En 2022, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó 118.820 incidentes de ciberseguridad en nuestro país, un 8,8% más que en 2021, periodo en el que, según el último Balance de Criminalidad realizado por el Ministerio del Interior, se registró un aumento del 72% respecto a 2019, justo antes del Covid.
Esto solo a nivel nacional, porque el aumento de la ciberdelincuencia, tal y como coinciden en señalar los principales estudios, es un fenómeno global cuya incidencia no para de crecer.
Pero junto al aumento de la ciberdelincuencia, y debido principalmente a la transformación digital de la sociedad, también están apareciendo nuevos riesgos que no tienen un origen delictivos y que las organizaciones deben gestionar para proteger sus activos digitales: desde pérdidas masivas de datos hasta fallos en los sistemas que afecten a los clientes. Y es ahí donde, junto a la adopción de otras medidas, los seguros de ciberseguridad se están convirtiendo en una herramienta fundamental tanto para la prevención como para la securización de las organizaciones.
Por eso en este encuentro SEG-TEC de Escudo Digital, hemos reunido a tres destacados expertos para que expliquen en qué consisten estos seguros de ciberseguridad, qué aportan a la estrategia de protección de las organizaciones, así como sus principales ventajas e inconvenientes. Se trata de Augusto Pérez Arbizu, director de Riesgos y Seguros del Grupo Telefónica, de Francisco Pérez Bes, abogado y socio de Derecho digital en Ecix Group, y de Ángel Pablo Avilés, director de Seguridad y Estrategia en Smart Human Capital, quienes ha aportado a este debate unas muy interesantísimas ideas desde tres perspectivas diferentes: la de gestión de seguros, la jurídica y de la empresa.
En el video publicado sobre estas líneas se puede ver de forma íntegra este encuentro, al que hemos titulado Seguros de ciberseguridad, ¿una capa más de seguridad para las empresas? También se puede ver, por bloques temáticos, en los siguientes videos, aunque antes avanzamos algunos de los muchísimas reflexiones que han dado en sus intervenciones:
- “El seguro no está para cubrir siniestros de mucha frecuencia y baja intensidad, eso es un gasto operacional; tenemos que intentar cubrir lo catastrófico, lo que puede impactar en mi cuenta de resultados” (Augusto Pérez Arbizu).
- “Si la compañía no sigue las recomendaciones del CERT la ley incluso prevé la sustitución de la dirección de esa compañía temporalmente; estamos hablando de una cosa muy relevante, pues te puede llegar incluso a cambiar el órgano de dirección de la empresa” (Francisco Pérez Bes).
- “Todos estamos de acuerdo en que el no pago es la línea que seguir. Una compañía de seguros no se podrá responsabilizar nunca de dar al cliente la seguridad de que se va a pagar lo que le pidan, sin embargo, sí debería hacerse cargo una buena póliza de la falta de facturación si tras el incidente no puedes seguir con tu actividad” (Ángel Pablo Avilés).
- “Yo pronostico que en muchas actividades se acabará pagando más primas por el seguro de ciberriesgos que por el seguro tradicional de los activos materiales de la compañía, porque es ahí donde están tus riesgos operacionales” (Augusto Pérez Arbizu).
- “Tú te acuerdas de tu seguro cuando tienes un incidente, y en cambio la parte del ciberseguro requiere un análisis más continuado, más diario, en el sentido de que debo tener una estrategia, y debo tener el seguro siempre encima de la mensa, no en un cajón, como los de hogar” (Francisco Pérez Bes).
- “Si tú estás llevando una gestión del riesgo, unos análisis continuos para evitar riesgos, la prima debería ser más laxa, pero si no estás haciendo absolutamente debería duplicarse, triplicarse o cuadruplicarse” (Ángel Pablo Avilés).
Los seguros de ciberseguridad desde tres perspectivas: asegurador, jurídica y empresarial
En este primer apartado, tras la presentación inicial, cada uno de los invitados realizó una introducción general a los seguros de ciberseguridad.
