Ciberseguros. ¿Reactivos, Proactivos, o ambos?

21 abril, 2020
502 Visualizaciones

Iñigo Ladrón Morales, Chief Innovation Officer & PM Director en Ciberalarma

Quizá últimamente hayamos oído hablar de «coberturas de ciberseguridad o ciberriesgo» adicionales que se han incorporado, integrado, o incluido en nuestros habituales seguros de empresa. Tal vez no tanto (o nada, al menos de momento) en el caso de los seguros de vivienda, hogar, familia, coche, moto. 

Probablemente también hayamos oído hablar de términos como los «ciberseguros» puros y duros, los «seguros de ciberriesgos«, las «pólizas de ciberseguridad«, las «ciberpólizas«, las «coberturas de ciberprotección«, etc.

Nos podemos hacer una idea de lo que son. Pero, ¿qué exactamente? Del mismo modo que existen y tenemos contratados seguros para nuestro negocio, comercio, empresa, para casa/hogar, el coche, la moto, seguros de salud, de vida; desde hace un tiempo las aseguradoras también están teniendo en cuenta ya los posibles ciberriesgos, las posibles ciberamenazas, ciberseguridad.

La verdad es que, por ahora, y probablemente debido a que el mercado no está aún maduro del todo en este sentido, cada uno, cada aseguradora (y cada una de las insurtech que les están ayudando en ello) lo está haciendo desde un punto de vista, perspectiva, forma de afrontarlo, objetivo y offering diferente, aunque con similitudes entre todas ellas. 

Algunas aseguradoras y banca-seguros con pólizas de ciberseguridad, aunque hay alguna más.

Unos seguros convencionales están incorporando dentro de sí ciertas coberturas de diferentes tipos y para diferentes fines en lo relativo a los posibles riesgos de ciberseguridad (ciberrriesgos). Otros lo están resolviendo con pólizas de ciberseguridad como tales y productos/servicios adicionales dentro del portfolio de la aseguradora. 

Generalmente, en casi el 99% de los casos y, de momento, enfocados a negocios, comercios, autónomos, micropymes, pymes y empresas. Algunos de ellos, aunque con otros enfoques, y características, destinados más a la empresa y gran empresa, pero muy pocos (por no decir ninguno, o contados con los dedos de una mano) para el hogar, familias, menores, etc.

Desde luego, hoy por hoy en la realidad del día a día, quizá aún es demasiado prematuro (o algo de lo que la gente aún no tiene conciencia, o necesidad, aunque ya exista). Seguramente sea algo que en el futuro, en unos años (aunque no muchos) veamos con total normalidad, como algo habitual y necesario en el sector asegurador, para todo tipo de usuarios… ¡Incluso para los seguros de coche (teniendo en cuenta que éstos ya integran sistemas operativos, están conectados a Internet, son dispositivos IoT, etc.)! Y, por supuesto, como pre-gestión del riesgo y también como escalera de ventas con la que «upsellear » y «crossellear «, interna y externamente.

En cualquier caso, ya se están ofreciendo, primordialmente, Ayudas y Asesoramiento como:

  • Asistencias tecnológicas OTF (One Time Fix, o intervenciones puntuales bajo demanda) en informática y en ciberseguridad, prestadas por chat, email, teléfono, RRSS.
  • Soporte y ayuda disponible 24×7.
  • Análisis remotos (básicos) de vulnerabilidades y recomendaciones (sólo eso).
  • Asesoramiento sobre cumplimiento de la LOPD y RGPD.
  • Asesoramiento legal y jurídico básico.
  • Etc.

… pero sólo desde el punto de vista de prestar un determinado grado de apoyo, ofrecer respuestas a consultas, cierto acompañamiento, asesoramiento…

Por otra parte, todos ellos, de forma mayoritaria, ofrecen una serie de Coberturas Reactivas frente a situaciones ya sucedidas de ciberincidentes de diferentes índoles, ciberataques, pérdida de datos y situaciones indeseadas de diferentes gravedades en materia de privacidad, confidencialidad, identidad, cadena de custodia, ciberseguridad, etc., que puedan tener lugar, como: 

