La importancia de asegurarse frente a los hackers

España es el tercer país del mundo con más ataques informáticos, tras Estados Unidos y Reino Unido. De hecho, el año pasado se produjeron alrededor de 26.500 por falta de seguridad, escasez de información y mal uso de la tecnología. Por este motivo, en los últimos años se ha producido un incremento del interés del mercado asegurador por dar cobertura a estos riesgos mediante el seguro de ciberriesgos. Además, la generalización de los ataques a pequeños y medianos negocios ha originado una demanda de seguro de ciberriesgos entre los trabajadores por cuenta propia. Por ello, en España son varias las compañías aseguradoras que han lanzado productos específicos, normalmente con coberturas paquetizadas, para cubrir los riesgos generados por un ciberataque.

El mercado asegurador está ofreciendo seguros de ciberriesgos especializados para pymes y autónomos. Estas pólizas ofrecen protección ante las pérdidas económicas que pueda tener un negocio si se ve obligado a cerrar temporalmente, por los daños informáticos (restauración del software, recopilación de copia de seguridad, reposición de sistemas etc.), así como ayuda para hacer frente a una amenaza de extorsión cibernética y para una posible restitución de la imagen de la empresa. Las compañías ofrecen, asimismo, asesoría legal y un servicio de atención telefónica para gestionar los incidentes relacionados con la violación de datos.  El seguro cubre además los honorarios de expertos para limitar el impacto de un ciberataque.

Requisitos para la contratación

Los requisitos de contratación varían en función de la dimensión de la empresa analizada, siendo en ocasiones necesaria la valoración in situ de los sistemas informáticos o el acceso informático remoto a los mismos.

En general, las aseguradoras solicitan la cumplimentación de un cuestionario en el que se recogen preguntas relativas a los siguientes aspectos:

1. Detalle de sus sistemas de protección informática y de la madurez de los mismos.
2. Tipología de información que obra en sus sistemas informáticos y que por tanto podría ser objeto de vulneración: información de carácter sanitario y datos bancarios, entre otros.
3.  Confirmación sobre si la empresa efectúa copias de seguridad de su información crítica y periodicidad de dichas copias, ya que son especialmente relevantes para poder restaurar dicha información de forma rápida tras un ciberataque, reduciendo así el tiempo de paralización de la actividad de la empresa.
4.  Incidentes informáticos que haya sufrido y detalle de los mismos.

Además, entre los requisitos mínimos de contratación se encuentran tanto disponer de un software antivirus original actualizado en todos sus equipos y servidores como contar con sistemas firewall para los servidores accesibles desde internet.

En cuanto a la información que se debe proporcionar a la aseguradora, varía en función de los parámetros de análisis de cada compañía. Sin embargo, existen algunas variables comunes en los riesgos de las pymes como, por ejemplo, la tipología de actividad que desarrolla el negocio, el volumen de facturación, la suma asegurada que se desea contratar…

Coberturas más habituales

Hay varios tipos de seguros que pueden proteger tu patrimonio y tus activos.

Los contratos cibernéticos cubren generalmente las mismas consecuencias que el resto de seguros, aunque estas sean consecuencia de hechos de origen informático. Entre las coberturas más habituales podemos destacar la cobertura de Responsabilidad Civil y la cobertura de Daños Propios.

La configuración de la cobertura de Responsabilidad Civil varía en función del seguro analizado y es la más habitual. En general, da cobertura a los daños y perjuicios causados a terceros, e incluso a empleados propios de la empresa asegurada, como consecuencia del daño, robo, pérdida o revelación de los datos de carácter personal de dichos terceros, y, en ocasiones, de información de carácter confidencial, causados por un ataque cibernético.

Por su lado, los daños propios son aquellos que se producen en el bien asegurado. Entre las coberturas de daños propios más habituales se encuentran las siguientes:  

• Daños a los sistemas informáticos del asegurado, que englobaría los costes de restauración o recuperación de datos dañados o robados, los costes de descontaminación y limpieza del virus malware y la restauración de los sistemás de control de acceso al sistema informático del asegurado, entre otros. En este punto, es importante que la compañía aseguradora no se limite a la asunción del coste sino que preste el servicio urgente de un proveedor de servicios tecnológicos especializados en este tipo de eventos, de tal forma que se acompañe al asegurado en este proceso desconocido para él, simplificando la restauración del daño sufrido.
• Pérdidas económicas del asegurado derivadas de la interrupción del negocio provocada por un ciberincidente.
• Gastos de notificación a terceros por violación de la privacidad de los mismos.
• Garantía de multas y sanciones impuestas por la autoridad competente en materia de protección de datos derivado de un incumplimiento legal.
• Gastos derivados de restitución de la imagen por sanciones impuestas por la agencia de protección de datos.

Sobre las garantías específicas que amparan las exigencias establecidas en la ley, tal y como se mencionaba en el punto anterior, es habitual la incorporación de dos coberturas que responden a las exigencias contenidas en el Reglamento de la UE 2016/679, de tratamiento de datos personales: la cobertura de notificación de violación de la privacidad de terceros y la cobertura de multas y sanciones.

Por último, es importante remarcar que la gestión de los ciberriesgos es uno de los retos más complejos que afrontarán las empresas en los próximos años. Por eso, debe existir por parte de la empresa una planificación en su ciberseguridad en la que el seguro sea un elemento más en dicha gestión de riesgos, y no configurarse únicamente con un elemento paliativo.