Pólizas de ciberriesgo: cuando la ciberseguridad falla
- Opinión
Últimamente no hay semana que no salten a los medios noticias sobre ciberataques a grandes empresas o instituciones que, además de la crisis reputacional que suponen, les cuestan millones de euros en productividad, multas por poner en riesgo datos personales y costes extras para restaurar sistemas y equipos. Con la digitalización acelerada impuesta por la pandemia, el teletrabajo y la descentralización de los sistemas, las puertas de entrada al alcance de los malhechores se han multiplicado.
Tribuna de opinión de Javier Huergo, responsable de Watch&Act Protection Services
Las empresas son conscientes de ello: según un informe de Gartner, la ciberseguridad es la principal preocupación de los directivos en la era post pandemia. Y el informe Approaching the Future 2021 de CANVAS Estrategias Sostenibles y Corporate Excellence la incluye entre los principales aspectos en los que están trabajando las empresas españolas, y entre los que más recursos prevén dedicar en los próximos años.
Protegerse es posible, y sabemos cómo hacerlo: antivirus, copias de seguridad, contraseñas seguras, permisos de acceso restrictivos, encriptación… Pero igual que evolucionan los escudos (o incluso más rápido) lo hacen las amenazas. Los ataques no van a cesar: cada pocos segundos se produce alguno en todo el mundo. España es, según Ironhack, el tercer país con más ciberataques del mundo (con una media de 4.000 al día), solo por detrás de Estados Unidos y Reino Unido. Y ninguna empresa, grande o pequeña, está libre de sufrir uno.
Por ello, no solo deberíamos preocuparnos por tomar medidas para impedir que se produzcan, sino también, en el caso de que no podamos evitarlo, por tener la cobertura necesaria para que nuestra empresa se vea lo menos perjudicada posible. Del mismo modo que contratamos pólizas para proteger nuestras instalaciones y a nuestros empleados frente a incendios, averías o problemas de salud laboral, resulta cada vez más recomendable disponer de un seguro de ciberriesgo que cuide uno de los bienes más valiosos de nuestra organización: la información, los datos.
Como en la mayoría de las pólizas, esta modalidad suele cubrir por un lado la responsabilidad civil (los daños causados a terceros, tanto clientes como empleados, derivados de uno de estos robos o ataques cibernéticos) y por otro los daños propios (los sistemas informáticos afectados, las pérdidas económicas relacionadas, las posibles multas por violación de la RGPD, etc.). Pero también puede incluir la dotación de recursos tecnológicos necesarios para mantener el funcionamiento de la empresa y recuperar la normalidad (por ejemplo, si han quedado inutilizados los sistemas y hay que reinstalar todas las licencias de software).
Conviene recordar que las autoridades competentes ya nos obligan a informar sobre las brechas de seguridad y notificar a terceros las violaciones de sus datos (según el Reglamento UE 2016/679), y hay indicios de que la CNMV está estudiando imponer este tipo de seguros de manera obligatoria. De momento, sin embargo, no existe una conciencia generalizada entre las organizaciones de la necesidad contar con este seguro. O al menos, su contratación no crece de forma paralela a como lo hacen los ciberataques ni su preocupación por ellos.
En Watch&Act consideramos que una póliza de ciberriesgo es la última línea de defensa frente a un ciberataque. Cuando la tecnología de protección falla y el ciberdelincuente ha conseguido su objetivo, solo podemos aferrarnos a la seguridad jurídica y económica que nos proporcionan estos seguros para tratar de recuperarnos lo antes posible de sus efectos. Sin ellos, para muchas pymes el mazazo económico que sobreviene al ataque puede suponer la estocada final de su negocio.
