entrevistas
AIG
Cómo protegerse del ataque cibernético
Texto: Carla de la Serna Fotos y vídeo: Nuria Ayarra
Después de la crisis financiera y la inestabilidad política, la amenaza cibernética es la gran preocupación del siglo XXI. Fuga de datos, phising y extorsión son algunos de los riesgos que ponen en peligro las estructuras de las compañías, grandes y pequeñas. Para protegerse de estos ataques, las empresas recurren cada vez más a la contratación de pólizas ciberriesgos, imprescindibles para su seguridad y estabilidad.
Lucas Scortecci, Director de Líneas Financieras de AIG, y Mario Díaz-Guardamino, Director de Desarrollo de Negocio de AIG Iberia, nos ofrecen en una entrevista algunos datos clave para bloquear estas amenazas e intentar garantizar la seguridad frente a ellas a través de coberturas ciber.
¿Identificáis antes el potencial riesgo, veis en el mercado una oportunidad, o es el propio mercado quien demanda un producto de estas características?
Como aseguradores estamos siempre buscando productos que interesen a los clientes e identificando nuevas tendencias para cumplir con nuestro papel. El espacio cibernético y el almacenamiento de datos han tomado mucha relevancia en los últimos años, así que en AIG vimos la necesidad de plantear una solución para cubrir el riesgo cibernético. Ahí surgieron la idea y la oportunidad, hace quince años.
Las empresas necesitan un protocolo de medidas de seguridad que minimicen cualquier tipo de ataque cibernético, ¿cómo se adaptan a estos requisitos?
Nuestro producto ofrece una solución global para la amenaza cibernética que está basada en tres componentes:
La prevención, centrada en servicios de análisis de vulnerabilidad: softwares que ponemos a disposición de los clientes para que identifiquen un intento de ataque y lo bloqueen, y una estructura de formación web para que los clientes puedan dar cursos a sus empleados y que sean conscientes de la amenaza. Tenemos un equipo de consultores tecnológicos que analiza riesgos, que identifica nuevas amenazas y estudia cómo bloquearlas para fortalecer la oferta de servicios de prevención.
La primera respuesta. Es el soporte que damos a través de algunos proveedores de servicios tecnológicos para que en el momento en que un cliente se sienta amenazado, pueda llamarnos para explicarnos por qué está preocupado. A partir de ahí el consultor tecnológico intenta sanar ese fallo lo más rápido posible para que los daños sean mitigados.
El seguro propiamente dicho. Somos conscientes de que por mucha formación y herramientas que demos a los clientes y por más que los clientes inviertan en seguridad tecnológica, ninguno de ellos va a estar 100% protegido contra la amenaza cibernética. Dentro del seguro tenemos lo que llamamos las “pérdidas de tercera parte”, que son las pérdidas de responsabilidad.
¿Habéis notado un aumento de demanda de estos seguros cuando se publican noticias de ataques cibernéticos a las compañías?
Sí, cuando se produjo el intento de extorsión a través de Wannacry*, en mayo de 2017, tuvimos un incremento de cotizaciones de 200% de empresas de todos los tamaños y sectores. Es un indicador importante. En realidad es un seguro que está en alza, y en los últimos tres años hemos crecido más del 50%.
“Cuando se produjo el intento de extorsión a través de Wannacry, tuvimos un incremento de cotizaciones de 200% de empresas de todos los tamaños y sectores. En los últimos tres años hemos crecido más del 50%”
Icloud: muchas empresas almacenan la información en servidores de terceros, ¿cuál es la responsabilidad de la empresa en este caso y qué se debe exigir a terceros para almacenar datos propios?
La responsabilidad como empresa es la misma y no disminuye, ya que debe exigir a su proveedor como mínimo sus propios niveles de protección de datos. Por lo general los proveedores de ICloud invierten mucho en tecnología. Para una empresa que no invierta tanto en seguridad cibernética, puede ser una buena alternativa tener como proveedores a Amazon, IBM o Microsoft.
La empresas son cada vez más conscientes de estos riesgos, principalmente multinacionales y entes públicos, ¿están aprendiendo a base de siniestros?
Sí, es una combinación de siniestros y sustos. Para que haya un siniestro no necesariamente tiene que haber una pérdida. Cuando un cliente confía en nosotros y contrata varios productos, nos sentimos con el deber de explicarle que eso puede pasar. Con los grandes clientes tenemos un contacto más cercano. Con las PYMES se hace a través del broker, que es el que alerta sobre los riesgos actuales de cualquier actividad económica.
Antes este producto era contratado principalmente por grandes empresas, que se sentían más amenazadas. Pero hoy día cualquier PYME puede ser atacada, lo que supondría en casos extremos el cierre de la compañía…
Las grandes empresas son el mayor target de los criminales, porque tienen más datos y por lo tanto hay más probabilidad de hacer daño. Pero como invierten más en la prevención de riesgos, son más difíciles de atacar. Las PYMES sin embargo están más expuestas a este tipo de amenazas. A veces para atacar a la gran empresa lo hacen a través de la PYME, porque las grandes empresas tienen relaciones informáticas con ellas. En ocasiones, a través de un fallo o vulnerabilidad de la PYME, consiguen entrar en una gran compañía. Y para la PYME una pérdida de datos o reputación, puede terminar con su actividad, por eso cada vez están más interesadas en este tipo de seguros.
“Las grandes empresas son el mayor target de los criminales, porque tienen más datos y por lo tanto hay más probabilidad de hacer daño. Pero como invierten más en la prevención de riesgos, son más difíciles de atacar. Las PYMES sin embargo están más expuestas a este tipo de amenazas.”
¿Qué sectores están más interesados en seguros ciber?
Principalmente el financiero, minoristas con y sin operación de venta online, los servicios públicos, y el sector de salud, ya que tienen datos muy sensibles de los pacientes.
¿Colaboráis con los brokers para diseñar un producto de estas características?
Sin duda el broker es quien tiene el feedback del cliente. Nosotros tenemos contacto directo con un número limitado de clientes. Sin esa voz del corredor, no somos capaces de adaptar los productos a la realidad local, de estar a la vanguardia.
