Seguros de Ciberriesgo: guía sobre la cobertura

4,54 millones de dólares. Ese fue el impacto económico medio a nivel mundial de cada robo de datos experimentado durante 2022, según el último informe de IBM sobre ciberseguridad. Además, el coste de los rescates pagados tras los ataques de ramsomware fue, de media, de 5,5 millones de euros, según los propios datos de WTW. Y es que los ciberriesgos han dejado de ser una preocupación menor de carácter técnico para convertirse en el riesgo empresarial más importante. Ante ellos, una de las herramientas de mitigación más efectivas son las pólizas de ciberriesgos.

¿Qué es un seguro de ciberriesgos?

Cada vez son más las organizaciones que recurren al mercado asegurador para transferir el riesgo cibernético. No es de extrañar, teniendo en cuenta que la mayor parte de empresas operan en un contexto de creciente dependencia de la tecnología y los datos (con especial atención a los datos personales de carácter sensible) y la frecuencia y la gravedad de los ciberincidentes no ha dejado de aumentar en la última década.

Además, consejeros y administradores, así como socios y otros stakeholders, son cada vez más conscientes del impacto potencial de estos incidentes en las cuentas, las operaciones y la reputación de la compañía. Ante esta situación, las pólizas de ciberriesgos son instrumentos diseñados por el mercado asegurador que surgen para proteger a las organizaciones de los impactos de los ciberataques y el resto de ciberamenazas, así como mitigar los riesgos y los costes asociados a los mismos.

Evolución de las pólizas de ciberriesgos

Dos de las máximas más repetidas en el entorno de la ciberseguridad son que todo lo que está conectado es susceptible de ser atacado y que la protección frente a los ciberriesgos es tan fuerte como el eslabón más débil de la cadena. Es decir, por el simple hecho de contar con sistemas de tecnología de la información y las comunicaciones, las organizaciones y sus operaciones se han vuelto más vulnerables.

El primer paso para reforzar la ciber resiliencia de una empresa es identificar los ciberriesgos inherentes y mitigarlos en la medida de lo posible, tanto con barreras de carácter tecnológico como con protocolos, buenas prácticas y formación de los empleados. Una vez reducidos al mínimo, el siguiente paso es transferir los ciberriesgos residuales al mercado asegurador, en el que cada vez hay mayor variedad de soluciones, adaptadas a todo tipo de empresas.

Tipos de coberturas en una póliza de ciberriesgos

Las pólizas de ciberriesgos combinan habitualmente dos grandes tipos de coberturas: responsabilidad civil y daños propios. Así, consiguen proteger a las organizaciones frente a las pérdidas provocadas por la primera respuesta al ciberincidente y la gestión de la crisis, por los posibles daños ante los reguladores y los clientes afectados y por la interrupción del negocio. De forma general, este tipo de pólizas incluye las siguientes coberturas.

Daños propios

• Daños a los activos digitales. Los costes de recrear y reconstituir los activos digitales que se dañan o se pierden, alteran, se corrompen o son robados, y cualquier otro coste para prevenir, minimizar o mitigar daños adicionales.
• Interrupción de sistemas y aumento de costes de trabajo. La pérdida de beneficio neto y los gastos incurridos por el asegurado para reanudar el sistema durante el período de la restauración de la red por la interrupción total o parcial.
• Pérdidas asociadas a una cíber extorsión (incluidos eventos ransomware), así como los gastos asociados necesarios para investigar una amenaza de seguridad que exige el pago de un rescate y los gastos de recuperación de datos.
• Los gastos resultantes de la investigación y defensa de los procedimientos de regulación de la privacidad en cuestión de multas y sanciones.
• Gestión de crisis y costes de reputación

1. 1. Los costes para emplear especialistas y abogados para investigar y responder a un fallo del sistema o de violación de la privacidad.
   2. Los costes para notificar a las víctimas de violaciones de privacidad y proporcionarles la asistencia necesaria tras el robo de identidad. Además, se incluyen los costes de los servicios relacionados para mitigar el daño producido a la reputación.

