2022-01-13 11:12:19
Francisco J. Fernández Armela – Director general Verspieren Cyber
¿Es el ciberriesgo una de las vulnerabilidades a las que actualmente estamos más expuestos?
En el último informe publicado por el Foro Económico Mundial, obtenido a partir de una encuesta realizada a más de 650 miembros de las diversas comunidades del Foro Económico Mundial, formadas por una amplia red de empresas, gobiernos, sociedad civil y lideres de opinión de todo el mundo, a las que se pidió que señalaran los factores que podrían convertirse en una amenaza crítica ahora y en el futuro, además de señalar la amenaza de las enfermedades infecciosas y el riesgo de los fenómenos meteorológicos extremos, debido fundamentalmente a las consecuencias del cambio climático, el riesgo cibernético fue el tercero más importante por su carácter global.
La extensión de las infraestructuras de las empresas a las redes personales y domésticas han aumentado el riesgo de vulnerabilidad en los sistemas corporativos, observándose un preocupante incremento de la ciberdelincuencia y de las amenazas inmediatas. A medio plazo esta preocupación por la tecnología persiste, cuestionando no solo nuestra capacidad de garantizar la seguridad de los sistemas, sino también la adecuación de los sistemas, al crecimiento exponencial de su utilización que pone en riesgo nuestra dependencia social, por la incidencia que podría tener un posible colapso de las infraestructuras por falta de capacidad.
¿Qué es un seguro de Ciberriesgo?
El seguro de ciberriesgo, también llamado ciberseguro, es un contrato que una persona (física o jurídica) puede adquirir para ayudar a reducir los riesgos financieros asociados a la realización de negocios en línea, así como al manejo y custodia de datos mediante soporte informático.
El seguro de ciberriesgo se puede considerar como un seguro de nueva creación, aunque su presencia en el mercado tiene unos años de recorrido, pero ha sido redefinido adaptándolo a nuevas necesidades que se han manifestado como riesgos importantes que, en una primera definición del producto, no tuvieron tanta relevancia. En un principio el producto prácticamente se definía como un seguro de responsabilidad frente a terceros, accesorio a otros riesgos que se consideraban más importantes y hoy se ha convertido en algo mucho más complejo que ha tomado protagonismo propio y separado de cualquier otro riesgo, convirtiéndolo en un seguro con naturaleza propia.
En cualquier caso, hay que tener en cuenta que el seguro de ciberseguridad no es un atajo para una garantizar una buena seguridad, al igual que tener un seguro de coche no hace que sea menos probable tener un accidente. Antes de decidirse por la contratación de un seguro, los clientes deberían revisar si disponen de controles de seguridad adecuados y eficaces en torno a su personal, sus procesos y su tecnología, así como de planes de continuidad de la actividad y de gestión de infracciones, sólidamente estructurados.
¿Qué ventajas tiene?
La principal ventaja hoy es que aún resulta un seguro accesible, con escasas barreras de contratación y con amplitud de coberturas, prácticamente sin restricciones. Esta situación no será muy sostenible en el tiempo y estamos viendo ya como los mercados de nuestro entorno están siendo mucho más restrictivos, incluso cuestionando su utilidad al poder resultar un aliciente de la ciberdelincuencia. En España es un seguro que mantiene unos precios muy moderados, con escasas limitaciones y en los casos que se consideran, franquicias muy ajustadas.
Desde el punto de vista del riesgo, desde el mismo momento en que un cliente se plantea su contratación su posición frente a los riesgos de ciberseguridad, mejora sustancialmente al tener que revisar sus sistemas, los medios adoptados para proteger su información, la existencia o no de medios de seguridad reforzados y, en definitiva, plantearse seriamente su vulnerabilidad.
Una vez contratado el seguro tiene la ventaja de que cuenta con el apoyo de expertos en gestión de este tipo de eventos y, por lo general, con un servicio externo al que acudir para buscar solución en caso de sufrir un ataque, una fuga o un evento cibernético.
¿A quién va dirigido?
Esta cuestión es una de las que se contestan más fácilmente en los últimos tiempos debido a la proliferación de ataques de todo tipo que no tienen un destinatario concreto y que han afectado a empresas y particulares por igual, sin tener en cuenta facturación, actividad o circunstancias.
Las organizaciones se ven cada vez más presionadas para contratar un seguro de riesgos cibernéticos, incluso es un requisito que forma parte de algunas licitaciones del sector público, siendo también frecuente encontrarlo como requisito en contratos del sector privado que también lo exigen. Sin embargo, el seguro de ciberrriesgo no es un seguro demasiado extendido, es un seguro del que todo el mundo habla pero que, de forma voluntaria, se contrata poco en comparación con el alto grado de exposición que tiene cualquier persona que maneje información con soportes informáticos.
En muchas ocasiones las personas se preguntan – ¿a quién le pueden interesar mis datos?, para concluir erróneamente que no son atractivos a efectos de un posible ataque o extorsión, como si los ataques y estafas de todo tipo que hoy se detectan, fueran fruto de una mente superior que tuviera objetivos concretos. Lamentablemente la realidad es otra y sabemos que los ataques son indiscriminados, la mayor parte de las veces dirigidos por inteligencia artificial que lo único que distingue es la existencia de brechas de seguridad por donde atacar y acceder a los sistemas, sin tener en cuenta el destinatario. La respuesta para dejar concluida la cuestión, es “los datos te interesan a ti”, piensa mejor en que problemas incurrirías si no tuvieras acceso a tus datos, si estos fueran accesibles públicamente o si las comunicaciones internas fueran vulneradas y las identidades pudieran ser suplantadas.
