Gestión de Riesgos: ciberseguridad y ciberseguros.

11 agosto, 2022 Manuel Fernández Fernández Ciberseguridad, Directores de Seguridad, Personal de Seguridad Privada, Seguridad Integral 0

En nuestro anterior articulo tratábamos de informar al lector acerca de la situación actual de los Ciberriesgos, su complejidad, así como el enorme riesgo al que todos los usuarios Ciber estamos sometidos en el ámbito personal, profesional o empresarial, en el devenir diario.

Indicábamos que la seguridad 100% es imposible que sea concebida en ningún aspecto de la vida humana, tampoco lo es en el aspecto empresarial y menos aún si los interrelacionamos con el mundo Ciber, no sólo por desconocido, ni sólo por cambiante, ni sólo por lo complejo, sino sobre todo por el ámbito global y mundial en el que acontecen los hechos y los riesgos en este mundo tan globalizado y tan interrelacionado.

El peligro puede tener su origen en la misma localidad que el elemento dañado o a miles y miles de kilómetros, en continentes distintos, en idiomas diferentes y con legislaciones muy diferentes.

En definitiva el riesgo global es de tan elevada intensidad, que la Industria y el Comercio mundial necesitan de un mercado asegurador sólido y mundializado, que sea capaz de dar respuesta a tan importante riesgo.

En el mundo asegurador los siniestros se miden por su Frecuencia y por su Intensidad.

Los siniestros ciber, normalmente son siniestros de baja frecuencia, pero de alta intensidad, es por ello, que necesitan de la participación no solo de aseguradoras de alta solvencia, sino de Coaseguradoras que dividan aquellos riesgos de alta intensidad, normalmente de ámbito mundial y de Reaseguradoras que a su vez constituyan la cadena de seguridad del mercado asegurador, mediante el que los aseguradores podemos aseverar que nos encontramos ante una Industria Aseguradora del más alto nivel y del más alto ratio de solvencia, que para si desearía por ejemplo el mundo bancario.

Delincuentes Ciberneticos y Hackers, son causantes del 71% de los siniestros Ciber.

Errores de Empleados causan el 12% de los siniestros Ciber.

Empleados Malintencionados causan el 10% de los siniestros Ciber.

Socios y Directivos societarios son los causantes del 4%, mientras que el resto son causados de forma Desconocida.

Tanto las Pequeñas empresas como las medianas y ni que decir las de gran tamaño y por tanto de gran cantidad de intervinientes, son susceptibles de sufrir daños Ciber o Siniestros Ciberneticos.

Pero no se trata de hacer un seguro, pues Cada seguro es diferente, al igual que cada asegurado es diferente.

Contratar un seguro que dé cobertura a cualquiera de los riesgos de una familia o una empresa, es un hecho muy importante, que requiere de un análisis de riesgos inicial, de una adaptación y negociación de las coberturas aseguradoras y sus excepciones, con la compañía aseguradora, de un profundo estudio de la legislación aplicable, de la elección de una compañía de seguros con vocación de servicio en caso de siniestro, de cuando llegue el temido siniestro, disponer de una Correduria de Seguros, que nos represente ante la aseguradora, que negocie con ella la mejor y mas rápida solución al siniestro.

Pero aún más en Ciber Riesgos, es imprescindible que la correduría de seguros disponga de experiencia, formación, así como un equipo de profesionales cualificados (Peritos Informaticos, Forenses Informaticos, etc.) en materia de Siniestros Ciber.

Por tanto concluimos con la clara idea de la extrema importancia de disponer de coberturas aseguradoras adecuadas al riesgo de una empresa, pero siempre contratadas y negociadas por un experto en la materia , que actuando como Corredor de Seguros, represente al asegurado frente a la compañía de seguros, pues “No hay que contratar un seguro, hay que contratar el seguro adecuado y necesario, adaptado a las necesidades del asegurado”.

¿Qué coberturas ofrece el mercado asegurador?

1/ SEGURIDAD DE LOS SISTEMAS INFORMÁTICOS Y DATOS.

Se trata de un servicio Preventivo, de uso Ilimitado, que la aseguradora pone a disposición del asegurado, al momento inicial de la contratación de la póliza.

Ambas partes contractuales están interesadas en la prevención y minimización de un posible incidente cibernético, por lo que han de participar con la máxima disponibilidad y voluntad a realizar una

  • Auditoría de Vulnerabilidades, que siendo un sencillo proceso y automático, ya que se realiza en la mayoría de las ocasiones en remoto, tiene como objetivo detectar las vulnerabilidades del sistema informático en su conjunto, que habitualmente suelen ser tan simples como Licencias Caducadas, Sistemas sin actualizar, Puertos abiertos, etc.

