Crimen como servicio, ransomware, hacktivismo y ataques a proveedores, principales tendencias en ciberriesgos

23 julio, 2019
18 Compartido 1,365 Visualizaciones

Carlos Rodríguez, Cyber, Crime and Crisis Solution Product Leader de AIG advierte que los ciberriesgos no están cubiertos por las pólizas tradicionales de Responsabilidad Civil y que todas las empresas están expuestas a ellos en el XXI Congreso de RC y Seguro de Inese

El crimen como servicio (criminales que ofrecen sus servicios a cualquier persona/entidad que quiera pagarlos), el ransomware (secuestro de datos), el hacktivismo (protesta realizada por aficionados o hackers con fines políticos) y los ataques a proveedores son las principales tendencias en ciberriesgos detectadas por la aseguradora AIG, según explicó su Cyber, Crime and Crisis Solution Product Leader, Carlos Rodríguez, durante su ponencia sobre ‘El gran riesgo del siglo XXI. Los ciberriesgos y la Responsabilidad Civil’ en el marco del XXI Congreso de Responsabilidad Civil y Seguro organizado por INESE.

Carlos Rodríguez describió la situación actual de los riesgos cibernéticos, informó sobre los sectores más amenazados, abordó las novedades normativas, explicó cómo se pueden transferir los riesgos a través de una póliza de seguros y ofreció datos de los informes de incidentes realizados por su compañía, así como ejemplos concretos de siniestros y su coste, además de compartir las principales tendencias en lo que a tipología de ataques se refiere.

Inició su intervención advirtiendo que los ciberriesgos no están cubiertos por las pólizas tradicionales de RC y que todas las empresas, grandes y pequeñas, están expuestas a ellos, incluso estas últimas “pueden llegar a a ver amenazada su continuidad”. Aunque colocó, por este orden, a las de comunicación, las consultoras tecnológicas, los comercios, las de telecomunicaciones, las de servicios, transporte y distribución, sanidad, instituciones financieras, hoteles y ocio y a las compañías con exposición en EEUU en la cúspide de las amenazas.

El experto de AIG señaló que su aseguramiento es compatible con las pólizas tradicionales y que tiene la misma o mayor importancia que estas. Una afirmación que ilustró con un inquietante mapa de ciberataques en tiempo real de la compañía Norse y con un gráfico de las mayores brechas de seguridad que han ocurrido en el mundo y en España. Por si estos ejemplos no dejaban demasiado clara la dimensión de las ciberamenazas, informó que el Incibe (Instituto Nacional de Ciberseguridad) calcula que va a gestionar este año más de 100.000 ciberataques.

Se refirió también el “supercomplejo entorno” que rodea a los ciberriesgos, en el que se produce una continua evolución de los ataques, “que obliga a estar al CISO de las compañías en permanente vigilancia”, que exige tener medidas específicas de protección para las infraestructuras críticas, por ejemplo, y adaptarse a cambios normativos como los del Reglamento General de Protección de Datos, entre otros.

En cuanto a los riesgos que más intranquilidad provocan entre los directivos de las empresas, utilizó encuestas realizadas por su compañía que reflejan que la filtración de datos está, con mucha distancia, en cabeza (52%), seguida de las caídas en la red o el sistema (31%) y la ciberextorsión (12%).

Los informes de AIG demuestran que en 2018 se han producido un 40% más de siniestros en la zona EMEA que en 2017, “a causa también de la mayor cartera de clientes”, y que los comunicados en junio de 2019 igualan ya a los de todo 2018. Al podio de los incidentes ha ascendido el Business email compromise (también conocido como ‘la estafa del CEO’), con un 23%, seguido del ransomware, “cada vez más sofisticado”, con un 18%, y, empatados en el tercer lugar con un 14%, las brechas de seguridad provocadas por hackers y las debidas a negligencia de empleados. Por lo que respecta a los sectores más afectados, los servicios profesionales lideran la clasificación con un 22%, seguidos de servicios financieros (15%), servicios de negocios (12%) y retail (9%).

