El seguro de ciberriesgos es la póliza de incendios del siglo XXI

“El seguro de ciberriesgos es la póliza de incendios del siglo XXI”. Esta fue la escueta frase con la que Carlos Rodríguez, Cyber, Crime and Crisis Product Specialist de AIG, ilustró la importancia de estas pólizas en la actualidad, durante la mesa redonda que puso fin a la jornada sobre gestión de ciberincidentes organizada por KPMG el martes 26 de febrero de 2019.

Un debate en el que, además de Rodríguez, también participaron Manuel Torres, Director de Continuidad de Negocio de Bankia, y Paula Hernández, Responsable del Área de Nuevas Tecnologías (Asesoría Jurídica Interna) y DPO de KPMG en España y Andorra, moderados por Alejandro Rivas-Vásquez, Socio Responsable de Cyber & Forensic Response de KPMG en España.

Todos coincidieron en el importante papel que juegan la prevención y los proveedores en las brechas de seguridad, así como en lo fundamental que es tener planes de respuesta, la rapidez en su aplicación y disponer de equipos forenses multidisciplinares y una fluida comunicación entre ellos. “Hay que tener planes de respuesta, pero hay que probarlos realizando simulacros, pues el incidente puede suceder en cualquier momento”, destacó Torres. A lo que Hernández añadió la importancia de la evidencia digital, es decir, “de utilizar evidencias para demostrar que lo que ha pasado es lo que ha pasado y se ha respondido en tiempo y forma”.

Carlos Rodríguez apuntó que es primordial hacer frente tanto a la pérdida financiera que pueda sufrir una empresa atacada como a la reputacional, algo que “se puede paliar transfiriendo los perjuicios a través de una póliza de seguros”.

El directivo de AIG explicó que, aparte de la rapidez en la respuesta y un buen equipo forense, la póliza de ciberriesgos que ofrece su compañía, CyberEdge, contempla otros “también de suma importancia”, como son: la asesoría legal y de relaciones públicas para contener el daño reputacional, los costes de la notificación de datos que pudieran haber sido afectados por la brecha de seguridad, así como la monitorización para evitar nuevas pérdidas. Por otra parte, la póliza incluye, asimismo, la preparación profesional para cualquier investigación de multas y sanciones asegurables por un regulador de protección de datos. En cuanto a las responsabilidades, cubre costes y daños de la defensa por: cualquier violación de datos personales o corporativos, contaminar los datos de otra persona con un virus, el robo del código de acceso al sistema, el robo de hardware que contenga datos personales o un acto negligente por error de un empleado.

En este sentido, señaló que es elemental, a la hora de realizar la cotización, saber adaptarse a las necesidades de cada compañía. En su empresa ofrecen “un informe de evaluación de riesgos en cada cotización y, una vez contratada, servicios de prevención”. Igualmente, están disponibles 24 horas, siete días a la semana, tienen un sitio web que simplifica todo el proceso, una aplicación que muestra las últimas noticias relacionadas con el ciberriesgo, información en tiempo real de fugas de seguridad, una herramienta para calcular el impacto económico de una fuga, calendario de eventos, un glosario de cibertérminos y más de 20 casos reales de siniestros. “Y estamos ahí hasta que finaliza el incidente”, resaltó.

Sus compañeros de mesa opinaron que disponer de un seguro “añade una capa adicional que cubre el riesgo y resulta interesante”, en palabras de Manuel Torres, y que “las coberturas son las que van a marcar la diferencia en la gestión de la crisis”, según Paula Hernández.

Al mismo tiempo, Carlos Rodríguez indicó que AIG, que en 2019 celebra su centenario, ha sido pionera en este ramo con el lanzamiento de la primera póliza hace 20 años y su implantación en España en 2013. En ese tiempo ha ayudado a más de 22.000 compañías y más de 20 millones de personas a hacer frente a un ciberataque. “Solo el año pasado gestionamos dos siniestros cada día en Europa, ocupando el ransomware el número uno en el ránking de ciberamenazas”, comunicó. Por su parte, el Director de Continuidad de Negocio de Bankia informó que en lo que llevamos de año en su compañía han detectado “más ataques de phishing y más calidad en ellos”.

El debate puso el punto final a una jornada que planteó la ‘Gestión de ciber incidentes: desde la prevención hasta la respuesta’. En ella se abordaron las consideraciones estratégicas, jurídicas, operacionales y forenses en la era del RGDP, la Directiva NIS y la ciberresiliencia.

Comenzó con una introducción de Alejandro Rivas-Vásquez, Socio Responsable de Cyber & Forensic Response de KPMG en España, sobre ‘Ciberataques: ¿qué ha cambiado en los últimos doce meses?’. Tras su breve intervención, dio paso a una ponencia sobre ‘Prevención, Detección y Respuesta: buenas (y no tan buenas) prácticas’, a cargo de Sergio Galán, Cyber Incident Response Lead de KPMG en España, y María Jesús Casado, analista de Ciberinteligencia de la misma firma, comentó las aplicaciones de OSINT en apoyo a investigaciones de fraude. A continuación, Javier Aznar, Responsable de Cyber & Privacy Regulation de KPMG en España, analizó la ‘Gestión del Incidente desde el punto de vista de riesgo operacional y regulatorio’.