Cómo asegurar los bienes digitales frente a los ciberataques

Ya no hay vuelta atrás. Un cibercriminal consiguió las llaves del castillo y solo fue posible detectar la vulneración después de ocurrida. Servidores secuestrados, datos robados y hasta información confidencial se echó al bolsillo. Si no existía un seguro contra ciber-riesgos previamente contratado, las alternativas de mitigación con las que cuenta la empresa son mínimas, pero contratar uno tampoco es tan fácil ni barato.

Enfrentar la realidad y las letras chiquitas

La actuaria Andrea Rodríguez explicó en entrevista que antes de establecer las cláusulas y condiciones de cada seguro, es necesario evaluar el riesgo en el que está una compañía y qué tan en serio se toma la seguridad. “Se entrevista a personas clave del área IT para saber cuáles son los procesos cotidianos que realizan para proteger la información, si siguen ciertas metodologías y las precauciones que toman en toda la empresa para definir qué tan expuestos están a un siniestro”.

Después de hacer esa evaluación se establecen las primas que deben pagar. En todo el proceso, la compañía de seguros debe cumplir con tres deberes: los de información, consejo y advertencia.

Un ciber-riesgo se define como el riesgo de pérdida financiera, interrupción del negocio u otros daños —como el reputacional— que tiene una organización a partir del uso de sistemas informáticos y redes de comunicación y operación, de la información que almacena y gestiona en sistemas, así como de su presencia en medios digitales.

Rodríguez señala que una póliza de ciber riesgos con cobertura de daños patrimoniales puede abarcar robo de datos o de dinero, destrucción de datos o información, costos de expertos para descubrir las causas que motivaron el compromiso de los datos, extorsión, denegación de acceso, interrupción de la continuidad del negocio, entre otras.

Existe otro tipo de cobertura, de responsabilidad civil (Liability), en los seguros de ciber riesgos. Aquí se ponderan responsabilidades por datos personales, datos corporativos, empresas contratadas y otras.

Así como hay diferentes coberturas, también hay exclusiones, como actos ilícitos que el asegurado realice deliberadamente, reclamaciones y litigios que se hubieran producido antes de la fecha de efecto del contrato, así como violación de la normativa sobre secretos comerciales y patentes.

La importancia de contar con seguros

Desafortunadamente, la conciencia de ciberseguridad en las empresas muchas veces despierta solo cuando se enfrentan a una vulneración o se popularizan ataques a terceros. La agencia Reuters reportó que luego del ataque de ransomware a Colonial Pipeline el mes pasado, diversas compañías estadounidenses de energía buscaron opciones para adquirir seguros contra ciber riesgos. Se espera que las ventas de este tipo de productos crezcan entre 25% y 40% este año

Aunque la contratación de este tipo de seguros no es la panacea. En el proceso de evaluación para definir lo que debe pagar una compañía que quiera contratar una póliza de ciberseguridad podría encontrarse con más dolores de cabeza si su programa interno de seguridad IT tiene debilidades.

La prima será directamente proporcional a los ciber-riesgos a los que la compañía esté expuesta. En general, entre los factores que condicionan el monto a pagar está el tamaño del negocio: mientras más empleados tenga, será mayor el riesgo de ataques de phishing e ingeniería social que enfrente. En este aspecto, como se ha mencionado en otros escenarios, la cultura de ciberseguridad de los empleados de la organización juega un papel fundamental.

La sensibilidad de los datos que maneja la organización es otro criterio: Una pequeña compañía de retail, local, con una base de datos limitada pagará menos que una que maneje su propia tarjeta de crédito o que realice amplias actividades de comercio electrónico.

Una cuestión clave en este punto es el rango de precios de un ciberseguro. El año pasado, en Estados Unidos, el costo promedio de la prima anual de un ciberseguro rondaba los $1,485 dólares. El monto de deducible que hay que pagar si se hace válida la póliza por una vulneración valuada en un millón de dólares suele ser de $10,000 dólares, aunque cada compañía puede escoger mayor o menor suma al hacer el contrato, dependiendo de la cobertura por la que haya optado. Estas cantidades no tienen punto de comparación con lo que hay que desembolsar en una situación que comprometa los datos si no se cuenta con un seguro.

