En los dos posts anteriores hemos enumerado los principales ciberriesgos a los que se exponen las empresas y de qué forma podemos prevenir muchos de ellos. Pero la prevención y la seguridad al 100% no existen, por lo que siempre existirá un riesgo. Y allá donde hay un riesgo, puede haber la posibilidad de que exista un seguro que lo cubra. Los ciberriesgos no son una excepción.
Casi todas las compañías aseguradoras ofrecen pólizas para cubrir los ciberriesgos de una empresa, negocio o autónomo. Cada una tiene coberturas, servicios y opciones diferentes, por lo que para un no especialista en la materia resulta muy complicado decidir qué tipo de coberturas y/o servicios son más interesantes o necesarios para su actividad y el tipo de ciberriesgos a los que su negocio pueda estar expuesto. Por eso es imprescindible el asesoramiento especializado que los corredores de seguros podemos proporcionar: Analizamos las características de tu negocio y sus vulnerabilidades y a partir de ahí podemos recomendarte la mejor opción que se ajuste realmente a tus necesidades y tu presupuesto.
Ciberriesgos: Algo más que un seguro.
El modelo de negocio de las compañías aseguradoras está cambiando. Ya no se limitan a ofrecer coberturas económicas de riesgos, sino que, al igual que sucede en el ramo de seguros de hogar o de automóviles, las aseguradoras se constituyen en proveedoras de servicios que ayudan a prevenir en lo posible que el siniestro llegue a producirse.
En el caso de los ciberriesgos, ya son muchas las compañías aseguradoras que ofrecen un amplio abanico de servicios de ciberseguridad. Mencionamos a continuación los más habituales:
- Servicio de análisis y parcheo de vulnerabilidades
Mediante la conexión remota con técnicos especializados de la compañía aseguradora, éstos realizan un análisis exhaustivo de los sistemas informáticos del cliente, detectando potenciales vulnerabilidades e instalando parches de seguridad para eliminarlas o minimizarlas.
- Servicio de ayuda en caso de ciberataque
En caso de que la empresa asegurada detecte que sus sistemas están siendo atacados o se ha producido una intrusión ilegítima en los mismos, los técnicos de la aseguradora colaboran con los de la empresa para eliminar la amenaza y restaurar los sistemas, así como recuperar los datos perdidos o secuestrados.
- Servicio de copias de seguridad (backup)
En este caso, la compañía aseguradora ofrece un servicio de copia de seguridad de los datos, almacenados en servidores protegidos, para su restauración en caso de pérdida o robo de los mismos. Estos servicios suelen tener un límite máximo en la cantidad de datos que pueden almacenarse, que depende del tipo de póliza que se contrate.
- Aplicaciones informáticas específicas de seguridad
Algunas compañías aseguradoras ofrecen al cliente la instalación, adicionalmente al software antivirus que el cliente pueda estar utilizando, la instalación de aplicaciones específicas para prevenir amenazas, tanto en sistemas informáticos como en teléfonos móviles de la compañía.
- Asistencia y asesoramiento para el cumplimiento legislativo
La mayoría de las aseguradoras son conscientes de que la legislación en materia de protección de datos es muy exigente en la UE, especialmente desde la puesta en marcha del Reglamento General de Protección de Datos (RGPD), por lo que prestan a sus asegurados el asesoramiento necesario sobre las acciones que deben llevar a cabo para cumplir con todos los requisitos legales en materia de protección de datos.
- Servicio de rastreo e identificación de amenazas para la reputación online
La reputación online de una empresa puede verse seriamente afectada en caso de publicación de noticias falsas o de campañas de desprestigio en las redes sociales, que no siempre son detectadas a tiempo por el cliente. Algunas aseguradoras incorporan un servicio de rastreo en la web y las redes sociales, que permite identificar estas amenazas de forma temprana, al tiempo que prestan su asesoramiento sobre la mejor manera de atajarlas.
- Asesoramiento sobre buenas prácticas y uso seguro de las aplicaciones ofimáticas, correo electrónico, web, etc.
En este caso los técnicos especializados de la compañía prestan formación y asesoramiento al cliente y su personal sobre lo que se debe y no se debe hacer para no incurrir en ciberriesgos en el uso cotidiano de los sistemas y aplicaciones de la empresa.
Además de estos servicios que sin duda son de gran ayuda y muy necesarios, podemos dividir las coberturas del producto de ciberriesgo en tres grandes bloques:
- Daños Propios:
Gastos de recuperación de datos, restauración y descontaminación de los sistemas de información relacionados con el restablecimiento por daños provocados al patrimonio, incluida la interrupción del negocio o la perdida de reputación, aspectos sumamente importantes (continuidad de negocio)
- Responsabilidad Civil:
Reclamaciones de terceros por perdida de datos personales o no personales, por infidelidad de empleados o por uso indebido o por incapacidad de dar servicio.
- Protección frente al cumplimiento normativo:
Gastos de defensa y sanciones derivadas del incumplimiento involuntario (AEPD) en materia de LOPD derivado de un ataque lógico (informático), algo que no cubre ninguna otra póliza en el mercado e importante ante lo rigurosa que es nuestra legislación en este aspecto, pudiendo incluso cubrir la sanción administrativacomo cobertura optativa siempre y cuando la sanción haya sido impuesta por incumplimientos del deber de custodia.
No obstante, hay determinados aspectos que no dependen directamente de nuestra prevención o de las medidas de seguridad adoptadas por la empresa asegurada, sino de terceros. Este tipo de riesgos suelen estar excluidos de las pólizas de ciberriesgos y es conveniente también tener conocimiento de dichas exclusiones. Algunos ejemplos de ellos son los siguientes:
- Ataques de denegación de servicio contra el servidor web (DDoS).
- Pérdidas, robo de datos o ataques realizados contra datos que no están bajo la custodia directa del cliente (por ejemplo, los datos almacenados en servidores o hosting externos, servicios en la nube como Google Drive o Dropbox, etc.)
- Comportamiento doloso o imprudencia temeraria por parte del cliente, a excepción del robo o pérdida de datos ocasionados por un empleado desleal, que sí suelen estar cubiertos.
- Daños ocasionados por cortes en el suministro eléctrico (en cuyo caso la responsabilidad debe exigirse a la empresa suministradora de electricidad).
- Daños en caso de ataques de ciberterrorismo o ciberguerra.
En cualquier caso, se trata de un tema lo suficientemente complejo (al tiempo que un elemento crítico para la actividad de muchas empresas) como para no tomarlo a la ligera. Es necesario asesorarse correctamente, definir bien las coberturas y las cantidades aseguradas en caso de siniestro y pagar por lo que realmente se necesita para que la tranquilidad de la empresa en el campo de los ciberriesgos sea la mayor posible. Es mucho lo que está en juego, y la tendencia es que cada vez sea mayor.