  • Reparaciones informáticas, de carácter casi siempre muy básico, y realizadas en remoto.
  • Responsabilidad civil (RC) con terceros afectados por dichas fallas propias. 
  • Gastos ocasionados por sanciones administrativas y trámites legales, jurídicos, etc.
  • Cobertura económica por pérdidas debidas a paro de actividad (propio y proveedores).
  • Cobertura de indemnizaciones por pérdida o robo de datos (brecha o fuga de datos).
  • Recuperación de un cibersecuestro de dispositivos y datos por parte de un ransomware.
  • Cobertura por pago de rescate de un cibersecuestro de dispositivos e información.
  • Hacer frente a una ciberextorsión.
  • Análisis forense para conocer origen, causa y alcance de un ciberincidente o ciberataque. 
  • Cobertura a importes económicos, dinero ciberrobado o ciberdefraudado.
  • Rastreo y monitorización de ciberdelincuentes e información comprometida.
  • Indemnizaciones por confidencialidad, reputación, marca, patentes, espionaje industrial.
  • Servicios de gestión de ciberincidentes y comunicaciones de crisis.
  • Servicios de limpieza de malware y restauración de servicios, aplicaciones y sistemas.
  • Fraude económico en transferencia de fondos y similares.
  • Cobertura de daños por phishing o suplantación de identidad (propia y de terceros).
  • Etc., etc., etc.

Como vemos, el pilar fundamental de las coberturas de los ciberseguros en estos momentos, donde se basan y aposentan ahora mismo, son las REACTIVAS, que solo se aplican cuando tiene lugar algún ciberincidente.

Con ello está claro que, como en el caso de los habituales y tradicionales seguros de empresa, de hogar, etc., por supuesto, estamos cubiertos (de diferentes formas y dependiendo del alcance, coberturas… y, claro, de los que paguemos ;-)) para cuando ocurra algo. Y, efectivamente, para eso es un seguro/ciberseguro, para cubrirnos en caso de incidente/ciberincidente.

Del mismo modo que cuando contratamos un seguro tradicional tenemos que contestar a determinadas preguntas… como si «la casa es de hormigón o de estructura de madera«, si «tenemos puerta blindada, o no«, si el coche «duerme en garaje o en la calle«, etc., para que la aseguradora valore nuestra probabilidad de sufrir riesgos de determinadas índoles y sus gravedades potenciales, en estos ciberseguros también nos tienen que conocer (nuestra probabilidad de ciberincidente, nuestro ciberriesgo) de algún modo… «actividad«, «cuántos empleados sois«, «volumen de facturación«, «sistemas informáticos que se usan«, «si tenemos web, o no«, «si vendemos online, o no«, «qué medidas de ciberprotección tenemos«, etc.

Con todo esto, además de averiguar la probabilidad que habrá de que nos tengan que ofrecer alguna cobertura, nos estará perfilando con respecto a otros datos y además, con ellos, podrán hacernos un offering dirigido y ad hoc dentro de su portfolio y/o el de sus partners, etc., si fuese necesario. Pero en realidad, ya habrían obtenido la foto del índice de riesgo/ciberriesgo.

Hasta aquí, todo bien. Pero, ¿y qué ocurre con la protección, con la prevención y con la gestión o pre-gestión riesgo

¿No sería bueno también tomar medidas PREVENTIVAS o PROACTIVAS, en lugar de las meramente reactivas, precisamente para minimizar de antemano la probabilidad de sufrir ciberincidentes y, por ende, minimizar la obligación de prestar determinadas coberturas en esos casos? 

Esto, ¿no aportaría más ventajas o beneficios a los asegurados y también a las aseguradoras? ¿No haría que el ciberseguro fuese mucho más rentable para las aseguradoras? ¿No facilitaría a las aseguradoras datos adicionales de mucho valor añadido con los que ahora no cuentan? ¿No facilitaría la gestión del riesgo? ¿No daría otra visión más amplia del escenario y necesidades reales de los asegurados? ¿No sería más innovador y facilitaría ofrecer nuevos servicios y portfolios? ¿no permitiría prestar otros servicios mucho mejores, más personalizados, atrayentes, necesarios y dirigidos, basados en el Data Mine, Big Data, la Inteligencia Artificial, Machine Learning?… ¿No sería ventajoso en muchísimos sentidos?… 

Obviamente, en tal caso, seguramente fuese necesario hacer un esfuerzo desde la industria de la ciberseguridad, para tratar de acercar los servicios, herramientas y productos de protección proactiva o preventiva a costes inferiores al PVP