Sería recomendable llevar a cabo esta auditoría permanentemente, para detectar y en su caso solucionar las vulnerabilidades, pero como mínimo este análisis de posibles riesgos, debería de llevarse a cabo cada trimestre, para así minimizar el riesgo y si es posible evitarlo, que es lo ideal para todos.

  • Parcheo de Vulnerabilidades y Configuración de Seguridad, con el objetivo de actualizar los sistema informáticos, así como mantenerlos continuamente actualizados, sus licencias, etc.
  • No menos importante es la configuración del sistema de restablecimiento (Backup/VSS…..).
  • Como actuar en los Secuestros de Informacion.
  • Como Configurar los Antivirus y elegir el mas adecuado a las características del riesgo.
  • Como Configurar el Firewall
  • Como establecer las contraseñas y su fortaleza ante los ataques.
  • Ramsonware o Aplicación Antisecuestro, con el que detectar y prevenir en gran medidalos ataques de malware que afectan al equipo mediante la encriptación de los principales archivos del sistema, con lo que se consigue reducir o minimizar la vulnerabilidad del equipo.
  • Vigilancia en Internet, rastreando la red en busca de información de la empresa asegurada, con lo que se intenta detectar el uso indebido de datos, para alertar y corregir estos hechos con el asegurado.
  • Adaptacion a la Ley Organica de Proteccion de Datos mediante
  • La realización del diagnostico de las obligaciones del asegurado en materia de protección de datos, identificación de ficheros, etc.
  • La inscripción de los ficheros en la Agencia Española de Proteccion de Datos (AEPD).
  • La realización del documento de seguridad requerido por la AEPD y/o la revisión del documento existente.
  • Informacion acerda de las Medidas Legales y Técnicas a aplicar por el asegurado en la custodia y vigilancia de los datos que obran en su poder.
  • Revisiones periodicas y asesoramiento continuo de los procedimientos, asi como las actualizaciones de los documentos de seguridad vigente y del registro de ficheros en la AEPD.

Ahora bien, hay determinadas cuestiones que No puede cubrir una póliza de seguro de CIBERRIESGOS, como son

  • Aquellas que supongan un coste adicional, para las actualizaciones o instalaciones de Software.
  • El uso de software sin la licencia en vigor.
  • Denuncias ante la AEPD, por la utilización u obtención de datos de carácter personal de terceros, sin disponer de la debida autorización, asi como las auditorias bienales.

2/ RIESGOS CUBIERTOS

  • Intrusion de Terceros en los sistemas informaticos del asegurado, causando daños a los sistemas o a la información contenida, con virus, troyanos, malware, botnets, phising, secuestro informático o ransomware.

Para la cobertura de los daños causados por Ramsonware es necesario tener previamente instalada una aplicación anti Ransonware.

  • Incumplimiento del deber de custodia de los datos contenidos.
  • Difusion a terceros de información protegida por la pérdida o robo de los dispositivos, pérdida de datos en papel, acceso de Hackers, Infidelidad de Empleados, etc.
  • Responsabilidades diversas, entre otras por la transmisión de virus o malware a terceros, que causen daños o perdidas a dichos terceros.
  • Publicacion de contenidos en los medios corporativos que vulneren el derecho al honor, la intimidad personal o familiar o la imagen de un tercero.

Una vez estudiados los Riesgos Cubiertos por una poliza de seguro de Riesgos Ciber, debemos de analizar las

3/ COBERTURAS ASEGURADAS

  • Intrusión de Terceros, contando con
  • Asistencia Tecnica, normalmente por medios telemáticos o si fuere necesario presenciales, para identificar la incidencia y los registros afectados.
  • Gastos de Investigación y Peritaje, que lleven a conocer el origen de los daños.
  • Gastos de Limpieza o desinfección de malware, borrado de virus, botnets, malware, etc.
  • Los gastos de recuperación de datos, borrados o dañados, de los soportes electrónicos del asegurado, tales como discos duros, dispositivos móviles, servidores del asegurado, etc.
  • Servicios de Desbloqueo de Secuestros Informáticos, que aunque no se puede garantizar el resultado, si se incrementa la probabilidad de éxito.
  • Nunca estará cubierto lógicamente, el mero fallo o incidencia informática no asociado a ningún incidente de seguridad o intrusión de terceros.
  • Cobertura de Protección de Datos, quedando garantizados o cubiertos
  • Asistencia Técnica por medios telemáticos o presenciales para identificar la incidencia y los registros afectados.
  • Los gastos de investigación y peritaje para conocer el origen del incumplimiento.
  • Los Gastos de Identificacion de los datos de carácter personal expuestos a una vulneración del deber de custodia.
  • Los Gastos de notificación a los propietarios de los datos de carácter personal, cuando así lo exigiere la legislación vigente.
  • La gestion de notificación y defensa de incidencia a la AEPD e incluso de un tercero, por el incumplimiento del deber de custodia.
  • El pago de las indemnizaciones correspondientes en caso de condena del asegurado.
  • Responsabilidad Civil por Transmision de Virus, lógicamente de manera involuntaria y extracontractual, de la que pueda resultar el asegurado civilmente responsable por los daños materiales y perjuicios consecuenciales ocasionados a terceros, incluyendo los gastos de investigación y peritaje judicial, así como el pago de las indemnizaciones correspondientes en caso de condena del asegurado.
  • Responsabilidad Civil por Publicacion de contenidos en medios corporativos, con inclusión de la Defensa por las reclamaciones de terceros por vulneración del derecho al honor, la intimidad personal o familiar de un tercero, asi como del pago de indemnizaciones en caso de condena del asegurado.
  • Gastos de Defensa en Juicio y Fianzas Civiles, en cualquier procedimiento judicial civil que se derive de un siniestro amparado por la poliza e incluso en las causas penales, siempre que asi lo consienta el asegurado y que dichas causas tengan su origen en supuestos de responsabilidad cubiertos por la poliza.

