recomendacion

Identificación de riesgos, precaución, evaluación constante del nivel de seguridad. Son algunas de las recomendaciones por parte del sector Seguros que traemos a este blog con motivo del Día Mundial de la Ciberseguridad.

Aseguradoras, brokers y reaseguradoras contribuyen así a salvaguardar la seguridad de sus clientes.

AIG

  • Inversión en seguridad incluyendo la prevención y, dentro de ella, la formación y concienciación de sus empleados para evitarlos, ya que el factor humano está detrás de cualquier brecha de seguridad.
  • Evaluación constante del nivel de ciberseguridad. Es importante conocer el riesgo cibernético en cada momento, para priorizar la implementación de controles de reducción del riesgo y mejorar la toma de decisiones de inversión en su programa de ciberseguridad.
  • Disponer de un proceso de respuesta inmediata para minorizar la pérdida de información, paralización del negocio, y el efecto en resultados.

Aon

Es clave y tremendamente importante identificar los riesgos de forma proactiva y en detalle, gestionando la seguridad desde la propia identificación hasta la transferencia del riesgo bajo un marco y proceso integral de tratamiento del riesgo, así como garantizar su mejora contínua probando los planes de contingencia para estar preparados ante cualquier ataque o incidente.

Axa

  • Nunca hay que bajar la guardia, si algo tienen los ciberdelicuentes es que son muy pacientes y dedican tiempo a estudiar las vías de entrada en los sistemas, por lo que contraseñas robustas y mantenimiento al día de los sistemas (con actualizaciones oficiales) son un básico para todos, sin excepción.
  • Los comités de crisis no se improvisan y las prisas no son buenas. Ante una crisis, hay que ser capaz de hacer un diagnóstico rápido y analizar el impacto del incidente a medio y largo plazo para priorizar la aplicación de medidas. Es importante establecer un protocolo de actuación dirigido, en su caso, por un comité de crisis.
  • La seguridad 100% no existe, hay que ser realistas. Confiar en un experto: la transferencia del riesgo a través de una póliza de ciberriesgo adecuada aporta tranquilidad, te permite asegurar no solo una adecuada gestión de crisis, con todo lo que ello conlleva (ej. notificación de la brecha de seguridad a todos los posible afectados; saber qué hacer en cada momento…) , sino poder hacer frente a gastos imprevistos y desembolsos económicos pueden alcanzar importes elevados.

Caser

  • Concienciación de que los ciberataques se producen cada vez con más frecuencia e intensidad, y que pueden llegar a producir el cierre de una empresa.
  • Barreras y controles permanentemente actualizados en equipos (incluidos tablets y móviles), como por ejemplo: firewalls, antivirus, anti ransomware, configuraciones de seguridad, etc.).
  • Realizar copias de seguridad de información crítica al menos con periodicidad semanal.

Fiatc

  • Cuidar lo que se comparte en Internet. Absolutamente todos los datos que se publican en Internet dejan huella, sobre todo los publicados en redes sociales, y pueden proporcionar mucha información personal que puede ser usada en nuestra contra.
    El consejo es ser precavidos con la información que se comparte en Internet.
  • Usar un gestor de contraseñas. Recordar contraseñas fuertes, complejas y únicas para todos los sitios webs puede resultar una tarea muy complicada. El consejo es que se apoyen en un buen gestor de contraseñas que les ayude en esta tarea.
  • Precaución y sentido común. Es muy importante cuidar la navegación en Internet, sospechar de remitentes desconocidos, no clicar en enlaces maliciosos y no descargar archivos sospechosos. En determinados momentos y ante ciertas comunicaciones, propuestas u ofertas solemos actuar imprudentemente. Aunque pueda parecer obvio, el consejo es que se mantenga siempre la precaución, se use el sentido común y se analice la situación antes de realizar cualquier acción.

Generali

  • Es fundamental confirmar la identidad de todo aquel que solicite información y en caso de duda -porque nos pidan datos de una manera poco habitual o en un formato nuevo– contactar con nuestro profesional de confianza para asegurarnos de que es una medida de la compañía y no una acción maligna.
  • Es importante mantener las contraseñas protegidas y usar diferentes opciones en las que no se incluyan datos personales o laborales, evitando el uso de contraseñas obvias, así como fomentar el cambio periódico de contraseña. Cada vez es más importante usar una contraseña diferente para cada tipo de servicio que requiera de una. Por ello, es muy aconsejable hacer uso de gestores de contraseñas, que ayuden en el manejo de estas.
  • Es muy importante tener actualizados los equipos, tanto el sistema operativo del ordenador, o el firmware del smartphone, así como el software que usamos. Es crítico estar siempre al día de parches o versiones de nuestros sistemas ya que van subsanando posibles vulnerabilidades presentes en nuestros equipos.

Hiscox 

  • Establecer entre los empleados niveles de acceso a la información y formación y extiender entre todas las personas que trabajan en la compañía la sensibilidad hacia el riesgo ciber: cuidado con las contraseñas, con la gestión de la información personal de terceras personas, o que hagan uso responsable de los sistemas de la compañía, entre otros.
  • Mantenerse al día, tanto desde el punto de vista tecnológico, con actualización de los sistemas siempre que sea necesario, como con la actualidad y las tendencias que se estén produciendo, ya que los ciberdelincuentes no dejan de evolucionar y las empresas deben adaptarse al cambio a la misma velocidad.
  • Aprender de los mejores. En el ‘Informe de Ciberpreparación’ se pone a su disposición del mercado el documento ‘¿Qué podemos aprender de los expertos para gestionar las amenazas ciber?’