Esto con el único objetivo de que se pudiesen integrar e incorporar en otros servicios sin que el precio final de los mismos se desorbitase, teniendo en cuenta algunos factores o variables de especial relevancia en ese nuevo modelo de negocio: 

  • El que será un modelo masivo en lugar de venta uno a uno.
  • Que los servicios de prevención vayan no desplegados por defecto.
  • Y que, además, sean los asegurados los que deciden o no contar con ellos. Es decir, que la adopción no tiene por qué aplicar a toda la planta de los asegurados, sino solo a un porcentaje de ella, por lo que el coste de prestación disminuiría.

Algunas aseguradoras también están ofreciendo ya, aunque de forma muy tímida y concreta, medidas PREVENTIVAS o PROACTIVAS, como:

  • FAQs y contenidos de concienciación en privacidad y ciberseguridad.
  • Acciones básicas concienciación y formación en privacidad y ciberseguridad.
  • Comprobaciones del correcto funcionamiento y configuración de SO, antivirus, etc.
  • Análisis básico de vulnerabilidades en los dispositivos, en la red/WiFi y hasta en la web.
  • Servicios de backup o copias de seguridad de la información y los datos.
  • Análisis del nivel de compliance de normativas (LOPD, RGPD, ISO27001, SCSI, PCI DSS, etc.)
  • Etc.

Pero, ¿Y si además ofreciesen?

  • Instalación y configuración de herramientas para la protección de la identidad.
  • Instalación y configuración de antivirus, herramientas anti-phishing y anti-ransomware.
  • Monitorización y seguridad en la navegación por Internet.
  • Sistemas de gestión de filtrado y accesos a recursos, y navegación.
  • Herramientas de protección de ciberextorsión.
  • Monitorización de compromiso en tarjetas bancarias.
  • Monitorización de compromiso en credenciales (usuario y contraseña) de servicios.
  • Monitorización de ataques y de la reputación online.
  • Rastreo periódico de vulnerabilidades y servicios parcheo de las mismas.
  • Protección contra robo de datos, brechas y fugas de información.
  • Servicios de protección contra ataques de denegación de servicio.

Es probable que a día de hoy sea demasiado pronto, es probable que casi seguro que de momento no es directa ni inmediatamente rentable, es probable que sea una panacea o una utopía… pero a priori tiene sentido, ¿no?

Entonces, los ciberseguros del futuro, ¿deberían ser solo asistenciales y de soporte?, ¿deberían ser solo reactivos en caso de ciberincidente?, ¿deberían combinar asistencia reactividad?, ¿deberían incorporar factores preventivos y de proactividad?, ¿deberían ser puzzles o servicios que los asegurados eligiesen a su medida como «ciberseguros a la carta«?, ¿deberían combinar todo?… ¿qué opináis?

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Cyberpedia: Criptominería versus criptojacking ¿Cuál es la diferencia?
Actualidad
34 compartido2,557 visualizaciones
Actualidad
34 compartido2,557 visualizaciones

Cyberpedia: Criptominería versus criptojacking ¿Cuál es la diferencia?

José Luis - 16 marzo, 2018

La criptominería, realizar trillones de cálculos criptográficos necesarios para conseguir criptomonedas como Bitcoin, Monero o Ethereum. A día de hoy,…

Telegram filtra los datos IP sin permiso
Soluciones Seguridad
16 compartido2,495 visualizaciones
Soluciones Seguridad
16 compartido2,495 visualizaciones

Telegram filtra los datos IP sin permiso

Samuel Rodríguez - 3 octubre, 2018

La app Telegram filtra los datos IP del usuario sin permiso debido a un ajuste en la función realizará la llamada usando el…

El Departamento de Seguridad Nacional e ISMS Forum impulsan la mejora de la resiliencia empresarial
Soluciones Seguridad
12 compartido2,530 visualizaciones
Soluciones Seguridad
12 compartido2,530 visualizaciones

El Departamento de Seguridad Nacional e ISMS Forum impulsan la mejora de la resiliencia empresarial

Samuel Rodríguez - 9 agosto, 2018

El Departamento de Seguridad Nacional e ISMS Forum se unen para desarrollar conjuntamente la segunda edición del proyecto 'Ciber Crisis…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.