Para comprender cómo las organizaciones pueden gestionar estos riesgos, conversamos con Edwin Sabogal, Cyber Regional Manager de Aon, quien nos ofrece su visión sobre la ciberseguridad en la región. Edwin Sabogal, Cyber Regional Manager de Aon ¿Qué rol juegan las pólizas de seguro cibernético en la gestión de riesgos digitales y cómo han cambiado las demandas de las empresas en relación con estos seguros? La transferencia del riesgo es una de las partes críticas y de mayor relevancia hoy en día para la correcta gestión del riesgo cibernético. Reconocemos el esfuerzo que hacen todas las organizaciones día a día en materia de mitigación, inversión y prevención frente a este tipo de amenaza. Sin embargo, este es un riesgo que muta de forma extraordinariamente rápida, donde las compañías y las tecnologías de seguridad no avanzan a la misma velocidad que los ciberdelincuentes o incluso los errores humanos que pueden incrementar el riesgo cibernético. Por esta razón, la transferencia del riesgo a través de seguros que puedan respaldar patrimonialmente a la compañía es de vital importancia para la continuidad del negocio. Los seguros de riesgo cibernético no se pueden resumir en una sola póliza. Existen varios tipos de seguros que abordan este tipo de riesgo, dependiendo del objeto que se quiera asegurar. Por ejemplo, si se busca asegurar el riesgo legal y operacional como consecuencia de pérdida de información o interrupción del negocio debido a un evento cibernético, la póliza "Cyber" es adecuada para transferir ese riesgo. Sin embargo, si se desea proteger los fondos, dinero o títulos valores frente a un ataque cibernético, las pólizas de infidelidad y riesgos financieros (también conocidas como "Crime") son las indicadas. Asimismo, para asegurar a los directivos y administradores de las compañías por las decisiones que toman en la gestión del riesgo cibernético, se puede recurrir a la póliza de D&O (directores y administradores), siempre y cuando no tenga una exclusión de ciberseguridad. En resumen, no hay una única aproximación al aseguramiento del riesgo cibernético, lo que ha hecho que la demanda por parte de las compañías de contratar todo tipo de seguro que enfrente este riesgo haya aumentado considerablemente. Un evento cibernético puede causar múltiples perjuicios, por lo que se debe analizar de manera más holística desde la gobernanza de las corporaciones. ¿Podría explicar cómo Aon ayuda a las empresas a identificar y mitigar estos riesgos cibernéticos? ¿Qué servicios y soluciones específicas ofrecen? En Aon contamos con la estrategia denominada "Cyber Loop," con la cual acompañamos a nuestros clientes en la búsqueda de madurez tecnológica y cibernética. Mantenemos a las empresas informadas en la gestión del riesgo, comprometidas con la revisión continua, la mejora y la inversión en seguridad, siempre guiados por los datos. El Cyber Loop está compuesto por cuatro elementos: Evaluar: Identificamos vulnerabilidades, cuantificamos el riesgo y determinamos las máximas pérdidas estimadas y probables. Contamos con herramientas muy potentes para identificar la madurez cibernética. Mitigar: Generamos recomendaciones especializadas que permiten identificar riesgos en toda la cadena de suministro y fortalecer la resiliencia cibernética. Además, contamos con una red de empresas que pueden apoyar a nuestros clientes según su madurez tecnológica, alineados con buenas prácticas como ISO27001 y NIST. Transferir: Ayudamos en la colocación de pólizas de Cyber, D&O, RC profesional y fraude interno, entre otras. Este es un elemento crítico en la gestión del riesgo. Responder: En caso de presentarse un ataque, Aon acompaña a sus clientes en los reclamos y en la respuesta a incidentes. Con esta estructura, muchos de nuestros clientes en Latinoamérica han fortalecido sus procesos cibernéticos de manera significativa. ¿Coméntenos algún caso de éxito en el que Aon haya ayudado a una empresa a recuperarse de un ataque cibernético y las lecciones aprendidas de esa experiencia? Aon ha logrado ayudar a muchas empresas en toda Latinoamérica a aumentar su madurez tecnológica a través del Cyber Loop. Hemos entregado a nuestros clientes mapas de riesgo personalizados y enfocados en temas asociados a la seguridad de la información. También hemos implementado ejercicios de cuantificación de riesgo cibernético que han permitido aumentar los límites asegurados, fortaleciendo la protección en caso de cualquier ciberataque. Gracias a nuestras alianzas estratégicas con proveedores, hemos fortalecido las políticas de seguridad de la información de nuestros clientes, permitiéndoles ver de forma integral todas las áreas de la organización en un solo dashboard. Un caso destacado es el trabajo realizado con empresas en Ecuador, donde hemos evidenciado que las capacitaciones, dashboards, indicadores y pruebas que ofrecemos permiten a los clientes tomar decisiones más acertadas y mejor informadas. Con la creciente amenaza de ataques cibernéticos, ¿qué recomendaciones clave daría a las empresas para mejorar su postura de ciberseguridad y proteger sus activos digitales de manera efectiva? Desde Aon, recomendamos varias acciones para que las empresas refuercen su estrategia de seguridad cibernética: Formación y concienciación: Educar a los empleados sobre las mejores prácticas de ciberseguridad, como reconocer correos electrónicos de phishing, utilizar contraseñas seguras y reportar actividades sospechosas. Actualización y parcheo de sistemas: Mantener todos los sistemas, aplicaciones y dispositivos actualizados con los últimos parches de seguridad para reducir el riesgo de explotación de vulnerabilidades conocidas. Controles de acceso: Implementar autenticación multifactor (MFA) y gestionar los privilegios de acceso para garantizar que solo el personal autorizado tenga acceso a los sistemas y datos sensibles. Evaluaciones regulares de riesgo: Identificar y priorizar los activos críticos, las amenazas potenciales y las vulnerabilidades para centrarse en las áreas de mayor riesgo. Políticas de seguridad sólidas: Desarrollar políticas claras sobre el uso de dispositivos, redes, aplicaciones y datos, y asegurarse de que todos los empleados las comprendan y sigan. Revisión de proveedores y socios: Evaluar la postura de ciberseguridad de los proveedores y socios comerciales para garantizar que cumplan con los estándares de seguridad de la empresa. Copias de seguridad frecuentes: Asegurarse de que se realicen copias de seguridad regulares de todos los datos críticos y que se almacenen en ubicaciones seguras y fuera del sitio. Plan de respuesta a incidentes: Desarrollar y probar regularmente un plan de respuesta a incidentes para asegurarse de que la empresa pueda reaccionar rápida y eficazmente en caso de un ciberataque. Monitorización continua: Utilizar herramientas de monitoreo de seguridad para detectar y responder a incidentes en tiempo real, incluyendo sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS). Seguridad en la red: Utilizar firewalls, redes privadas virtuales (VPN) y segmentación de red para proteger la infraestructura de la empresa y limitar el acceso no autorizado. Implementar estas prácticas puede ayudar a las empresas a mejorar significativamente su ciberseguridad y proteger sus activos digitales contra los crecientes ciberataques.