Hace unas semanas, el concurso de licitación de un seguro de ciberriesgo de una administración pública de Cataluña, quedo desierto. Ninguna compañía aseguradora se atrevió a hacer una oferta para un seguro que debía cubrir la seguridad en las redes, la privacidad de datos y la responsabilidad civil derivada de la protección de datos. ¿Por qué?

Seguros de ciberriesgo, una herramienta más y no un elemento sustitutivo

Esta administración no contaba ni tan siquiera con el Esquema Nacional de Seguridad validado por el CCN Cert, así que cuesta poco saber si su nivel es como el que tenía el Sepe o similar. ¿Recordáis nuestro post a raíz de la problemática con la web del Sepe y el proyecto #websegura? Lo podéis leer de nuevo AQUÍ.
Así que la respuesta a la pregunta del por qué quedó desierta esa licitación empieza a estar clara y lo es más aún si añadimos otra pegunta: ¿Cómo una empresa de cobertura de riesgos los va a asumir si la propia entidad no pone suficientes esfuerzos en protegerse?

Algunas veces ya hemos comentado que un seguro es la guinda del pastel, pero no el pastel en sí mismo. Lo primero siempre debe ser una buena política de seguridad, que pasa por una serie de temas: auditoría, revisión de activos en posibles vulnerabilidades, endpoint / antivirus de última generación o monitorización activa de la red, políticas estrictas en materia de seguridad de la información y tecnologías de la información, hacer una mínima formación a todos los trabajadores, etc.

La seguridad en sistemas de gestión de la información no es infalible, de manera que lo que hoy es seguro, mañana puede no serlo porque puede descubrirse una vulnerabilidad. Y con el caso que hacen la mayoría de las empresas proveedoras, son los malos los primeros en aprovechar la más mínima vulnerabilidad. Así que ese 100% nunca esta cubierto, hemos de ser muy conscientes de esto. Pero una buena política de seguridad, en la que se incluyen todos los puntos mencionados anteriormente es absolutamente necesaria para minimizar el riesgo. Si logramos cubrir, por ejemplo un 95%, al añadir un seguro de ciberriesgo, dormiremos mucho más tranquilos. Pero nunca podemos esperar que el seguro, por sí solo, nos vaya a solucionar la vida.

Seguros de ciberriesgo, una herramienta más y no un elemento sustitutivo.
El servicio de CISO externo puede ser la solución para muchas empresas.

TECNOideas facilita también seguros de ciberriesgo, como complemento a todos los demás servicios que ofrecemos, como auditorías, CISO externo, consultoría, planes anuales, etc. Pero siempre informamos y les hacemos ver a nuestros clientes, o posibles clientes, que no pueden dejarlo todo en manos de un seguro, ya que si no hay acciones preventivas y de mantenimiento, la aseguradora, tras la investigación por un perito, se negará a pagar.

Además hay que tener claro que no todas las empresas necesitan el mismo tipo de seguro, por lo que hay que huir de los seguros convencionales que se ofrecen. Lo suyo es ver la situación de la empresa, las medidas de ciberseguridad que ha adoptado y entonces y solo entonces, buscar el tipo de seguro más adecuado a sus necesidades. Un servicio que difícilmente pueden ofrecer las compañías aseguradoras, porque deben ser los técnicos de ciberseguridad que prestan sus servicios a las empresas, los que actualizan los sistemas, conocen, analizan y proponen soluciones, los que van a saber exactamente el tipo de seguro que necesitan para poner la guinda al pastel.

Imagen principal: Steve Buissinne enPixabay

Leave a comment