Reclamaciones por interrupción del negocio cibernético: los retos únicos del ámbito digital

Asia alberga a más de la mitad de los usuarios de Internet del mundo. Las empresas están aprovechando la actividad en línea de los asiáticos para llegar a clientes nuevos y existentes, crear nuevos productos y hacer que los procesos sean más eficientes. Las ventajas de esta oportunidad van acompañadas de riesgos únicos que no cubren las pólizas tradicionales de seguro contra interrupción del negocio (BI). Sin embargo, se pueden gestionar con la cobertura BI de pólizas cibernéticas independientes. 

A medida que pasamos del ámbito físico al digital, las reclamaciones relacionadas con la inteligencia empresarial cibernética plantean retos únicos, algunos familiares, otros diferentes y otros radicalmente distintos de las reclamaciones tradicionales relacionadas con la inteligencia empresarial. 

Lo familiar

Al igual que con todas las reclamaciones de seguros, debe establecerse una relación causal entre el incidente y la pérdida. En el BI tradicional, esto se conoce como la cláusula de daños materiales. Las pólizas de BI cibernético son similares, pero en lugar de daños, la cobertura puede activarse por un compromiso real o sospechado de los sistemas informáticos del asegurado. Para que las pérdidas estén cubiertas, deben derivarse de un incidente asegurado. 

Los tipos de cobertura que ofrecen las pólizas tradicionales y las pólizas cibernéticas contra riesgos de negocio también son bastante similares. La cobertura puede proporcionarse sobre la base de los ingresos brutos o los beneficios brutos y sobre la base del aumento de los costes de explotación. Por lo tanto, el objetivo es situar al asegurado en la misma posiciónen la que se encontraría si no se hubiera producidoel incidente cibernético. Estos incidentes pueden ser maliciosos (por ejemplo, una violación de datos o un malware) o de otro tipo (quizás debido a actos u omisiones accidentales). El reto, como siempre, radica en aislar la pérdida únicamente a la causada por el incidente.

El algo diferente

Se observan algunas diferencias sutiles al considerar las pérdidas en una póliza cibernética. El período de indemnización de una póliza tradicional de interrupción del negocio suele comenzar cuando se produce una pérdida física. Sin embargo, en el caso de las pólizas de BI cibernéticas, el inicio depende en gran medida de la redacción de la póliza; podría ser el momento en que se evalúa el compromiso del sistema o el momento en que se presenta el informe del incidente de seguridad. Esto está sujeto a la expiración de un período de espera definido (es decir, el tiempo deducible), que suele ser de unas 12 horas. Aunque parezca poco tiempo, puede resultar una eternidad muy costosa para un minorista en línea durante una venta importante, como el Día del Soltero. 

Las pólizas de BI cibernético suelen tener períodos máximos de indemnización de unos tres meses, lo que es significativamente más corto que los 12 meses que solemos ver en las pólizas de BI tradicionales. Esto refleja la naturaleza más breve de muchos incidentes cibernéticos, que pueden resolverse más rápidamente mediante, por ejemplo, una restauración de copias de seguridad. Sin embargo, puede resultar difícil identificar y rectificar el punto de fallo en un sistema informático complejo, a pesar de contar con la ayuda de un equipo dedicado a la respuesta a incidentes. 

Muy diferente

Dado que los activos subyacentes son de naturaleza intangible, surgen algunas diferencias importantes. Aquí hay dos que vale la pena considerar: 

1. Ataques de ransomware

Aunque no son nuevos, los ataques de ransomware se han vuelto cada vez más frecuentes y complejos, lo que aumenta la probabilidad de que una empresa sufra interrupciones. Los datos pueden ser robados o se puede bloquear el acceso a ellos (o una combinación de ambas cosas), y el extorsionador amenaza con divulgar, destruir o bloquear el acceso a datos confidenciales a menos que se realice un pago. Se informó que el rescate promedio en 2023 fue de 1,54 millones de dólares estadounidenses, casi el doble de la cifra de 2022.

