Por qué saltarte la formación en ciberseguridad podría dejarte sin cobertura en tu seguro

A medida que las amenazas cibernéticas se vuelven más sofisticadas, las aseguradoras están endureciendo sus requisitos. Cada vez más, la formación en ciberseguridad no es solo una recomendación, sino un requisito obligatorio para obtener una cobertura completa. Sin ella, tu empresa podría encontrarse con lagunas en la póliza, dejándola desprotegida en caso de sufrir un ataque. En este artículo, veremos por qué la formación en ciberseguridad no es solo algo recomendable, sino un factor clave para mantener un seguro eficaz. 

La importancia del ciberseguro 

A menos que tengas un negocio de comida Amish que solo acepte efectivo y no use Internet, lo más probable es que necesites un seguro de responsabilidad cibernética. El ciberseguro actúa como una red de seguridad que te protege frente a pérdidas económicas y responsabilidades si sufres un ataque informático. No tiene mucho misterio. La gran pregunta aquí es si tu empresa debería destinar decenas de miles de euros más a su ya considerable presupuesto en ciberseguridad. Muchas compañías descubren que contratar este tipo de seguro implica, al final, evaluar si el coste de las primas compensa frente a los posibles daños de una brecha de seguridad.  

Cuando una empresa contrata un ciberseguro, en realidad está adquiriendo tres cosas: 

• Un respaldo financiero que reduce el impacto de una brecha de seguridad. 
• Una prueba de diligencia debida ante las autoridades gubernamentales, demostrando que ha seguido las normativas establecidas por los organismos reguladores. 
• Tranquilidad tanto para la empresa como para las partes implicadas. 

Una póliza de seguro cibernético puede proteger a la empresa frente a incidentes cibernéticos, incluidos posibles actos de ciberterrorismo (según lo que cubra la póliza), y ayudar en la gestión de incidentes de seguridad, como: 

• Restauración de datos personales (PII). 
• Ataques de ransomware y extorsión cibernética. 
• Interrupciones en la red. 

Violación de datos de Marriott 

Un caso real relacionado con el seguro de ciberseguridad ocurrió meses después de que Marriott sufriera una de las mayores filtraciones de datos de la historia. Se descubrió que la compañía solo tuvo que cubrir de su bolsillo un millón de dólares por el incidente. La cifra sorprendió a muchos, ya que se habían visto comprometidos los datos personales de 383 millones de huéspedes, incluyendo información de tarjetas de pago sin cifrar. 

¿Por qué tan poco? Porque la amplia cobertura del seguro de ciberseguridad de Marriott asumió 71 de los 72 millones de dólares que costó el incidente. Eso sí, la cadena hotelera sigue enfrentándose a honorarios legales, multas y otros gastos. Aun así, la lección está clara: el seguro de ciberseguridad tuvo un papel clave en reducir el impacto financiero. 

Formación en concienciación sobre seguridad 

Por muy complejas y sofisticadas que sean las contraseñas de tu organización, por muchos firewalls y programas antimalware que tengas, el factor humano sigue siendo el eslabón más débil. Y eso es un problema cuando se trata de proteger tu seguridad y la de tu empresa. Los empleados suelen ser el punto más vulnerable y necesitan la formación adecuada en concienciación sobre seguridad para convertirse en observadores experimentados y estar siempre alerta. Los ciberdelincuentes saben que burlar las defensas de hardware no es fácil, pero aprovecharse del despiste o la falta de conocimientos de una persona lo es mucho más. Por eso, es fundamental que tus empleados cuenten con las herramientas necesarias, en especial una formación completa en concienciación sobre seguridad, que les ayude a detectar y reaccionar ante posibles amenazas. 

En abril de 2024, una encuesta del gobierno del Reino Unido reveló que la mitad de las empresas y el 84% de las grandes compañías habían sufrido algún tipo de ataque o vulneración de ciberseguridad en el último año. Y, con diferencia, el ataque más común fue el phishing, con un 84% de incidencia en empresas y un 83% en organizaciones benéficas.  

Entonces, ¿por qué invertir en formación en concienciación sobre seguridad? Es sencillo: tanto el seguro cibernético como el Security Awareness Training ayudan a reducir costes y responsabilidades. Añaden una capa extra de protección y, en muchos casos, evitan que tengas que recurrir al seguro. Suena contradictorio, lo sé. Pero la lógica es clara: cuanto mejor preparados estén tus empleados, menor será el riesgo de sufrir ataques costosos o tener que presentar reclamaciones al seguro. 

