Por Miguel López, director general de Barracuda Networks

A lo largo de los últimos años hemos vivido un incremento brutal del número de ciberataques que nuestras empresas y administraciones públicas reciben. Una de las consecuencias inmediatas de este incremento de ciberataques ha sido el aumento a su vez en las inversiones en herramientas de ciberseguridad así como en pólizas de ciberseguros. De hecho, es frecuente plantearse la disyuntiva entre invertir en ciberseguridad o bien incrementar la cobertura y protección de nuestro ciberseguro. ¿Cuál es la alternativa más recomendable y óptima? Es una pregunta sencilla pero cuya respuesta sin embargo no lo es tanto…

Incrementar nuestra inversión en herramientas de ciberseguridad nos ayudará a minimizar los riesgos inherentes a un posible ciberataque, evitando que éste se produzca y que por tanto se originen daños ya sean económicos o reputacionales… todos tenemos frescos en la memoria ejemplos de compañías e instituciones que tras un ataque de ransomware han tardado semanas en recuperarse y que solo lo han logrado tras, presuntamente, pagar el rescate, con el consiguiente perjuicio económico y también de imagen que ello conlleva. Sin embargo, es importante tener en cuenta que a medida que implementamos mejores medidas y herramientas de ciberseguridad reducimos el riesgo de tener que afrontar un ataque exitoso como los mencionados anteriormente… pero reducir el riesgo no significa que podamos evitarlo por completo.

Hemos de tener en cuenta que no podemos reducir a cero el riesgo de nuestra operativa digital y que llega el momento en el que el rendimiento marginal (medido como incremento de nuestro nivel de seguridad) de las nuevas inversiones en ciberseguridad va decayendo. Dicho de otro modo, llega un momento en nuestro nivel de inversión en ciberseguridad en el que cada nuevo euro que invertimos incrementa nuestro nivel de seguridad de manera menos que proporcional en relación al euro anterior. De este modo, una vez hayamos alcanzado un nivel de protección y ciberseguridad suficientemente elevado las nuevas inversiones en este campo empiezan a ser menos eficientes y a partir de ahí a pesar de invertir grandes cantidades de recursos humanos y económicos apenas se mejoraría nuestro nivel de ciberseguridad.

Es precisamente aquí donde deberían entrar en juego las pólizas de ciberseguros. En el momento en el que contamos con una infraestructura de ciberseguridad en nuestro departamento de IT suficientemente potente y el riesgo de sufrir un ataque exitoso es muy bajo es cuando debemos considerar la oportunidad de invertir en una póliza de ciberseguridad ya que de esta forma logramos optimizar nuestra inversión total.

Priorizar la póliza de ciberseguro

Pero… ¿por qué no hacerlo al revés? Es decir, priorizar como primer elemento de nuestra estrategia la adquisición de una póliza de ciberseguro que es algo que puede hacerse de forma bastante inmediata y, posteriormente, ir implementando medidas y herramientas de ciberseguridad en nuestro departamento IT con el presupuesto que no hayamos consumido en la ciber-poliza… De hecho, esta es una estrategia qué inicialmente han seguido algunas compañías pero que actualmente está en desuso por dar como resultado problemas como:

• Un nivel de inversión en ciberseguridad bajo o inadecuado en nuestro departamento de IT tendrá como consecuencia casi garantizada que múltiples ataques tendrán éxito lo que originará daños reputacionales que una póliza de ciber-seguro no puede cubrir.
• Las ciber pólizas tampoco pueden cubrir los daños derivados de un ataque como pueden ser el estrés y desmotivación del departamento de IT o de otros departamentos que al estar en contacto con clientes y proveedores pueden sufrir de forma más directa la disrupción del servicio y las quejas de estos.
• El coste de la póliza suele incrementarse precisamente cuando no se cuenta con las herramientas de ciberseguridad adecuadas. Si además se sufren varios ataques los incrementos en el importe de la póliza pueden dispararse.
• En ocasiones las consecuencias de un ciberataque pueden llegar a poner en riesgo incluso la continuidad completa de las operaciones y el futuro de la entidad. En este caso es muy dudoso que ninguna póliza pueda hacerse cargo de todos los costes económicos, sociales y humanos inherentes al cese de actividad

Se puede concluir por tanto que la adquisición de una ciberpoliza debería ser un paso más de nuestra estrategia de ciberseguridad. Una estrategia que debe incluir de manera prioritaria la implantación de soluciones de ciber-seguridad así como el correcto dimensionamiento de los equipos humanos a cargo de la seguridad IT. Una vez se han sentado estas bases es el momento de considerar la inversión que supone un ciberseguro como complemento y solución de último recurso en nuestra estrategia global de ciberseguridad.