embargo, debes optar por una solución MFA que no esté basada en SMS, ya que los ciberdelincuentes tienen formas de superar este tipo de protección.

4. Aparte del almacenamiento conectado a la red (NAS), haz una copia de seguridad fuera de las instalaciones

Tu empresa debe esforzarse por tener una estrategia de copia de seguridad completa que emplee no solo el almacenamiento in situ, sino también el externo. Si quieres leer más sobre copias de seguridad y recuperación de datos, consulta este artículo.

5. Parches y actualizaciones

La aplicación regular de parches puede ayudarte con muchos riesgos relacionados con varios tipos de ciberataques. Los parches específicos pueden mejorar la seguridad de tu RDP o de los mencionados activos "rescatables". Además, los parches y las actualizaciones se cuentan entre las medidas que puedes tomar para ayudar a prevenir algunos de los ciberataques de mayor alcance, es decir, los ataques a la cadena de suministro.

6.  Asegúrate de que los empleados saben dónde informar de cualquier actividad sospechosa

Los correos electrónicos sospechosos o las alertas desconocidas pueden no significar una presencia inmediata de peligro, pero prestar atención a estas situaciones inusuales puede ayudarte a prevenir posibles ciberataques futuros. Todos los empleados deben ser formados sobre cómo proceder en estas situaciones y a quién dirigirse. No deben tener miedo de hacer una denuncia. El miedo de los empleados suele tener su origen en la creencia de que son los culpables del ataque, o en sus intentos de evitar evocar un pánico innecesario. Hazles saber que se fomenta una reacción rápida, ya que puede impedir que se produzca un posible ataque.

7.  Dispón de una estrategia para saber qué hacer cuando se produzca un ataque

Aunque dispongas de una protección exhaustiva, los ciberdelincuentes pueden encontrar la forma de llegar a ti. Por esta razón, debes preparar un plan de respuesta y recuperación y hacer que todos los posibles implicados sean conscientes de los pasos individuales que hay que dar para reaccionar ante una actividad ciberdelictiva. El plan debe incluir el aviso al personal designado, al asesor jurídico, a las fuerzas de seguridad y a los proveedores que puedan ayudarte, el aislamiento y análisis de las máquinas afectadas por el ataque o incluso la preparación de una declaración de relaciones públicas. Tener un plan preparado no es suficiente: tu estrategia de respuesta también debe ser probada adecuadamente. Esto puede parecer obvio, pero según la AGCS, menos del 40% de las empresas ponen a prueba sus planes de continuidad de negocio.

En conclusión, aunque a algunas empresas les convenga el ciberseguro -incluidas las pequeñas y medianas empresas (PYMES), que a menudo necesitan ayuda financiera cuando se enfrentan a un ataque, o los negocios que dependen en gran medida de la confidencialidad, como las empresas sanitarias o los despachos de abogados, para proteger un negocio de forma eficaz nunca se debe pasar por alto la necesidad de la capacidad de recuperación digital. El trabajo continuo para aumentar la protección de la propia seguridad puede ser exigente, pero a la larga merece la pena. Como señala Scott Sayce, de AGCS, "el papel de los seguros siempre ha sido garantizar una buena gestión del riesgo y la prevención de pérdidas. Una buena madurez cibernética y un buen ciberseguro van de la mano. Compramos un seguro para nuestra casa, pero esto no significa que dejemos la puerta principal sin cerrar, y lo mismo debería decirse de la ciberseguridad".