¿Por qué las pymes necesitan un seguro de ciberriesgos?
Tecnología
Las pequeñas y medianas empresas españolas son el objetivo del 70% de los ataques informáticos
Es posible que al leer o escuchar comentarios sobre el seguro de ciberriesgos, pensemos que se trata algo todavía alejado del horizonte inmediato de las pequeñas y medianas empresas. Sería un error dar por cierto este prejuicio. Las pequeñas y medianas empresas son objeto del 70% de los ataques informáticos, según un informe elaborado en 2017 por la Universidad de Valencia.
Los delitos informáticos son ya el tercer delito más extendido en el mundo, por detrás del tráfico de drogas y los delitos vinculados a la prostitución. Y España es el tercer país del mundo en número de ciberataques, tras EE. UU. y Reino Unido. Esta situación irá a más en el futuro inmediato, ya que los ciberriesgos serán la principal fuente de conflictos en relación con la Vulneración de la Privacidad (Protección de Datos Personales).
El uso habitual y constante de los sistemas informáticos y de las redes de comunicación por parte de particulares y empresas, hace que la exposición a ataques informáticos se haya generalizado en los últimos años. Del mismo modo, los errores internos de índole informática pueden generar multitud de consecuencias negativas tanto de tipo interno como extenderse a clientes y proveedores.
La idea de un sistema informático de empresa protegido como una fortaleza ante posibles ataques ya no tiene sentido. La capacidad de intrusión se ha multiplicado exponencialmente. El mismo empresario, sus colaboradores y también sus proveedores, clientes o consumidores pueden acceder desde múltiples dispositivos y maneras a la información
Una consecuencia directa de la gran cantidad de posibles ataques que pretenden penetrar en el sistema de las empresas es la posibilidad de acceder con éxito a datos relevantes de personas, ya sean clientes, empleados, etc. Por lo tanto, será muy importante ver cómo afecta a la empresa en materia de la legislación sobre protección de datos personales y otras obligaciones empresariales.
El daño puede venir de fuera
Es muy difícil establecer un patrón que describa todas y cada una de las situaciones y posibles daños que se pueden ocasionar a una empresa a raíz de un ataque cibernético, pero lo que describimos a continuación es una situación de génesis externa que, en todo o en parte, es perfectamente posible, y en la que posiblemente pueden cruzarse responsabilidades de diferentes sujetos:
Alguien consigue introducirse en los sistemas de la empresa. Puede hacerlo directamente o a través terminales, e incluso por los sistemas de proveedores o clientes que se conectan a la empresa. Pensemos que los sistemas de muchas empresas, sean pequeñas o grandes, basan su negocio en el hecho de que toda su estructura e incluso los clientes, puedan acceder a sus servicios, en principio en base a sistemas autorizados
A partir de ahí, y a pesar de los sistemas de seguridad, los delincuentes acceden a la base de datos, y son capaces de hacerse con la información.
¿Qué posibles daños podría sufrir la empresa y qué coberturas podría ofrecer un seguro tipo de ciberriesgos?
- - Posiblemente, una vez conocida la incidencia, habrá que incurrir en una serie de gastos, para averiguar cómo se ha producido la brecha y el alcance real sobre los datos manejados por la empresa.
- - También habrá que adoptar medidas para minimizar el impacto de los daños, que pueden implicar la valoración de la intervención de posibles expertos para comunicar de forma adecuada a afectados y organismos reguladores (ejemplo LOPD) y asumir la defensa ante posibles sanciones.
- - Los daños pueden no quedar limitados al propio sistema informático y los datos en él almacenados, sino extenderse a otros sistemas de empresas o particulares conectados con el de la primera empresa. Consecuencia de ello, son de prever reclamaciones.
- - No hay que descartar el ser víctimas de “secuestros” de la información, que solicitan rescates para liberar la misma o no hacer un mal uso de ella. En estos casos, un asesoramiento especializado será clave.
- - En otro orden de cosas, habrá que ver cómo afecta el incidente a la actividad de la empresa, tanto porque el ataque impide la gestión normal del negocio, como porque una vez conocido por los clientes, una parte decide prescindir de los servicios de la empresa, aunque sea temporalmente.
Los daños también pueden generarse desde nuestra propia empresa
Y no solo por actos malintencionados de alguno de nuestros empleados. También por errores y negligencias involuntarias.
Para ilustrarlo veamos a continuación un ejemplo de un siniestro de génesis interna relacionado con la protección de datos personales y los riesgos informáticos:
Una clínica especializada en cirugía estética decide enviar un correo masivo informando a todos sus clientes de un cambio de domicilio. Por un error de la persona encargada de enviar la comunicación, se envía la comunicación mediante un correo electrónico con copia abierta a todos los destinatarios (en lugar de realizar una “copia oculta” o acudir a otros sistemas más seguros). No pasan dos días que el centro empieza a recibir reclamaciones de clientes que han comprobado cómo multitud de desconocidos son conocedores de que ellos utilizan los servicios de un centro de cirugía estética, algo que ellos no deseaban de ningún modo
Las coberturas del seguro de ciberriesgos
Los seguros que garantizan los daños que causan los ataques cibernéticos son relativamente recientes, y evolucionan y se adaptan en función de los riesgos y de las demandas de la sociedad.
Por ello, sin ánimo de ser exhaustivos, podemos distinguir tres tipos de cobertura en los seguros de ciberriesgos actuales:
- - Gastos derivados de la necesidad de contratar servicios externos, como asesoría legal y técnica en temas como la investigación de causas, alcance o posibles consecuencias del ataque o del error interno, restitución de datos o restitución de la imagen frente a clientes o terceros. Gastos de defensa ante sanciones y medidas de las autoridades.
- - Daños económicos de tipo consecuencial que pueda sufrir la empresa tras un incidente (ataque), como puede ser la pérdida de negocio.
- - Responsabilidades frente a terceros, generalmente derivados de fallos en la seguridad, que pueden haber comprometido sus datos o haber permitido que alguien se introduzca en sus sistemas, incluyendo los gastos de defensa jurídica.
Las principales exclusiones que encontramos en la mayoría de seguros hoy en día pueden resumirse en:
- - Actos dolosos o fraudulentos y deliberados por parte del propio asegurado
- - Responsabilidades que son objeto de cobertura por otros seguros como los daños personales y materiales.
- - Responsabilidades contractuales.
- - Reclamaciones o litigios previos a la contratación del seguro.
- - Todo lo que hace referencia a secretos comerciales, patentes o gastos de licencias.
- - Obtención de datos no autorizadas, así como escuchas y grabaciones.
- - Guerra, terrorismo o riesgos de la naturaleza, aunque empiezan a existir coberturas relacionadas con ataques ciberterroristas.