La gestión del ciberriesgo
Analizar el riesgo de la seguridad de la información y su transferencia a la industria aseguradora
Como cada primer lunes de cada mes, el pasado 7 de junio se celebró en la Sala de Profesores de la Facultad de Derecho de la UDC una nueva sesión – la cuarta – de los Diálogos 2020. “La gestión del ciberriesgo” ha sido el tema escogido para el análisis el día de hoy con el propósito fundamental de analizar el riesgo de seguridad en la información y su transferencia a la industria aseguradora. Para ello, hemos contado con la participación de dos ponentes de excepción: D. Jorge Chinea López, Coordinador del área de contenidos de investigación de INCIBE y D. Santiago Sánchez Matas, Head of Sales & Distribution, España y Portugal – CHUBB.
La primera de las intervenciones ha corrido a cargo del Sr. Chinea que ha comenzado su presentación afirmando que la ciberseguridad es un elemento de generación de confianza. "La información es uno de los activos más importantes de una empresa pero actualmente su gestión se lleva cabo a través de dispositivos electrónicos que en gran cantidad de ocasiones no garantizan su seguridad".
Esta situación contrasta con el hecho de que cada vez se demanda más seguridad a las empresas a la hora de tratar la información de la que disponen. La cantidad de noticias en los medios de comunicación referentes a problemas de esta índole contribuyen a que los ciudadanos en general valoren positivamente actuaciones en el ámbito de la ciberseguridad, de tal modo que hoy en día no cabe duda de que la aplicación de medidas de seguridad tecnológica tiene como efecto generar valor en la empresa frente a los competidores que no las ofrezcan.
Los peligros en materia de ciberseguridad, señala el ponente a continuación, no provienen sólo de un posible ataque perpetrado por ciberdelincuentes. Muchas veces es el propio personal de la empresa que pierden un dispositivo USB, o se deshace de un teléfono móvil corporativo el que origina un grave problema de ciberseguridad. Respecto de los ciberdelincuentes, señala el Sr. Chinea que las PYMES constituyen el foco de ataque de estos delincuentes, ya que obviamente no cuentan con los mismos medios que las grandes empresas para el mismo fin. Además, las PYMES son muchas veces tractoras de seguridad en el sentido de que los ataques a las grandes empresas se cometen a través de pequeñas y medianas empresas. La pregunta que surge inmediatamente es: ¿qué valor tiene la información de una PYME? El destino de la información robada es, se nos informa, la venta en el mercado negro: contraseñas, números de tarjetas de crédito, números de cuentas bancarias, incluso información sanitaria – cuyo valor está en alza –.
Los elementos fundamentales de desprotección que ha destacado el ponente son fundamentalmente cuatro. Primero, el uso de contraseñas poco sofisticadas – la más común sigue siendo 1234 –, o dejar anotada la contraseña cerca del ordenador. Segundo, copias de seguridad inservibles; es decir, prácticamente todo el mundo las realiza, pero nadie comprueba si funcionan o si se ha copiado aquello realmente importante. Tercero, las actualizaciones, o más bien, la falta de actualización de los software, programas y aplicaciones que tienen como uno de sus principales objetivos cubrir los agujeros de seguridad que se han descubierto. Cuarto y último, la falta de formación y concienciación del empleado, causante en muchos casos del fallo de seguridad.
A partir, de la solución de estos principales problemas puede hablarse de generar confianza y de que esta constituya un elemento diferenciador respecto de otras empresas, ha concluido el interviniente.
La segunda de las ponencias la ha llevado a cabo el Sr. Sánchez Matas que ha comenzado su intervención aclarando que, generalmente se concibe al ciberseguro como un extintor de incendios. Sin embargo, aclara esta no es la función de este tipo de seguros. Los dispositivos “contraciberincendios” deben estar ya presentes en la empresa. De cualquier forma, el ciberseguro, aún sin servir para sustituir a nuestros propios mecanismos de control de la seguridad, constituye una ayuda para prevenir, primero, mitigar, después, y por último indemnizar posibles siniestros derivados de fugas de seguridad de nuestras empresas.
En el mundo empresarial actual falta todavía interiorizar plenamente los problemas de ciberseguridad. Todavía son frecuentes en las empresas prácticas como el “bring your own device” o la no protección de los dispositivos USB, que son puertas de salida de información que pueden hacernos perder grandes sumas de dinero, ha afirmado el ponente. Añade, además, que en España es frecuente que desde las empresas no se den a conocer los problemas de ciberseguridad. Esto es especialmente preocupante en un mundo tan interconectado, en el que muchas PYMES pueden verse obligadas a cesar en su actividad debido a siniestros que no se han producido directamente en sus sistemas o instalaciones, sino en los de la empresa a la que lo han subcontratado. Siniestros que, además, pueden tener repercusiones muy trascendentes en relación con los clientes y la reputación corporativa en cuanto salen a la luz.
Ya en el turno de debate, el representante de AON ha puesto de relieve varios aspectos en relación con el ciberseguro como es la falta de madurez en el mercado respecto de este producto a pesar de que se advierte a los clientes y se les intenta sensibilizar en este ámbito. Aun así, también destaca que el futuro va camino de la generalización de este tipo de póliza, no tanto por la indemnización –de la que quedan excluidos, por ejemplo, los daños materiales derivados del siniestro- sino como mecanismo rápido y fiable de reacción frente a la brecha de seguridad. Además, destaca que administradores y directivos han promovido dentro de las empresas la concertación de este tipo de seguros para evitar incurrir ellos en responsabilidad, ya que es un riesgo que deben conocer y, en consecuencia, que forma parte de su deber de diligencia.
D. Adolfo Campos, director de Fundación Inade compartió el problema que sufrió su empresa con el conocido “virus de correos”, donde las opciones para intentar solucionar el problema son: o denunciar en las dependencias de la Guardia Civil – y tener el ordenador inutilizado durante algún tiempo –, o pagar la cantidad en bitcoins señalada por el hacker. Al hilo de esta experiencia, el Sr. Chinea, aclara que en el 80% de las ocasiones el hacker no devuelve la información, pese al pago de la cantidad solicitada como extorsión. Señala además que estos casos se puede optar por acudir a la Guardia Civil pero, en lugar de esperar que ésta practique el análisis forense sin poder usar el ordenador, acudir a alguna empresa de peritaje que practique un duplicado del sistema atacado que pueda aportarse a juicio.
El Sr. Sánchez Matas ha vuelto a intervenir en el turno de debate para señalar dos cuestiones de gran relevancia. La primera es que en el caso de que la pérdida de información sea consecuencia de un fallo de seguridad de un proveedor de servicios, hay que tener en cuenta que muchos de los contratos que se suscriben con éstos incluyen cláusulas de limitación de responsabilidad. La segunda insiste en la necesidad e importancia de formar y concienciar a los empleados, y en este sentido incide en la relevancia, no ya de tener, sino de aplicar los protocolos de actuación. Para ello, añade, sería bueno hacer simulacros a través de ejercicios de ciberresiliencia y de denegación de servicio.
Noelia Collado Rodríguez
Investigadora del Grupo de Investigación “Empresa, Consumo y Derecho” (UDC)