En 2016 se gestionarán en España 100.000 ciberataques, afectando el 70% a pymes
El lunes 6 de mayo tuvo lugar una nueva sesión de los “Diálogos 2020” que organiza la “Cátedra Fundación Inade – UDC de Gestión del Riesgo y del Seguro”, en la que se analizó el riesgo de seguridad en la información y su transferencia a la industria aseguradora. Para ello, se contó con la participación de Jorge Chinea López, Coordinador del área de contenidos de investigación del Instituto Nacional de Ciberseguridad de España (INCIBE) y Santiago Sánchez Matas, Director de Ventas y Distribución y de Líneas Financieras de la compañía aseguradora CHUBB.
En su intervención, Jorge Chinea afirmó que “la ciberseguridad es un elemento de generación de confianza” y añadió que “EEUU, Reino Unido y España son los países que detectan mejor los ciberriesgos”. Eso sí, dejó claro que “el Ministerio del interior prevé que en 2016 se produzcan 100.000 ciberataques, de los que el 70% podría afectar a pymes”.
Chinea hizo hincapié en que “los peligros en materia de ciberseguridad no provienen sólo de un posible ataque perpetrado por ciberdelincuentes, ya que muchas veces es el propio personal de la empresa, que pierde un dispositivo USB o se deshace de un teléfono móvil corporativo, el que origina un grave problema de ciberseguridad”.
Respecto a la situación de las pymes, Chinea alertó de que “constituyen el foco de ataque de estos delincuentes, ya que obviamente no cuentan con los mismos medios que las grandes empresas para el mismo fin”. Además, mencionó que “las pymes son muchas veces tractoras de seguridad en el sentido de que los ataques a las grandes empresas se cometen a través de pequeñas y medianas empresas”. Respecto a cómo poder mejorar esta situación, Chinea informó a los asistentes de que INCIBE cuenta con el programa gratuito “Protege tu empresa”, a través de su web, para ayudar a las pymes a gestionar estos riesgos.
El representante de INCIBE advirtió a los asistentes de que existe un “mercado negro de contraseñas, números de tarjetas de crédito, números de cuentas bancarias e incluso información sanitaria, cuyo valor está en alza”.
Por otro lado, los elementos fundamentales de desprotección que destacó Chinea son fundamentalmente cuatro. En primer lugar, el uso de contraseñas poco sofisticadas o dejarlas anotadas cerca del ordenador. En segundo, copias de seguridad inservibles “prácticamente todo el mundo las realiza, pero nadie comprueba si funcionan o si se ha copiado aquello realmente importante”. A continuación, las actualizaciones, o más bien, la falta de actualización de los software, programas y aplicaciones que tienen como uno de sus principales objetivos cubrir los agujeros de seguridad que se han descubierto. Por último, la falta de formación y concienciación del empleado, causante en muchos casos del fallo de seguridad.
Por su parte, Santiago Sánchez Matas aclaró que “generalmente se concibe al ciberseguro como un ‘extintor de incendios’; sin embargo, ésta no es la función de este tipo de seguros”. De cualquier forma, “el ciberseguro, aún sin servir para sustituir a nuestros propios mecanismos de control de la seguridad, constituye una ayuda para prevenir primero, mitigar después, y por último indemnizar posibles siniestros derivados de fugas de seguridad de nuestras empresas”.
En el mundo empresarial actual falta todavía interiorizar plenamente los problemas de ciberseguridad. Así, Sánchez Matas destacó que “todavía son frecuentes en las empresas prácticas como el ‘bring your own device’ o la no protección de los dispositivos USB, que son puertas de salida de información que pueden hacernos perder grandes sumas de dinero”.
Una vez comenzado el turno de debate, el representante de AON puso de relieve varios aspectos en relación con el ciberseguro como es “la falta de madurez en el mercado respecto de este producto, a pesar de que se advierte a los clientes y se les intenta sensibilizar en este ámbito”. Aun así, también indicó que “el futuro va camino de la generalización de este tipo de pólizas, no tanto por la indemnización –de la que quedan excluidos, por ejemplo, los daños materiales derivados del siniestro- sino como mecanismo rápido y fiable de reacción frente a la brecha de seguridad”. Igualmente, se refirió a que “administradores y directivos han promovido dentro de las empresas la concertación de este tipo de seguros para evitar incurrir ellos en responsabilidad, ya que es un riesgo que deben conocer y, en consecuencia, que forma parte de su deber de diligencia”.
A preguntas de los asistentes, Sánchez Matas reiteró que “en el caso de que la pérdida de información sea consecuencia de un fallo de seguridad de un proveedor de servicios, hay que tener en cuenta que muchos de los contratos que se suscriben con éstos incluyen cláusulas de limitación de responsabilidad”. Asimismo, insistió en la necesidad e importancia de formar y concienciar a los empleados, para lo que señaló que “sería bueno hacer simulacros a través de ejercicios de ciberresiliencia y de denegación de servicio”.