Ciberseguros, los salvavidas de la navegación moderna

Síguenos en |     

“Años atrás, sin importar cuántos, hallándome con poco o ningún dinero en la faltriquera, y sin nada que me interesara especialmente en tierra, se me ocurrió hacerme a la mar por una temporada, a ver la parte acuática del mundo.”

Melville, Herman. Moby Dick, Capítulo I

1.- Introducción

Siempre he pensado, seguro que como muchos otros, que el mundo marino y el de Internet son ciertamente similares. No en vano se ha decidido reutilizar el término: “navegación”.

Tanto uno como otro sirvieron en sus orígenes uno para expandir el horizonte del hombre, generaron nuevas formas de comercio, de intercambio de noticias, de gentes (y su privacidad), pero también ataques, piraterías y guerras. Como vemos, comparten ventajas, amenazas y últimamente soluciones.

Imagen con elementos conceptuales que simbolizan la ciberseguridad en la navegación web.
Seguridad en la navegación, elaboración propia.

Me refiero sin duda a los ciberseguros

La cuestión es que Internet hoy es igual a muchas cosas positivas, pero también implica muchos ataques informáticos, de forma constante y regular, y además cada vez de mayor escala (solo en 2018 España recibió 102 ciberataques graves, es decir, dirigidos a infraestructuras críticas como centrales eléctricas o nucleares). Si pasamos del Internet conocido al Internet de las Cosas, España en la primera mitad de 2018 recibió más ciberataques que nadie.

Por tanto, hacer frente a esos ataques, con las correspondientes medidas de seguridad, pero también con las precauciones debidas si al final sufrimos un daño, es una cuestión básica. Es ahí donde entran en juego los ciberseguros. 

El mundo marino en sus inicios no estaba exento de riesgos, como es lógico. De hecho, aventurarse en el mar era una gran odisea hasta hace no mucho tiempo. De modo que las gentes de mar, o quien tenía intereses económicos “navegando”, comenzaron a elaborar una serie de pactos, acuerdos y normas que hoy son lo que conocemos como “seguros”.

“Como ocurre a menudo en aquellos puertos (…) la gente de Nantucket invierte su dinero en los balleneros, como las de otras partes coloca el suyo en valores seguros que rindan a un buen interés.”

Melville, Herman. Moby Dick, Capítulo VI

Así, todas las civilizaciones antiguas comenzaron a “asegurarse” de que sus traslados y el transporte de sus mercancías se hiciera con los menores riesgos posibles. Contrato que perfeccionaron los griegos y adoptaron los romanos con el nombre de “nauticum fœnus” (nauticum: de la navegación y foenus: interés del dinero prestado). Porque para navegar seguros, no bastaba con llevar al César y su fortuna…

Posteriormente, estos contratos pasaron a llamarse coloquialmente “préstamo a la gruesa” refiriéndose “…a la gruesa aventura que supone el viaje por mar”.

El caso más famoso de “préstamo a la gruesa ventura” es el que fue estipulado entre Isabel la Católica y Cristóbal Colón en las Capitulaciones de Santa Fe. Aunque curiosamente, el primer documento que puede llamarse “contrato de seguro” es un seguro marítimo que se firmó en Génova en 1347 para asegurar al Santa Clara en su ruta entre esa ciudad y Mallorca, desde donde escribo estas líneas.

Hasta nuestros días estos contratos de seguro se han ampliado a todos los ámbitos de nuestras vidas donde existe riesgo de que algo no marche como nos gustaría. Así tenemos seguros de vida, de hogar, médicos, de daños, de responsabilidad civil y un largo etcétera. Hasta llegar al tema que nos ocupa, los ciberseguros. Y es que como antaño, hoy los piratas navegan con nosotros en un mar de redes.

Ahora que ya sabemos un poco de donde venimos, vamos a ver cómo estamos y hacia dónde nos movemos.

2.-  ¡Al abordaje!