Augusto Pérez Arbizu
“En los últimos años hemos vivido un crecimiento enorme de la digitalización de la sociedad y, en paralelo, de la aparición de nuevos riesgos que hay que gestionar. Las empresas cada vez dependen más de intangibles, de sus datos, de sistemas, de activos digitales, pera los cuales los seguros tradicionales no ofrecían respuesta. Es aquí donde aparecen ya hace unos años los seguros para cubrir los ciberriesgos, que no solo cubren actos criminales, porque hoy en día tenemos pérdidas masivas de datos, fallos en nuestros sistemas que afecten a nuestros clientes sin que se deban necesariamente a actos maliciosos. Y es alrededor de todas estas situaciones donde tenemos que hacer nuestro análisis y búsqueda de posibles soluciones".
Francisco Pérez Bes
“Estamos en el mundo del riesgo, por lo que de lo que se trata es de buscar una cobertura de este riesgo que las compañías no son capaces de cubrir por sí mismas, y eso jurídicamente tiene un reflejo. (…) Yo que lo veo desde la vertiente más jurídica, se trata de acreditar que las compañías están actuando con diligencia en la gestión de estos riesgos, y una de las medidas organizativas que se consideran adecuadas para acreditar esta diligencia es precisamente contar con entidades aseguradoras que tratan de minimizar el impacto de estos ciberincidentes en la propia actividad y en terceros (…) Hay una dificultad por parte del sector asegurador cubrir los riesgos de ciberseguridad, porque no es un elemento objetivo, los malos continuamente cambian de estrategia y eso hace que el riesgo esté siempre vivo”.
Ángel Pablo Avilés
“Yo quiero aportar mi perspectiva desde la empresa, donde llevo 5 años -Angel Pablo Avilés es Guardia Civil en excedencia, donde desarrolló la labor de investigador en el Grupo de Delitos Telemáticos-, pero que han sido muy especiales en la evolución de la ciberseguridad. Ya se está viendo una evolución en las empresas, dejando atrás la etapa de la técnica de la evolución, que pasaba por pensar ‘esto no me puede pasar a mí, le pasa a los demás’. Las empresas, poco a poco, se están acostumbrando a securizarse, que es algo a lo que, además, están obligadas. Hay un antes y un después desde el Wannacry (…) Cada vez hay más ataques, denegaciones de servicios, y estas empresas empiezan a pensar: necesito un seguro que me cubran todo esto, y cuando lo pensamos queremos hacerlo del mismo modo que cuando contratamos un seguro de hogar en plan “se me ha roto un grifo, voy a llamar a mi seguro”. Pero eso no se puede aplicar a la empresa, si no tengo una política de seguridad, empezando por una política de backup, no sirve. Debido a eso las aseguradoras están tomando varios caminos. Unas han decidido quedarse al margen y otras, las que sí cubren este tipo de contingencias, exigen a sus clientes que estén securizados, y hacen auditorías de seguridad, securizan las máquinas y, lo que es más importante, las personas”.
Qué debe hacer una empresa que desea contratar un seguro de ciberseguridad.
Augusto Pérez Arbizu
“Normalmente tu bróker de seguros te planteará un cuestionario de preguntas, y también se suelen usar servicios de terceros para hacer análisis de vulnerabilidades; además algunas empresas también te hacen un ciberscoring donde te dan una puntuación. Estos análisis pueden ser más o menos sofisticados en función del tamaño de las empresas. Un gran corporate tiene cuestionarios de 200 preguntas, después tienen reuniones con el CISO, porque normalmente las grandes empresas no trabajan con una sola compañía, sino con un pool de aseguradoras… y este análisis se repite todos los años. En el caso de las empresas pequeñas es algo diferente, son cuestionarios más sencillos, análisis de vulnerabilidades más estándar; no se puede exigir el mismo nivel de seguridad a un gran corporate que va a ser objeto de ataques directos por organizaciones que van a dedicar mucho tiempo y recursos a reventar su seguridad, con una pyme, que normalmente recibe ataques más de tipo masivo, y no tan sofisticados”.
