¿Están las empresas preparadas para los ciberriesgos?
Los ciberriesgos representan ya una de las mayores preocupaciones para las empresas de todo el mundo. Cada vez son más las compañías que suscriben un seguro que las proteja ante posibles ataques.
Los ciberriesgos se colaron el año pasado por primera vez en el ‘top 10’ de riesgos globales elaborado por Aon. Y no es para menos. Según el informe ’Global Application & Network Security Report 2015-2016’ de Radware, el 90% de las empresas sufrió ciberataques en 2015.
¿Pero qué tipo de ataques suelen sufrir las compañías? “Pueden ser de carácter doméstico o empresarial, y aleatorios o dirigidos. Cuando un ataque es dirigido, generalmente tiene cuatro tipo de motivaciones: personal -amor, odio…-, económica, profesional o por problema psicológico. También se da el caso en el que hay varias motivaciones combinadas. Y las consecuencias pueden clasificarse desde cuatro puntos de vista: legales -para víctimas y agresor-, de reputación y/o identidad digital, de seguridad y/o privacidad y psicológicas. Así, nos encontramos con ataques al honor, accesos ilícitos a las comunicaciones o a dispositivos, revelación de secretos y fugas de información, espionaje industrial, casos de intimidación, coacción, injurias, calumnias, etc. Y van en aumento los casos de acoso y bullying”, especifica Selva Orejón, profesora de EAE Business School y Directora de Onbranding.
Pablo Fernández Burgueño, abogado especializado en seguridad informática, socio en Abanlex y profesor de Derecho en el ICEMD, indica que los ciberataques más frecuentes “suelen ser los ocasionados por ataques informáticos y brechas de seguridad que destruyen archivos o comprometen información personal y confidencial”, que conllevan gastos derivados de su reparación y daños sobre la imagen de la empresa por difamaciones.
Por su parte, Elena Alhambra, suscriptora internacional de Líneas Espaciales de Beazley -sindicato de Lloyd’s-, especifica que los principales ciberriesgos son los ataques DDoS -ataque de denegación de servicios-; el error humano, -especialmente el envío de documentación por email a destinatario equivocado o la pérdida o robo de ordenadores – portátil, teléfono…-; malware; y ciberextorsión, hackers que piden un desembolso en metálico para lo difundir información personal no publica incluida en los ficheros de la víctima.
Graves repercusiones
El peligro de un ciberataque es muy real y sufrirlo puede suponer importantes consecuencia para la actividad de la empresa. “Cualquier evento o ataque cibernético podría causar daños en los sistemas de información de una empresa, dando lugar a pérdidas materiales, financieras o de otra índole, así como daños reputacionales que podrían afectar de forma determinante a su cuenta de resultados”, declara Andrés Martínez, director del Área Legal y Compliance de Dual Ibérica.
¿Pero qué repercusión puede tener un ciberataque? “Es difícil cuantificar el importe medio de los siniestros porque va a depender de muchas circunstancias. Solamente la sanción que pueda interponer la Agencia Española de Protección de Datos (AEPD) puede suponer un gran desembolso”, anota Alhambra. Cabe recordar que una infracción de la Ley de Protección de Datos puede supone una sanción de hasta 60.000, 300.000 ó 600.000 euros, dependiendo de si la infracción se cataloga como leve, grave o muy grave, respectivamente. Es decir, podría poner en serio riesgo la continuidad de la empresa. Y no es nada complicado cometer estas infracciones. Por ejemplo, la AEPD sancionó a una web por incluir la opción ‘enviar a un amigo’, como recogía El Economista.
Además, la profesora del EAE afirma que cada día hay más casos “que cuestan más tiempo, recursos humanos, económicos y reputacionales. Aquí el coste es incalculable y, en algunos casos, difícilmente reparable si no se toman medidas. No podemos tener nuestro negocio en internet sin un seguro de protección digital. El coste de reparación de los daños, en los casos en los que tenga solución, es alto. En ocasiones, son costas de abogados, informe forense psicológico o perfil criminal, actuación en identidad digital análisis forense de seguridad de dispositivos post-incidente, etc.”.
Contar con un seguro de ciberriesgos se ha convertido en una necesidad, debido a la exposición que tiene cualquier empresa conectada a internet ante una pérdida de datos por un error humano o el hackeo de los sistemas informáticos. “Los empresarios intentan evitar que la pérdida de datos se produzca pero la realidad es que las compañías son cada vez más dependientes de la tecnología y, por lo tanto, más vulnerables. Es de vital importancia poder responder ante una pérdida de datos de tal forma que, incurriendo en el menor coste posible, podamos evitar un daño reputacional y actuar dentro del marco de la Ley. Gestionar la incidencia es incluso más importante que poder responder contra las reclamaciones de terceros. Una buena gestión mitigará el daño a los clientes”, comenta la experta de Beazley.