La pregunta de nuestro tiempo, al igual que cuando se inició la navegación marítima, no es si mi empresa tiene riesgos durante la navegación o si se encontrará con piratas, la verdadera pregunta es cuándo sucederá y si tenemos los mecanismos necesarios para hacerles frente.

Es este contexto tres elementos se alzan como medidas de defensa de primer orden a fin de mitigar el riesgo y mantener unas tasas de seguridad empresarial adecuadas:

  • La ciberseguridad corporativa
  • La concienciación y formación de los trabajadores
  • Los ciberseguros.

Es decir, navegar por rutas seguras, con trabajadores que sepan desempeñar adecuadamente su trabajo y con unos buenos salvavidas por si aún así, algo sale mal.

Se entienden como esenciales para unas tasas de ciberseguridad adecuadas tres elementos:
La ciberseguridad corporativa
La concienciación y formación de los trabajadores
Y los ciberseguros
Tasas de ciberseguridad empresarial, elaboración propia.

3. ¿Pero qué es en realidad un ciberseguro?

Los ciberseguros, como cualquier otro sistema de cobertura de riesgos, proporcionan una serie de soluciones técnicas y financieras cuando se produce el hecho asegurado, en este caso un ciberataque o ciberintrusión. 

Sin embargo, su verdadera importancia dentro del marco actual no se basa únicamente en su capacidad para transferir el riesgo corporativo a terceros. Es decir, no todo se resume en dinero.

En realidad su verdadera importancia radica en que junto a ellos – o mejor dicho, por ellos – se establecerán una serie de medidas de protección más adecuadas a los riesgos actuales.

Así, las aseguradoras procurarán que las empresas dispongan de:

  • Medidas de protección robustas
  • Revisiones periódicas
  • Determinadas diligencias por parte del cliente.

Con todo esto, podemos evitar grandes males.

Noticia sobre ciberataque a GitHub y la respuesta de éste mediante una buena infraestructura y un buen servicio de intermediación.
Noticia enlazada en la imagen vía: BRUNO TOLEDANO para www.elmundo.es

4. ¿Debo tener un ciberseguro?

«Siguió navegando el Pequod, corrían las olas y los días, el ataúd salvavidas seguía balanceándose a popa (…)» 

Melville, Herman. Moby Dick, Capítulo XXXI

 

En lo relativo a seguridad, está claro que siempre deberemos tomar alguna medida. Para decidir cual será o si debemos tener o no un ciberseguro, lo primero que debemos hacer es un análisis de riesgos.

Para ello debemos revisar nuestro entorno, los procesos de nuestra empresa y tratar de responder a alguna de las siguientes preguntas:

  • ¿Qué puede pasar?
  • ¿Cuándo y dónde? 
  • ¿Cómo y por qué?
  • ¿Cómo serán las consecuencias?
  • ¿A qué costes, pérdidas o sanciones nos exponemos?

Una vez que tenemos claros cuáles son los riesgos, la probabilidad de que sucedan y sus consecuencias, tendremos que reflexionar sobre:

  • ¿Qué medidas vamos tomar?
  • ¿En qué orden?
  • ¿Cuánto nos va a costar?
  • ¿Qué recursos necesitamos?

Con todo esto tendremos datos suficientes para saber cómo tratar los riesgos, siempre desde un enfoque coste/beneficio. Para ello tenemos 4 opciones: evitarlos, mitigarlos, aceptarlos o transferirlos.

Tratamiento de riesgos desde el enfoque coste/beneficio.
1.- Aceptarlos
2.- Evitarlos
3.- Reducirlos
4.- Transferirlos
Tratamiento de riesgos, elaboración propia.

¿Cómo lo hacemos?

– Los evitamos dejando de hacer la actividad que es arriesgada, generalmente porque tratar de mitigar el riesgo es muy caro y existe una alternativa menos arriesgada para esa actividad. Sería equivalente a tomar una ruta alternativa, con menos riesgos.

– Los reducimos o mitigamos aplicando medidas o controles tanto organizativos (políticas, procedimientos o formación) como técnicos. Esto es lo adecuado cuando el coste es proporcional al beneficio que obtendremos, es decir: el riesgo después de aplicar las medidas es mucho menor.