Francisco Pérez Bes
“Yo he percibido que las empresas y las compañías de seguridad tienen que trabajar mucho más juntos. Creo que esas auditorías, esos tests, son muy estándar, y habría que hacer un esfuerzo tanto las empresas como las propias compañías de seguros de entender ese negocio y de adaptar esa póliza aseguradora a una realidad, que es diferente en cada compañía. Muchas veces nos encontramos con problemas por no haber hecho bien este trabajo previo, de no haber analizado bien los riesgos, de que la compañía ha metido una cláusula que es una exclusión que luego la necesitabas… Es complejo, y es muy importante un buen asesoramiento tanto por parte del bróker, que es fundamental para todo esto, como por parte de la compañía que sale al mercado a buscar un seguro. Esta tiene que saber a qué sale, qué busca, no puede ir a buscar una cobertura por buscarla, tiene que hacer un análisis de su organización para decir: el riesgo que no puedo cubrir es este, y necesito cubrirlo en unas determinadas circunstancias. La mayoría de las empresas tienen departamentos dedicados a este tipo de análisis, pero las pymes lo hacen en muchas ocasiones porque saben que necesitan un ciberseguro, pero no saben bien qué quieren. Eso complica todo, porque tú te acuerdas de tu seguro cuando tienes un incidente, y en cambio la parte del ciberseguro requiere un análisis más continuado, más diario, en el sentido de que debo tener una estrategia, y debo tener el seguro siempre encima de la mensa, no en un cajón, como los de hogar”.
Ángel Pablo Avilés
“En las empresas nos encontramos, sobre todo en el caso de pymes o empresas que no están familiarizadas con la tecnología, que muchas no tienen una cultura de seguridad digital. La aseguradora tiene que dotar de ese conocimiento inicial a ese cliente para que no haga determinadas cosas, o haga otras. Esa empresa debe estar preparada y securizada, y luego ya vendrá el seguro que evaluará cuánta prima le voy a poner en función de su madurez digital. Yo vengo mucho del ámbito de la concienciación, y creo que lo principal es la concienciación en securización tanto a nivel de empresa como de empleados, sin mala fe un empleado puede ser un insider y se va al garete el negocio. Esa parte de concienciación tiene que estar en un primer lugar.”
¿Evolucionan estos seguros a la par que lo hacen los riesgos digitales? ¿Qué sucede con las pymes?
Augusto Pérez Arbizu
“Los ciberdelitos son un riesgo muy dinámico y el seguro, que va detrás, trata de cubrir eso y evolucionar en paralelo. Pero eso va vinculado a evaluación del riesgo y a la suscripción de primas, franquicias, para ver qué situaciones pueden ocurrir, y luego están las coberturas finales que van a amparar las consecuencias del evento ciber, y esas coberturas básicamente no cambian tanto. Estamos hablando de gastos extraordinarios en los servicios de recuperación, forenses, legales, etc.; otras coberturas adicionales que pueden incluir como crime, que pueden ir en la misma cobertura o en póliza aparte, el tema tan controvertido del pago de rescate, incluso dentro de la cobertura de daños a terceros también se incluye el pago de sanciones administrativas… Eso no cambia tanto, pero lo que sí tiene que evolucionar muy rápido en el mundo del seguro, junto con el riesgo, es en la suscripción, en la evaluación, en el análisis del riesgo, y ver cómo ese riesgo evoluciona y cómo podemos ir incluyéndolos y afectan al seguro. Tampoco debemos pretender cubrirlo todo, el seguro no está para cubrir siniestros de mucha frecuencia y baja intensidad, eso es un gasto operacional; tenemos que intentar cubrir lo catastrófico, lo que puede impactar en mi cuenta de resultados y que a lo mejor no me en cinco o diez años, o no me pasa nunca".