Ciberseguros en el mercado mexicano

En su línea de seguros para empresas, Chubb ofrece el Seguro Cyber Riesgos. Este ofrece una plataforma de reporte, para brindar solución rápida y eficaz a los incidentes que puedan sufrir los clientes. Puede hacerse a través de la línea telefónica local, la aplicación móvil Chubb Cyber Alert o el sitio web.

La compañía afirma que cuenta con una red de expertos en informática forense, mitigación de ataques DDoS (Distributed Denial of Service), ciber extorsión, derecho informático, procedimientos de notificación, mitigación de fraudes y relaciones públicas, entre otras especialidades. Gracias a que tiene oficinas en 54 países, puede ofrecer programas multinacionales.

Sus coberturas contemplan: contenidos, violaciones a la propiedad intelectual por manejo inadecuado de información y negligencia en el manejo de contenidos electrónicos. En su página web indican que cubre daños y gastos por ciber extorsión, así como los gastos de manejo de crisis. Asimismo, brinda protección ante procedimientos por violación de regulaciones de privacidad, los cuales incluyen cobertura de defensa, entre otros gastos.

BBVA cuenta con un Seguro cibernético para Pymes que cubre los daños causados por un ciberataque o por una vulneración de datos personales. En él se incluyen los daños propios y los causados a terceros.

Su cobertura incluye servicio de respuesta ante ciberataques y asistencia por especialistas para parar, identificar el origen del mismo y asesoría jurídica; pérdidas sufridas por el asegurado: esto abarca gastos para la recuperación de datos, ayuda en casos de secuestro de datos o extorsión y pérdidas de beneficios; responsabilidad civil por una falla de seguridad: sanciones e indemnizaciones por incumplimiento a la normativa. Ofrece coberturas opcionales para protección de comercios online y también contra el robo electrónico de dinero y valores.

Hace casi una década que AIG México ofrece CyberEdge, solución diseñada para hacer frente a las consecuencias financieras derivadas de la protección, uso y manejo de los datos personales, datos corporativos y pérdida de los mismos.

Este seguro brinda indemnización de pérdidas financieras como consecuencia de responsabilidad por datos personales, datos corporativos, empresas subcontratadas, seguridad de datos. Ofrece tres extensiones adicionales: Cobertura por interrupción de la red, cobertura de extorsión en la web “Cyber Extorsion” y cobertura de responsabilidad por contenidos multimedia.

Quienes contratan CyberEdge reciben como beneficio Cyber Solutions Suite con servicios que incluyen Diagnóstico de seguridad de la información (DSI), una herramienta en línea para el manejo de riesgos cibernéticos (Cyber Risk Tool), una aplicación móvil con información sobre ataques cibernéticos en tiempo real (CyberEdge Movil App) y un  dispositivo de hardware para prevenir amenazas cibernéticas.

Momentos críticos

Luego de un ciberataque, los primeros minutos resultan clave para tratar de minimizar sus consecuencias. Quienes tengan una póliza de ciberseguridad deben dar aviso a la aseguradora para que comience a reunir la mayor cantidad de información posible para valorar el incidente y active los procedimientos de respuesta.

La gestión de incidentes suele incluir un servicio especializado en ciberseguridad como primera respuesta en la detección y análisis del ciberataque, en él se busca determinar el origen y alcance de la vulneración; asesoría jurídica; servicio para monitorear fraudes de crédito o de identidad; consultoría en manejo de crisis para la comunicación externa y reducir el daño reputacional.

Ante el aumento en denuncias por ciberdelitos y los riesgos constantes a los que está expuesta la información, habría que ponderar qué tan útil resultaría contar con este tipo de seguros y si vale la pena contar con ellos aunque no se requieran.

Reportera de tecnología. Suele buscar temas de innovación, nuevas aplicaciones IT y seguridad de la información. Periodista por la UNAM; estudió Marketing en el ITAM y Branding en la Universidad de Bogotá Jorge Tadeo Lozano. Storyteller apasionada por la astronomía.

Related posts

Deja un comentario