En determinados casos, pagar el rescate puede parecer la opción más barata y eficaz. Algunas pólizas incluso indemnizan al asegurado por dichos pagos. La decisión final sobre si realizar el pago recae en la empresa, pero ¿deberían pagar?

Aunque puede resultar tentador ceder a las demandas con la esperanza de que los datos se restauren rápidamente, las pruebas no respaldan esta opción. Aproximadamente uno de cada cuatro que pagan nunca recupera sus datos, e incluso si se recuperan algunos datos, la mayoría de las organizaciones tardan más de una semana en recuperarse de un ataque de ransomware. Tampoco hay garantía de que el ataque termine o se resuelva, un punto en el que coincide la Iniciativa contra el ransomware de 48 países, que desaconseja encarecidamente este tipo de pagos. Los pagos también podrían servir como fuente de fondos para actividades delictivas y proporcionar un incentivo adicional para cometer futuros ataques. 

Las empresas deben decidir si les conviene rechazar el pago del rescate. Si las aseguradoras respaldan la decisión de no pagar, la cobertura se extendería generalmente a los costes de recuperación y a cualquier pérdida de ingresos que se derive directamente del ataque.

Dado que los ataques de ransomware pueden tener un alto coste económico y provocar un tiempo de inactividad significativo, sería sensato prepararse de forma proactiva para este tipo de incidentes. Estas medidas pueden incluir:

• Garantizar que las copias de seguridad y las redundancias estén implementadas y actualizadas.
• Realizar auditorías informáticas periódicas.
• Exigir contraseñas seguras y autenticación multifactorial.
• Impartir formación y educación periódicas en materia de TI.
• Desarrollar planes de respuesta ante incidentes que puedan ponerse en marcha rápidamente en caso necesario. 

Estos planes solo son eficaces si cuentan con la participación de toda la organización.

• Daño a la reputación

Tras un ciberataque, la percepción pública de la empresa afectada puede verse afectada, especialmente cuando se comprometen datos confidenciales de los clientes. Los clientes pueden cuestionar la capacidad de la empresa para proteger su información personal, lo que puede provocar una pérdida de confianza y fidelidad. Las interrupciones del servicio también pueden hacer que los usuarios se cambien a un competidor que promocione su fiabilidad.

Muchas pólizas de ciberseguridad ofrecen cobertura por daños a la reputación, reembolsando a los asegurados las pérdidas financieras derivadas directamente del incidente. También puede ofrecerse cobertura para los costes de reparación de la reputación, con el fin de contratar consultores de relaciones públicas para mitigar los efectos de la publicidad adversa. La dificultad radica en medir y atribuir la pérdida de clientes actuales y potenciales al incidente. Además, dado que muchas pólizas cibernéticas tienen períodos máximos de indemnización cortos, los daños continuados a la reputación más allá de este período no estarían cubiertos por la póliza. 

Aún no se ha llegado a una conclusión definitiva sobre si las noticias sobre incidentes cibernéticos se han vuelto tan comunes que realmente dañan la reputación de las empresas. La gente tiende a considerar que las empresas que gozan de un alto grado de confianza son más susceptibles de sufrir daños a su reputación. Por ejemplo, un banco en línea sería más propenso a sufrir daños a su reputación que un minorista en línea. 

Al igual que con el ransomware, un enfoque proactivo para gestionar el daño a la reputación puede ser más eficaz y eficiente que una postura reactiva. Además de las medidas enumeradas anteriormente, la piedra angular debe ser una comunicación clara y eficaz con las partes interesadas, clave para reconstruir la confianza y defender la reputación. 

Conclusión

Las reclamaciones de BI cibernético comparten algunas características con sus homólogas tradicionales de BI, pero el ámbito digital plantea algunas cuestiones únicas. Cuando una empresa se enfrenta a una pérdida de BI cibernético, es fundamental contar con un socio de confianza con experiencia en los matices de las reclamaciones de BI cibernético para ayudarles a mitigar su amplio impacto.

> Más información : lea sobre los servicios de contabilidad forense y capacidades de interrupción de negocios en Asia o envíe un correo electrónico a [email protected] para obtener más información.