Riesgos cibernéticos: ¿Por qué deben tratarse como una enfermedad?

Por Pedro Cortez, gerente central en Marsh Perú
Los riesgos cibernéticos deben tratarse como una enfermedad. Haciendo un paralelismo, las personas deben realizarse chequeos preventivos, alimentarse correctamente, evitar excesos, etc., y, además, en caso se enfermen, deben tener un seguro médico que cubra los gastos adicionales. Al igual que un seguro médico, existe un seguro para cubrir los gastos adicionales que se pueden generar como consecuencia de un ataque cibernético.

Uno de los riesgos más comunes que puede afectar a una empresa es la perdida de información sensible, o fallo en la política de seguridad de información.

Las empresas guardamos datos de clientes, y es responsabilidad de las mismas custodiarlas. Hay que tener en cuenta que los datos que guardamos pueden perderse de varias maneras, desde un ataque realizado por un hacker que robe la base de datos, o que un empleado envíe información personal sensible a terceros. Además puede darse por error o de forma voluntaria (casos Panamá Papers, Wikileaks, etc.).

Por ello, es importante que las empresas tengan claro cuál es la cobertura de estos tipos de seguro. Para este caso en particular, la póliza cubre:

• La defensa resultantes de la investigación del ente regulador y/o demandas de afectados.
• Respuesta a incidentes (Cartas y comunicaciones en medios).
• Contratación de empresas de investigación forense.
• Asesorías legales diversas.

Un giro de negocio que está expuesto a riegos cibernéticos por su naturaleza son las e-Comerce o páginas de venta en línea. Por ejemplo, estas pueden sufrir un ataque de hackers y verse paralizadas, produciendo una pérdida considerable en las ventas; empresas como cines, supermercados, teatros, tiendas por departamento, etc; son algunas de las compañías que podrían verse afectadas. Además podrían darse costos adicionales por la reparación de sus webs. Estas contingencias son cubiertas por las pólizas contra riesgos cibernéticos, y toman principalmente los siguientes puntos:

• Mayor costo de operación para volver a tener la página web operativa.
• Costo de subcontratación de proveedores externos.
• Ventas y ganancias perdidas por el tiempo muerto de la página web.
• Asesoría legal y costos de empresa forense para las investigaciones del caso.

Otro riesgo latente son las acusaciones por difamación o denigración a un tercero a través de un correo de la compañía. Efectivamente, algún empleado, desde el computador de la empresa, podría cometer actos que afecten a otras personas y éstas entablar una demanda, no sólo contra el empleado sino también contra la empresa por no haber tenido los controles suficientes para evitar una situación como la descrita. Estas pólizas cubrirían:

• Costos de defensa y conciliación derivados de la demanda del afectado.
• Honorarios de expertos en relaciones públicas para minimizar el impacto.reputacional y/o abogados.

El ataque de Ransomware es un riesgo cibernético que podría darse tras la descargar de un enlace malicioso, de un malware que paralice la operación. ¿Qué ocurriría si solicitan un rescate en Bitcoin? ¿Hay que pagarlo? ¿Cuánto tiempo puedo estar sin servicio de sistemas?
Así como la delincuencia común sigue creciendo en las ciudades y podría tocarnos a cualquiera de nosotros, igualmente en el ciberespacio están los delincuentes buscando oportunidades para robarnos.

La extorsión no es algo fuera de lo común y cada día es más frecuente. ¿Cuáles son las empresas de mayor exposición? los que tiene menos medidas de seguridad: Colegios, universidades, industrias, estudios de abogados, medios de prensa, empresas de servicios, hoteles, etc.

Como en cualquier secuestro, no es recomendable pagar el rescate, que incluso podría no ocurrir. Lo recomendable es acudir a los expertos para solucionar el problema.

El seguro cubriría:

• Honorarios de los especialistas en investigación forense, abogados.
• Costos asociados con el reemplazo de datos perdidos.
• Como último recurso, el pago del rescate.
Que ocurre cuando un hacker tiene acceso no autorizado a su base de datos, este podría sustraer datos personales, números de tarjetas de crédito/debito, direcciones de email y otros.

Los ladrones tienen habilidades especiales para encontrar las deficiencias de seguridad y lograr sus objetivos. Todo comienza desde el robo de datos, qué mejor para los hackers que tener miles de nombres con direcciones, números de tarjetas, documentos de identidad, etc. En este caso la póliza ampara:

• Gastos de defensa por investigación del ente regulador.
• Multa y sanciones por la pérdida de información.
• Gastos de defensa y conciliación de los afectados.
• Costos y gastos de investigación forense.
• Honorarios y asesoría legal.
• Gastos relacionados a la pérdida de información.

Existen muchas otras situaciones que podrían generar un mayor costo de operación para la empresa, teniendo en cuenta que las fuentes de pérdida de datos no sólo son por ataques externos sino también por errores humanos o deshonestidad de empleados.

La póliza cubriría gastos por:

• Destrucción, corrupción o divulgación de información o datos electrónicos de la empresa.
• Afectación del servicio de la página Web o la red de la empresa.
• Costos para recuperar la información dañada.
• Manejo de crisis o para identificar la fuente de la ruptura de la seguridad de la información.
• Lucro cesante o pérdida de beneficios derivada de la pérdida de información o suspensión de la página web o red de empresas.
• Sobrecostos en la operación.

• Reclamaciones de responsabilidad civil para la indemnización de los perjuicios causados por la destrucción, alteración o divulgación de la información.

• Multas y sanciones de la autoridad y entes competentes.
Es recomendable que las empresas hoy no sólo tomen medidas de seguridad para prevenir que estos ataques sucedan, sino que deben tener muy en cuenta que estos issues pueden producirse en cualquier momento y se tenga que actuar con celeridad.