Seguros cibernéticos: no son lo que prometen

Interior_of_StorageTek_tape_library_at_NERSC_2-640x400

Hace poco tuve la oportunidad de asistir a una conferencia para directores encargados de la seguridad de la información ―en inglés, CISO (Chief Information Security Officer)— reunidos para plantear su problemática común. Uno de los principales temas de discusión fueron los ‘ciberseguros’. Me sorprendí al conocer que muchos de estos directivos de seguridad están cubriéndose ante la posibilidad de pérdida de información en sus organizaciones, mediante pólizas de seguro cibernéticas.

El interés en este tipo de seguros corporativos ha ido en aumento con el paso de los años, así como también es cierto que cada vez más se reportan casos graves por situaciones de filtración de datos. Estos seguros han resultado una opción que tienen las compañías para recuperar parte de sus gastos financieros ante situaciones de robo de datos confidenciales o por exposición de algún tipo.

En el 2013, la empresa Target Corporation fue víctima de una de estas trasgresiones y la situación realmente expuso el valor de contar con seguros de responsabilidad civil cibernética. A la fecha, los gastos incurridos por Target a causa del incidente han superado los 250 millones de dólares, y la compañía ha recuperado 90 millones de dólares, resultado de su cobertura de seguros.

Aunque sí ayudan, los seguros de este tipo no son la panacea que quisieran los directivos CISO. Las primas se están elevando, en instancias de más de 30%, como también se están endureciendo las condiciones y exclusiones en las pólizas. De hecho, las aseguradoras están elevando los deducibles y pactando límites de cobertura. La agencia Reuters informa que las cadenas de tiendas y los seguros médicos, son los dos sectores con las mayores primas frente a otras industrias, principalmente a causa de los costosos casos de filtración de datos que se han dado en esas industrias en particular.

Según la industria y los requisitos obligatorios por divulgación y avisos de filtraciones, los costos relacionados a los casos de este tipo de situaciones pueden ascender a cientos de millones de dólares. Reuters reporta que hay aseguradoras que están limitando las coberturas a 100 millones de dólares en aquellos casos de clientes en riesgo. Por lo tanto, los pagos del seguro pueden abarcar apenas una parte de los gastos, que a menudo incluyen:

  • Avisos a clientes afectados por una filtración de datos
  • Servicios voluntarios u obligatorios de monitoreo de créditos
  • Servicios de comunicación y relaciones públicas
  • Investigaciones forenses
  • Demandas
  • Recuperación informática
  • Multas y penalidades
  • Daños a la reputación y la marca
  • Pérdida de negocio
  • Pérdida por capitalización bursátil

Ahora, esto no quiere decir que los seguros de responsabilidad civil cibernética no tengan su lugar en el mundo corporativo. No obstante, el seguro debe plantearse apenas como una de las aristas en una estrategia mucho más integral para proteger a la organización de una trasgresión de este tipo. Los seguros no pueden proteger del daño que llegue a sufrir la marca o la pérdida de confianza del consumidor, aspectos que pueden impactar durante años, como tampoco pueden salvar el puesto de un CISO si se llega a suscitar un caso importante de filtración.

La protección legal ante una situación de filtración de datos no debe ser la única opción. En principio, las compañías deben tomarse el tiempo y las medidas para instrumentar los mecanismos de defensa apropiados que ayuden a prevenir las trasgresiones, o al menos limiten los efectos de éstas. Lo anterior se cumple mejor cuando se hace de la forma comprobada: se identifican los activos críticos de datos, se restringe el acceso a los mismos, se aplica un enfoque defensivo, se monitorean permanentemente para asegurar que no sucedan accesos o actividad no permitida, y cuando algo se ve sospechoso, se responde de inmediato. No hay póliza de seguros en el mundo que logre eso.

Cabe mencionar que en América Latina recientemente algunas aseguradoras comenzaron a ofrecer este tipo de seguros, principalmente en México y Colombia, sin embargo, sólo es para casos muy especiales, pues básicamente cubren gastos contra demandas por fuga de información, daños a terceros y hurtos, causado por robo de información.

Share This Post: