Asia alberga a más de la mitad de los usuarios de Internet del mundo. Las empresas aprovechan la actividad en línea de los asiáticos para llegar a clientes nuevos y existentes, crear nuevos productos y hacer más eficientes los procesos. Los beneficios de esta oportunidad van acompañados de riesgos únicos que no contemplan las pólizas tradicionales de seguro de interrupción de la actividad empresarial (BI). Sin embargo, pueden gestionarse con la cobertura de BI de pólizas cibernéticas independientes.
A medida que pasamos del ámbito físico al digital, las reclamaciones de ciber BI presentan retos únicos -algunos familiares, otros diferentes y otros radicalmente distintos de las reclamaciones de BI tradicionales.
Lo familiar
Como en todas las reclamaciones de seguros, debe establecerse un nexo causal entre el siniestro y la pérdida. Esto se conoce en el BI tradicional como la cláusula de daños materiales. Las pólizas de ciber BI son similares, pero en lugar de daños, la cobertura puede activarse por un compromiso real o sospechado de los sistemas informáticos del asegurado. Para que las pérdidas estén cubiertas, deben derivarse de un incidente asegurado.
Los tipos de cobertura que ofrecen tanto las pólizas tradicionales como las cibernéticas de BI son también bastante similares. La cobertura puede proporcionarse sobre la base de los ingresos brutos o de los beneficios brutos y sobre la base del aumento de los costes de trabajo. El objetivo, por tanto, es situar al asegurado en una posición de no ser por el incidente cibernético. Estos incidentes pueden ser maliciosos (por ejemplo, una violación de datos o malware) o de otro tipo (tal vez debido a actos accidentales u omisiones). El reto, como siempre, consiste en aislar la pérdida únicamente a la causada por el incidente.
El algo diferente
Algunas diferencias sutiles son perceptibles cuando se consideran las pérdidas bajo una póliza cibernética. El periodo de indemnización de una póliza tradicional de BI suele comenzar cuando se produce una pérdida física. Sin embargo, en las pólizas cibernéticas de BI, el inicio depende en gran medida de la redacción de la póliza; podría ser el momento evaluado de un compromiso del sistema, o el momento en que se hace un informe de incidente de seguridad. Esto está sujeto a la expiración de un periodo de espera definido (es decir, tiempo deducible), normalmente unas 12 horas. Aunque parezca poco tiempo, puede resultar una eternidad costosa para un minorista en línea durante una gran venta como el Día de los Solteros.
Las pólizas de ciber BI suelen tener periodos máximos de indemnización de unos tres meses, lo que es significativamente más corto que los 12 meses que solemos ver en las pólizas de BI tradicionales. Esto refleja la naturaleza más breve de muchos incidentes cibernéticos, que pueden resolverse más rápidamente mediante, por ejemplo, la restauración de una copia de seguridad. Sin embargo, puede ser difícil identificar y rectificar el punto de fallo en un sistema informático complejo, a pesar de contar con la ayuda de un equipo especializado de respuesta a incidentes.
Los muy diferentes
Dado que los activos subyacentes son de naturaleza intangible, surgen algunas diferencias importantes. He aquí dos que merece la pena considerar:
- Ataques de ransomware
Aunque no son nuevos, los ataques de ransomware se han vuelto cada vez más prominentes y complejos, lo que hace más probable que una empresa se enfrente a interrupciones. El extorsionador amenaza con liberar, destruir o bloquear el acceso a datos confidenciales a menos que se realice un pago. El rescate medio en 2023 fue de 1,54 millones de dólares, casi el doble que en 2022.
En algunos casos, pagar el rescate puede parecer la opción más barata y eficaz. Algunas pólizas incluso indemnizan al asegurado por tales pagos. La decisión final sobre si pagar o no corresponde a la empresa, pero ¿debería pagar?