Daños a terceros

• Responsabilidad frente a la privacidad de terceros y de los propios empleados. Los perjuicios y gastos legales de acuerdo a la legislación vigente.
• Responsabilidad frente a la seguridad. Los perjuicios a terceros y los gastos legales como resultado de un uso no autorizado o el acceso a las redes de datos, la transmisión de un virus, ataques de denegación de servicio y otros delitos informáticos.

• Responsabilidad en medios. Cobertura de indemnización y gastos de defensa frente a demandas de terceros por actos ilícitos tales como la difamación, injurias y calumnias, así como infracciones de derechos de autor y de marcas.

¿Cómo gestionar las reclamaciones de seguros de ciberriesgos?

Si la empresa sufre algún tipo de pérdida o daño a causa de un ciberataque o una brecha en la seguridad de los datos, debe informar a su seguro lo antes posible. Una vez comunicado el incidente y controlada la situación, lo habitual es que el seguro solicite al tenedor de la póliza una serie de pruebas de los daños, entre las que se incluye una descripción detallada de las pérdidas y cualquier tipo de documento que las respalda. Por eso, a la hora de gestionar las reclamaciones de seguros de ciberriesgos, es importante tener en cuenta lo siguiente:

• Tomar notas detalladas desde el primer momento, incluso aunque pueda parecer que la tarea de documentación no es prioritaria. Estas notas deben incluir un listado de los sistemas afectados y la fecha de restauración parcial y total de cada sistema, el impacto que tiene cada interrupción del sistema en las operaciones, las soluciones puestas en marcha para minimizar los impactos operativos y una evaluación de cómo todo ha afectado a la capacidad de generar ingresos de la organización.
• Valorar el aporte de soluciones externas. Algunas compañías aseguradoras trabajan con proveedores de soluciones tecnológicas preaprobados para facilitar los procesos y para otras este no es un requisito. Aun así, es importante recoger declaraciones detalladas del trabajo realizado por cada proveedor, así como asegurarse de que los servicios son facturados correctamente.
• Recopilar información detallada sobre los gastos relacionados con IT, tanto a nivel de consultores como de soluciones de hardware y software desplegadas durante y después del ataque.
• Cuantificar las pérdidas reales. Tras un ciberincidente, será fundamental calcular la pérdida de beneficio neto sufrido por la organización durante los días que dure la interrupción de los sistemas, teniendo en cuenta también los costes fijos y los gastos incurridos para reanudar los sistemas a la mayor brevedad y mitigar la pérdida de beneficio neto.

¿Por qué es tan importante contar con una póliza de ciberseguridad?

Las pólizas de ciberseguridad son una herramienta de protección del balance y la cuenta de resultados frente al impacto económico que se deriva de un ciberataque o de un fallo de sistema. Las principales razones por la que cada vez más empresas deciden apoyarse en uno de estos seguros son:

• Dependencia creciente de la tecnología para la producción o la prestación de servicios, una dependencia que se multiplica a través de la cadena de suministro.
• Aumento en la frecuencia y la gravedad de los ciberataques y las brechas en la seguridad de los datos, sea cual sea el sector y el mercado en el que se opera.
• Almacenamiento un volumen cada vez mayor de datos personales, regidos en la Unión Europea por el Reglamente General de Protección de Datos (RGPD).
• Prioridad en la agenda de cualquier consejo de administración.
• Obligaciones contractuales con los socios, los clientes y los usuarios.
• Acceso a capacidad de respuesta tras un incidente. Los seguros de ciberriesgo incluyen un equipo de especialistas para gestionar los incidentes y mitigar el impacto reputacional o financiero.
• Posibles daños reputacionales. La preocupación por el impacto a largo plazo que pueda sufrir la marca tras un ciberataque o un robo de datos sigue creciendo.

Hoy en día, desafortunadamente, la pregunta que se deben hacer las empresas no es si van a sufrir un ciberataque en algún momento, sino cómo de eficientes y rápidas van a ser su respuesta y su recuperación una vez que suceda. Por ello, entender en detalle cómo funcionan las pólizas de ciberriesgos y los procesos de reclamaciones es fundamental para limitar el impacto financiero y operativo de los ataques.

Compartir este artículo