– Los aceptamos si cruzamos los dedos y esperamos a que no pase nada. Podemos hacerlo si el riesgo (probabilidad de que ocurra) es muy bajo y su impacto no nos echaría del terreno de juego.

– Los transferimos en el caso de que sea muy caro reducirlos o mitigarlos. Podemos hacerlo contratando un seguro o externalizando el servicio con coberturas de seguridad asociadas.

5. Opciones disponibles en el mercado

Podríamos pensar que en un escenario en el que los riesgos son tan variados, retorcidos y cambiantes, los productos que los aseguran serán igual de variados, dinámicos y en ocasiones confusos.

Sin embargo, el objetivo de las pólizas de ciberseguros no es confundir al cliente sino crear pólizas más o menos ‘vivas’, que se revisen cada cierto tiempo para recoger las nuevas amenazas a los que el cliente tiene que enfrentarse. 

En definitiva, son productos que reúnen unas características más o menos homogéneas pero adaptadas individualmente a las necesidades del mercado y de la compañía en cuestión. Necesidades que a veces requieren de la suma de fuerzas y recursos de grandes compañías.

Noticia sobre una solución conjunta contra los ciberataques basada en la alianza de Cisco, Apple, Aon y Allianz.
Noticia enlazada en la imagen: Solución conjunta contra ataques cibernéticos. Via: www.apple.com

«Enganchados y retorcidos en la maraña de cuerdas, arpones y lanzas sueltas caían chorreando sobre los entremiches de la proa de la ballenera de Acab.”

Melville, Herman. Moby Dick, Capítulo XXXII

 

Así mismo, y a efectos meramente expositivos, dejo una pequeña lista con algunas de las aseguradoras que actualmente están especializándose en la ciberseguridad:

5.1. ¿Qué me ofrece un ciberseguro?

De forma general, los ciberseguros o pólizas de ciberriesgos cubren lo que podríamos llamar daños propios y daños de terceros. Mientras que por otro lado suelen contener una pequeña lista de exclusiones.

Vamos a resumirlo visualmente:

A) Daños propios generalmente cubiertos

Resumen de los daños propios cubiertos por un ciberseguro
Daños propios, elaboración propia.

Por tanto, los daños propios son la suma de la pérdida de ingresos que tendremos como resultado de un ciberataque y de los gastos que deberemos asumir para solucionarla (que en ocasiones no serán precisamente pequeños).

«Mas estos ataques trajeron, al cabo, desastres tales (no simplemente muñecas o tobillos distendidos, miembros rotos o amputaciones, sino muerte y destrucción)». 

Melville, Herman. Moby Dick, Capítulo XI

B) Daños de terceros comúnmente cubiertos

Daños de terceros cubiertos por un ciberseguro
Daños de terceros, elaboración propia.

Los daños de terceros cubren como vemos los «simples» gastos de notificación de vulneraciones de privacidad a los dueños de los registros, las responsabilidades derivadas de la pérdida de datos de terceros, la vulneración de confidencialidad, la defensa jurídica, las multas o las sanciones, entre otros.

En todo caso, los tribunales de EE.UU. comienzan a presentar numerosos casos derivados  de ciberatataques, como de las pólizas en sí, la responsabilidad asumida en términos generales y las coberturas frente a fraudes, robos y demás delitos. De esa forma, se están comenzando a analizar si supuestos que causan pérdidas por ataques de email spoofing (consistente en crear un mensaje de correo electrónico con una dirección de remitente falso), quedan cubiertos o no por la póliza (entendiéndose que el spoofing supone una entrada fraudulenta de datos en el sistema del equipo, y por tanto una modificación de datos causante de daños cubierta por la póliza).

C) Riesgos habitualmente excluidos de los ciberseguros:

Resumen de los riesgos comúnmente excluidos de las pólizas de ciberseguros.
1.- Datos no declarados
2.- Actos deshonestos
3.- Litigios previos
4.- Guerra
5.- Infracción de secretos
6.- Daños personales
7.- Riesgos y responsabilidades libremente asumidas
Exclusiones, elaboración propia

El apartado de exclusiones merece una atención especial. Aunque en realidad, ninguna de las exclusiones habitualmente previstas carece de lógica.

