Quizás hayas escuchado el término "seguro cibernético" (“Cyber Insurance”) en una descripción muy entusiasta sobre lo que toda empresa sensata debe tener. O también puedes haber escuchado que es una medida exagerada y que no es tan necesaria como aseguran. Como ocurre con la mayoría de las cosas, la verdad se encuentra en algún punto entre estos dos extremos.
Es verdad que puede ser una excelente herramienta para ayudar a transferir el riesgo en caso de una filtración de seguridad cibernética, pero solo si se aplica con una previsión adecuada.
¿Para qué sirve?
El informe de Ponemon del año pasado describió con elocuencia el costo creciente de las filtraciones: “En todo el mundo, las empresas están dándose cuenta de que las brechas de datos se convirtieron en algo tan común como un resfrío pero mucho más costosas para remediar”. ¿De qué costo estamos hablando más precisamente?
En promedio, este año cada ataque de filtración de datos le cuesta a la empresa afectada USD 3,8 millones; 23% más que hace dos años. Representa un gasto de 217 dólares por cada registro robado, aunque varía según la industria: cada historial médico robado, por ejemplo, le genera un gasto a la empresa de 398 dólares. Esto se debe en parte a las leyes estadounidenses sobre la privacidad y la seguridad de los pacientes, y a la alta tasa de rotación de clientes frente a un caso de filtración de datos.
Quisiéramos pensar que, tras ver estas cifras, las personas van a aplicar las herramientas necesarias para proteger sus organizaciones. Sin embargo, la realidad pocas veces es tan simple.
Quisiéramos pensar que, simplemente tras ver estas cifras, las personas van a aplicar las herramientas necesarias para proteger sus organizaciones. Sin embargo, la realidad pocas veces es tan simple. A muchas empresas les falta el conocimiento, la capacidad o los recursos financieros para abordar estos temas en forma adecuada. Si tu empresa se encuentra en esta situación (aunque no servirá de mucho si no comienzas a su vez un proceso de protección corporativa) y quieres mejorar el estado de su seguridad, un seguro cibernético puede resultar útil para reducir esa brecha.
¿Qué tipos de seguros existen?
Una buena idea antes de salir a buscar un seguro cibernético es familiarizarse con los dos tipos principales de cobertura. El primero cubre riesgos "directos", propios de la empresa, por ejemplo, la pérdida o el daño de los datos propios. El segundo tipo cubre riesgos "de terceros", es decir, la responsabilidad ante clientes o el gobierno y las entidades reglamentarias.
En un escenario típico de filtración de datos, la cobertura directa ayudaría con los costos de notificación del ataque, su análisis, las reparaciones o la restauración de los datos, y los servicios de verificación de identidad para las víctimas. La cobertura de terceros, en cambio, ayudaría a cubrir los gastos de multas y tasas legales, y de juicios y denuncias de los clientes involucrados.
La mayoría de las empresas preferirán contar con los beneficios de ambos tipos de cobertura. Las más rigurosamente reguladas, como las pertenecientes a los sectores educativo y sanitario, tendrán que asegurarse de contar con una buena cobertura de terceros.
¿Qué cosas no debemos hacer?
Al elegir cualquier tipo de seguro, lo más importante que debemos tener en cuenta son sus Limitaciones y Exclusiones. Éstos son los elementos que pueden "saltar" en una situación de necesidad y terminar invalidando el plan completo.
Deberás asegurarte de que tu plan incluye lo siguiente:
- Cobertura retroactiva
Si al día siguiente de contratar tu seguro descubres una brecha originada hace meses, es probable que tu póliza no pague para remediar tu situación presente. Algunos planes te permiten antedatar tu plan para mejorar la probabilidad de que te cubra también en estas situaciones. - Datos no cifrados
Aunque tus bases de datos principales estén cifradas, si un empleado o proveedor independiente pierde datos confidenciales que no estén cifrados (como en una hoja de cálculo o un documento de texto), es posible que el seguro no los cubra. - Negligencia
Tener un seguro cibernético no significa que puedes descuidar las medidas de seguridad: te exigirán que te adhieras a los estándares razonables de seguridad para datos y redes. Cada vez vemos que más aseguradoras se rehúsan a pagar o incluso hasta asegurar inicialmente a empresas si consideran que no cuentan con las defensas suficientes. Es importante aclarar qué es lo que tu aseguradora considera "estándares razonables". - Datos proporcionados a terceros
Muchas pólizas no incluyen los datos que quedan a cargo de entidades externas, como servicios de soporte subcontratados, servicios en la nube, vendedores externos o grupos de relaciones públicas y marketing. En estos casos, es importante que las empresas que suministran dichos servicios cuenten con su propio seguro de responsabilidad. - Datos en la nube y móviles, y registros impresos
Aunque para algunas personas es algo obvio, todos los registros que sean copias físicas impresas en papel no suelen estar cubiertos por los seguros cibernéticos. Lo que no es tan obvio es que, muchas veces, tampoco tienen cobertura los datos que se encuentran en dispositivos móviles (incluyendo laptops, además de smartphones y tabletas) o en la nube. - Notificaciones de la cobertura directa
Aunque se suele dar por sentado que la cobertura directa incluye la notificación a los clientes afectados por la filtración de datos, en algunos casos este servicio no se suministra. Deberás verificarlo antes de suscribirte a un plan. - Servicios de verificación de identidad
A medida que se hacen más frecuentes las grandes brechas de seguridad, hay ciertos servicios de los seguros que ya se consideran obligatorios. Por ejemplo, en el caso de una filtración que involucre el robo de números de tarjetas de pago o de números de seguro social, los clientes esperarán recibir un servicio de verificación de identidad. Como el robo de datos médicos puede tener consecuencias a largo plazo, los clientes esperarán que se les brinde un servicio de verificación por un lapso de tiempo más prolongado: tras haber sufrido una filtración de datos reciente, las empresas Anthem, Premera y CareFirst ofrecieron un servicio de verificación por dos años. Como este servicio puede tener una duración tan extensa, es un elemento que conviene constatar antes de contratar el seguro. - Restauración de datos
Si un ataque ocasiona daños a los datos en lugar de (o además de) robo, seguramente necesitarás servicios de restauración. Dependiendo de la naturaleza y del alcance de los daños ocasionados, puede convertirse en algo muy costoso con mucha rapidez, por lo que algunas pólizas no lo incluyen. Si estás dispuesto a renunciar a este elemento, deberás hacer backups periódicos a conciencia.
Un seguro nunca cubrirá la pérdida de actividad comercial por daños a la reputación.
Más allá del tamaño de la empresa o del tipo de industria en la que estés, conviene comenzar tu búsqueda con un análisis de riesgos minucioso para determinar cuánta cobertura necesitas en realidad. Asegúrate de tener en cuenta todos los grupos que componen tu organización para incluir la mayor cantidad de riesgos posibles.
Es importante recordar que un seguro nunca cubrirá la pérdida de actividad comercial por daños a la reputación como consecuencia de una brecha. Y los costos que esto genera pueden ser significativos; según el informe de Ponemon de este año, un ataque de filtración de datos puede costarles a las empresas una pérdida de hasta 4% de los clientes, en algunas industrias.
Es mejor evitar la brecha en primer lugar, antes que tener que confiar en el seguro para que cubra los daños ocasionados.