Inicio | Noticias | “Las pólizas cyber no pueden ser estáticas, deben adaptarse al riesgo dinámico al que nos enfrentamos”
“Las pólizas cyber no pueden estáticas, deben adaptarse al riesgo dinámico al que nos enfrentamos”
Noticia, 
Sara Muñoz, responsable de Cyber en Marsh España

“Las pólizas cyber no pueden ser estáticas, deben adaptarse al riesgo dinámico al que nos enfrentamos”

Mediación

Cuando hace cuatro años a Sara Muñoz le propusieron crear de cero el departamento de Riesgo tecnológicos y cibernético de Marsh no se lo pesó: “En su momento entendí que esta línea podía ser una vía de gran desarrollo profesional y creo que no me equivoqué”, reconoce. Para la directiva en las empresas cada vez existe más concienciación del riesgo cibernético. “Hay más movimiento en la dotación de seguridad de las empresas y en el análisis de riesgos tecnológicos y, con ello, en la transferencia del riesgo”, afirma. Además, esto se observa en la actual crisis sanitaria que vivimos y con el teletrabajo como principal herramienta de trabajo. “La ciberseguridad toma relevancia pues se pone de manifiesto un mayor porcentaje de empleados teletrabajando con todo lo que ello conlleva. Esto asociado al incremento de la siniestralidad y la presión regulatoria ha puesto en el punto de mira de los directivos la gestión proactiva de estos riesgos”, subraya.

 

Llevas ya varios años como responsable de riesgos cibernéticos y tecnológicos en Marsh ¿cómo es estar al frente de uno de los departamentos de mayor proyección en la actualidad?

Llevo casi nueve años en Marsh y siendo la responsable del departamento de Riesgo tecnológicos y cibernéticos, cuatro años. La verdad que fue una apuesta tanto de la compañía como mía a nivel personal dado que comenzar a desarrollar una línea de cero presenta muchos retos, pero fue justo eso lo que más me llamó la atención y por lo que aposté. En su momento entendí que esta línea podía ser una vía de gran desarrollo profesional y creo que no me equivoqué.

¿Qué principales objetivos tienes actualmente marcados en tu agenda de trabajo?

Lo primero de todo creo que el objetivo de toda persona pasa por mejorar en cualquier ámbito. En mi caso y dado el perfil que estoy desarrollando considero que uno de mis objetivos a nivel interno es mejorar la gestión de equipos, un buen gerente se mide por el logro de su equipo y yo quiero que el mío sea el mejor.

Por otro lado, y en relación con el ramo, llevamos realizando una labor de concienciación desde hace unos años y estamos recogiendo los frutos de ese trabajo. No obstante, aún nos queda mucho camino por recorrer con lo que debemos continuar con el trabajo desarrollado para tratar de ser los mejores en nuestro área y con ello poder ayudar a nuestros clientes dándoles las herramientas para dormir algo más tranquilos por contar con un asesor especializado y productos desarrollado ad hoc a sus necesidades.

He visto que estudiaste Económicas y luego te especializaste en derecho digital y ciberseguridad ¿por qué esa pasión por el mundo cyber?

Cuando me ofrecieron el reto de desarrollar el ramo de riesgos tecnológicos y cibernéticos me pareció una línea con mucho desarrollo y muy nueva. Cuando decidí aceptar este puesto lo primero que pensé fue en que necesitaba formarme en ese ámbito. Considero que la especialización en mi caso ha sido una vía de crecimiento profesional. La verdad es que todos los días se aprende algo nuevo en este entorno tecnológico que evoluciona tan rápido y es una de las cosas que me motiva cada día.

Ciberseguridad y teletrabajo en tiempos de Covid-19

La ciberseguridad es una de las máximas preocupaciones de los directivos, así lo revelasteis recientemente en un informe; ¿Cómo están reaccionando las empresas a los ciberriesgos?

Vemos cada vez una mayor concienciación en este tipo de riesgos, hace unos años la gestión proactiva de estos riesgos no estaba en la agenda de los comités ejecutivos de las empresas. Concretamente ahora, en época de Covid-19, la ciberseguridad toma especial relevancia pues se pone de manifiesto un mayor porcentaje de empleados teletrabajando con todo lo que ello conlleva. Esto asociado al incremento de la siniestralidad y la presión regulatoria ha puesto en el punto de mira de los directivos la gestión proactiva de estos riesgos. Hay multitud de aproximaciones, la más tradicional basada únicamente en medidas tecnológicas, hasta una aproximación más global. No obstante, si bien es cierto, hay cada vez más movimiento en la dotación de seguridad de las empresas y el análisis de riesgos tecnológicos y, con ello, en la transferencia del riesgo.

“Ahora, en época de Covid-19, la ciberseguridad toma relevancia pues se pone de manifiesto un mayor porcentaje de empleados teletrabajando con todo lo que ello conlleva. Esto asociado al incremento de la siniestralidad y la presión regulatoria ha puesto en el punto de mira de los directivos la gestión proactiva de estos riesgos”

Entonces en un caso como el de ahora, donde el teletrabajo es la forma en la que todos trabajamos ¿cómo debemos protegernos de un ciberriesgo? ¿hay más posibilidades de que se produzca un ataque?

Las buenas prácticas que viniésemos estableciendo en el pasado deben continuar. En la medida de lo posible las empresas deben de dotar a sus empleados de dispositivos seguros para poder desarrollar su trabajo y si no es el caso y son los propios empleados los que ponen a disposición de las empresas sus dispositivos, éstas deberán securizar los mismo y con ello no dejar puertas de acceso adicionales a los ciberdelincuentes.

Adicionalmente a lo anterior, a nivel personal creo que es fundamental que tratemos de establecer protocolos mínimos de seguridad en cuanto a contraseñas y permisos de acceso de conexión se refiere. Siempre se repite lo mismo, pero poner la fecha del cumpleaños como contraseña o dejar la de inicio de la compañía de telecomunicaciones es como poner un cartel de Bienvenido a un ciberdelincuente.

¿Cuáles han sido las lecciones aprendidas que reveláis en vuestro último informe? ¿Y las carencias que debemos modificar para poder hacer frente a un ciberataque?  

Creo que este informe muestra un moderado cambio de tendencia en la percepción del riesgo y la inversión en seguridad a todos los niveles. No obstante, seguimos viendo actuaciones más cortoplacistas, invirtiendo más en la parte técnica que en la gestión de los riesgos asociados al propio entorno tecnológico y la conectividad. Todavía vamos un poco por detrás en este sentido y que las empresas tienen que tratar, en la medida de lo posible, realizar un análisis macro para luego tomar decisiones en consecuencia, desarrollando un plan de trabajo a corto, medio y largo plazo que implique no solo inversión tecnológica sino también el desarrollo de planes de continuidad de negocio, formaciones de empleados y externalización de riesgos (pólizas de seguros).

El Seguro, parte fundamental de la protección al riesgo tecnológico

¿Qué papel está jugando el seguro ante este riesgo? ¿Estamos logrando ofrecer las coberturas que demandan nuestros clientes?

Considero el seguro forma parte fundamental de la ecuación ofreciendo una barrera adicional de protección al riesgo tecnológico inherente a la actividad empresarial. Creo firmemente que sí se están ofreciendo soluciones reales a los clientes. Partiendo de la base de que la seguridad 100% no existe, los seguros ofrecen una barrera de defensa adicional, en este caso financiera, a las medidas técnicas, legales y de compliance más tradicionales. Un seguro cyber ofrece desde la gestión de la crisis con paneles de expertos forenses, legales y de relaciones públicas, pasando por los gastos de recuperación de los sistemas afectados o pérdida de beneficios, así como posibles responsabilidad civiles derivadas de los incidentes. Son productos muy completos. Desde Marsh trabajamos con un condicionado propio, un producto vivo que vamos adaptando año a año en función de las lecciones aprendidas y solicitudes de nuestros clientes. Las pólizas cyber no pueden ser productos estáticos, sino que deben adaptarse al riesgo dinámico y cambiante al que nos enfrentamos.

Estabilización más que endurecimiento

¿Cómo afectará la siniestralidad del último año a las primas?

Estamos viendo un endurecimiento general del mercado asegurador y también lo estamos viendo en el ramo de Cyber. En este sentido este endurecimiento no es tan marcado como en otros ramos como puede ser el de Daños Materiales o D&O. No obstante, las aseguradoras están reduciendo capacidades aportadas a los programas de seguros y ajustes de precios de entre un 5-10% en el mercado de Europa Continental, si nos vamos al mercado americano vemos que estos porcentajes son superiores. No pretendo dar un mensaje alarmista sobre el ramo porque a lo anterior se une un incremento de las aseguradoras que pueden ofrecer seguros de cyber y productos más especializados. Creo que aún nos encontramos ante un ejercicio de estabilización de la línea más que de un endurecimiento marcado.

Sino todas las empresas tienen los mismos riesgos cibernéticos dado su tamaño, sectores, origen… ¿Cómo podemos protegernos?

En función del sector, dimensionamiento de las empresas y controles internos, cada compañía tiene diferentes perfiles de riesgo y, por ende, diferentes preocupaciones. Por ejemplo, un e-commerce tendrá un alto componente en el riesgo de privacidad mientras que una papelera tendrá una alta preocupación en relación con la interrupción del proceso productivo. ¿Cómo podemos protegernos? lo primero es conocernos, necesitamos ser conscientes de las amenazas, regulaciones, la organización y la industria, una vez tengamos claro esto, es fundamental medir el riesgo y cuantificar el impacto económico de los riesgos definidos en la etapa anterior y ver nuestra tolerancia al mismo y finalmente gestionarlos definiendo un plan de acción realista, como comentaba en algún punto anterior, con hitos a corto, medio y largo plazo junto con una estrategia de transferencia del riesgo.

