Sólo una de cada tres operadoras de telefonía, empresas de comunicación y tecnológicas cuenta con un seguro frente a las contingencias de los ciberataques, según la encuesta de Percepción del Riesgo, elaborada por Marsh y Microsoft.
Este insuficiente nivel de protección resulta aún más grave si se tiene en cuenta que es el principal riesgo identificado por ejecutivos europeos en cuanto a sus negocios, según la reciente encuesta de Riesgos Regionales, antesala del informe sobre la materia que presenta Marsh todos los años en la cumbre de Davos.
Las interrupciones del negocio y los daños reputacionales se consideran los escenarios de pérdida cibernética más críticos para las empresas CMT y sus accionistas. Un incidente cibernético puede causar importantes pérdidas financieras derivadas de la interrupción del servicio, así como la pérdida de confianza debido a la violación de la privacidad del cliente.
La encuesta indica que el 64% de las empresas organiza para sus empleados formaciones y acciones de concienciación sobre el phishing y la suplantación de identidad, como barrera de prevención de ciberataques. En el otro lado de la balanza se encuentra el dato de que sólo una de cada ocho empresas dispone de un plan de respuesta ante incidentes cibernéticos.
Sara Muñoz, responsable de Cyber de Marsh España declara que “a nivel mundial solo un tercio de las empresas CMT contratan una póliza de cyber como herramienta para transferir riesgos y para gestionar la exposición al riesgo. Sin embargo, en los últimos dos años, dada la frecuencia con la que se están produciendo los incidentes cibernéticos, observamos que la prioridad de los equipos de dirección corporativa y de los CISOs se está centrando mucho más en la prevención, fortaleciendo las medidas técnicas de seguridad y el cumplimiento normativo”.
La mayoría de las empresas encuestadas declararan que ahora están trabajando en la implementación de medidas de prevención importantes como son “la realización de cursos de formación a sus empleados para fomentar la concienciación del phishing, o suplantación de identidad, la encriptación de los ordenadores de escritorio y portátiles de la compañía, la implantación de autentificación de multifactores para el acceso remoto a la red privada o la realización de test de penetración dirigidos entre muchas otras”, comenta Muñoz.
Sin embargo, “además de la implementación de unas medidas de protección adecuadas, consideramos que una buena gerencia de riesgos debe considerar la posible transferencia de las pérdidas de un evento cibernético, mediante pólizas de seguros que cubran adecuadamente los daños sufridos de forma que el seguro se constituya como la última barrera de defensa para proteger la cuenta de resultados de la sociedad” concluye Muñoz.