Porque a veces pasa, ¿y si contrato un ciberseguro?

Ya no nos sorprende que cada día se publiquen noticias de empresas a las que han robado su información o los datos personales de sus clientes, que han sido objeto de una extorsión tipo ransomware o que han sido atacadas de alguna otra forma. Cada vez son más frecuentes, lo que demuestra que el cibercrimen es un negocio muy lucrativo, considerándose más rentable que el tráfico de drogas. Es una preocupación creciente para las empresas, porque para éstas, tras sufrir un incidente de seguridad, recuperarse no siempre es fácil. A los daños de imagen y las pérdidas de información, se suman con frecuencia responsabilidades legales.

Y es que estamos en medio de reformas de leyes, impulsadas desde la UE, para proteger la privacidad, regular el uso de la firma electrónica o la seguridad en las redes, entre otras. En muchos casos, dependiendo de nuestra actividad como empresas, por ejemplo si vendemos por internet, somos proveedores de las AAPP o utilizamos datos personales, estos cambios van a exigirnos adaptarnos para cumplir con las leyes.

Por si no fuera poco, la oferta de servicios tecnológicos que pueden ayudarnos a mejorar nuestro negocio es cada vez mayor. La tan nombrada transformación digital, a la que nos vemos abocados, viene acompañada de aplicaciones en internet, para móviles, en cloud, e incluso con Big Data. La tecnología está en todos los sitios (marketing, producción, ventas, RRHH, gestión,…) y ha venido para quedarse. ¡No nos podemos escapar!

Para hacer frente a las exigencias de seguridad y cumplimiento legal que nos impone el nuevo entorno, tenemos que empezar por una buena gestión de riesgos que nos dirá dónde poner el foco y de qué forma: instalando productos o contratando servicios, mejorando los procedimientos, incluyendo mecanismos de contingencia y continuidad, etc.

Hace unos meses, en este blog, incluíamos una opción adicional para transferir los riesgos, las pólizas de ciberriesgos. En concreto los «ciberseguros» están indicados para los riesgos de menor probabilidad y mayor impacto, aquellos para los cuales poner otras medidas es menos rentable que contratar un seguro que nos cubra las pérdidas en caso de que ocurra. Algunos, como en este informe de Thiber, lo llaman la última línea de defensa. Pero, ¿es la última o la primera línea de defensa?

Las aseguradoras tienen la difícil tarea de valorar los impactos de los posibles riesgos y su índice de siniestralidad, con aún pocos datos, para ellas toda precaución es poca. Por esto van a exigirnos cumplir una serie de medidas de seguridad que nos hagan dignos del merecer el seguro o nos van a ofrecer descuentos si mostramos cierta madurez en ciberseguridad. En algunos casos van a requerir una auditoría de terceros para no asegurar a empresas poco responsables con su seguridad. Estas auditorías pueden incluir revisiones del cumplimiento legal o análisis de vulnerabilidades.

De esta forma los ciberseguros van a hacernos adoptar medidas de protección, formación en seguridad, procedimientos de gestión de incidentes y para el cumplimiento legal, contribuyendo así a mejorar la ciberseguridad de nuestra empresa y por extensión de todo nuestro ecosistema (partners, colaboradores, proveedores, suministradores, etc.). En este sentido son también la primera línea de defensa.

Es evidente que los riesgos que sean susceptibles de tratarse con una póliza dependen de cada empresa, es decir, no se puede generalizar. Aunque los datos aún son escasos, según el informe de Thiber, las empresas que más siniestros y reclamaciones de ciberseguridad presentan son las del sector sanitario, los servicios financieros, de venta al por menor, tecnología y servicios profesionales.

Según este mismo informe, las coberturas de los ciberseguros son de estos tres tipos:

Igual que haríamos al contratar cualquier otro tipo de seguro, además de revisar las coberturas, haremos lo mismo con los términos y las exclusiones.

En cualquier caso, todo debe comenzar por una adecuada planificación de la ciberseguridad que incluya un análisis y gestión de los riesgos. Para empezar puedes utilizar esta herramienta de autodiagnóstico. Sin dar estos pasos no podremos elegir qué riesgos podemos transferir a una aseguradora. ¿A qué esperas?