Cada uno de los incidentes que aparecen en estas listas, explicó Carlos Rodríguez, provocan crisis en distintos departamentos de las empresas, “empezando por el de Sistemas, pero también afectan al Legal y al Financiero y, por supuesto, generan una pérdida reputacional cuyas consecuencias están en consonancia con la gravedad del ataque”. Esto, detalló, conlleva unos gastos inmediatos (forense IT, legal, relaciones públicas, notificación), otros a medio plazo (investigación, responsabilidad ante terceros) y otros a largo plazo (pérdida de confianza de clientes, daño reputacional, pérdida de mercado).

La mejor solución para transferir esos riesgos es, en palabras de Rodríguez, una póliza de seguros que incluya tres pilares: “prevención, respuesta ágil y cobertura aseguradora adecuada”. Tres aspectos que contempla el producto de CyberEdge de AIG. Esta póliza ofrece herramientas preventivas que proporcionan a las empresas conocimientos, formación y soluciones para adelantarse a los acontecimientos. Además, si se produce el siniestro, garantiza una respuesta 24 horas siete días a la semana durante todo el año, servicios legales y forenses, gastos de notificación, así como gastos de defensa y perjuicios. En cuanto a la cobertura, incluye los daños propios, la extorsión cibernética, la pérdida de ingresos y gastos operativos, los costes directos propios de responder a un ataque o las responsabilidades derivadas del Reglamento General de Protección de Datos, entre otros. A todo ello, hay que añadir una serie de coberturas optativas, entre las que destacan los programas multinacionales, que permiten a AIG suscribir pólizas en cualquier país.

El ponente concluyó su exposición con ejemplos de respuestas dadas por su compañía a distintos tipos de ataques, como uno de un empleado que robó datos personales a millones de clientes, otro de un ransomware que cifró el servidor de correo electrónico, red y discos, y un tercero de intrusión en una cadena hotelera. En cada uno de ellos describió el ataque, la respuesta y el perjuicio financiero que supuso para la empresa atacada.

El XXI Congreso de Responsabilidad Civil y Seguro se desarrolló durante los días 26 y 27 de junio en el hotel Hesperia de Madrid. Durante los dos días, además de los ciberriesgos y la Responsabilidad Civil, se abordaron asuntos como la defensa de la RC ante supuestos dolosos fuera del tránsito motorizado; el concepto de víctima; la punición del accidente laboral; el perjuicio económico reputacional en el seguro de RC; la responsabilidad civil por la revelación de secretos empresariales; las repercusiones de la inteligencia artificial en el ámbito de la RC; la RC de los administradores; la cobertura de los nuevos sistemas de movilidad que no están en el SOA; la RC de las insurtech; el deber de información como elemento generador de responsabilidad del abogado; el inicio del plazo de prescripción de la acción de indemnización de daños y la prueba en la responsabilidad civil del empresario.

Te podría interesar

Elaboran una guía para evitar el ciberbullying, ante el fuerte desconocimiento que detecta en la sociedad
Soluciones Seguridad
18 compartido2,251 visualizaciones1
Soluciones Seguridad
18 compartido2,251 visualizaciones1

Elaboran una guía para evitar el ciberbullying, ante el fuerte desconocimiento que detecta en la sociedad

Mónica Gallego - 10 abril, 2019

Desde la compañía de ciberseguridad se ha señalado que la concienciación para evitarlo, aprender a detectarlo y denunciar, si no…

Más de la mitad de los gobiernos autonómicos apuestan decididamente por el software libre en España
Actualidad
982 compartido211 visualizaciones
Actualidad
982 compartido211 visualizaciones

Más de la mitad de los gobiernos autonómicos apuestan decididamente por el software libre en España

Vicente Ramírez - 23 mayo, 2019

Veracode insiste en la importancia de securizar el software para que las AAPP puedan aprovechar todo el potencial del open…

U-tad ofrece una Máster Class para mostrar cómo se realiza un análisis forense en móviles Android
Actualidad
12 compartido1,816 visualizaciones
Actualidad
12 compartido1,816 visualizaciones

U-tad ofrece una Máster Class para mostrar cómo se realiza un análisis forense en móviles Android

Mónica Gallego - 30 julio, 2018

U-tad ofrece una Máster Class para mostrar cómo se realiza un análisis forense en móviles Android. Esta charla, perteneciente al área…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.