Francisco Pérez Bes
"Yo creo que las pymes deben tenerlo, pero tienen que hacerlo de una forma razonada y reflexionada. Al final un ciberseguro no es una solución definitiva, es un complemento en el que yo tengo que hacer un montón de cosas, y que donde yo no llego puede llegar él, pero no intentar descansar siempre en la cobertura aseguradora. La pyme tiene que buscar ese apoyo ante lo que no tiene: un equipo forense, un equipo de comunicación para gestionar el incidente… Estas pueden proveer ese servicio y esa tranquilidad, pero por tener un seguro no hay que pensar que uno ya se olvida de todo, uno tiene que seguir trabajando hasta donde puede. La seguridad al 100% no existe, pero el legislador te exige un nivel de diligencia adecuado al riesgo que asumes en tu compañía. A diferencia de la normativa anterior, en la que te decían lo que tenías que hacer, ahora te dicen: tú sabrás qué empresa eres, toma las mejores decisiones en función de estos riesgos; nadie te va a decir qué debes hacer. Eso implica hacer ese análisis de riesgo y tomar decisiones de cómo cubrirnos ante esos riesgos, que serán diferentes en tu pyme que en la mía. Ese es el trabajo que tienen que hacer las pymes, y luego, aparte de eso, estoy de acuerdo en que tienen que buscar una cobertura aseguradora porque ellos solos no van a poder alcanzar determinados elementos que necesitarán, lo que tienen es que encontrar el seguro adecuado tanto desde el punto de vista económico como de cobertura”.
Ángel Pablo Avilés
“De nada sirve un seguro si no tienes posibilidad de continuidad del negocio, porque si te han secuestrado la información y no pagas no vas a poder liberarla. Y es que hay empresas que no tienen copias de seguridad, que te dicen que ya hemos pagado cinco veces… Una compañía de seguros puede cubrirte pidiéndote previamente que tengas unos backups, ayudándote a reestablecer el negocio y dotándote de una respuesta al ciberincidente, contándote qué ha pasado, cómo ha pasado, qué se han llevado, si se han llevado datos personales qué debes hacer. Hay que hacer una concienciación muy generalizada para que los clientes de las aseguradoras sepan qué tienen que hacer en cada momento”.
¿Un ciberseguro debe tener entre sus coberturas el pago por rescate frente a una extorsión?
Augusto Pérez Arbizu
“Hace tiempo se empezó a incluir en los seguros de ciberriesgo la cobertura de ciberextorsión y se cubre en muchas pólizas la negociación y el pago de rescate, porque la negociación es casi tan importante o más que el pago del rescate para saber si merece la pena o no, porque muchas veces es mejor no hacerlo porque no va a servir para nada. Yo relativizaría la cobertura del pago del rescate, porque lo realmente importante no es el pago del rescate sino las consecuencias del evento, es decir, si tengo que comunicárselo o no a la Agencia de Protección de Datos, tengo un lucro cesante, asumiendo que todo el mundo tiene un backup el tiempo que va a llevar recuperar la normalidad, etc. Eso normalmente sí lo cubren todas las pólizas de ciberriesgo y es lo que se debe cubrir sí o sí. En cuanto al pago del rescate, hay temas morales, pero me atrevería a decir que es una cobertura más residual, porque lo que es el pago del rescate respecto a las consecuencias realmente está muy balanceado, lo importante es tener bien cubiertas las consecuencias en términos económicos, en término de plan de contingencias, que pueda incluso la aseguradora ser parte de ese plan con los servicios que aporta, que sea parte de ese plan de resiliencia post-evento, y hay que enfocarse más en esa parte”.
