Newsletter
Loading Posts...
ciberseguridad

Aon España participa en la edición 2020 de Financier/ In-Depth Report sobre Ciberseguridad y Gestión del riesgo cibernético en 2020

Julio 22, 2020

La edición “IN-DEPTH Feature: Cyber Security & Risk Management” es una publicación de la prestigiosa revista especializada en finanzas y estrategia corporativa de Financier Worldwide.  El informe refleja el estado y tendencias relacionadas con la ciberseguridad y la gestión del riesgo cibernético por diferentes países.  En esta edición, los países participantes son Estados Unidos y países más cercanos a nuestro entorno, como Reino Unido, Alemania, Francia, Bélgica y Portugal.  Aon ha reflejado la visión para España. 

Los ciberataques continúan incrementándose, tanto en frecuencia como en la mayor sofisticación por parte de los criminales, lo que hace imperativo que las compañías establezcan las medidas adecuadas para contrarrestar dichas amenazas.   Esto en sí no es una novedad 2020:  llevamos en este entorno de incremento de ataques de forma continua desde ya hace más de una década.  Lo que sí está cambiando, y además a ritmo acelerado, es la tecnología: cloud computing, 5G, IoT, inteligencia artificial, Deep Learning, machine Learning, computación cuántica y otras tecnologías disruptivas que van a cambiarnos la vida, pero que también hará que los retos de ciberseguridad sean mucho mayores.  Queda fuera de toda discusión que estas tecnologías van a incrementar los actuales vectores de ataque.  La computación cuántica amenaza con derribar las mejores prácticas.  Por tanto, ciberseguridad y gestión del riesgo deberán reinventarse.

En países como en EEUU donde, como es de prever, van por delante de Europa en la aplicación de estas nuevas tecnologías, auguran un incremento de ataques dirigidos contra entidades financieras, salud, energía y transportes, ya que los criminales, desgraciadamente muy bien preparados y con muchos recursos económicos, también tienen mayor conciencia de los retos de ciberseguridad que conllevan.   Y también es de prever que, cuando EEUU estornuda, el resto del mundo se pone enfermo de gripe.

2020 se ha caracterizado asimismo por el reto que ha supuesto para todas las empresas el brote de COVID desde el punto de vista de continuidad del negocio y de la ciberseguridad.  En muy poco tiempo, una gran parte de la población mundial ha pasado a trabajar en remoto, lo que también aumentó la superficie de ataque.  Algunas empresas estaban mejor preparadas que otras para realizar la transición, pero muchas – sobre todo las menos preparadas – han tenido que realizarla sin las suficientes o adecuadas medidas de seguridad, en ocasiones a través de dispositivos particulares de empleados y fuera de VPNs seguras.  Los criminales, por supuesto, muy conscientes de las oportunidades que este entorno les supone han aumentado su actividad, fundamentalmente con campañas de ransomware así como de phishing con temática “COVID-19” o escondidas en herramientas supuestamente útiles.  La ansiedad de los usuarios por la pandemia y la mayor relajación frente a estas prácticas han contribuido al éxito de estos ataques.

“2020 se ha caracterizado por el reto que ha supuesto el brote de COVID para todas las empresas desde el punto de vista de continuidad del negocio y de la ciberseguridad.”

En general en todos los países aún se observa que las capacidades y el tiempo que transcurre para detectar quiebras de seguridad son bastante mejorables.  Con la rapidez que se implantan las nuevas tecnologías mencionadas, las empresas deben tomar mayor conciencia e invertir mucho más en el análisis de nuevas amenazas y en medidas de seguridad y detección proactivas.

También se analizan los retos que supone cumplir con las normas de privacidad.  En EEUU la legislación es más compleja, ya que no hay una única norma central para todo el territorio, sino múltiples normativas federales, así como una nueva oleada de normativas orientadas a la protección de consumidores que pueden englobar a uno o más estados, y hacen muy complejo el cumplimiento, ya que en ocasiones las empresas pueden están sometidas a hasta 5 normativas diferentes en esta materia.  En Europa, el denominador común es el Reglamento General de Protección de Datos (RGPD), cuyas demandas también suponen un gran quebradero de cabeza para las empresas.  Por norma, el grado de adaptación a los requerimientos del RGPD es aún muy bajo en las empresas europeas y por supuesto, es una asignatura pendiente urgente, ya que el incumplimiento trae sanciones graves.  Algunos dudan que en momentos de crisis las agencias se animen a sancionar, pero es bien conocido que los reguladores tienen la intención de aumentar la conciencia de las empresas que aún no se han adaptado mediante sanciones ejemplarizantes.  Y en breve llegarán.

También se repasa la evolución de los seguros de ciberriesgos como parte de la gestión del riesgo.  En general, casi todos los países coinciden en que aún tiene que evolucionar más en cuanto a coberturas, si bien las aseguradoras se enfrentan a retos que son muy difíciles aún de calibrar, como son las coberturas cyber silenciosas en otras líneas de negocio y el riesgo sistémico.  Hoy en día el mercado asegurador tiene unas dificultades que están intentando corregir, por lo que aún tendremos que esperar a ver novedades relevantes y que no pongan en peligro la capacidad financiera del mercado asegurador.   Con respecto a los criterios que una empresa debe tener en cuenta a la hora de contratar, como hemos indicado siempre, no vale la misma póliza para todos.  Cada organización es diferente y se encuentra en diferentes estadios en cuanto a madurez, preparación y gestión del riesgo.  Lo que está muy claro es que la casa debe construirse con buenos cimientos, y que gestionar el riesgo cyber implica conocer muy bien nuestro punto de partida, qué podemos mejorar, cual es el impacto del riesgo residual una vez hayamos tomado medidas de prevención y tener capacidad de gestionar los incidentes cuando se producen.  La póliza sigue siendo, nuestra última línea de defensa.

Afortunadamente ya son muchas empresas las que tienen claro que el riesgo cibernético es un riesgo empresarial y no un riesgo TI.  Como tal, estos riesgos ya empiezan a cobrar gran relevancia en la agenda del órgano de administración y dentro de las grandes empresas y multinacionales ya existen muchos cargos relevantes encargados de la privacidad y/o seguridad y que reportan directamente al órgano de administración.  Aún queda mucha labor de concienciación en los segmentos más bajos y por supuesto, hay que seguir concienciando al órgano de administración frente a los nuevos riesgos que se avecinan por la aplicación de estas tecnologías disruptivas.

Puede descargar el informe INDEPTH: Cyber Security and Cyber Risk Management 2020 a continuación:

Comparte esta Noticia

Comparte esta Noticia

Noticias Relacionadas

Loading Posts...