Aunque puede ser tentador ceder a las demandas con la esperanza de que los datos se recuperen rápidamente, las pruebas no lo apoyan. Aproximadamente uno de cada cuatro que pagan nunca recuperan sus datos, e incluso si se recuperan algunos datos, la mayoría de las organizaciones tardan más de una semana en recuperarse de un ataque de ransomware. Tampoco hay garantías de que el ataque llegue a su fin o se resuelva, algo de lo que se hace eco la Iniciativa contra el ransomware de 48 países, que desaconseja enérgicamente este tipo de pagos. Los pagos también podrían servir como fuente de fondos para actividades delictivas e incentivar aún más la comisión de futuros ataques.
Las empresas deben decidir si les conviene no pagar el rescate. En caso de que las aseguradoras apoyen la decisión de no pagar, la cobertura se extendería generalmente a los costes de recuperación y a cualquier pérdida de ingresos derivada directamente del ataque.
Dado que los ataques de ransomware pueden ser costosos económicamente y causar un tiempo de inactividad significativo, sería sensato prepararse de forma proactiva para un incidente de este tipo. Estas medidas pueden incluir:
- Garantizar que se dispone de copias de seguridad y redundancias actualizadas.
- Realización de auditorías informáticas periódicas
- Obligación de contraseñas seguras y autenticación multifactor
- Formación periódica en tecnologías de la información
- Desarrollar planes de respuesta a incidentes que puedan movilizarse rápidamente en caso necesario.
Estos planes sólo son eficaces si implican los esfuerzos de toda la organización.
- Daños a la reputación
Tras un ciberataque, la percepción pública de la empresa atacada puede verse afectada, sobre todo cuando los datos sensibles de los clientes se ven comprometidos. Los clientes pueden cuestionar la capacidad de la empresa para proteger su información personal, lo que conduce a una pérdida de confianza y lealtad. Las interrupciones del servicio también pueden hacer que los usuarios se pasen a un competidor que promueva su fiabilidad.
Muchas pólizas de ciber BI ofrecen cobertura por daños a la reputación, reembolsando a los asegurados las pérdidas financieras derivadas directamente del incidente. La cobertura de los costes de reparación de la reputación también puede estar disponible para contratar consultores de relaciones públicas para mitigar los efectos de la publicidad adversa. La dificultad reside en medir y atribuir la pérdida de clientes actuales y potenciales al incidente. Además, como muchas pólizas cibernéticas tienen periodos máximos de indemnización cortos, el daño continuo a la reputación más allá de este periodo no estaría cubierto por la póliza.
El jurado aún no ha decidido si las noticias sobre incidentes cibernéticos se han convertido en algo tan habitual como para dañar la reputación de una empresa. La gente tiende a considerar que las empresas que gozan de un alto grado de confianza son más susceptibles de sufrir una pérdida de reputación. Un banco en línea, por ejemplo, sería más propenso a una pérdida de reputación que un minorista en línea.
Al igual que con el ransomware, un enfoque proactivo para gestionar los daños a la reputación puede ser más eficaz y eficiente que una postura reactiva. Además de las medidas enumeradas anteriormente, la piedra angular debe ser una comunicación clara y eficaz con las partes interesadas, clave para reconstruir la confianza y defender la reputación.
Conclusión
Los siniestros cibernéticos de BI comparten algunas características con sus homólogos tradicionales de BI, pero el ámbito digital plantea algunas cuestiones únicas. Cuando una empresa se enfrenta a una pérdida de ciber BI, es fundamental contratar a un socio de confianza con experiencia en los matices de las reclamaciones de ciber BI para ayudarles a mitigar su amplio impacto.
> Leer más - lea sobre los servicios de contabilidad forense y de Sedgwick en Asia en Asia o envíe un correo electrónico a [email protected] para más información
Tags: BI, Interrupción del negocio, Siniestros, ciber, ciberseguro, Ciberriesgo, Propiedad, Pérdida de propiedad, Restauración de la propiedad