Tambien serán objeto de cobertura las fianzas civiles exigidas al asegurado, asi como las costas y gastos judiciales y extrajudiciales, que sin constituir sanción personal o multa, sobrevinieren a consecuencia de cualquier procedimiento civil que se le siguiere al asegurado.

En la cobertura de Defensa, se habrá de tener muy en cuenta el posible Conflicto de Intereses, que pudiere existir entre asegurado y asegurador, pudiendo en caso de existir este conflicto el asegurado confiar su defensa a los medios establecidos por el asegurador y hacerlo el de forma independiente.

4/SON RIESGOS EXCLUIDOS

Si importante es en una póliza de seguro conocer los riesgos incluidos, en qué casos y con qué condiciones, no lo es menos conocer cuales son los riesgos excluidos o no cubiertos y que por tanto deben de ser asumidos por el asegurado sin la ayuda ni colaboración del asegurador, como por ejemplo:

  • La vulneración de datos no custodiados por el asegurado, en un servicio de Cloud Computing o servicios de Hosting u otros.
  • Incumplimiento de la LOPD, que no sean una pérdida de información o vulneración del deber de custodia, sino por ejemplo que sean debidas al uso u obtención de datos de carácter personal sin las legales autorizaciones.
  • Vulneraciones del derecho al honor, a la intimidad o a la propia imagen.
  • Fallos en el suministro eléctrico, de datos o ataques de denegación de servicio contra los sistemas del asegurado.
  • Quebrantamiento del deber de secreto profesional.
  • Hechos cometidos por el asegurado de carácter doloso, salvo que sea cometidos como Infidelidad de algún empleado.
  • Ciberterrorismo o Ciberguerra.
  • Cualquier gasto que no sea consecuencia inevitable de un hecho cubierto en poliza.
  • Los gastos derivados de programas utilizados por el asegurado sin disponer de las pertinentes licencias en vigor.
  • Gastos derivados de la vulneración de derechos de propiedad intelectual, patentes, royalties, copyright, trademark, derechos de autor.
  • PAGOS llevados a cabo por el asegurado en caso de secuestro o extorsion de sus sistemas informaticos.
  • Quedan cubiertos los Gastos de Gestión y Defensa ante la AEPD, pero no la sanción en si.
  • Los gastos de reposición y mejora de los datos extraviados, perdidos, deteriorados o cedidos.
  • Reclamaciones basadas en el incumplimiento de condiciones o penalizaciones establecidas contractualmente.

“ La sociedad moderna ha traído consigo muchas mejoras en la calidad de vida de los ciudadanos y en la actividad económica mundial, pero también ha traído consigo nuevos riesgos y nuevos peligros que hace tan solo unas pocas fechas eran no sólo desconocidos, sino que también impensables y ahí una vez más, la Industria Aseguradora Mundial, ha sabido dar soporte y tranquilidad asumiendo lo riesgos a que sus asegurados se ven sometidos, contribuyendo con ello a la mejora de la calidad de vida y de las condiciones de vida de la humanidad”.

Manuel Fernández Fernández

Director Técnico de Grupo Euro-CENTER Correduría de Seguros

Licenciado en Ciencias Económicas y Empresariales

Perito Judicial

Posts relacionados:

Fundamentos para los sistemas de gestión de emergencias, I. Fundamentos para los sistemas de gestión de emergencias, y II. Ciberseguridad: una cuenta pendiente. Informe Anual de Seguridad Nacional 2020. Ciberseguridad.

Síguenos en...