MAPFRE

  • Lo primero es la concienciación, de tal manera que es fundamental conocer las amenazas y los riesgos que pueden poner en jaque a la empresa.
    Lo siguiente es disponer de herramientas de ciberseguridad enfocadas a la prevención, detección y respuesta a incidentes de ciberseguridad.
  • Por último, para cerrar el círculo de protección frente a los ciberriesgos, es recomendable contar con un seguro que cubra las consecuencias de estos riesgos.

Munich Re

  • No hay seguridad al 100% cuando hablamos del digital. Incluso el plan de acción más concienzudo puede ser objeto de una vulnerabilidad o un riesgo pasado por alto. La falibilidad de los controles individuales subrayan la necesidad de implementar una arquitectura de seguridad de la información basada en riesgos y de múltiples capas.
  • Una protección adecuada al riesgo solo se puede lograr con un enfoque holístico que tenga en cuenta las circunstancias específicas de la empresa. La aplicación de varios estándares (por ejemplo, ISO 27002, IEC 62443 o NIST CFS) es fundamental para su consagración. También debe prestarse especial atención al factor humano, que presenta un riesgo considerable. Por lo tanto, todos los empleados de una organización deberían recibir formación en relación a estos riesgos cibernéticos. La conciencia a todos los niveles de la organización es un requisito previo para una implementación adecuada. En el curso de una digitalización acelerada, también impulsada por Covid-19, los escenarios de pérdidas y riesgos cibernéticos están cambiando aún más que nunca.
  • Proporcionar soluciones integrales para la cibernética sigue siendo un desafío para la industria de seguros, y dado el dinamismo del escenario, es clave profundizar en el desarrollo y know how de una manera continua. Una gestión de riesgos adecuada es clave. Además, es importante tener una redacción clara y una comprensión clara de la cobertura para todas las partes involucradas.

Plus Ultra Seguros

  • Probablemente el mejor consejo que se le puede dar a cualquier organización es que tome conciencia de los riesgos de trabajar en un entorno cada vez más abierto, y que implique hasta el último de sus empleados en materia de ciberseguridad.
  • Organismos como INCIBE pueden ayudar en esta labor de información y concienciación, y en el diseño de estrategias de prevención.
  • La prevención reduce el riesgo, pero no hace que desaparezca. Los ciberdelincuentes siempre van un paso por delante y es fundamental protegerse frente a las consecuencias de los ataques informáticos, como pérdidas de información, la paralización de la actividad y la posible responsabilidad de la empresa frente a terceros derivada de esa brecha de seguridad.

QBE

  • Para los empleados: que no se conecten a internet en remoto mediante redes wifi públicas, ya que no son seguras, y que por supuesto para acceder a sus redes y sistemas corporativos, lo hagan a través de VPN y con multifactor de autenticación, ya sea con mensaje de texto en el móvil o con el mecanismo que hayan acordado en su empresa, para evitar de esta forma accesos no autorizados por parte de los hackers.
  • Para los administradores de sistemas: que no utilicen sistemas sin soporte o desactualizados ya que estos sistemas son mucho más vulnerables ante brechas de seguridad, que constantemente encuentran los hackers para acceder a ellos. Comprendemos que en muchas ocasiones es inevitable el uso de estos sistemas ya que soportan procesos o actividades únicas, y que por el momento quizás son irremplazables, pero en ese caso, es aconsejable aislar dichos sistemas del resto del parque tecnológico y realizar una monitorización constante para evitar incidentes de seguridad.
  • Para la alta dirección: que dediquen tiempo y recursos a realizar campañas de formación y concienciación a sus empleados, orientadas en general a la seguridad de los sistemas y la información y, en particular, a la tipología de incidente que más se esté utilizando en cada momento, por ejemplo, ahora mismo, el phishing a través de correo electrónico.

Willis Towers Watson

  • Relacionado con personas: continuar con las acciones de concienciación, teniendo en cuenta las circunstancias actuales en las que muchas personas están desarrollando su labor. Tal vez no sea el momento de realizar acciones demasiado invasivas en tiempo y recursos. Es preferible llevar a cabo pequeñas acciones (píldoras) bien elaboradas que incrementen el grado de concienciación de las personas y, tras ello, muy importante, realizar acciones correctivas si es necesario.
  • Relacionado con los sistemas, sin descuidar el resto de amenazas (denegación de servicio, brecha de datos, escalado de privilegios, etc.): poner el foco en cómo mitigar y transferir los ciberriesgos relacionados con la amenaza de ransomware.
  • Relacionado con los procedimientos: proceder a diseñar o actualizar las políticas, procedimientos y estándares más importantes que ayuden a gestionar todas las soluciones de ciberseguridad desplegadas de una forma óptima. Tanto desde el punto de vista del administrador, como desde el punto de vista del usuario.
  • Por último, relacionado con el capital: complementar las iniciativas de gestión del ciberriesgo (como la realización de evaluaciones del nivel de madurez o el diseño de matrices de ciberriesgo) con ejercicios de cuantificación del ciberriesgo. Este tipo de ejercicios ayudan a convertir y a comunicar transversalmente datos sobre ciberriesgo en información útil para la toma de decisiones.

Zurich

  • Hay extremar las precauciones ya que los ciberataques van en aumento y, por ello, creemos que lo primordial es activar los servicios de prevención que tenemos incluidos en la póliza. Sin estos servicios de prevención los hackers tendrán muchas más posibilidades de entrar en el sistema del cliente.
  • También se deben conocer los posibles riesgos a los que se enfrentan las pymes y autónomos a través de un análisis de vulnerabilidad en el que se muestran los riesgos que tienen y, por supuesto, contar con la mejor protección de coberturas.