Red Seguridad 081

especial red seguridad segundo trimestre 2018 47 reportaje ciberseguros monográfico "Fundamentalmente son proteger el balance y la cuenta de resultados, puesto que los desembolsos y pér- didas económicas derivados de una quiebra de seguridad pueden ser muy costosos para una empresa", y "ayu- dar a las organizaciones a gestionar este tipo de crisis, ya que muchos aseguradores incluyen servicios de gestión de incidentes o mitigación del riesgo reputacional a través de consultores externos, lo cual es de gran utilidad para empresas que aún no han desarrollado sus planes de gestión de crisis". A esto se añade una opción más que señala Alan Abreu, responsable de Riesgos Cibernéticos de Hiscox: "La principal ventaja es que aportan seguridad y confianza a las empre- sas, ya que son productos específica- mente diseñados para cubrir riesgos cibernéticos que no están recogidos en otro tipo de pólizas". Eso sí, mati- za, "el papel de las ciberpólizas va más allá de ofrecer una cobertura económica ante un posible ataque". En cualquier caso, es cierto que actualmente no es obligatorio la con- tratación de este tipo de productos. Sin embargo, a juicio de José Carlos Jiménez, suscriptor Cyber de AIG, "los hechos que ocurren día a día y que podemos leer en portadas de periódicos generalistas despiertan la necesidad de cuantificar y cubrir de alguna manera los ciberriesgos a los que están expuestas todas las empresas que traten o almacenen cualquier tipo de información". Y a todo esto, según este profe- sional, se suman los cambios nor- mativos. "Las leyes son cada vez más estrictas para asegurar que la información personal y sensible cuen- te con las medidas y controles de seguridad necesarios para evitar, en la medida de lo posible, su vulnera- ción", comenta. Requisitos para su contratación Ahora bien, una empresa no puede contratar un seguro de estas caracte- rísticas sin antes pasar por un análisis de sus sistemas, tal y como se encar- ga de recordar el propio Jiménez: "Uno de los requisitos imprescindi- bles para la contratación de cualquier ciberpóliza es la evaluación de los riesgos ciber de la empresa. Para este tipo de riesgos, el cliente cum- plimenta un cuestionario en el que se evalúan a alto nivel los principales ámbitos de la ciberseguridad". Claro que, aparte de esto, también pueden ser requeridas reuniones específicas o la intervención de un consultor especializado para cuantificar de una forma más precisa el riesgo en los casos en los que el cuestionario no se considere suficiente. Así lo pone de manifiesto también Lozano, de Incibe, para quien "las aseguradoras tienen la difícil tarea de valorar la probabilidad de impacto sobre los activos más comunes en relación con los posibles riesgos y su índice de siniestralidad con aún pocos datos". Por este motivo, con- tinúa, "siempre exigen cumplir una serie de medidas de seguridad que permitan contratar el seguro o, en el mejor de los casos, no contar con descuentos u otro tipo de ventajas si no se muestra cierta madurez en ciberseguridad". Incluso, Lozano confirma que, "en función de la póliza y de los activos que hay que prote- ger, en algunos casos van a requerir una auditoría de terceros para garan- tizar que las empresas dispongan de los mecanismos de ciberseguridad necesarios", subraya. ¿Qué coberturas ofrecen las ciberpólizas? Como con la contratación de cualquier otro seguro, siempre hay que leer con detenimiento y entender las condiciones generales y particula- res, así como las cuestiones que están incluidas y excluidas en este tipo de pólizas. Según Incibe, estas son las coberturas habituales: • Responsabilidad civil frente a terceros. • Responsabilidad por pérdida de datos de carácter personal o ries- gos de privacidad y por gastos de notificación de vulneraciones de privacidad a los titulares de los datos y a terceros interesados. • Frente a reclamaciones por la violación de derechos de propiedad intelectual relativos a cualquier tipo de contenidos, incluidos los generados por un usuario. • Defensa jurídica y asistencia a juicio, incluyendo los gastos de defensa por multas y sanciones de organismos reguladores y con cobertura para procedimientos e investigaciones de organismos reguladores. • Protección frente a reclamaciones de terceros por incumplimiento en casos de custodia de datos, difamación en medios corporativos o infección por malware . • Pérdida de beneficios. • Pérdidas de ingresos netos como resultado de una vulneración de seguridad o de un ataque de denegación de servicio. • Cobertura para los datos alojados en la nube. • Gastos de gestión y comunicación de crisis. • Asistencia técnica y gastos de investigación del siniestro cubriendo los costes de un posible análisis forense en caso de que sea nece- sario (fugas de datos, robo de información, etc.). • Gastos de reparación y restauración de los datos borrados y de los equipos dañados. • Frente a delitos cibernéticos: estafas de phishing , suplantación de identidad, hacking telefónico, robo de identidad, fraude electrónico y extorsión cibernética. • Asistencia técnica frente a una intrusión de terceros en los sistemas informáticos del asegurado. • Restitución de los gastos por errores tecnológicos y omisiones.