Ángel Pablo Avilés
“Todos estamos de acuerdo en que el no pago es la línea que seguir. Una compañía de seguros no se podrá responsabilizar nunca de dar al cliente la seguridad de que se va a pagar lo que le pidan, sin embargo, sí debería hacerse cargo una buena póliza de la falta de facturación. Porque si tú tienes bien hecha tu política de backup y durante tres días no puedes facturar mientras se levantan los nuevos sistemas deberían hacerse cargo de esa falta de facturación”.
Francisco Pérez Bes
“Hay que conocer a tu adversario, tienes que saber con quién estás negociando. Hay grupos en los que, entre comillas, puedes confiar, porque son negocios criminales organizados que funcionan como una compañía, y tienen todo tipo de servicios. Es muy importante que ese servicio de asesoramiento te lo pueda aportar un profesional, o la propia compañía, que te diga: por el tipo de ransomware, por el grupo que estás negociando, no pagues porque nuestra experiencia demuestra que no te descifran los datos. Las empresas deberían de tener la sensibilidad de saber con quién están hablando para saber si tienes probabilidades de que te devuelvan el dinero. Y quería añadir que las empresas no deben creer que la contratación de una póliza te exime de tu responsabilidad, es una medida organizativa para acreditar que estoy protegiendo a mi compañía de una forma adecuada, pero que, si me pasa algo, aunque lo tenga cubierto, puedo seguir siendo responsable legalmente de ello”.
Augusto Pérez Arbizu
“También ahí es importante que la Agencia de Protección de Datos haga ese trabajo de discriminación, y me consta que lo está haciendo razonablemente bien, porque parecería que cualquiera que sufre un ataque va a tener además de ese problema otro con la Agencia de Protección de Datos. Pero si esta ve que hay un mínimo grado de diligencia tanto pre como post evento, no va a machacar a la víctima, no debe sancionar. Yo he conocido casos que incluso la Agencia ha felicitado a las empresas al final por su diligencia".
Francisco Pérez Bes
“Los tribunales lo han dicho: la ciberseguridad es una cuestión de medios, no es una cuestión de fines. Yo te voy a juzgar por todo lo que has hecho y no has hecho con carácter previo y posterior al evento, pero no por si te han atacado, que sabemos que es algo que puede pasar”.
De la ciberseguridad como parte esencial de los seguros de empresas a la responsabilidad de los consejos de administración
Augusto Pérez Arbizu
“El crecimiento de ciberincidentes hace que algunas aseguradoras vean esto como una amenaza que prefieren restringir cobertura o no cubrirlo, yo opto, y desde Telefónica Seguros hacemos esta apuesta, por dar coberturas en ciberriesgos con productos realmente relevantes y adaptados a sus necesidades. Y, efectivamente, sube el número de ciberincidentes en términos absolutos, pero quizá no tanto en términos relativos. Aumentan porque la digitalización aumenta de una forma impresionante, cada vez hacemos un uso intensivo de la tecnología, y por eso crecen los ciberincidentes. Y por eso es importante que en paralelo crezcamos en esta madurez de ciberseguridad las empresas y en ciberresiliencia. Tenemos que saber discernir de todos los ciberincidentes que se producen cuáles son realmente los que van a ser impactantes en mis negocios. Todas las grandes empresas sufren ciberataques casi a diario, pero luego quedan encapsulados en cosas de menor importancia. Aquí lo importante es trabajar la ciberresiliencia para que este tipo de incidentes se puedan gestionar dentro de una lógica, y con unos costes razonables que podamos considerar gastos operacionales y que no me hagan cerrar mi negocio, o, alternativamente, el hecho de tener un buen seguro me permita superar esa gran catástrofe, pero este tipo de situaciones deben ser porcentualmente mucho menores”.
