¿Qué es un ciberseguro?

Las filtraciones de datos les cuestan a las organizaciones miles de millones en pérdidas cada año, y un seguro de protección digital permite a las organizaciones liberarse de los riesgos residuales y costes asociados con eventos de ciberseguridad y ciberriesgos. Los ciberseguros (también conocidos como seguros de protección digital) minimizan los costes de un evento de ciberseguridad, como un ataque de ransomware, filtración de datos o compromiso de red, para que las empresas no tengan que sufrir graves presiones financieras.

Cualquier empresa que almacene o aloje información delicada se beneficiará de contar con un ciberseguro. Mientras más riesgo enfrenten, más importante será para las organizaciones el adquirir pólizas de seguros para reducir los costes de una vulneración de datos o un ciberataque grave. Si una amenaza produce un robo de datos, la organización debe pagar por la respuesta ante la incidencia, corrección, daños a la marca, costes de representación jurídica, multas de conformidad y potenciales indemnizaciones a clientes. Los seguros digitales ayudan a cubrir parte de estos costes.

La destrucción y pérdida de datos, especialmente en caso del ransomware, también son riesgos derivados de una vulneración. Las pólizas de ciberseguros cubren los costes de estas incidencias de ciberseguridad. Por ejemplo, el ransomware es un evento paralizante que puede llevar semanas enteras corregir usando recuperación ante desastres. Una póliza de seguros digitales cubre algunos de estos costes.

Después de una incidencia de ciberseguridad, la organización debe cubrir los costes de las acciones de corrección. Estas son:

• Respuesta a incidencias
• Contención
• Investigaciones y procedimientos forenses
• Litigios
• Auditorías de conformidad
• Nuevas infraestructuras de seguridad y cambios de políticas

Cualquier evento informático que conlleve pérdidas de datos, investigaciones y consecuencias relacionadas con costes se puede convertir en una póliza de seguros digitales. Pero la cobertura depende de la aseguradora y del tipo de cobertura que la empresa elija. El tipo de cobertura determina los costes de las pólizas, así que el coste suele ser un factor en la selección de la póliza de la organización. La mayoría de las pólizas cubren los costes asociados con el robo de credenciales, phishing, ransomware, malware y amenazas internas.

Para muchas pólizas de seguros, los eventos de ciberseguridad y ciberriesgos están explícitamente excluidos de las coberturas. Las coberturas de seguros suelen excluir a ciberataques y otros tipos de robo de datos digitales. Esto implica que las organizaciones suelen tener que comprar seguros digitales de manera independiente. (Cada empresa individual debe consultar sus pólizas para corroborar cuál es su cobertura).

Tan solo una incidencia de ciberseguridad puede tener costes del orden de decenas de miles de dólares, lo que vuelve muy costoso para las aseguradoras incluir este tipo de incidencias en sus pólizas. Además, el volumen de riesgos es un importante factor en las tarifas de las aseguradoras. Esto complica los cálculos, especialmente considerando que las organizaciones crecen y añaden más infraestructuras a sus entornos.

Como cada empresa tiene su propio conjunto de riesgos y preferencias de cobertura, el coste de los seguros ante ciberriesgos nunca producen una estructura de talla única. El tamaño de la empresa y sus ingresos anuales también son factores que afectan en los costes de los seguros. Sectores como la salud y las finanzas suelen ser objetivos importantes, así que este factor también puede influir en las coberturas y los costes.

Al igual que ocurre con los seguros generales, los eventos anteriores también suelen influir en el coste de la cobertura. Si una organización ha resultado víctima de un ciberataque antes, las primas y los deducibles seguramente serán mayores que los de una organización que se haya defendido eficazmente de las amenazas.

Los costes dependen de diversos factores, incluyendo la cobertura de la organización. En tanto que los propietarios de las empresas investigan por su cuenta los tipos de pólizas que hay disponibles, cada asegura tiene pólizas con características únicas. Los agentes de seguros envían cotizaciones con opciones de cobertura con diferentes costes, y el propietario de una empresa puede elegir entre una lista de pólizas a su disposición.

En términos generales, estas pólizas suelen cubrir:

• Pérdida de datos y recuperación asociada.
• Pérdida de ingresos debido a interrupciones empresariales de un evento de ciberseguridad.
• Pérdida de fondos transferidos de eventos como fraude e ingeniería social.
• Pérdida de fondos por fraude o extorsión informáticos.

La lista antes indicada cubre el evento informático específico. Muchas pólizas también cubren los efectos posteriores asociados a las filtraciones de datos.

Después de sufrir de una filtración de datos, las pólizas de seguros digitales seguramente cubrirán:

• Costes de notificación. Los costes asociados con la identificación de las víctimas y el envío de notificaciones para que las víctimas estén sobre aviso de la filtración. Esto suele ser complicado de hacer.
• Monitorización de crédito. Los costes asociados con la monitorización de crédito de la víctima (cliente) después de la pérdida de datos y robo de identidad.
• Litigios civiles. Los costes asociados con demandas legales y el reembolso a los clientes afectados.
• Análisis forenses. Costes de contratación de consultores y expertos en análisis forense, para que los daños y causas raíz se puedan analizar.
• Daño a la marca. Los costes asociados con las relaciones públicas para corregir daños a la reputación de la organización.

