Preguntas CFO ciberseguro

Jan 22, 2026 — 5 minutos

Las 4 preguntas que cualquier CFO debe hacerse antes de contratar un ciberseguro

Elegir un ciberseguro no es solo comparar precios o coberturas genéricas. Es lo que separa una póliza “que suena bien” de una que te salva el año. Estas son las cuatro preguntas que cualquier CFO debería hacerse antes de firmar.

1. ¿Cubre la interrupción de negocio dependiente o contingente?

Es decir: si tu proveedor crítico cae y tú te paras, ¿estás cubierto?

Esta es probablemente la pregunta más importante y la que menos CFOs se hacen. En un mundo donde la operación depende de servicios externos (procesadores de pago, ERPs en la nube, plataformas de e-commerce), una interrupción en un tercero puede paralizar tu negocio por completo.

Pregunta específicamente:

  • ¿Qué sublímite tiene esta cobertura?
  • ¿Qué período de espera aplica?
  • ¿Cómo definen “interrupción”?

2. ¿Cómo define la póliza “sistema informático” y qué incluye?

Parece una tecnicidad, pero es el núcleo del problema. Las pólizas tradicionales fueron diseñadas cuando los sistemas informáticos estaban en el sótano de la empresa. Hoy, la infraestructura está distribuida entre docenas de proveedores.

Pregúntate si la definición incluye claramente:

  • Cloud (AWS, Azure, Google Cloud)
  • SaaS (Salesforce, HubSpot, Slack)
  • Servicios externalizados
  • Plataformas externas

Si la definición se limita a “sistemas propiedad de la empresa” o “sistemas operados por la empresa”, tienes un problema. Porque la mayoría de la infraestructura crítica moderna no es propiedad de nadie más que del proveedor.

3. ¿Tiene exclusiones de outsourcing o sistemas de terceros?

Esta es la letra pequeña más peligrosa. Muchas pólizas incluyen exclusiones que anulan la cobertura precisamente en los escenarios más probables. Busca cláusulas como:

  • Exclusión de proveedor de servicios externalizados
  • Exclusión de sistemas de terceros
  • Exclusión de proveedores cloud
  • Exclusión por fallo de infraestructura externa

Estas exclusiones pueden parecer razonables en abstracto, pero en la práctica significan que si tu proveedor de pagos, tu ERP cloud o tu plataforma de comunicaciones sufre una brecha, tu póliza no responde.

4. ¿Tienes un inventario de proveedores críticos y controles contractuales?

Aquí es donde en Axyom vemos la mayor brecha en empresas medianas. Cuando preguntamos, las respuestas suelen ser:

  • “Sí, usamos Stripe”
  • “Sí, usamos HubSpot”
  • “Sí, usamos Microsoft”
  • “Sí, tenemos un MSP”
  • “Sí, usamos un ERP”

Pero nadie tiene:

  • Un inventario de proveedores críticos con niveles de prioridad (tiering)
  • SLAs mínimos de seguridad
  • Cláusulas de notificación de incidentes
  • Requisitos de MFA y logging
  • Derechos de auditoría
  • Requisitos de cifrado y retención de datos

Sin este inventario, la aseguradora no puede evaluar correctamente el riesgo, y la empresa no puede demostrar diligencia debida en caso de incidente.

Entonces, ¿qué debería hacer realmente una empresa para protegerse?

La respuesta va más allá de contratar un ciberseguro. La respuesta es construir una estrategia integral.

1. Diseña la cobertura en función de tu riesgo real

Una póliza sin enfoque en terceros es como asegurar tu piso pero no el edificio en el que vives. Necesitas una cobertura que refleje cómo opera realmente tu negocio, incluyendo todas las dependencias externas que son críticas para la operación.

2. Ten un plan mínimo de gestión de riesgos de terceros

En Axyom lo desglosamos así:

  • Identificar proveedores críticos
  • Mapear dependencias (pagos, datos, operaciones)
  • Revisar cláusulas contractuales mínimas
  • Evaluar controles (MFA, backups, logs)
  • Preparar respuesta a incidentes con terceros

3. Complementa con un servicio de vCISO (CISO Virtual)

Porque el seguro paga, pero un vCISO:

  • Reduce la probabilidad de incidente
  • Reduce el impacto cuando ocurre
  • Reduce el tiempo de recuperación
  • Mejora tu posición ante la aseguradora

Conclusión: el riesgo ya no es “si te atacan”, sino “desde dónde te rompen”

En 2026, muchos de los incidentes más costosos no empiezan en tu red. Empiezan en tu ecosistema.

El error no es confiar en proveedores. El error es no diseñar tu estrategia de ciberseguridad y ciberseguro pensando en:

  • Terceros
  • SaaS
  • Cloud
  • Dependencias críticas
  • Cadena de suministro digital

En Axyom creemos que la anticipación es la mejor forma de protección.