¿Qué hemos aprendido sobre los riesgos cibernéticos en 2020? Según revela un artículo elaborado por Thomas Ripp, jefe global de siniestros, líneas especiales, Zurich Insurance Group, fue un año diferente a cualquier otro que hayamos visto: una pandemia mundial, el desempleo y el malestar social, y en este entorno el mundo cibernético experimentó importantes avances que tendrán un impacto en los años venideros.

Según la aseguradora hay cinco cosas que aprendimos sobre ciberriesgos…

1. Los eventos de ransomware no disminuyeron en 2020

Por el contrario, las cosas empeoraron, mucho. El mercado experimentó un aumento sustancial en el volumen y la gravedad de los ataques, junto con un aumento en las cantidades de rescate exigidas. El Informe de Bitdefender Mid-Year Threat Landscape Report 2020 destaca un aumento interanual de siete veces en los informes de ransomware, mientras que, según el Instituto Ponemon, el coste medio de un ataque de ransomware es de 4,44 millones de dólares.

Además de la propia petición de rescate, la interrupción de la actividad empresarial, incluidos los costes de restauración de los sistemas, ha tenido un impacto material en el coste global del incidente medio.

2. La seguridad de la red se ha complicado

El aumento del número de empleados que trabajan desde casa puso a prueba las redes de las empresas y provocó dolores de cabeza a los ejecutivos de TI cuando trataron de gestionar y proteger la infraestructura de su empresa. Por si fuera poco, las ciberamenazas siguieron evolucionando. En el pasado reciente, la mayoría de las empresas se preocupaban por asegurar sus datos. En 2020 ese reto se mantuvo, pero se unió a la tarea de luchar contra los ataques de ransomware. A medida que los piratas informáticos se volvían más sofisticados, la normativa, la aplicación y la protección trataban de seguir el ritmo.

Para hacer frente a estos retos, los CIO necesitaban ayuda y financiación adicional para construir redes mejores y más seguras. Costes derivados de la gestión del cumplimiento y la protección financiera. La ciberseguridad interna se disparó a medida que las empresas crearon equipos cibernéticos más grandes y con más conocimientos para proteger sus activos. «A medida que el crecimiento de la ciberdelincuencia se acelera, esto presagia tiempos difíciles para los ejecutivos de TI», revela la aseguradora.

3. Los gobiernos adoptaron un papel más activo en la aplicación y regulación de los riesgos cibernéticos

En Europa, en 2018 se formó el GDPR (Reglamento General de Protección de Datos) para crear una estandarización en toda la UE, proporcionando un mayor control de los datos de una persona por parte de los individuos, instituyendo multas y sanciones contra las empresas que violaron el GDPR, creando requisitos de información más estrictos.

En los últimos años se han aprobado otras normativas cibernéticas en todo el mundo. En Estados Unidos, la Ley de Privacidad del Consumidor de California creó el inicio de un sólido marco normativo estatal. La FISMA (Ley Federal de Seguridad de la Información) y la FISMA2014 exigen que las distintas agencias federales adopten determinados procedimientos para garantizar la ciberseguridad. En Asia, en 2015, Indonesia y Singapur introdujeron sendas agencias cibernéticas, mientras que Japón promulgó la Ley Básica de Ciberseguridad. En 2020, Brasil promulgó la Lei Geral de Proteção de Dados (o «LGPD»), que se inspiró en el GDPR.

4. El ciberespacio es un riesgo global interconectado

Se han hecho muchos llamamientos a favor de normas globales y de una mejor regulación: Las empresas necesitan claridad para operar con eficacia. Pero como el mundo cibernético está en constante cambio, ese mundo es difícil de regular.

Las normas reguladoras mundiales están en sus inicios, y los gobiernos se encuentran en diferentes etapas de sofisticación de su ciberregulación. En la UE, el GDPR proporciona una organización para regular una multitud de países. En los Estados Unidos hay más bien una mezcolanza, el cumplimiento de las regulaciones estatales y federales a menudo complica las cosas.

Al no haber fronteras para la cibernética y con las normas reguladoras globales aún lejos, hacer frente a las ciberamenazas sigue siendo un asunto complejo. Para gestionar con éxito sus problemas de ciberregulación, los gestores de riesgos tendrán que colaborar estrechamente con sus grupos de cumplimiento, jurídicos y de TI.

5. La ciberseguridad sigue siendo un riesgo poco apreciado por muchas empresas

Muchas empresas no compran cobertura cibernética. El ciberseguro se considera a menudo como algo «agradable de tener» y las pérdidas cibernéticas son algo que experimentan otras empresas. Hoy en día, el coste de la compra de una póliza cibernética es un dinero que los gestores de riesgos pueden no tener cuando se enfrentan a los crecientes costes de otros programas de seguros que necesitan.

El impacto de esto es que los hackers atacan al considerable grupo de empresas que «esperan lo mejor», pero que pueden no haber instalado la ciberseguridad que necesitan. Los hackers utilizan el elemento sorpresa y la falta de preparación de estas empresas en su beneficio. En consecuencia, en 2020 los ciberataques siguieron aumentando y los pagos por ransomware alcanzaron un máximo histórico. Por el contrario, el apetito por los ciberseguros sólo creció moderadamente.

Algunas apuestas seguras para este año son:

  • El coste de la seguridad de la red se convertirá en una parte mayor del presupuesto del CIO a medida que las empresas digitalicen sus operaciones. Los riesgos cibernéticos son cada vez mayores y, a medida que las empresas dependen cada vez más de la tecnología, gastarán el dinero para protegerse.
  • El impacto de las regulaciones cibernéticas gubernamentales aumentará debido a: los nuevos requisitos de información en virtud de la nueva normativa; el aumento de los costes de mantenimiento y cumplimiento de la ciberregulación; las multas y sanciones impuestas por el incumplimiento de la ciberregulación.
  • Los ataques de ransomware seguirán acelerándose hasta que el pago de rescates se convierta en algo ilegal o las empresas destinen más recursos a la ciberseguridad. Hoy en día hay pocos impedimentos para su crecimiento.
  • Por todo, esto, concluye el artículo, y la necesidad de límites más altos, el coste del ciberseguro aumentará.