Francisco Pérez Bes
“La normativa también está sofisticando un poco esto, con la entrada en vigor de la responsabilidad de los administradores dentro de la directiva NIS2. Ya no estamos hablando únicamente de la responsabilidad de la compañía por tener unos daños internos, sino que incluso esta cobertura aseguradora va a tener que extenderse a los órganos que toman las decisiones de la compañía por no haber sabido implementar las medidas preventivas y reactivas necesarias para haber repelido ese ataque, y luego también deberemos tener en cuenta los daños que ese ataque produzca ya no en mi empresa sino en terceros, en clientes. Es verdad que la normativa está empezando a regular las demandas colectivas por parte de los afectados, y eso también es un daño añadido para la propia compañía, añadido al del propio incidente, ya que es que además me pueden demandar mis clientes afectados, con lo cual también tengo que cubrir ese riesgo, incluso la responsabilidad contractual por no cumplir con mis obligaciones con mis proveedores o con terceros porque mi compañía está paralizada. Es decir, vamos a ver una evolución y la cobertura aseguradora se va a complicar un poco más”.
Augusto Pérez Arbizu
“Eso es muy interesante, sobre todo en lo referido a la derivación de la responsabilidad de los consejos de administración, porque tiene impacto en la cobertura ciber, pero también tiene impacto en la cobertura de la responsabilidad civil de los consejeros y administradores, que es una responsabilidad personal, no de las empresas, es de las personas que forman parte del consejo. Yo estoy viendo en el mundo corporativo en los gerentes de riesgo de las grandes empresas, cada vez más en sus renovaciones de programas de seguros de consejeros directivos, hay un apartado específico para hablar de ciberseguridad. Y eso es bueno, porque hablando un poco sobre la concienciación de las empresas, os puedo garantizar que en las empresas de un determinado tamaño la concienciación es máxima precisamente por esto. Son empresas que tienen una mínima madurez de gerencia de riesgos, que tienen unos mapas de riesgos en los que el riesgo ciber está puesto en un nivel de relevancia importantísimo, y esos mapas de riesgo van a los consejos de administración, que es donde se toman decisiones sobre los recursos que hay que poner para cubrir esta necesidad. Es luego cuando vamos bajando en la pirámide de las empresas donde vemos que, por falta de medios, de recursos, etc., aún queda recorrido para ir madurando”.
Francisco Pérez Bes
“Y déjame ponerte un ejemplo a raíz de esto. Con la directiva NIS2, que aún no ha entrado en vigor, te obliga, en caso de sufrir un ciberincidente, además de notificarlo al CERT de referencia, que es un tema relevante, y el CERT te responderá con una serie de consejos. Si la compañía no sigue esas recomendaciones del CERT la ley incluso prevé la sustitución de la dirección de esa compañía temporalmente; estamos hablando de una cosa muy relevante, pues te puede llegar incluso a cambiar el órgano de dirección de la empresa. Estamos hablando de cómo el legislador europeo y español está introduciendo estas exigencias a las compañías, y no te exigen directamente contratar un seguro, pero no conciben ya que no lo hagas, y cuando van introduciendo este tipo de responsabilidades y derivándolas hacia los administradores o hacia la propia dirección de la compañía lo que está trasladando a la empresa es que se lo tome en serio porque las consecuencias son muy relevantes”.
Ángel Pablo Avilés
“Hay dos tipos de empresas. Las que han denunciado ser víctimas de un ciberataque y las que no lo denuncian a pesar de haber sido víctimas de un ciberataque, y ese dato no va a aparecer en las estadísticas oficiales. Pero con la instauración de ciberseguros lo primero que va a exigir el seguro, cuando eres víctima de un ataque, es que lo denuncies, y esa estadística oficial seguro que va a subir cuando haya una verdadera instauración de seguros ciber. Muchas veces no lo contamos por miedo a esa otra parte que es la sancionadora”.
Augusto Pérez Arbizu
“Gracias a la directiva europea de protección de datos ya se da la obligación, cuando se trata de un incidente de brecha de datos, de comunicar en 72 horas el ciberincidente. Es decir, denunciar a la policía un ciberataque es voluntario, pero denunciar a la Agencia de Protección de Datos es obligatorio, y si no lo haces puedes tener un problema muy serio cuando esos datos aparezcan en la red”.
