Autor: Olivier Marcén Prieto, CyberEdge EMEA South Zone Product Leader, AIG EUROPE
La revolución tecnológica en la que estamos inmersos en la actualidad: internet, smartphones, tabletas, wi-fi, conectividad múltiple a la red, redes sociales, cloud computing…, es decir, lo que se ha acuñado bajo la denominación de “internet de las cosas” ha supuesto que prácticamente cualquier tipo de actividad que realizamos esté conectada a la red, ya sea a nivel individual: redes sociales como Instagram, Facebook, LinkedIn; o bien a nivel corporativo: qué empresa, venda o no por internet, no está conectada a internet?
Esta revolución tecnológica permite que prácticamente todo esté interconectado y que hayamos ganado en inmediatez y accesibilidad lo que genera enormes ventajas pero también conlleva algunos retos y amenazas, pero ¿somos realmente conscientes de ello? ¿Tomamos las medidas necesarias para minimizar la posibilidad de padecer una fuga de seguridad? En este sentido y centrándonos en el mundo empresarial, ¿conozco el tipo de datos que almaceno y trato? Están debidamente protegidos? ¿Quién tiene acceso a los mismos? ¿Cualquier empleado tiene acceso a todos las bases de datos? ¿Subcontrato el tratamiento o custodia de los datos? ¿Qué política de seguridad exijo a la empresa de cloud computing donde almaceno los datos de mis clientes, empleados y proveedores? ¿Está mi empresa preparada ante una fuga de seguridad? ¿Saben mis empleados cómo actuar? ¿Tengo diseñado un plan de emergencia? ¿Cuántos días estaría inoperativo? ¿Tengo la obligatoriedad de notificar a los afectados y a hipotéticas agencias de protección de datos u otros reguladores?
La respuesta a todas estas cuestiones, podría haber añadido muchas otras pero entonces me quedaría sin espacio, son las que cualquier tipo de entidad debe plantearse ya que la principal cuestión no es si voy a padecer una fuga de seguridad sino, cuándo la voy a sufrir y si estoy debidamente preparado para gestionar el incidente.
Desde el sector asegurador debemos trasladar esta concienciación del ciber riesgo. Cualquier empresa se encuentra expuesta y éste el nuestro principal y primordial papel: sensibilizar del riesgo al que estamos expuestos. Una vez se toma consciencia, se debe gestionar el riesgo de la mejor forma posible, atendiendo a las características concretas de cada uno: actividad, tipología de datos gestionados, jurisdicciones dónde se opera…
Para ello las empresas deben cumplir con la diversa normativa de protección de datos que existe y que vendrá (la Directiva Europea de Protección de Datos será de obligado cumplimiento en dos años va a revolucionar la gestión y tratamiento de datos pero este es otro tema), disponer de una política de prevención y seguridad de datos adecuada, plan de recuperación ante una brecha, etc.
Dentro de dicha gestión existe la posibilidad de transferir el riesgo a una compañía aseguradora especializada que nos ayude a través de herramientas de prevención mediante consultores especializados en la respuesta ante una brecha de seguridad, tanto desde el punto de vista legal, reputacional y forense y que también proporcione una adecuada cobertura ante procesos sancionadores, obligaciones de notificación, reclamaciones de terceros, extorsión y pérdida de beneficio, entre otros.
En este sentido, han aparecido en los últimos años las denominadas pólizas de ciber riesgos que responden a las consecuencias a las que se enfrenta una empresa tras padecer una fuga de seguridad, proporcionando coberturas que van desde el pago de consultores especializados en la gestión y tratamiento de este tipo de incidente y que asesoren a la empresa a tomar decisiones. Esto es, una firma de consultoría informática forense que determine si efectivamente ha tenido lugar una brecha de seguridad, verifique qué datos han sido corrompidos y si dichos datos se pueden recuperar o recrear. Por otro lado, resulta de vital importancia abordar y analizar las consecuencias legales que suponen para la entidad el hecho de haber padecido un incidente de seguridad: ¿existe un imperativo legal de notificación a los afectados?, ¿se debe notificar a algún regulador?, en el supuesto que los datos corrompidos pertenezcan a individuos o entidades que residen en otro país, que normativa se debe seguir? .
Por otro lado, ¿cómo se ve afectada mi reputación ante el hecho de haber sufrido una fuga de información?, ¿es recomendable que la empresa comparezca ante los medios de comunicación para informar de ello? En caso afirmativo, ¿qué mensaje se debe transmitir?.
Pues bien, las pólizas de ciber riesgos cubren los honorarios de especialistas legales, informáticos forenses y relaciones públicas expertos, cuyos honorarios son muy elevados, bajo la denominada cobertura de gestión de crisis.
De la misma manera, si consideramos que sea obligatorio, o aunque no lo sea resulte muy recomendable notificar a los afectados la fuga de seguridad, la póliza cubre los gastos de notificación que pueden resultar cuantiosos en aquellos supuestos en los que la brecha haya afectado a miles de ficheros e incluso se llegan a cubrir los costes de creación y mantenimiento de un call center para poder atender a los requerimientos y consultas de puedan plantear los afectados.
Por otro lado, en el supuesto que la fuga de seguridad haya afectado a datos de carácter personal y una agencia de protección de datos inicie un proceso de investigación que podría acarrear una sanción a la entidad infractora, se proporciona cobertura a los honorarios de una firma especializada en la materia que proporcione asesoramiento en la actuación de la empresa, incluso llegando a cubrir la hipotética sanción que pueda imponer la agencia en aquellos países donde sea permitido cubrir sanciones administrativas.
Por otro lado, también se proporciona cobertura a los honorarios de abogados derivados de posibles reclamaciones de los afectados por haber infringido, entre otros, los deberes de secreto, confidencialidad, custodia, seguridad, privacidad, el derecho a ser olvidado, etc. En el supuesto que dichas reclamaciones deriven en responsabilidad y se deban hacer frente a indemnizaciones, la póliza cubre el pago de dichos perjuicios derivados de su actuación negligente.
Otra de la grandes coberturas que proporcionan las pólizas de ciber riesgos es la ciber extorsión que entra en juego cuando el asegurado recibe la amenaza, por ejemplo, de publicar datos confidenciales o cuando una banda criminal bloquea el sistema del asegurado y exige un rescate para liberarlo. En este sentido, se cubren los honorarios de una firma especializada en la gestión de este tipo de crisis, habituada a lidiar con este tipo de organización criminal, llegando incluso a cubrir el reembolso del pago del rescate en el supuesto que no sea posible liberar el sistema informático.
Por último, existe también la posibilidad de contratar la garantía de pérdida de beneficios derivada de la brecha de seguridad, es decir, que en el supuesto de que el sistema de la empresa quede suspendido y no pueda desarrollar normalmente su actividad y no pueda generar recursos, la póliza viene a cubrir la reducción en su beneficio neto que la sociedad habría ganado pero no lo hizo como consecuencia de la interrupción.
[box bg=»#» color=»#» border=»#» radius=»0″]Sobre el autor: Actualmente es el responsable del producto de ciber riesgos de AIG, CyberEdge, de la Zona Sur de EMEA y también director del departamento de líneas financieras de la oficina de Barcelona. Anteriormente ha sido responsable del producto de protección de datos en AIG y compagina sus actuales responsabilidades siendo suscriptor senior de líneas financieras, especializado en D&O y RC Profesional. Hace 10 años que trabaja en AIG; anteriormente, había trabajado tres años en un bróker especializado en D&O y programas de seguros para el sector sanitario. Es licenciado en derecho por la Universitat Autónoma de Barcelona. [/box]