¿Qué coberturas tiene el seguro de ciberriesgo?
Hay muchos seguros de ciberriesgo, las coberturas más comunes se diferencian entre acciones de prevención o de corrección para actuar en caso de sufrir un evento y coberturas de indemnización para paliar los efectos económicos de un suceso.
Si nos ceñimos a un producto concreto, podemos observar las siguientes coberturas:
- RESPUESTA ANTE INCIDENTES INFORMATICOS (costes de respuesta ante incidentes, costes por procedimientos legales y regulatorios, costes forenses y de seguridad informática, costes de comunicación de crisis y costes de gestión por vulneración de privacidad)
- RESPONSABILIDAD CIVIL POR SEGURIDAD EN LAS REDES, Y PRIVACIDAD (incluye las sanciones admnistrativas)
- DAÑOS A LOS SISTEMAS (datos y software) e INTERRUPCIÓN DE NEGOCIO. Estas coberturas, como viene siendo habitual, tiene una franquicia de 10 horas para la reparación de daños de los sistemas y una limitación del periodo de indemnización para interrupción de negocio de tres meses.
- CIBERDELINCUENCIA (extorsión cibernética, fraude por transferencia de fondos: incluido el phising a un empleado o alto directivo que tenga como consecuencia la transferencia de fondos del asegurado a un tercero y Robo de Identidad corporativa: perdida financiera sufrida por el uso fraudulento o mal uso de la identidad electrónica del asegurado, créditos en nombre del asegurado, firma electrónica de cualquier contrato, creación de sito web para hacerse pasar por el asegurado). Esta cobertura tiene un sublimite de 25.000 €, si la suma asegurada es igual o inferior a 250.000 euros y de 50.000 €, si la suma asegurada se encuentra entre 500.000 y 1.000.000 de euros.
- RESPONSABILIDAD MULTIMEDIA (Difamación y Vulneración de los Derechos de Propiedad Intelectual)
- AMPLIACIÓN COBERTURA CIBERDELINCUENCIA: Robo de fondos de cuenta fiduciaria, robo de fondos personales de un alto ejecutivo por fallo de seguridad, hacking telefónico y Phising ampliado (costes de informar a los clientes, costes de reembolso a los clientes por las pérdidas financieras sufridas por las comunicaciones fraudulentas, perdida de beneficios directa del asegurado como consecuencia directa de las comunicaciones fraudulentas, costes de la retirada de los sitios web diseñados de manera fraudulenta para hacerse pasar por el asegurado). En este caso si se contrata esta ampliación de cobertura, hay un aumento del sublímite para ciberdelincuencia hasta 100.000 euros.
¿Qué características tiene este seguro?
En particular se han recogido las coberturas del seguro de CIBER, diseñado conjuntamente con Telefónica Seguros para SEGURLIKE NETWORK, la principal característica de este seguro es su sencillez. Este seguro excepto para la cobertura de INTERRUPCIÓN DE NEGOCIO, no tiene franquicia en ninguna de sus coberturas, siendo un hecho diferenciador frente al resto de productos existentes en el mercado.
Es un seguro que no precisa más que responder a cuatro preguntas concretas: actividad de la empresa (y de sus filiales si tuviera), facturación, suma asegurada y incidentes en los últimos años con consecuencias económicas. Esto permite dar acceso al 90 de las empresas existentes, siendo el diez por ciento restante objeto de un estudio pormenorizado concreto.
Como todos los seguros tiene una selección de riesgos propia, evitando asegurar determinadas actividades o clientes con una mala experiencia previa, aunque ambos datos son evaluables por cada caso concreto.
Por último, en caso de sufrir un incidente cibernético el seguro proporciona un servicio de asistencia que permite evaluar los daños y apoyarse en expertos tecnológicos que nos ayudaran a resolver el ciberincidente.
¿Qué consecuencias puede tener un ataque cibernético?
En los últimos tiempos hemos asistido a ataques cibernéticos que resultaban inimaginables, precisamente por las consecuencias devastadoras que han tenido sobre sus objetivos, paralizando la actividad de grandes corporaciones públicas y privadas, incluso tecnológicas, para las que se suponía que se tenían todo tipo de barreras y protecciones.
Por todo ello, es importante valorar el seguro que estamos contratando, en caso de decidirnos por una decisión aseguradora, y tener en cuenta que algunas pólizas excluyen o limitan, las reclamaciones por extorsión y fraude, lo que excluye los pagos por ataques de ransomware y estafas de redireccionamiento de facturas, por ejemplo, siendo precisamente algunas de las formas más comunes de violación de la seguridad.
Pensar en las consecuencias de un ataque es tan simple como tratar de responder a las cuestiones siguientes: ¿Cómo operaria mañana si no pudiera acceder a ninguno de mis sistemas, ni a la información existente en la red de mi empresa? ¿Qué ocurriría si los datos de mis clientes estuvieran expuestos públicamente? ¿Cómo evitaría la suplantación de identidad dentro de mi organización o con mis clientes y proveedores?
Son tres preguntas sencillas que si las cuantificamos probablemente resulten tan devastadoras como pensar en las consecuencias de un incendio, o de un robo importante con daños y, en ocasiones, por el daño reputacional que puede llevar aparejado un evento de este tipo, incluso muy superiores a este tipo de riesgos.