Red Seguridad 101

red seguridad segundo trimestre 2023 93 opinión en un estudio previo de la compañía a la que se dirigen. Por ejemplo, hoy en día existen casos de ransomware que pretenden extorsionar de manera múl- tiple: en algunas ocasiones, además de reclamar un pago por descifrar y no revelar información, llegan a amenazar a familiares, consiguiendo, por ejemplo, información de la víctima a través de re- des sociales. Respecto al mercado asegurador, nos encontramos en un “ciclo de mercado duro”; las condiciones del entorno mer- cantil son restrictivas y con un apetito de riesgo selectivo y limitado. Esto difi- culta la capacidad de las empresas para conseguir el seguro deseado no solo en términos de capacidad y condiciones de coberturas, sino también en términos económicos. Incremento de primas Según Forbes, durante 2021, la suma mundial de primas por el seguro de ci- berriesgos ascendió a 7,5 billones de dólares y se espera que para 2028 al- cance los 28,5. En España se estima que el volumen de primas ha crecido un 70 por ciento con respecto al año anterior. No obstante, este aumento no procede directamente del deseo de las compa- ñías de asumir un mayor nivel o apetito de riesgo, sino que deriva del incremen- to de las primas. Al mismo tiempo, las reaseguradoras, que son entidades que toman a su cargo riesgos cubiertos por otras aseguradoras y asumen la respon- sabilidad sobre ellos, están aplicando mayores restricciones en sus coberturas y capacidad de asunción de riesgo. Nuevo modelo de seguro Debido a las características propias de los riesgos cibernéticos, debemos apro- ximarnos a las empresas con un nuevo enfoque de los productos de seguros cíber. Este tipo de riesgo es muy cam- biante por naturaleza: la tecnología y los servicios basados en ella evolucionan constantemente y, por ende, los esce- narios de riesgo cambian a la misma o mayor velocidad. Si basamos la estimación del riesgo en declaraciones formales y descriptivas de la compañía, atendiendo a probabi- lidades imposibles de medir de forma objetiva, muy posiblemente obtengamos productos poco ajustados a la realidad de las empresas. Todo aquel que ha trabajado en ries- gos tecnológicos sabe que la implemen- tación de un sistema de ciberseguridad es clave. Es la mejor opción para conse- guir la monitorización continua del ries- go, la selección de medidas adecuadas y el mantenimiento de los niveles de ries- go dentro de un rango conocido. A pesar de ello, el riesgo cero no exis- te, por lo que en caso de ataque, una póliza especializada puede minimizar las consecuencias financieras de un incidente cibernético, pero no cubrir los riesgos de un sistema mal protegido. Por ello, el asegurado debe ser responsable de garantizar una sólida postura de se- guridad de forma que el seguro sea una medida para limitar el riesgo residual, pero no para cubrir una inadecuada o ineficiente gestión de los riesgos. Como ejemplo de las medidas de se- guridad básicas que exige una asegura- dora para poder ofertar un seguro pode- mos destacar las siguientes: Conocimiento del riesgo: análisis del riesgo y planes de ciberseguridad. Las organizaciones deben establecer un sistema que les permita conocer sus riesgos y planificar sus planes de acción ponderando riesgo e inversión. Esto, aplicado de forma continua, per- mite vigilar unos niveles mínimos de seguridad y adaptarse a los cambios de la compañía y del entorno. La certi- ficación en estándares de ciberseguri- dad es el camino a seguir, ya que per- mite una validación de terceros sobre los sistemas de la organización. Protección de endpoint . Más allá de los conocidos sistemas antimalware , se requiere la implementación de sis- temas de protección de los equipos conectados (EDR, XDR) que facilitan la detección del ataque y la respuesta que impida la extensión por los siste- mas conectados.