El experto en ciberseguridad Marco Di Filippo ofrece algunas de las claves para afrontar las amenazas en ciberseguridad que surgen para las empresas. En el Blog de MUNICH RE se publica una amplia entrevista con el experto en la que se pone de relieve algunas afirmaciones como que “el personal no es la amenaza en sí misma, sino que la verdadera amenaza es la gran cantidad de malware disponible hoy en día para los delincuentes en el mercado y a la que se enfrenta el personal”, que la formación es muy importante y que ante la falta de una  seguridad real por una regulación complicada desde los Gobiernos “corresponde al sector privado protegerse a sí mismo”.

Para Di Filippo el personal no es una amenaza, sino que “son sólo los eslabones más débiles de la cadena de la ciberseguridad, de modo que los hackers se dirigen a ellos para obtener acceso interno a las empresas. La verdadera amenaza es la gran cantidad de malware disponible hoy en día para los delincuentes en el mercado y a la que se enfrenta el personal”. Como detalla el experto, “si un hacker tiene la intención de apuntar a una empresa determinada, es muy, muy difícil para esa empresa defenderse con éxito. Siempre hay una laguna jurídica en alguna parte, sobre todo, porque casi todos los empleados también utilizan el dispositivo de su empresa para el correo electrónico personal, la navegación, etc”.

Pero no todo está perdido. La formación, como subraya, es muy importante: “Todas las personas que trabajan en una empresa deben ser sensibilizadas sobre los riesgos cibernéticos. Por lo tanto, las campañas de sensibilización y la formación son esenciales; deben ser obligatorias y adaptarse a todo el personal, desde el conserje hasta el consejo de administración. El objetivo tampoco debería ser simplemente conocer las últimas tendencias del phishing. Por el contrario, el personal debe ser consciente de los peligros potenciales y estar motivado para actuar inmediatamente, por ejemplo, poniéndose en contacto con el departamento de TI. Esa es la única forma en que los expertos pueden reaccionar con la suficiente rapidez cuando se produce un pirateo, lo cual es fundamental”.

“Las aseguradoras cibernéticas necesitan ofrecer asesoramiento y servicios adecuados con sus productos”

Di Filippo se pregunta ¿cómo podemos esperar que los gobiernos regulen eficazmente la piratería informática cuanto ellos la usan para investigar los propios hacker? Hablamos ahora mismo de una perspectiva poco realista. Además, cualquier prohibición por parte de un país individual sería ineficaz de todos modos”.

Por lo tanto, afirma, “corresponde al sector privado protegerse a sí mismo. Lo principal es que las empresas aíslen y agrupen sus sistemas de TI, de modo que un hacker no pueda extenderse rápidamente y paralizar todo el negocio. Las medidas de seguridad elegidas por una empresa deben ser técnicamente exhaustivas y estar continuamente actualizadas, especialmente en lo que se refiere al acceso autorizado desde el exterior”.

El seguro tendrá un papel importante en este aspecto, asegura el experto, pero al mismo tiempo afirma que hay que hacer muchas preguntas. Por ejemplo, ¿cómo se diseña un determinado producto de seguro y cuáles son sus principales características? ¿Será el alcance suficiente para su empresa en particular, e incluso ofrece el tipo de protección adecuado? “El producto tiene que ser el adecuado, al igual que los zapatos: no tiene sentido comprar el par más caro de la tienda si son demasiado pequeños, o el estilo equivocado para la forma en que caminas. Por eso es tan esencial un enfoque holístico. Esto significa incluso realizar una auditoría preliminar especial, que plantea preguntas como: ¿dónde está la empresa más vulnerable y cuáles son sus objetivos de seguridad? Los seguros suelen ser apropiados sólo para áreas muy específicas de la infraestructura de TI de una empresa, como, por ejemplo, su departamento de I+D. Estas cuestiones deben examinarse muy detenidamente”, argumenta el experto.

¿Las aseguradoras, deben ofrecer el asesoramiento correspondiente?

“Definitivamente. No pueden asegurar a una empresa sólo sobre la base de sus respuestas a un cuestionario estándar. Por el contrario, las aseguradoras cibernéticas necesitan ofrecer asesoramiento y servicios adecuados con sus productos. También creo que las aseguradoras deben avanzar hacia unas condiciones que estipulen que el personal debe estar cualificado, al igual que en el caso de los seguros de automóviles. Basta con comparar los dos: hoy en día, si un coche choca contra un árbol, la primera pregunta que se hace es si el conductor estaba cualificado y en condiciones de conducir, no si el coche sufrió un mal funcionamiento técnico. Esa es la dirección en la que debemos avanzar con los riesgos cibernéticos, es decir, que debemos formar a las personas que utilizan los sistemas de TI”, concluye Di Filippo.