Vamos a hablar en este artículo de las pólizas de ciberriesgos, un formato de seguro que se está haciendo enormemente popular.

Uno de los desastres habituales relacionados con la informática tiene relación directa con los datos. Es lógico, pues al fin y al cabo es en su tratamiento en lo que se basa la tecnología que empleamos día a día en la empresa y en nuestro hogar.

¿Qué sucede cuando sucede lo que parecía imposible?

Podemos afirmar sin equivocarnos que todo el mundo que ha usado o usa un ordenador, smartphone o tableta, ha sufrido algún momento de pánico. Desde el no encontrar esos documentos tan importantes por un fallo del sistema, hasta ver su nombre y apellidos publicados en alguna web.

En definitiva, los desastres informáticos siempre han estado presentes, y normalmente se ha tomado una actitud preventiva para disminuir las posibilidades de aparición (uso de redundancias en estructuras, sistemas de copias de seguridad, protecciones de encriptación, políticas de control, etc.).

¿Pero, no sería recomendable protegernos en caso de que ocurran?

El Reglamento General de Protección de Datos y la responsabilidad

Con el nuevo Reglamento Europeo y la entrada en vigor de la reforma de la Ley de Protección de Datos (LOPD) para adaptarse a él, se exige a las empresas la responsabilidad activa conforme al tratamiento de la información.

Esto abre las puertas a sanciones y reclamaciones por parte de terceros frente a pérdida, robo o mal uso de los datos que estén bajo nuestra custodia, de una manera más clara que lo que ha sido habitual hasta ahora.

Quizá este seguro nos recuerde a un seguro de responsabilidad civil de toda la vida.

Veamos los supuestos en los que la contratación de pólizas de ciberriesgos nos interesa.

Daños propios

El primer punto que vamos a analizar es aquel referente a daños que sufrimos sin afectar a terceros.

Este tipo de daños engloba tanto a la infraestructura física (hardware, redes, dispositivos) como a la lógica (información).

Daños físicos

Los daños físicos, o del hardware, pueden ser en cascada, es decir, provocar daños a otras partes en principio no afectadas, y también a la información almacenada y/o tratada.

Por ejemplo:

  • Fallo fortuito en uno o varios elementos de almacenaje (disco duro, unidades de backup, soportes magnéticos, etc.)
  • Fallo fortuito de elementos electrónicos, que pueden alterar la información (por ejemplo, un problema en una placa base puede provocar cuelgues del sistema y pérdida de datos).
  • Funcionamiento erróneo de la infraestructura de red por problemas físicos (cables con contactos débiles, problemas en routers o switchs, etc.
  • Sabotaje directo o indirecto del hardware (mediante procedimientos informáticos es posible anular o incluso romper físicamente hardware con vulnerabilidades frente a esos ataques).
  • Mantenimiento y utilización incorrecta por parte de los operadores de los equipos de la empresa o contrata externa.

Estos son algunos de los problemas que pueden presentarse a nivel físico, pero también podemos sufrir otro tipo de problemas a nivel lógico.

Daños lógicos

Es toda aquella pérdida, robo, alteración o disfunción de la información guardada y/o el software que ejecutamos para la gestión y control de la misma, además de las operaciones de nuestra empresa.

Pueden ser consecuencia de un fallo físico, de un problema de software (bug), de una acción de un tercero (hackers, virus), etc.

Por ejemplo:

  • Pérdida de datos por rotura de un elemento de almacenamiento. Es una de las más clásicas y frecuentes.
  • Pérdida de datos, robo, alteración o secuestro por la acción de un software malicioso (virus, ransomware, troyanos) o un hacker. También muy usual y generalmente la más costosa.
  • Alteración, pérdida o mal funcionamiento del software o sistema operativo, que a su vez puede provocar daños en la información almacenada y tratada.

Por lo general, los daños lógicos son los más temidos, ya que a veces el valor de la información no ha sido calculado previamente, pudiendo llegar a cifras desorbitadas.

Daños a terceros

Son los perjuicios que provoca un siniestro o delito informático en nuestra empresa a otras personas (generalmente nuestros clientes). Por lo general, suelen estar relacionados con el robo de datos y su mal uso (datos personales, datos de tarjetas de crédito, etc.).

En algunos casos, también la interrupción de nuestro servicio puede ser motivo de perjuicio a terceros.

Preparación de escenarios

Para poder evaluar el impacto de estos escenarios de desastre en nuestra empresa, hemos de ponderar cada una de las variables y su efecto, tratando de elaborar un presupuesto para su prevención y mitigación.

Una vez tengamos evaluados escenarios diversos y su coste (por ejemplo, la pérdida de datos en un disco duro y el coste de su recuperación), pasaremos a realizar las acciones oportunas.

Prevención

En materia de ciberseguridad, somos responsables del tratamiento de la información que solicitemos a nuestros clientes o visitantes.

Por tanto, hemos de poner en marcha las medidas de protección necesarias. Especialmente las de prevención de ciberataques. Recordemos que la pérdida de información puede ser menos grave que un robo de datos.

Pólizas de ciberriesgos: lo que necesitamos cubrir

Una vez hemos estudiado los diferentes escenarios donde podríamos aplicar una cobertura, evaluaremos las pólizas de ciberriesgos disponibles.

Hemos de tener en cuenta que los seguros deben ser lo más realistas posibles, y hay que partir de la base que se ha hecho ya un trabajo anterior de prevención. El plan de emergencia debe incluir la mitigación o amortiguación del desastre en la medida de lo posible.

A la hora de contratar las pólizas de ciberriesgos tendremos en cuenta:

  • Cobertura del valor de elementos hardware averiados.
  • Defensa jurídica frente a reclamaciones de terceros y frente a sanciones de organismos reguladores.
  • Cobertura frente a delitos, la cual debe incluir su reparación e indemnizaciones: ransomware, hacking, etc.
  • Indemnización por la pérdida de beneficios que puede suponer un desastre informático, tanto el tiempo que permanezcamos sin poder trabajar, hasta los efectos posteriores de la carencia de información.
  • Asistencia y análisis forenses, además de la provisión de personal especializado de emergencia.
  • Coberturas por Responsabilidad Civil.
  • Asistencia para el cumplimiento de la responsabilidad activa del nuevo Reglamento General de Protección de Datos.
  • Rehabilitación de la red y cobertura del coste de los elementos averiados u obsoletos.
  • En la medida de lo posible, acceso a un programa de mantenimiento y revisión integral de los parámetros de ciberseguridad en la empresa.

En definitiva, las pólizas de ciberriesgos son, a día de hoy, un elemento básico e imprescindible en cualquier empresa. Si bien son más complejas que otros tipos de seguros por la naturaleza de sus coberturas, merece la pena dedicarles la atención que merecen y contratarlas antes de que lo que parecía imposible (y en realidad no lo es tanto) suceda.