Así, suelen referirse a cuestiones previas a la contratación, a riesgos libremente asumidos, a los que se producen en circunstancias absolutamente imprevistas y a aquellos derivados de nuestra culpa.

Por ejemplo, y en cuanto a la exclusión relativa a la guerra, el ciberataque de NotPetya está generando un debate legal muy interesante. Dicho ataque generó miles de millones dólares en pérdidas. Entre los afectados estaba la empresa alimentaria Mondelez, la cual reclamó a su aseguradora (Zurich) más de 100 millones de dólares por los daños causados. En principio su póliza debía dar cobertura, sin embargo Zurich se negó a pagar aludiendo a que NotPetya era un ciberataque impulsado por un estado (en principio Rusia) y que por tanto se aplicaba la exclusión relativa a cualquier acto de guerra.

El problema en este tipo de casos, cada vez más común, es probar quién estaba tras el ataque y si no se trataba de un ciberataque sin más. Por ello, la International Underwriting Association ha propuesto introducir una exclusión total o limitada (según el caso) respecto a ciber pérdidas, para evitar responsabilidades en pólizas tradicionales que quizá sin querer también den cobertura. 

Sin duda será interesante ver cómo acaba desarrollándose esta cuestión.

6. Qué tener en cuenta legalmente si contratamos un ciberseguro

«De ahí que surgieran las reyertas más violentas y funestas entre los balleneros a no ser por existir ciertas leyes universales, indiscutibles, tácitas o expresas, y aplicables a todos los casos”

Melville, Herman. Moby Dick, Capítulo XXII

 

Hemos llegado al quid de la cuestión: ¿Estamos legalmente obligados a tener un ciberseguro? ¿Lo estaremos en el futuro? ¿Qué debemos tener en cuenta legalmente si contratamos uno?

6.1. ¿Estoy legalmente obligado a tener un ciberseguro?

No, ahora mismo no hay ninguna obligación legal de tener un ciberseguro. Si bien es cierto que con la entrada en vigor de determinados cuerpos normativos (sobre todo el RGPD y el Reglamento Europeo sobre la Ciberseguridad), tener un ciberseguro nos permitiría cumplir con alguna de las nuevas exigencias con mayor seguridad (en todo caso, el nuevo reglamento sobre ciberseguridad sí exige seguro a los llamados organismos de evaluación de la conformidad).

Así mismo, como vemos en la noticia reseñada a continuación, no parece muy lejano el día en el que algunos ámbitos o sectores deban contratar uno al igual que sucede con los vehículos a motor, por poner un ejemplo.

Noticia enlazada referida a la posible obligatoriedad de los ciberseguros en un futuro próximo
Noticia enlazada sobre la posible obligatoriedad de los ciberseguros en un futuro próximo. Via: www.expansion.es

Como decíamos, no estar obligados (aún) no significa que no haya cuestiones jurídicas que se vean alteradas por tenerlo o no tenerlo

Como ya sabemos, todos nuestros negocios tienen que cumplir algunas obligaciones legales, si bien estas obligaciones se han visto incrementadas sobre todo si tratan con datos personales. Pero también si queremos tener un registro laboral de jornada basado en un sistema informático o si queremos proteger determinados secretos de nuestra empresa.

El análisis de riesgos al que hacíamos referencia anteriormente y el asesoramiento de un experto servirán para revisar estas obligaciones.

Veamos sucintamente alguno de los problemas que podemos tener en el mundo actual:

  • Robo de datos personales o de contraseñas
  • Utilización indebida de información privilegiada
  • Sabotaje a sistemas o programas informáticos de la compañía
  • Caídas de sistemas o servicios
  • Acceso a correos o equipos
  • Extorsiones y estafas

Estos riesgos enunciados (solo algunos de los muchos a los que estamos actualmente expuestos) pueden implicar por un lado la paralización de la actividad normal de la empresa y por otro generar una serie de responsabilidades de índole jurídica. 

