La vida es impredecible. En cualquier momento pueden surgir problemas inesperados sin previo aviso. Ya sean cargas físicas, mentales o financieras, la sociedad ha construido una industria completa para mitigarlas: los seguros. Contratamos seguros para la vivienda, para mascotas, de automóviles, de salud… Ante cualquier percance que pueda sufrir una persona o empresa hay un seguro a su disposición. En esta línea, detrás de los ciberataques también hay un seguro contra amenazas cibernéticas, un intento de compensar las pérdidas relacionadas con la mitigación y la recuperación de un incidente cibernético.
¿Qué es un ciberseguro?
Al igual que el resto de los seguros, el ciberseguro está destinado a brindar una cobertura, principalmente financiera, en caso de que se produzca una ciberintrusión. Algunos ciberseguros se ofrecen como una cobertura adicional agregada a una póliza ya existente, mientras que otros se contratan como una póliza independiente. Cada póliza es personalizable a las necesidades de su titular, por lo que su coste es variable. Las coberturas generales de un ciberseguro incluyen:
• Privacidad de datos: cobertura para compensar la pérdida de datos personales.
• Pérdidas o brechas de datos: cobertura para compensar el coste de la pérdida de datos confidenciales de la empresa.
• Servicio de remediación: cobertura para compensar el coste de litigación por un ciberataque, notificaciones de los clientes o investigaciones forenses.
• Multas o sanciones reglamentarias asociadas con violaciones de datos: cobertura para compensar las multas o sanciones aplicadas como parte de las leyes estatales, autonómicas y locales que se ocupan de las infracciones de datos.
• Incidentes de ciberseguridad que no suponen una violación de datos: cobertura para compensar el coste de ciberincidentes no relacionados con filtraciones de datos.
• Interrupción comercial y contingencias de negocio: cobertura para compensar el coste de cualquier interrupción del servicio de la empresa causada por la ciberintrusión (por ejemplo, un sitio web sin conexión)
• Ciberextorsión: cobertura para compensar el coste de los pagos efectuados a los ciberdelincuentes por la devolución de la propiedad intelectual o los datos personales robados.
• Responsabilidad de los medios de comunicación: cobertura para compensar el coste de la infracción de la propiedad intelectual, infracción de derechos de autor/marcas registradas, difamación y calumnias.
Muchos proveedores de seguros ofrecen servicios o asesores de alto nivel para garantizar que los asegurados tengan los recursos que necesitan para reaccionar ante un ciberataque. Normalmente, esto incluye, pero no se limita, los siguientes servicios:
• Forense: asesoramiento o servicios para investigar y mitigar un ciberataque.
• Notificaciones: servicios de asesoría o centro de llamadas para ayudar a informar a los clientes sobre un ciberincidente.
• Monitorización de crédito e identificación: servicios para monitorizar a los clientes ante posibles robos de identidad.
• Servicios legales: servicios o asesoramiento profesional para lidiar con las ramificaciones legales de un ciberincidente, incluidas la pérdida de datos, multas y sanciones.
• Relaciones públicas: servicios o asesoramiento profesional para lidiar con las ramificaciones que la ciberintrusión ha tenido en la imagen pública.
• Evaluaciones de riesgos: servicios para evaluar el riesgo potencial que la red y los equipos tienen para ser atacados.
• Prevención de pérdidas: servicios para ayudar a eliminar los factores de riesgo que dejan expuesto al usuario ante una brecha de seguridad. Estos servicios, suelen denominarse pruebas de vulnerabilidad o penetración.
Por lo general, los proveedores de ciberseguros requieren que los asegurados potenciales firmen declaraciones juradas que acrediten la implementación adecuada del equipo y las prácticas de software de seguridad de la información, incluido el uso de antivirus, firewalls, copias de seguridad, etc.
Muchas compañías enviarán a sus propios inspectores para realizar una evaluación de los riesgos de tecnología de la información utilizando NIST u otros marcos de evaluación de riesgos de estándares de la industria. Las pólizas pueden costar entre 860 y 6.900 euros al año con más de 8.600 euros en cobertura dependiendo de la industria y el flujo de ingresos de la empresa.
Experiencia
En un intento por garantizar unos precios adecuados por cobertura, basándose en los limitados datos disponibles de esta joven industria, los proveedores marcan excepciones muy específicas ante cualquier reclamación. A esto hay que añadir la superposición que ahora existe entre los distintos tipos de seguros, lo que incrementa la confusión.
Por ejemplo, en 2016 un banco en Virginia fue víctima de un ciberataque. Cuando se denegó la reclamación de su póliza de 6,9 millones de euros por cibercrimen a favor de una póliza de 43.300 euros por fraude con tarjetas de débito, se produjo una confusión y se iniciaron acciones legales.
La ciberintrusión que se produjo en este caso fue por un ataque de phishing, a través del cual se accedió a los servidores donde se instaló el malware para robar nombres de usuario y contraseñas, que luego se utilizaron para crear transacciones defectuosas utilizando los sistemas de cajeros automáticos del banco. El proveedor de seguros había escrito una excepción a la política de ciberdelito cuando el incidente fuera a través de «dispositivos mecánicos automatizados».
Dependiendo del tamaño de la empresa y de la sensibilidad de los datos que se deseen proteger, es importante contratar a un agente de seguros independiente con experiencia en ciberseguros. Si, como en el caso anterior, estuviéramos ante unas pérdidas de 6,9 millones de euros, habría merecido la pena el gasto.
¿Necesito un ciberseguro?
A la hora de evaluar si la empresa necesita un ciberseguro, primero hay que analizar qué activos virtuales son los más importantes para la empresa. Los casos en los que se recomienda contratar un seguro son:
• Se aceptan o procesan pagos digitales.
• Se utilizan ordenadores, dispositivos móviles y Wi-Fi.
• Se almacena información de identificación personal u otra información confidencial del cliente.
• Se almacenan datos médicos o financieros.
• Almacena propiedad intelectual de alto
Otras ventajas menos tangibles a la hora de contratar un ciberseguro incluyen:
• Las pólizas pueden ser muy rentables si la prima más el coste deducible es menor que el coste de respuesta a incidentes, monitorización de crédito y servicios legales
• La tranquilidad adquirida al saber que la carga financiera que un ciberataque puede suponer para la empresa se reduce significativamente.
• Dar a conocer el hecho de que la compañía de ciberseguros puede brindar tranquilidad a los clientes e incluso diferenciarlos en su mercado.
La contratación de un ciberseguro no excluye de poner en marcha una estrategia de ciberseguridad, de implantar medidas de respuesta a incidentes, así como unas medidas de recuperación. No se puede ser negligente. Recuerde que el momento en que se presenta una reclamación de una póliza al ciberseguro, es porque ya se ha perdido el acceso al sistema, la propiedad intelectual o la información personal. El ciberseguro es simplemente parte de un plan integral para mitigar el riesgo y defenderse de los ciberataques.
Confusión en la industria
El Big Data ha obligado a la mayor industria de seguros a ser muy precisa en la forma de planificar la cobertura. Son muchos los factores que determinan el precio de la póliza y su cobertura, no en vano miles de factores de riego se incorporan a un modelo de datos que ha sido entrenado durante décadas para determinar no solo lo que la póliza cuesta, sino lo que cubre. Ese volumen de datos no está disponible para las intrusiones cibernéticas. Verizon, por ejemplo, comenzó a publicar su informe de investigación de brechas de datos en 2009, aunque hace ya 15 años que se enfrenta a este tipo de delitos. Al final, este sector de la industria de seguros es joven y susceptible a las fluctuaciones basadas en los cambios en la actividad ciberincidente.