Así, especifica que “el seguro de ciberriesgo ayuda al empresario con esos gastos de gestión de incidencias, que posiblemente sean difíciles de afrontar en el corto plazo si ocurriera una divulgación no autorizada de los datos privados de sus clientes”. Por ejemplo, ante un ataque DDoS, “posiblemente se activarían las coberturas para gestionar las incidencias y, además, la posible pérdida de beneficios”.
Una red de seguridad
Cada vez son más las empresas que deciden cubrirse con un seguro de ciberriesgos. “El tamaño del mercado global ha crecido desde 850 millones de dólares de primas en 2012 hasta una cifra estimada de 2.500 millones de dólares en 2015. Las predicciones estiman que el mercado global seguirá creciendo hasta 3.000 millones de dólares en 2016 y 7.500 millones de dólares para 2020”, especifica Alhambra.
Según el profesor del ICEMD, estas pólizas son especialmente necesarias para empresas medianas y de gran tamaño, sobre todo en sectores como banca, comercio electrónico, agencias de viajes, pero también “todo aquel que tenga una importante presencia en internet o esté conectados a la red”. Martínez asegura que las grandes empresas ya suelen contratar estos seguros, aunque remarca el aumento de la contratación por parte de pymes, “especialmente aquellas ligadas al sector tecnológico, pero también empresas que, por su naturaleza, almacenan un gran número de datos o tienen información especialmente sensible, como pueden ser salud, datos bancarios etc.”.
El representante de Dual Ibérica explica que la prima “se calcula en base a factores como la facturación, el tamaño de la empresa, su actividad, su arquitectura informática, las medidas de seguridad implementadas, etc.”. Así, indica que “la prima media ronda los 10.000 euros, pero el rango es muy amplio. Hay pólizas de 350 euros y de 100.000 euros, dependiendo del riesgo y las coberturas suscritas”. Por su parte, Fernández Burgueño señala que “en España, lo habitual es encontrar seguros de entre 80.000 euros a 600.000 euros, aunque los hay limitados, de hasta 2.000 euros, y de mucha mayor cuantía, para multinacionales o empresas de especial riesgo. La prima media se puede establecer en unos 200.000 euros”. Hay que tener en cuenta que la mayor parte de las empresas que contratan este seguro en nuestro país son corporaciones medianas y grandes.
Coberturas y exclusiones
La experta de Beazley precisa que “como todos los seguros de responsabilidad civil, los de ciberriesgos cubren las reclamaciones presentadas contra el asegurado por daños causados a terceros. También cubren los gastos legales incurridos y las sanciones administrativas de la AEPD”. Martínez remarca que cubren “la responsabilidad como consecuencia de brechas de seguridad y/o incumplimientos de la legislación en materia de privacidad, responsabilidad multimedia, sanciones administrativas, defensa jurídica y fianzas, gastos de comunicación, notificación a terceros, gestión de crisis y de apoyo al cliente, extorsión de datos, restablecimiento de datos y pérdida de ingresos comerciales”.
Alhambra matiza que “el elemento que diferencia este seguro con respecto a otros es que el asegurado podrá poner a su disposición un conjunto de expertos en la materia de privacidad de datos que le ayudará a gestionar la incidencia, incluso antes de que llegue a oídos de sus clientes o del organismo regulador”. De este modo, suele cubrir gastos de naturaleza legal para el asesoramiento ante la AEPD o respecto a los clientes cuyos datos hayan sido divulgados; gastos para la contratación de un experto en seguridad informática que determine la naturaleza de la incidencia -qué ha pasado- y evite daños mayores; gastos de consultoría en relaciones públicas, marketing y publicidad para manejar el posible daño reputacional; o soluciones de monitoreo de identidad ‘data patrol’ -una empresa que compruebe si los datos comprometidos están siendo utilizados de forma ilegal en internet-.
Otro aspecto interesante es que estas pólizas incluyen los gastos ocasionados por la reparación, renovación o reconstrucción de los archivos, certificaciones, recibos, facturas o cualquier dato almacenado que tenga el asegurado para el desarrollo de la gestión encomendada, como reseña Fernández Burgueño....LEER NOTICIA COMPLETA