Ángel Pablo Avilés
“Don delitos privados y es voluntario denunciarlos policialmente, pero si hay una compañía por medio te va a decir: tienes que denunciarlo para que nosotros como aseguradora podamos intervenir”.
¿La subida de primas puede desanimar a las empresas para asegurarse? ¿Hacia dónde se dirige el sector? ¿Serán obligatorios?
Augusto Pérez Arbizu
“Las primas llevan subiendo tres o cuatro años en determinadas líneas de riesgos corporativo, incluyendo el ciber, que es la que más se ha disparado de todas. Es una cuestión de sostenibilidad de este tipo de productos; ha crecido la siniestralidad y hay que hacerlos sostenibles, y eso es lógico, y también de cultura de los propios asegurados de que tienen que comprar un seguro ciber y que eso tiene un coste. Hace diez años, cuando alguien te decía que te compraras un seguro ciber, respondías que ya tenía el de daños materiales multirriesgos, de responsabilidad civil y que no había presupuesto para más seguros. Yo pronostico que en muchas actividades, quizá no en todas, se acabará pagando más primas por el seguro de ciberriesgos que por el seguro tradicional de los activos materiales de la compañía, porque es ahí donde están tus riesgos operacionales, y hay que acostumbrarse a eso y entenderlo. E igual que nunca has discutido asegurarte de incendios o de responsabilidad civil, no pongas en cuestión asegurarte de un ciberriesgo, siempre y cuando encuentres un producto que se adapte a tus necesidades. Y otra cosa que es importante en la cuestión de primas y siniestros es que no tienes que comprar un seguro para siniestros de mucha intensidad y baja frecuencia, y sí para grandes catástrofes. (…) La preocupación que debo tener es que, de todos los incidentes que tengo a lo largo del año, en el año cinco, de pronto uno me ocasiona una pérdida catastrófica, y tengo que ir al asegurador porque ya está impactando realmente en mi empresa”.
Francisco Pérez Bes
“Hay compañías que han declarado ya el riesgo no asegurable y no entran ahí, y luego las primas han subido incluso hasta el 50%. Es muy disuasorio fomentar la contratación de ciberseguros. Las empresas se quejan porque no pueden pagarlo, les parece que es caro, pero es como todo, es una prevención que tú tienes y tienes que saber cuál es el máximo riesgo que piensas asumir y hacer una valoración de si te compensa. Nosotros entendemos como profesionales que es innegociable tener una póliza de ciberriesgo, pero entendemos que haya que hacer un trabajo previo por parte de las empresas para ver hasta dónde están dispuestas a asumir los riesgos. Es cierto que el ambiente que se respira ahora en las empresas es de cierta desazón con los seguros, porque son caros, no se les termina de ver la utilidad, pero estamos en una fase de maduración que yo creo que con la concienciación, el análisis de incidentes, la evolución de las tendencias de mercado, ese debate se irá consolidando y no habrá discusión posible”.
Ángel Pablo Avilés
“Hay que buscar un término medio, tanto desde las aseguradoras como de las empresas. Como aseguradoras, si tú estás llevando una gestión del riesgo, unos análisis continuos para evitar riesgos, la prima debería ser más laxa, pero si no estás haciendo absolutamente debería duplicarse, triplicarse o cuadruplicarse, y si no, tocará rezar o jugar a la ruleta rusa”.
Augusto Pérez Arbizu
“No hace falta hacer obligatorios estos seguros por ley. La sociedad va a ir llegando sola hacia esa cultura. Incluso en los procesos de concursos públicos y privados para buscar proveedores, igual que se exige un seguro de protección civil, un seguro de fianzas, etc., se empieza a pedir cada vez más un seguro para evitar los potenciales ciberriesgos que ese proveedor te pueda ocasionar, empieza a haber una autorregulación”.