LOS CIBERRIESGOS Y POR QUÉ LOS EMPRESARIOS DEBEN PREOCUPARSE

Los avances de la tecnología digital permiten que ciertos viejos delitos se puedan cometer de nuevas maneras.

El hecho de que hoy en día haya todo tipo de herramientas tecnológicas en nuestros negocios (portátiles, tablets, móviles, discos duros externos de gran capacidad, etc.), y la posibilidad de almacenar enormes cantidades de datos “en la nube” permiten el uso de gran cantidad de datos de forma habitual, pero esa gran cantidad de datos, tan útil para el manejo y desarrollo de nuestros negocios, se vuelve apetecible no sólo para nosotros, sino también para los hackers y cibercriminales.

En muchos sectores, tales como el comercio minorista, la sanidad, los servicios bancarios, financieros y aseguradores,  en la hostelería y en el sector hotelero, que cuentan con cantidades significativas de datos personales de sus clientes, la pérdida de datos no puede entenderse como un evento aislado y crítico que nos ocurre una vez en la vida, sino como un riesgo permanente que corremos día a día en el negocio.

 La pregunta que los directivos y consejeros de las  empresas deben hacerse no es ¿Puede sucedernos? Si no, ¿Cómo vamos a responder cuando nos suceda? Porque la filtración de información  es un fenómeno que cualquier empresa que tenga datos sensibles de clientes o empleados experimentará. No es una cuestión determinar si nos ocurrirá, sino que más bien es cuestión de plantearse cuándo nos sucederá. Y qué haremos entonces.

Ya que la filtración de información puede producirse de una infinidad de maneras, en muchísimos casos es prácticamente imposible elaborar una estrategia de prevención efectiva. Pero además, tenemos las imposiciones legales para “alegrarnos” el día.

Además de estar inmediatamente obligados a ser diligentes en el tratamiento de Datos por la legislación española, (LOPD), la comunidad europea ha  preparado nueva legislación que traerá multas millonarias para compañías que sean negligentes en el manejo de los datos y que  nos obligará a informar a nuestros clientes de cualquier pérdida de datos que suframos, sin importar si es grande o pequeña. Cuando entre en vigor esta legislación plenamente, en Abril de 2018,  los empresarios se verán forzados a considerar estos riesgos seriamente. Se incrementará la demanda para asegurarse frente a estos riesgos, pero ello impactará negativamente en los precios que se incrementarán y en los condicionados, que se harán más restrictivos.

La ciberresponsabilidad es uno de esos términos que significan cosas diversas a distintas personas. Para algunos, se trata de gobiernos extranjeros espiando en sus innovaciones punteras, o espiando grandes corporaciones. Para otros, se trata de criminales que atacan a individuos para robarles los datos de sus tarjetas de crédito, o criminales que hackean a empresas para extorsionarlas. Sin embargo, hay un elemento clave común a todos estos riesgos: la pérdida de información.

Pero ¿qué entendemos por pérdida de información?

Cuando hablamos de pérdida de información, generalmente nos estamos refiriendo a la pérdida de información financiera, tal como datos bancarios o datos de tarjetas de crédito. Pero también nos referimos a datos referentes a nuestro historial médico, a nuestros datos de identificación, o al robo o usurpación de secretos profesionales o industriales y a violaciones de la propiedad intelectual. Fundamentalmente, se trata de cualquier incidente en que datos confidenciales, sensibles, protegidos o confidenciales son copiados, transmitidos, vistos, robados o usados por un individuo que no tiene autorización para hacerlo.