Al mismo tiempo, IoT está afectando drásticamente al ciberseguro de diferentes formas. En primer lugar, los dispositivos conectados a Internet más económicos tienden a ser laxos en seguridad. Esto se debe a que la ciberseguridad es cara. La cantidad de mano de obra requerida para asegurar un dispositivo tan barato se traduciría en un coste prohibitivo. Cada uno de estos dispositivos inseguros contribuye a un riesgo adicional, lo que podría aumentar sus primas.
Por otra parte, con cada dispositivo electrónico conectado a Internet, ¿dónde terminan las pólizas del seguro y garantías tradicionales y dónde comienza el ciberseguro? Su frigorífico es pirateado y el hacker sobrecarga el compresor, ¿está cubierto por una póliza de ciberseguro o por la garantía del aparato? El sistema central de automatización de edificios de la sede central de su empresa es hackeado y se queman las cerraduras de sus puertas. ¿Está cubierto por el seguro del edificio o por el ciberseguro? Un camión de la flota de su empresa es hackeado y provoca un accidente. ¿Se reclama esto al seguro de automóviles o al ciberseguro?
Si se combinan estos dos factores, se obtiene una confusión masiva y fluctuaciones potenciales en lo que se puede esperar de una póliza.
Tendencias
El fraude es una plaga con la que la industria de seguros tiene que lidiar constantemente. Las compañías de seguros se gastan millones de euros en detectar y recuperar reclamaciones fraudulentas. La gente siempre buscará nuevas formas de defraudar a una compañía de seguros para recibir una gran indemnización. A esta complejidad se añade otra más, la de las ciberintrusiones –muchas compañías no están equipadas para combatirlas ni preparadas para entenderlas-, y se obtiene la receta ideal para que se produzca una tormenta perfecta. Una empresa con una cobertura por ciberseguro de un millón de euros puede contratar a hackers para que ataquen su red y poder cobrar la indemnización.
A medida que aumenta la cobertura, también debería aumentar la ciberdelincuencia, especialmente la ciberextorsión. El ransomware es un buen ejemplo.
Detrás de algunas campañas de ransomware hay un trabajo criminal bien organizado. El objetivo no es extorsionar con miles de euros a una sola víctima, sino extorsionar a cientos de víctimas. Hasta el día de hoy, la defensa más robusta contra el ransomware es realizar con frecuencia copias de seguridad de los archivos, con el objetivo de poder recuperarse de la pérdida sin tener que pagar por recuperar archivos bloqueados. Si una empresa tiene cobertura por ciberextorsión, es más probable que esté dispuesta a pagar el rescate para recuperar los archivos en lugar de restaurarlos desde la última copia de seguridad. Si el hecho de tener un ciberseguro se hiciera público, podría convertirse en el objetivo de una campaña más enfocada.
Los ciberseguros, ya sean como una póliza independiente o como una extensión de una póliza ya existente, van a seguir creciendo. Esto se debe principalmente a dos razones: por un lado, a que la velocidad a la que se están produciendo los ciberataques a grandes compañías nunca ha caído desde 2013/2014. Por otra parte, como las leyes relativas a la privacidad de los datos y, muy específicamente, las leyes dirigidas a la compañía que protege los datos, continúan siendo divulgadas, existe la posibilidad, según el país, de que la multa por no proteger la privacidad de los datos y el coste por la recuperación tras una ciberintrusión sea muy alta. Un ejemplo es el Reglamento General de Protección de Datos (GDPR).
Conclusiones
El ciberseguro no es para todos. Hay muchos factores que necesitan consideración, incluida la sensibilidad de los datos que está protegiendo, la industria en la que se trabaja y el tamaño del flujo de los ingresos. Una vez que se ha detectado la necesidad de un ciberseguro, hay que asegurarse de contratarlo a un corredor con experiencia en ciberseguros.
Es importante recordar siempre que no es cuestión de si se experimentará una intrusión cibernética, sino de cuándo se producirá. Los ciberseguros no compensan las prácticas de seguridad descuidadas, pero son una pieza poderosa dentro de un plan integral para mitigar el riesgo y defenderse contra los ciberataques.
