Al comprar un móvil o una tableta no es extraño que nos ofrezcan un seguro. Así, en caso de pérdida, robo o rotura de pantalla, tendremos cubiertas las espaldas. Pero ahora las pólizas de ciber-riesgos no se quedan en la protección de dispositivos móviles. ¿Qué interés tienen para la pyme?, ¿qué riesgos cubren?
La pérdida de los activos de información, bien por un accidente fortuito (causas naturales, errores humanos,…) o debido a un ataque intencionado es una preocupación creciente para las empresas de todos los tamaños y sectores. Toda actividad tiene riesgos, en el mundo real y en el virtual. Las consecuencias de un incidente pueden afectar a datos comerciales, patentes, finanzas, equipamiento, etc. y a la reputación de las personas o de la marca, en definitiva al negocio.
Un reciente informe de la firma Kaspersky valoraba en 33.700 € el presupuesto medio que necesitaría una pyme para resolver un problema de seguridad como fugas de datos, fraude o ataques de denegación de servicio. Esto, sin incluir otros gastos indirectos y los debidos a la eventual parada de los servicios.
Tradicionalmente, las empresas contratan seguros bien por obligación legal o para cubrir aquellos accidentes, que si ocurren, pueden afectar al negocio de forma irreversible o que no serían capaces de abordar con sus propios recursos. En este escenario algunas aseguradoras han comenzado a cubrir gastos por incidentes cibernéticos.
En lo relativo a ciberseguridad, cuando hacemos un análisis de riesgos, revisando nuestro entorno y nuestros procesos internos, tenemos respuesta a estas preguntas:
- ¿qué puede pasar?, ¿cuándo y dónde? y ¿cómo y por qué?
- ¿cómo valorar las posibles consecuencias como costes, pérdidas o sanciones?
Y una vez que tenemos claro cuáles son los riesgos (probabilidad) y el valor de las consecuencias o su impacto. Tendremos que reflexionar sobre:
- ¿cómo priorizar las medidas a tomar?
- ¿cuánto nos va a costar?
- ¿qué recursos necesitamos?
Con todo esto tendremos datos suficientes para saber cómo tratar los riesgos, siempre desde un enfoque coste/beneficio. Para ello tenemos cuatro opciones: evitarlos, mitigarlos, aceptarlos o transferirlos.
- Los evitamos dejando de hacer la actividad que es arriesgada, generalmente porque tratar de mitigar el riesgo es muy caro y existe una alternativa menos arriesgada para esa actividad. Sería equivalente a tomar una ruta alternativa, con menos riesgos.
- Los reducimos o mitigamos aplicando medidas o controles tanto organizativos (políticas, procedimientos, formación,…) como técnicos. Esto es lo adecuado cuando el coste es proporcional al beneficio que obtendremos, es decir: el riesgo después de aplicar las medidas es mucho menor.
- Los aceptamos si cruzamos los dedos y esperamos a que no pase nada. Podemos hacerlo si el riesgo (probabilidad de que ocurra) es muy bajo y su impacto no nos echaría del terreno de juego.
- Los transferimos en el caso de que sea muy caro reducirlos o mitigarlos. Podemos hacerlo contratando un seguro o externalizando el servicio con coberturas de seguridad asociadas (que podremos verificar si tienen alguno de estos sellos de confianza).
Los seguros que cubren riesgos de ciberseguridad están empezando a aparecer en el mercado como una forma de aplicar la opción de transferencia del riesgo. Así lo pone de manifiesto la reciente encuentro organizado por el Espacio TiSec (aquí puedes leer la crónica). Las coberturas no son sólo legales o económicas, sino que también son técnicas. Estas son algunas:
- coberturas de Responsabilidad Civil a terceros
- responsabilidad por pérdida de datos de carácter personal o riesgos de privacidad y por gastos de notificación de vulneraciones de privacidad a los titulares de los datos y a terceros interesados
- cobertura contra las reclamaciones por la violación de derechos de propiedad intelectual relativos a cualquier tipo de contenidos, incluidos los contenidos generados por un usuario
- defensa jurídica y asistencia a juicio; gastos de defensa por multas y sanciones de organismos reguladores; cobertura para procedimientos e investigaciones de organismos reguladores
- protección frente a reclamaciones de terceros por incumplimiento en casos de custodia de datos, difamación en medios corporativos o infección por malware
- cobertura de pérdida de beneficios
- cobertura de pérdidas de ingresos netos como resultado de una vulneración de seguridad o de un ataque de denegación de servicio
- cobertura para los datos alojados en la nube
- gastos de gestión y comunicación de crisis (a través de consultoras tecnológicas)
- asistencia técnica y gastos de investigación del siniestro; costes de un posible análisis forense en caso de que sea necesario (fugas de datos, piratería,…)
- gastos de reparación y restauración de los datos borrados y de los equipos dañados
- cobertura de delitos cibernéticos: estafas de phishing, suplantación de identidad, hacking telefónico, robo de identidad, fraude electrónico y extorsión cibernética
- asistencia técnica frente a una intrusión de terceros en los sistemas informáticos del asegurado
- gastos por errores tecnológicos y omisiones
Además algunas ofrecen servicios extra como:
- adecuación personalizada a la LOPD
- medidas de prevención como análisis externo e interno de las redes informáticas del cliente
- línea de atención telefónica o a través del web
Como siempre que tratamos con aseguradoras debemos leer con detenimiento las pólizas con sus condiciones y exclusiones para no llevarnos sorpresas y comprender cómo tenemos que proceder en caso de que ocurra un incidente.
La seguridad total no existe. Las pólizas de ciber-riesgos son ahora una opción que tendremos que valorar.
