¿Cómo prevenir ciberataques de manera eficaz? Cinco medidas para evitar los ataques de ciberseguridad en las empresas de seguros.
El sector asegurador, en el punto de mira de los ataques de ciberseguridad
La seguridad cibernética se ha convertido en una prioridad para la mayoría de las empresas, sobre todo en la industria de seguros. En 2021, el sector financiero y de seguros fue objeto del 22,4% de los ciberataques, según IBM. Aunque se trata de una cifra elevada, ha dejado de ser el sector que más ataques recibe, lo cual indica que la implementación de altos estándares de seguridad está dando frutos. No obstante, los ciberdelincuentes no descansan y surgen nuevos riesgos, por lo que las empresas de seguros no pueden bajar la guardia.
La ciberseguridad en las empresas de seguros en España
La III edición del Termómetro de la ciberseguridad en el sector asegurador español, realizada por ICEA y Deloitte con la participación de 56 entidades aseguradoras, reveló que aunque el 90% de las entidades cuentan con un plan de respuesta ante incidentes, casi la mitad ha sufrido alguna brecha de seguridad.
Los ataques de denegación de servicio y de malware/ransomware siguen siendo las principales preocupaciones de los responsables de seguridad debido al gran impacto que pueden tener en los procesos de negocio de las aseguradoras y corredurías. No obstante, también preocupa la vulneración del sitio web y el robo de credenciales.
Además, el actual contexto geopolítico y la difusión del teletrabajo han supuesto el incremento de algunas ciberamenazas. Siete de cada diez empresas de seguros afirman haber notado un aumento del riesgo a sufrir un ciberataque debido al conflicto bélico en curso o la aplicación del trabajo en remoto.
¿Cómo prevenir ciberataques en el sector asegurador?
1. Capacitar a los empleados
Para prevenir ciberataques es vital educar a los empleados pues a menudo son el eslabón más débil en la cadena de ciberseguridad, de manera que los ciberdelincuentes aprovechan su desconocimiento para acceder a los datos de las organizaciones, generalmente a través de correos electrónicos de phishing haciéndose pasar por la propia entidad para solicitar la información de acceso.
Capacitar al personal de las empresas de seguros permite evitar ese tipo de ciberataques. Para ello, es necesario mantenerlos informados sobre las técnicas que usan los ciberdelincuentes, de manera que puedan reconocer diferentes formas de ataque, evitar errores que expongan la red de la entidad y sepan los pasos a seguir para responder a una potencial amenaza.
2. Mantener el software y los sistemas actualizados
Ningún software o sistema informático es perfecto o inviolable. No obstante, los desarrolladores solucionan vulnerabilidades y refuerzan la seguridad a través de las actualizaciones. Por esa razón, un software desactualizado es más vulnerable. Los ciberdelincuentes lo saben y aprovechan esas vulnerabilidades para acceder al sistema operativo y la base de datos.
Para prevenir esos ciberataques, las empresas de seguros pueden invertir en un sistema de gestión de parches que realizará un seguimiento de todas las actualizaciones del software para garantizar un entorno digital de trabajo más seguro. Implementar las actualizaciones automáticas también contribuye a que todos los equipos, servidores y dispositivos móviles de la entidad trabajen con las últimas versiones del sistema operativo.
3. Reforzar la seguridad de los endpoints con un sistema de defensa a fondo
Los dispositivos con los que se conectan los empleados a la red, como los ordenadores, portátiles, tablets y smartphones también representan un punto de entrada para los ciberdelincuentes. Hasta ahora, la mayoría de las empresas han recurrido a firewalls, VPN y antivirus para proteger los datos y evitar accesos no autorizados, pero con el uso cada vez más extendido de aplicaciones móviles y servicios en la nube, el perímetro de la red empresarial ya no está tan bien definido.
Para lidiar con esa nueva realidad, las empresas de seguros pueden adoptar un enfoque de defensa a fondo que garantice la seguridad de los endpoints, aplicando diferentes controles para protegerse contra un abanico más amplio de ciberamenazas. Entre estos se incluyen las herramientas de detección y respuesta para endpoints dirigidas a identificar e investigar de forma proactiva las actividades sospechosas en esos dispositivos supervisando, registrando y analizando continuamente los eventos que se producen en los mismos.
4. Gestión de acceso y privilegios
El trabajo en remoto ha supuesto una mayor exposición al riesgo, de manera que las empresas de seguros deben reforzar sus controles de ciberseguridad para mantener la continuidad del negocio y cerrar las puertas a los ciberatacantes. Una medida básica consiste en crear cuentas personales para cada empleado con su propio inicio de sesión puesto que tener muchas personas conectadas con las mismas credenciales puede representar un mayor peligro para el sistema.
También conviene gestionar los privilegios, concediendo a los usuarios los permisos mínimos que requieren las tareas que realizan dentro de la aseguradora o correduría. El principio del mínimo privilegio (POLP) elimina los derechos de administrador local en los servidores y ordenadores personales, restringiendo los privilegios de acceso a los usuarios y aplicaciones autorizados.
5. Probar las aplicaciones de terceros
Los últimos años han estado marcados por la transformación digital y la migración a soluciones en la nube. Estos cambios aportan múltiples ventajas en términos de innovación y flexibilidad, pero también entrañan nuevos retos de ciberseguridad que las empresas de seguros deben abordar implementando estrategias específicas.
De hecho, el 17% de las violaciones de las infraestructuras críticas se produjo debido a que un socio comercial se vio comprometido, según IBM. Además, la vulnerabilidad en software de terceros fue el cuarto vector de ataque en las brechas de datos en 2022. Por esa razón, elegir correctamente los socios comerciales es fundamental para reducir el riesgo de que se produzcan ataques de ciberseguridad a las empresas de seguros.
Hay que pedir al proveedor evidencias del cumplimiento normativo en materia de ciberseguridad, apostar por partners de referencia, realizar auditorías anuales o incluso probar los servicios ofrecidos para detectar fallas de seguridad, tanto a través de pruebas de penetración o de análisis de código fuente, cuando sea posible.
Con las medidas adecuadas, las empresas de seguros pueden prevenir los ciberataques o al menos reducir su impacto, pero deben asumir una postura proactiva y cubrirse desde todos los frentes.