Lyndsay Garnica / Mayday Consultoría Internacional / Lgarnica@maydayintl.com
Los ataques cibernéticos masivos que sufrieron hace unas semanas diversos países de América Latina han demostrado una vez más la vulnerabilidad y fragilidad de la información almacenada en alguna tecnología informática; sin embargo, aunque los hackers o piratas cibernéticos son probablemente el riesgo cibernético más conocido, no son el único. Cabe aclarar que todo potencial ciberdelito es un ciberriesgo, pero no todo riesgo cibernético constituye un delito.
Aunque las condiciones específicas de las coberturas para esta clase de riesgos varían en cada aseguradora, las pólizas suelen cubrir ciberataques, violación de datos, secuestro de datos o de sistema (ciberextorción), violación o robo de propiedad intelectual o propietaria, impedimento de acceso al sistema –hace unos años, un directivo financiero canadiense falleció de manera repentina y dejó bloqueados los sistemas, lo que impidió el acceso a 190 millones de dólares pertenecientes a diversos clientes–, interrupción de negocios por dependencia de tecnología informática –imagina que pierdes el contacto con el satélite del cual depende tu operación–, daño a la reputación o la marca y cambios legislativos. Sin embargo, estos riesgos potenciales no son los únicos.
También son comunes las coberturas muy limitadas de daños a terceros, daño moral o similares, así que se debe analizar si son suficientes. Además, en ciertas industrias (marítima, offshore, hidrocarburos, aviación y satelital), hay coberturas por riesgo a la seguridad nacional; sin embargo, estas se sujetan tanto a las leyes aplicables como a otras consideraciones y con frecuencia deben solicitarse por expreso y por endoso.
Si se decide contratar una póliza de riesgos cibernéticos, se debe tomar en cuenta si la protección es por reembolso o por endoso. En la primera modalidad, el asegurado es responsable del manejo completo del siniestro, corre con todos los gastos y después obtiene de la aseguradora el reembolso de dichos gastos o pérdidas, de acuerdo con las condiciones convenidas. En la segunda modalidad, la aseguradora se hace cargo de todos los gastos cubiertos, según las condiciones, y suele intervenir con un equipo de defensa cibernética que toma el control del evento para mitigar los daños lo antes posible. Ninguna opción es mejor que la otra, ya que la póliza ideal depende de las necesidades específicas del negocio asegurable y, por supuesto, de su capacidad tecnológica de respuesta.
El ajuste de estos riesgos es complejo, puesto que el costo depende de muchos factores, algunos de los cuales son difusos. Es necesario saber, entre otras cosas, cuántos y qué registros se afectaron, cuál es el tamaño de la empresa impactada, qué tan sensible es la información comprometida, cuáles son los planes de contingencia o de continuidad de negocio y, por supuesto, cuál fue la velocidad y capacidad de respuesta.
En la actualidad, resulta muy difícil encontrar una empresa que no esté expuesta a riesgos cibernéticos, por lo que es de suma importancia conocer las ventajas y desventajas de estos productos, para adquirir las coberturas más adecuadas para proteger la operación de nuestros negocios de estas amenazas que, por desgracia, están al alza.
Bienvenido a Revista Siniestro 