El seguro cibernético no puede proteger a su organización de los delitos cibernéticos, pero puede mantener su negocio en una base financiera estable en caso de que ocurra un evento de seguridad importante.
La tecnología, los medios de comunicación social y las transacciones por Internet desempeñan un papel fundamental en la forma en que la mayoría de las organizaciones llevan a cabo sus negocios y llegan a los posibles clientes hoy en día. Esos vehículos también sirven como puertas de entrada a los ciberataques. Ya sea que los lancen hackers comunes y corrientes, delincuentes, personas con información privilegiada o incluso estados nacionales, es probable que se produzcan ataques cibernéticos que pueden causar pérdidas de moderadas a graves para organizaciones grandes y pequeñas. Como parte de un plan de gestión de riesgos, las organizaciones deben decidir habitualmente qué riesgos evitar, aceptar, controlar o transferir. La transferencia de riesgos es donde el seguro cibernético entra en juego.
¿Qué es el seguro cibernético?
Una póliza de seguro cibernético, también conocida como seguro de riesgo cibernético o cobertura de seguro de responsabilidad civil cibernética (CLIC), está diseñada para ayudar a una organización a mitigar la exposición al riesgo mediante la compensación de los costos involucrados en la recuperación después de una violación de seguridad relacionada con la tecnología cibernética o un evento similar. Con sus raíces en el seguro por errores y omisiones (E&O), el seguro cibernético comenzó a ponerse de moda en 2005, y se prevé que el valor total de las primas alcance los 7.500 millones de dólares en 2020. Según PwC, cerca de un tercio de las empresas estadounidenses compran actualmente algún tipo de seguro cibernético.
Las cifras indican que las organizaciones ven la necesidad de un seguro cibernético, pero ¿qué es lo que cubre? El seguro cibernético típicamente cubre los gastos relacionados con las primeras partes, así como las reclamaciones de terceros. Aunque no existe un estándar para la suscripción de estas pólizas, los siguientes son gastos comunes reembolsables:
Investigación: Una investigación forense es necesaria para determinar lo que ocurrió, cómo reparar los daños y cómo evitar que se produzca el mismo tipo de infracción en el futuro. Las investigaciones pueden implicar los servicios de una empresa de seguridad de terceros, así como la coordinación con las fuerzas del orden y el FBI.
Pérdidas de negocios: Una póliza de seguro cibernético puede incluir elementos similares cubiertos por una póliza de errores y omisiones (errores debidos a negligencia y otras razones), así como pérdidas monetarias experimentadas por el tiempo de inactividad de la red, la interrupción del negocio, la recuperación de la pérdida de datos y los costos involucrados en la gestión de una crisis, que pueden implicar la reparación de daños a la reputación.
Privacidad y notificación: Esto incluye las notificaciones requeridas de violación de datos a los clientes y otras partes afectadas, que son obligatorias por ley en muchas jurisdicciones, y la supervisión del crédito de los clientes cuya información fue o puede haber sido violada.
Demandas y extorsión: Esto incluye los gastos jurídicos relacionados con la divulgación de información confidencial y la propiedad intelectual, los acuerdos legales y las multas reglamentarias. También puede incluir los costos de la extorsión cibernética, por ejemplo, de los rescates.
Tengan en cuenta que el seguro cibernético aún está evolucionando. Los riesgos cibernéticos cambian con frecuencia, y las organizaciones tienden a no informar sobre el impacto total de las infracciones para evitar la publicidad negativa y dañar la confianza de los clientes. Así pues, los aseguradores disponen de datos limitados para determinar el impacto financiero de los ataques. Esencialmente, el verdadero riesgo de los ciberataques no se comprende completamente.
Qué buscar como comprador de un ciber-seguro
Muchas compañías de seguros conocidas ofrecen pólizas de ciber seguros, como Allianz, Hixco, etc, por nombrar algunas. Los observadores de la industria de los seguros creen que los clientes pronto esperarán que el ciber-seguro forme parte de la línea de productos de cada aseguradora de negocios. Sin embargo, como cualquier seguro de negocios, la cobertura del seguro cibernético varía según la aseguradora y la póliza.
Cuando compare las pólizas entre las aseguradoras, averigüe si cubren todos los elementos enumerados en la sección anterior y pregunte sobre las siguientes circunstancias especiales y límites:
¿Ofrece la compañía de seguros uno o más tipos de ciberpólizas de seguros o la cobertura es simplemente una extensión de una póliza existente? En la mayoría de los casos, una póliza independiente es mejor y más completa.
Averigüe también si la póliza se puede adaptar a una organización.
¿Cuáles son los deducibles? Asegúrese de comparar los deducibles entre las aseguradoras, al igual que lo hace con las pólizas de salud, de vehículos y de instalaciones.
¿Cómo se aplican la cobertura y los límites tanto a la primera como a la tercera parte? Por ejemplo, ¿la póliza cubre a los proveedores de servicios de terceros? En ese sentido, averigüe si sus proveedores de servicios tienen un seguro cibernético o ciberseguro y cómo afecta a su acuerdo.
¿Cubre la póliza cualquier ataque del que sea víctima una organización o sólo los ataques dirigidos contra esa organización en particular?
¿Cubre la póliza las acciones no malintencionadas de un empleado? Esto es parte de la cobertura de E&O que se aplica al seguro cibernético también.
¿Cubre la póliza la ingeniería social así como los ataques a la red? La ingeniería social desempeña un papel en todo tipo de ataques, incluyendo el phishing, el spear phishing y las amenazas persistentes avanzadas (APT).
¿Incluye la póliza plazos dentro de los cuales se aplica la cobertura?
Sugerencia: Muchas aseguradoras también ofrecen una lista de elementos de cobertura para comparar con sus competidores. Utilice esas listas de verificación para añadirlas a su lista antes de comenzar su investigación en serio.
¿Qué buscan las compañías de seguros al decidir la cobertura?
Una compañía de seguros quiere ver que una organización ha evaluado su vulnerabilidad a los ciberataques (ha creado un perfil de riesgo cibernético) y sigue las mejores prácticas permitiendo que las defensas y los controles protejan contra los ataques en la medida de lo posible. La educación de los empleados en forma de concienciación sobre la seguridad, especialmente en lo que respecta al phishing y la ingeniería social, debería formar parte de un plan de protección. Un impulso a las prácticas óptimas puede incluir a las organizaciones que se han sometido a evaluaciones de las amenazas (aunque no lo exijan los reglamentos). Es conveniente utilizar los servicios de inteligencia de amenazas para obtener la información más reciente sobre los ataques de día cero y los ataques dirigidos, y contratar los servicios de piratas informáticos éticos para revelar las deficiencias de seguridad.
Nota: Los servicios de inteligencia de amenazas y de piratería ética son difíciles en el mejor de los casos o financieramente imposibles para muchas pequeñas empresas. Pero invertir en algún tipo de herramienta de evaluación de vulnerabilidad o contratar los servicios de un probador de penetración para sondear las defensas de la red externa una vez puede ayudar mucho a mejorar la seguridad mientras se negocian los seguros cibernéticos.
A medida que la cobertura del seguro cibernético se estandariza, una aseguradora podría solicitar una auditoría de los procesos y el gobierno de una organización como condición para la cobertura. Y no te sorprendas si una aseguradora acepta proporcionar cobertura pero a un nivel inferior (a veces muy inferior) al que crees que necesitas. Si es así, siga entrevistando a las aseguradoras para encontrar la mejor oferta.
Hacer el caso de negocios para el seguro cibernético
Cualquier organización que almacene y mantenga información sobre los clientes o recopile información de pago en línea, o que utilice la nube, debería considerar la posibilidad de añadir el seguro cibernético a su presupuesto. También considere la proliferación de dispositivos que ahora se conectan a las redes de negocios: simplemente hay más oportunidades para que personas maliciosas accedan a los activos de una organización.
Los ataques contra todos los negocios están aumentando. Las pequeñas empresas tienden a pensar que están a salvo de la exposición, pero Symantec descubrió que más del 30 por ciento de los ataques de phishing en 2015 se lanzaron contra organizaciones con menos de 250 empleados. El Informe sobre las amenazas para la seguridad en Internet de Symantec de 2016 indicó que el 43 por ciento de todos los ataques en 2015 estaban dirigidos a las pequeñas empresas.
A mayor escala, el Centro de Estudios Estratégicos e Internacionales en 2014 estimó que los costos anuales del crimen cibernético para la economía mundial se encontraban entre los 375.000 y 575.000 millones de dólares. Aunque las fuentes difieren, el costo medio de un incidente de violación de datos para las grandes empresas es de más de 3 millones de dólares. Cada organización tiene que decidir si puede arriesgar esa cantidad de dinero, o si es necesario un seguro cibernético para sufragar los costos de lo que muy bien puede ocurrir.
Recuerda, el seguro cibernético cubre las pérdidas de los primeros y las reclamaciones de los terceros, pero el seguro de responsabilidad general sólo cubre los daños a la propiedad. Sony se vio atrapada en esa situación después de la infracción de hackers de la PlayStation 2011, con unos costes elevados que alcanzaron los 171 millones de dólares que podrían haberse compensado con un seguro cibernético si la compañía se hubiera asegurado de que estaba cubierto con antelación. Durante un juicio, Zurich American Insurance Company dijo que la póliza de Sony sólo cubría los daños materiales, no los cibernéticos.
En cuanto a los costos, la cobertura y las primas del seguro cibernético se basan en la industria de la organización, el tipo de servicios prestados, los riesgos y exposiciones de los datos, la postura de seguridad, las pólizas y los ingresos brutos anuales. Sólo a modo de ejemplo, las primas pueden oscilar entre 800 y 1.200 dólares para consultores, preparadores de impuestos y pequeñas organizaciones con ingresos de entre 100.000 y 500.000 dólares, y entre 10.000 y más de 100.000 dólares para aquellas con ingresos millonarios.
En SeguroPUNTO podemos asesorarte en materia de ciberseguros para tu empresa. Si necesitas más información pulsa aquí