Al igual que tenemos sistemas de protección físicas para nuestros negocios (cerraduras, barrotes, alarmas, extintores, etc.), debemos tener sistemas de protección digitales si no queremos ser totalmente vulnerables a sufrir daños con respecto de nuestros datos. Recordemos que las estadísticas del crecimiento de la ciberdelincuencia son preocupantes: más del  40% de las pymes en el entorno europeo han sufrido ataques o pérdidas de datos el año pasado, de una de estas dos maneras: 

1.-Por causas malintencionadas : La violación de datos personales puede producirse como consecuencia del robo de medios digitales : discos duros, back-ups, discos duros externos o USBs, robo de portátiles o tablets que contienen nuestros datos, el sufrir un ataque que nos prive de conexión a internet, o que nos prive del acceso a nuestros datos o a nuestros servicios online, virus, hackers, pérdida de información, fraude, malware, daño a nuestros equipos, e incluso la infidelidad de nuestros propios empleados, etc.. Este tipo de daño puede causarnos una pérdida de ingresos, una paralización de nuestro negocio, una pérdida de clientela, nos puede impedir prestar normalmente nuestros servicios, puede dañar nuestra imagen, etc. etc. Recordemos la frase de Warren Buffett: “Cuesta 20 años construir una buena reputación y sólo 5 minutos arruinarla.”

2.- Por errores “honestos”: Pueden originarse por algo tan simple como que por descuido, nos dejemos un portátil en el metro o en un tren con datos sensibles sin encriptar en él o por el hecho de no guardar en la empresa copias de seguridad de forma segura. También pueden deberse a negligencias de nuestro personal al pinchar un link malicioso, al permitir la apertura de un pop up con contenido malicioso, por el uso de un USB infectado, y todo esto, puede llevarnos a no poder utilizar nuestra tecnología móvil y a tener que prescindir de nuestros equipos, en el mejor de los casos, de forma temporal, y en el peor de los casos, puede conducir a la pérdida de datos en nuestros equipos y servidores.

Muchas empresas creen estar cubiertas ante este tipo de daños en sus pólizas multirriesgos, pero lo cierto es que sólo el 10% de las Pymes están bien aseguradas. Hay dos temas que toda Pyme debe abordar con respecto al problema del Ciberriesgo

1)     La prevención – cómo evitar que suceda

2)     La cura – si sucede una pérdida, qué hacer.

Y en este punto, hay mucho que podemos aprender de  Estados Unidos, donde el mercado del Ciberriesgo es mucho más maduro. Allí, vemos que los clientes que contratan este tipo de póliza, quieren dos cosas:

-         Compensación económica suficiente para cubrir los costos de responder a la pérdida de información

-         Acceso a ayuda para responder a la pérdida, minimizando el riesgo.

De estas dos cosas, solucionar la primera es relativamente sencillo, pero debido a la complejidad de una pérdida de información, dar solución a la segunda necesidad no resulta fácil. El cliente afectado requiere ayuda inmediata, pero la cantidad de servicios que una aseguradora tiene que poner en marcha no es baladí. No se trata sólo de asistencia económica en caso de una fuga de información sino de proveer y pagar los servicios de abogados especializados, de expertos informáticos, de un equipo de Relaciones Públicas, de un equipo de comunicación y notificación a todas las redes sociales y comerciales de la empresa, así como a los organismos estatales y comunitarios a los que nos vemos obligados a informar, y si fuera necesario, el establecimiento de un servicio de monitorización de crédito.

El rol que tiene que jugar la aseguradora es muy importante, ya que debe  ayudar al cliente a determinar con certeza qué información se ha visto comprometida, debe evaluar la responsabilidad de la empresa, notificar a todas las partes implicadas y en resumidas cuentas, lograr que la empresa se ponga nuevamente de pie. Las aseguradoras, así mismo, pagarán los costes de defensa jurídica y en algunos casos, el importe de las multas y fianzas con las  que puedan gravarnos las autoridades (en nuestro caso la Agencia de Protección de Datos). Lo cierto es que si todos estos servicios se prestan de una forma eficiente y efectiva, las pérdidas económicas derivadas de daños a terceros serán mucho más asumibles.

Los tipos de cobertura  que en este momento ofrece el mercado asegurador son variados y no tienen por qué costar un Potosí. El precio va a depender de una serie de factores, que incluyen la facturación, la extensión del negocio internacional del cliente y si las aseguradoras consideran a la empresa asegurada un buen “riesgo” o no.

¿Qué es lo que una aseguradora considera un buen riesgo?  

Pues es un tema totalmente lógico : las aseguradoras quieren tener como clientes a las empresas que puedan aportar evidencias de que tienen un programa de gerencia de riesgos que ya haya estudiado el tema de la pérdida de datos y que haya establecido políticas y procedimientos para minimizar sus efectos.

Esto es responsabilidad del Consejo de Administración.                                        

Algunas empresas sólo se apoyan en su departamento de informática para la gerencia de su protección de datos. Pero es irrelevante cuantos firewalls ese departamento ponga en la red de la empresa o cusan bueno sea su departamento informático, ya que no hay un número de controles que garantice que no ocurrirá una pérdida de información, una inutilización de sus equipos por ataques de hackers o por el uso negligente de un USB.

Lo que las Aseguradoras buscan es empresas que a nivel Consejo de Administración se tomen el tema de la seguridad en serio y que estén dispuestas a planificar y a prepararse para un ciberataque con la consiguiente pérdida de información.

Por otro lado, las empresas tienden a olvidar que un buen control de riesgos interno  no las ayudará cuando los datos se almacenen en servidores externos o en la nube, por proveedores de servicios Cloud. Aunque estas últimas empresas sean las que guarden los datos, la seguridad de los datos sigue siendo responsabilidad de la empresa propietaria de los mismos, tanto a los ojos de la Ley como a los ojos de sus clientes. Por tanto, es importante que los procedimientos de seguridad de estos proveedores tecnológicos sean sometidos a escrutinio concienzudo antes de permitir que almacenen los datos de nuestros clientes.

Ahora respecto de las soluciones que el mercado de seguros ofrece a las empresas, tenemos una serie de coberturas que se ofrecen no siempre ni en la misma medida ni por todas las compañías.

La cobertura fundamentalmente será una compensación económica por gastos ocasionados por la pérdida de información. Entre los gastos cubiertos en caso de pérdida de información o Gastos por Intromisión en nuestra intimidad comercial y empresarial, podemos citar los gastos debidos a:

•       Temas legales,
•       las investigaciones forenses,
•       la gerencia de la crisis que se produzca,
•       las notificaciones y comunicaciones ,
•       soporte telefónico (Gastos de contratar o implementar un call-center para atender a los perjudicados)
•       monitoreo del riesgo crediticio
•       la solución al fraude en sí
•       y asistencia en Relaciones Públicas

Hay además una cobertura para los daños propios que sufra la empresa:

•       Recuperación de datos
•       Pérdida de beneficios
•       Protección de los activos digitales
•       Fallos administrativos y fallos del sistema informático
•       El costo del ciberfraude 
•       Transferencias de fondos fraudulentas
•       Ciberextorsión
•       Gastos de eliminación de virus y recuperación de los sistemas informáticos.

Y una cobertura para los daños a terceros que los ciberataques originen:

Aquí se cubren las responsabilidades civiles  sobre las cuales debamos responder, derivados de los ataques sufridos:

•       Costos de defensa y acuerdos extrajudiciales
•       Multas y sanciones
•       Daños a la seguridad de redes de terceros
•       Responsabilidades  por mala publicidad y daños reputacionales
•       Difamación, calumnia, libelo o injurias
•       daños a marcas registradas o violación de derechos de autor
•       revelación de secretos
•       por incumplimiento de contrato

¿Qué podemos hacer para empezar a establecer un plan de prevención contra los ciberriesgos?

Ponte en contacto con nosotros, para que podamos informarte y asesorarte sin compromiso. ¡Llámanos!

www.risk-seguros.com

risk@risk-seguros.com

Tel: 944102256