A medida que las amenazas cibernéticas siguen en aumento, proteger nuestros sistemas de información se vuelve cada vez más complicado. La evolución de la tecnología trae consigo nuevos retos y desafíos. Por extraño que parezca, a la hora de fortalecer nuestras defensas cibernéticas, no solo debemos pensar en tecnología, sino también en nuestro propio cerebro, instintos, confianza y sentido común. Los atacantes lo saben bien: el eslabón más débil suele ser el factor humano, y por eso centran sus esfuerzos ahí. 

Más del 90% de los ciberataques utilizan ingeniería social o phishing en alguna de sus variantes. No es ninguna sorpresa que reducir la exposición a estos ataques disminuya considerablemente el riesgo de sufrir una brecha de seguridad. La formación en concienciación sobre seguridad es una de las herramientas más eficaces para reducir este tipo de amenazas y puede aportar beneficios en varios niveles: 

Formación de usuarios 

No basta con advertir a los usuarios sobre los riesgos del phishing. La clave es lograr que realmente interioricen buenos hábitos de seguridad. Si conseguimos reducir el número de clics en correos electrónicos fraudulentos y reforzar la parte del cerebro encargada de identificar y responder a amenazas, estaremos un paso más cerca de una protección eficaz. 

Cultura de seguridad positiva 

Lo primero que debes entender es que no puedes imponer, controlar ni dictar la cultura de seguridad. Una política no es lo mismo que la cultura. La política establece las reglas y directrices para los empleados, mientras que la cultura es cómo realmente actúan en su día a día. ¿Cómo influye la cultura? Para construir una cultura de seguridad en la que los empleados se involucren en la protección de la empresa, se sientan cómodos señalando cuando algo no cuadra y comprendan los riesgos, hace falta tiempo y liderazgo desde la dirección. 

Cumplimiento y gobernanza 

La formación en concienciación sobre seguridad no solo ayuda a cumplir normativas, sino que también mejora la protección general de la empresa. Sin embargo, si el cumplimiento normativo se convierte en el único objetivo de la formación, es fácil que el aprendizaje se vuelva superficial y poco efectivo. Aun así, cada vez más empresas, organismos reguladores e iniciativas de cumplimiento exigen formación en seguridad, y muchas normativas ya la han hecho obligatoria. Algunas de ellas son: 

• PCI DSS 
• HIPAA 
• ISO/IEC 27001 
• FISMA 
• GDPR 

---

¿Cómo puede ayudarte Hornetsecurity? 

Hornetsecurity es líder en el sector y ha sido galardonado en 2024 con el Fortress Cybersecurity Award y el Global Infosec Winners, en reconocimiento a nuestro programa Security Awareness Training. A continuación, te damos algunas razones por las que tu empresa debería considerar el ciberseguro como parte de su estrategia de gestión de riesgos: 

• Protección financiera: cubre los gastos derivados de la investigación, mitigación y recuperación tras un incidente cibernético. 
• Responsabilidad legal: ayuda con los costes legales y la compensación si tu empresa se enfrenta a sanciones por incumplimiento de la normativa de protección de datos. 
• Continuidad del negocio: proporciona apoyo financiero para mantener la estabilidad y compensar la pérdida de ingresos durante y después de un ataque. 
• Servicios de asistencia: acceso a expertos en IT, especialistas en comunicación de crisis y abogados en protección de datos para gestionar el impacto del ataque. 
• Protección de datos: cubre los costes asociados a la pérdida o el compromiso de datos, tanto físicos como electrónicos. 

---

Conclusión 

Tras un ciberataque, muchas empresas se dan cuenta de que contar con un ciberseguro sólido es clave para proteger su reputación, recuperar la estabilidad financiera y seguir operando con normalidad. Su función es actuar como una red de seguridad y minimizar las consecuencias de un ataque. No es una solución mágica, pero sí puede ser un elemento crucial en la recuperación de una organización. Aun así, más importante que contratar un seguro es asegurarte de que tu red está bien protegida. Para ello, es fundamental invertir en la mejor defensa posible: la formación de tus propios empleados, tus “cortafuegos humanos”.