¿Cómo podemos protegernos? Es fundamental medir el riesgo y cuantificar el impacto económico de los riesgos definidos en la etapa anterior y ver nuestra tolerancia al mismo y finalmente gestionarlos definiendo un plan de acción realista

“Hay que centrarse en el talento de las personas

Este sector, el de ciberseguridad, como en el caso de las disciplinas STEM ¿es un sector muy masculino? ¿notas que falta talento femenino en este campo?

La verdad es que hay una gran presencia masculina en cuanto a Seguridad de la Información se refiere, si bien como nuestro trabajo no solo se centra en esta área sino también hablamos de gerencias de riesgos, departamentos legales, dirección financiera y consejo de administración, el abanico se amplia y la diversidad está servida.

¿Cómo podemos potenciar que haya más mujeres en estas disciplinas, que se interesen por este sector que es el futuro?

Creo que la barrera se está rompiendo y aunque minoritariamente ya se empieza a ver talento femenino en estas disciplinas. No creo que haya que hacer nada más de lo que ya se está haciendo y es dejar de lado pensamientos arcaicos sobre lo femenino o lo masculino y centrarnos en el talento de las personas. En mi opinión no se trata de alentar a un sector de la población hacia una disciplina concreta, solo se trata de dar las mismas oportunidades.

¿Y en los puestos directivos en general, notas una carencia en este aspecto de talento femenino o crees que se está nivelando?

Es indudable que la brecha existe, no obstante, creo que empieza a haber indicios de cambio. Sinceramente creo que la mentalidad empresarial y de la alta dirección ha evolucionado desde mis comienzos en el mundo laboral.

¿Por qué siempre que nos imaginamos que un hacker es un hombre con capucha, ¿sesgos inconsciente, prototipos…?

Supongo que se debe a prototipos que tenemos en mente y que llegado el caso pueden ser difíciles de cambiar.

Hay que dejar de lado pensamientos arcaicos sobre lo femenino o lo masculino y centrarnos en el talento de las personas. En mi opinión no se trata de alentar a un sector de la población hacia una disciplina concreta, solo se trata de dar las mismas oportunidades.

Concienciación cibernética, ¿qué nos queda por hacer?

En cuanto a cómo se conciencian, tanto de las empresas y la sociedad ¿crees que vamos mejorando, ¿qué nos queda por hacer?

Vamos mejorando, poco a poco, pero hay evolución. ¿Que nos queda por hacer? Tenemos mucho recorrido empezando por un trabajo de enseñanza/concienciación iniciado en los colegios y el uso responsable de las nuevas tecnologías, pasando por los empleados de cualquier entidad, hasta los directivos de las mismas que tienen que ser conscientes de que su responsabilidad es aún mayor y deben dar ejemplo a la hora de seguir e implementar las medidas de seguridad. Creo que una vez tengamos lo anterior el resto de las medidas caerán por su propio peso dado que no olvidemos que la toma de decisión de las empresas la conforman personas.

 “El que antes se adapte a la digitalización tendrá una ventaja competitiva frente a la competencia”

¿Cómo crees que evolucionará el sector asegurador frente a la transformación digital? ¿Están las compañías haciendo los deberes?

El sector asegurador es un sector bastante tradicional y no hemos destacado por ser los más innovadores en cuanto a la transformación digital se refiere. Ahora bien, vemos cada vez que el sector está invirtiendo en digitalización pues no se puede luchar contra la evolución y creo firmemente que el que antes se adapte tendrá una ventaja competitiva frente a la competencia. La digitalización al fin y al cabo es en sí misma una herramienta que proporciona un incremento de la productividad. Esto no quiere decir que todo vale, más que nunca, hay que desarrollar planes de digitalización con cabeza, pues existen unos riesgos asociados que tienen que ser analizados y gestionados y no podemos decir en este caso “en casa del herrero cuchillo de palo”.



Principales vectores de ataque

Si tuvieras que hacer una lista de los mayores ciberriesgos ¿Cuáles sería tus top10 que no debemos de perder de vista?

Ahora mismo los vectores de ataque que más relevancia están tomando en la siniestralidad del ramo son los denominados ransomware así como las suplantaciones de identidad con componentes de fraude. Dicho esto, otros puntos que a día de hoy hay que tener muy en cuenta son las políticas BYOND (bring your own device) y las medidas de seguridad exigidas en tales casos. En un entorno de teletrabajo dirigido es muy importante brindar a esos dispositivos personales unos niveles de seguridad que permitan la conectividad sin incrementar el riesgo.

Por otro lado, el factor humano tanto desde la perspectiva de error como de recepción de ataques malintencionados es otro factor a tener en cuenta. Finalmente creo que los proveedores de servicios deben ser un punto importante de la ecuación, en la mayoría de los casos no se les da la importancia que procede. Ante la existencia de conectividad y dependencia nos encontramos con esas puertas traseras que no todo el mundo tiene en mente. Por último, en relación con adquisiciones societarias, también debemos tener en cuenta la integración de sistemas dentro de los acuerdos y los planes de acción de las compañías.