Las organizaciones deben consultar con la aseguradora para cubrir los costes para ayudar a evitar los ataques antes de que ocurran. Una aseguradora puede ayudar con la capacitación en prevención contra el phishing y la ingeniería social.

Las organizaciones contratan políticas de seguros digitales para cubrir pérdidas monetarias durante un evento de ciberseguridad. Pero las políticas no lo cubren todo. Por ejemplo, una ciberpóliza no suele cubrir los lucros cesantes proyectados. Cualquier pérdida de propiedad intelectual como consecuencia de una filtración de datos debe quedar cubierta por otra política adaptada.

Los actos de guerra de atacantes extranjeros no suelen estar cubiertos. Y los costes asociados con la creación de infraestructura de ciberseguridad antes y después de una vulneración bien podrían no estar incluidos. Como siempre, es mejor hablarlo con la aseguradora y revisar bien la póliza para determinar si hay excepciones en la cobertura.

Al igual que con cualquier otra póliza de seguros, los ciberseguros tienen un deducible, pero se puede elegir al momento de redactar la póliza. Las compañías de seguros les brindan a las organizaciones diversas opciones de deducibles, y el precio del deducible determinará la magnitud de las primas. Mientras menor sea el deducible, más pagará la organización por las primas.

Puede parecer que los seguros digitales son una panacea para resolver las filtraciones de datos. Pero se deben usar exclusivamente como una adición suplementaria a su estrategia de ciberseguridad, y no sustituirla totalmente. Es importante leer la póliza de seguros digitales para garantizar que todos los términos y condiciones se cumplan, incluyendo un plan que cubra la infraestructura necesaria para proteger los datos.

Las filtraciones de datos son costosas. Los seguros digitales no cubren futuros ingresos por productos recién lanzados y crecimiento del negocio. Estos ingresos perdidos por concepto de daño a la marca y los costes asociados con las filtraciones de datos pueden afectar a los ingresos a futuro. A las organizaciones les conviene mucho más contar con una estrategia integral de ciberseguridad que les ayude a reducir los riesgos y a evitar vulneraciones.

En 2017, diversos grandes eventos de ciberseguridad y ciberriesgos destruyeron datos para grandes organizaciones y entidades gubernamentales en el mundo entero. WannaCry, Petya y NotPetya fueron algunos de los ataques de ransomware que afectaron a organizaciones tanto grandes como pequeñas. Cualquiera diría que los seguros de protección digitales cubrirían a las empresas ante los daños de estos ataques de ransomware. Pero los expertos forenses sugieren que los ataques podrían estar orientados a países específicos.

Como se mencionó anteriormente, los actos de guerra no están cubiertos en la mayoría de las ciberpólizas. Después de numerosos ataques de ransomware en 2017, algunas aseguradoras afirmaron que no les correspondía pagar por daños por ataques de ransomware, porque esto se consideraba un acto de guerra. Esto dejó a gran cantidad de organizaciones a cargo de cubrir los gastos consecuencia del daño del ransomware, uno de los ataques más caros que existen hoy en día.

El primer paso para la adquisición de seguros de protección digitales es auditar su infraestructura y documentar sus políticas y sistemas de ciberseguridad. Para determinar las coberturas y costes, a las empresas de ciberseguridad les conviene saber qué tipo de defensas informáticas están implementadas. Al igual que con cualquier otra aseguradora, una empresa que ofrezca seguros digitales no cubre a organizaciones que no cuenten con estrategias e infraestructuras de ciberseguridad. Tales organizaciones sin duda terminarán por caer víctimas de filtraciones de datos.

Tras una auditoría de la infraestructura de ciberseguridad, es momento de procurarse una política contactando a las diversas empresas aseguradoras. Cada empresa tiene sus propios estándares, excepciones y costes. Por tanto, hay que asegurarse de leer bien las políticas, términos y condiciones antes de firmar la póliza. Las aseguradoras comprueban las estrategias de ciberseguridad actuales para determinar su nivel de riesgo y decidir si están dispuestos a redactar una póliza para usted.

Los eventos de ciberseguridad y ciberriesgos cuestan miles de millones de dólares al año. Los costes de un único evento, incluyendo su contención, corrección, investigación y cobertura de las pérdidas monetarias por concepto de daño a la marca e infracciones de conformidad, pueden llegar a los cientos de miles. A medida que más organizaciones se van dando cuenta de los enormes costes asociados con un evento de ciberseguridad y filtración de datos, estarán más interesados en pagar por pólizas de seguros que cubran los daños y pérdidas monetarias consecuencia de estos eventos.

Las compañías de seguros siempre ajustan sus pólizas para ganar dinero con las primas. Esto significa que siempre debe tener cuidado con la letra pequeña del contrato. Los pagos de gran magnitud son costosos para las aseguradoras. Por esa razón, imponen límites para garantizar que la cobertura solo contemple incidencias en donde la organización haya tomado las medidas adecuadas y hayan hecho todo lo posible para evitar una vulneración.

Los proveedores de seguros no son amigos de redactar políticas para organizaciones con controles de ciberseguridad deficientes. Por lo tanto, es necesario determinar estrategias e infraestructuras específicas antes de buscar proveedores. Unos mejores controles de ciberseguridad también reducen el riesgo, y por tanto reducen también las primas de seguro y los costes de la cobertura. Antes de buscar una póliza, las organizaciones pueden disminuir los pagos de primas instalando estructuras de ciberseguridad eficaces en sus entornos.