De hecho, muchos de ellos como sabemos tienen gran importancia con respecto a las nuevas exigencias del RGPD (por ejemplo la gestión de las brechas de seguridad).

Implicaciones del RGPD en relación a los ciberseguros:
1.- Proactividad
2.- Registro del tratamiento
3.- Seguridad adecuada
4.- Comunicación de brechas
5.- Mayores sanciones
Implicaciones del RGPD, elaboración propia

Aunque un único incidente puede provocar como vemos varios tipos de responsabilidades más allá de nuestro nuevo y querido Reglamento General de Protección de Datos.

Así, cualquier ataque a nuestros sistemas generará, más allá del anormal funcionamiento de nuestros procesos, que tengamos que afrontar una serie de consecuencias de carácter jurídico.

Por ejemplo, es posible que:

  • Tengamos que comunicar una brecha de seguridad.
  • Demostrar que nuestras medidas de prevención eran adecuadas. 
  • Puede que perdamos información sensible o secreta que teníamos obligación de mantener en secreto.
  • Nuestras bases de datos de clientes podrían verse afectadas.
  • El registro laboral de jornada (que tan meticulosamente estamos haciendo cumplir) no pueda demostrarse.
  • No podamos atender nuestras obligaciones contractuales o carezcamos de fondos si tenemos las cuentas bloqueadas o vaciadas.
  • Debamos indemnizar y/o asumir sanciones.

Sea como sea, y en relación a las brechas de seguridad y las multas del RGPD u otra normativa similar, desde el mundo de los ciberseguros se cuestiona si las multas en las que una empresa podría incurrir estarían o no cubiertas por ciberseguros. De hecho, a inicios de 2019 la Global Federation of Insurance Associations solicitó a la OCDE que clarificara si las multas y sanciones derivadas de brechas de seguridad en cuanto a datos personales podían obtener o no cobertura.

6.2. ¿Qué debemos tener en cuenta si contrato un ciberseguro?

En primer lugar, debemos tener claro que la amplitud del ámbito de cobertura va a depender también del clausulado de la póliza y en especial, de las definiciones y exclusiones empleadas. 

En este sentido, es importante contar con el asesoramiento oportuno para negociar o incluir las matizaciones y aclaraciones que sean necesarias, tanto en las definiciones como en las exclusiones, para que el clausulado se ajuste a nuestras verdaderas necesidades y particularidades.

Por otro lado, es preciso entender los sucesos que “activarían” la cobertura del ciberseguro contratado, es decir, las causas del daño.

Y finalmente, identificar correctamente el alcance necesario de la cobertura a contratar

Resumen del alcance de la cobertura de un ciberseguro.
1.- Sujetos asegurados
2.- Daños cubiertos
3.- Suma asegurada
4.- Ámbito temporal
5.- Ámbito territorial
Alcance de la cobertura, elaboración propia.

7. Conclusiones

a) Es imprescindible adoptar unas medidas de seguridad adecuadas a los riesgos actuales que amenazan a nuestra empresa.

b) Para dedicir qué medidas tomar, debemos previamente realizar un exhaustivo análisis de riesgos.

c) Si no podemos afrontar esos riesgos solos, existen productos como los ciberseguros que pueden ayudar enormemente.

d) Los ciberseguros -aún- no son obligatorios, aunque los tiempos actuales y la legislación moderna comienzan a hacerlos casi necesarios.

e) Cada día hay más modalidades de ciberseguros y a su vez estos deben adaptarse a cada cliente.

f) Si finalmente es necesario contratar uno, no hay que elegir UN «ciberseguro» cualquiera, sino EL «ciberseguro» que en realidad necesitamos.

FIN

Hacia ti ruedo, oh ballena mortífera e invencible, lucho contigo hasta el fin (…)

Melville, Herman. Moby Dick, Capítulo XXXII

 

Foto de portada: Taskin Ashiq en Unsplash