Asia es el hogar de más de la mitad de los usuarios de Internet del mundo. Las empresas están aprovechando la actividad en línea de los asiáticos para incursionar en clientes nuevos y existentes, crear nuevos productos y hacer que los procesos sean más eficientes. Los beneficios de esta oportunidad van acompañados de riesgos únicos que no abordan las pólizas de seguro tradicionales de interrupción del negocio (BI). Sin embargo, se pueden administrar con la cobertura de BI de las políticas cibernéticas independientes.
A medida que pasamos del ámbito físico al digital, las reclamaciones de BI cibernético presentan desafíos únicos, algunos familiares, otros diferentes y otros drásticamente diferentes de los reclamos de BI tradicionales.
Lo familiar
Al igual que con todas las reclamaciones de seguros, se debe establecer un vínculo causal entre el incidente y la pérdida. Esto se conoce en BI tradicional como la condición de daño material. Las pólizas de Cyber BI son similares, pero en lugar de daños, la cobertura puede activarse por un compromiso real o presunto de los sistemas de TI de un asegurado. Para que las pérdidas estén cubiertas, deben derivarse de un incidente asegurado.
Los tipos de cobertura que ofrecen las pólizas de BI tradicionales y cibernéticas también son bastante similares. La cobertura podrá proporcionarse sobre la base de los ingresos brutos o del beneficio bruto y sobre la base del aumento de los costes de trabajo. El objetivo, por tanto, es situar al asegurado en una posición de no ser por el ciberincidente. Estos incidentes pueden ser maliciosos (por ejemplo, una violación de datos o malware) o de otro tipo (tal vez debido a actos u omisiones accidentales). El reto, como siempre, consiste en aislar la pérdida únicamente de la causada por el incidente.
Lo algo diferente
Algunas diferencias sutiles se notan cuando se consideran las pérdidas bajo una póliza cibernética. El período de indemnización de una póliza de BI tradicional suele comenzar cuando se produce una pérdida física. Sin embargo, con las políticas de BI cibernético, el comienzo depende en gran medida de la redacción de la política; Podría ser el momento evaluado de un compromiso del sistema o el momento en que se realiza un informe de incidente de seguridad. Esto está sujeto a la expiración de un período de espera definido (es decir, deducible de tiempo), generalmente de aproximadamente 12 horas. Si bien esto parece poco tiempo, puede resultar una eternidad costosa para un minorista en línea durante una venta importante como el Día de los Solteros.
Las pólizas de BI cibernético generalmente tienen períodos de indemnización máximos de aproximadamente tres meses, que es significativamente más corto que los 12 meses que comúnmente vemos en las pólizas de BI tradicionales. Esto refleja la naturaleza más corta de muchos incidentes cibernéticos, que pueden resolverse más rápido mediante, por ejemplo, una restauración de copias de seguridad. Sin embargo, puede ser un desafío identificar y rectificar el punto de falla en un sistema de TI complejo, a pesar de contar con la ayuda de un equipo de respuesta a incidentes dedicado.
Lo muy diferente
Dado que los activos subyacentes son de naturaleza intangible, surgen algunas diferencias importantes. Aquí hay dos que vale la pena considerar:
- Ataques de ransomware
Si bien no es nuevo, los ataques de ransomware se han vuelto cada vez más prominentes y complejos, lo que hace que sea más probable que una empresa se enfrente a interrupciones. Los datos pueden ser robados o el acceso a ellos bloqueado (o alguna combinación de los mismos), y el extorsionador amenaza con liberar, destruir o bloquear el acceso a los datos confidenciales a menos que se realice un pago. El rescate medio en 2023 fue de 1,54 millones de dólares, casi el doble que en 2022.
En ciertos casos, pagar el rescate puede parecer la opción más barata y efectiva. Algunas pólizas incluso indemnizan al titular de la póliza por dichos pagos. La decisión final sobre si realizar un pago recae en la empresa, pero, ¿deberían pagar?
Si bien puede ser tentador ceder a las demandas con la esperanza de que los datos se restauren rápidamente, la evidencia no lo respalda. Aproximadamente uno de cada cuatro que paga nunca recupera sus datos, e incluso si se recuperan algunos datos, la mayoría de las organizaciones tardan más de una semana en recuperarse de un ataque de ransomware. Tampoco hay garantía de que el ataque termine o se resuelva, un punto del que se hace eco la Iniciativa contra el Ransomware, de 48 países, que desaconseja encarecidamente este tipo de pagos. Los pagos también podrían servir como fuente de fondos para actividades delictivas y proporcionar un incentivo adicional para cometer ataques futuros.
Las empresas deben decidir si les conviene negarse a pagar un rescate. En caso de que las aseguradoras apoyen la decisión de no pagar, la cobertura se extendería generalmente a los costes de recuperación y a cualquier pérdida de ingresos directamente resultante del ataque.
Dado que los ataques de ransomware pueden ser costosos desde el punto de vista financiero y causar un tiempo de inactividad significativo, sería sensato prepararse de forma proactiva para un incidente de este tipo. Estas medidas pueden incluir:
- Asegurarse de que las copias de seguridad y las redundancias estén en su lugar y actualizadas
- Realización periódica de auditorías de TI
- Exigir contraseñas seguras y autenticación multifactor
- Llevar a cabo capacitaciones y educación periódicas en TI
- Desarrollar planes de respuesta a incidentes que puedan movilizarse rápidamente si es necesario
Estos planes solo son efectivos si involucran los esfuerzos de toda la organización.
- Daño reputacional
Después de un ciberataque, la percepción pública de la empresa objetivo puede verse afectada, especialmente cuando los datos confidenciales de los clientes se ven comprometidos. Los clientes pueden cuestionar la capacidad de la empresa para proteger su información personal, lo que lleva a una pérdida de confianza y lealtad. Las interrupciones del servicio también pueden hacer que los usuarios cambien a un competidor que promueva su confiabilidad.
Muchas pólizas de ciber BI proporcionan cobertura por daños a la reputación, reembolsando a los asegurados las pérdidas financieras que surjan directamente del incidente. La cobertura de los costos de reparación de la reputación también puede estar disponible para contratar consultores de relaciones públicas para mitigar los efectos de la publicidad adversa. La dificultad radica en medir y atribuir la pérdida de clientes actuales y potenciales al incidente. Además, dado que muchas pólizas cibernéticas tienen períodos de indemnización máximos cortos, el daño a la reputación en curso más allá de este período no estaría cubierto por la póliza.
Todavía no se sabe si las noticias de incidentes cibernéticos se han vuelto tan comunes que la reputación de una empresa se ve dañada. La gente tiende a considerar que las empresas que tienen un alto grado de confianza son más susceptibles a la pérdida de reputación. Un banco en línea, por ejemplo, sería más propenso a perder reputación que un minorista en línea.
Al igual que con el ransomware, un enfoque proactivo para gestionar el daño a la reputación puede ser más eficaz y eficiente que una postura reactiva. Además de las medidas enumeradas anteriormente, la piedra angular debe ser una comunicación clara y eficaz con las partes interesadas, clave para reconstruir la confianza y defender la reputación.
Conclusión
Las afirmaciones de Cyber BI comparten algunas características con sus contrapartes de BI tradicionales, pero el ámbito digital plantea algunas preguntas únicas. Cuando una empresa se enfrenta a una pérdida de BI cibernético, es fundamental contratar a un socio de confianza con experiencia en los matices de las afirmaciones de BI cibernético para ayudarlos a mitigar su impacto de amplio alcance.
>Leer más — Lea sobre los servicios de contabilidad forense de Sedgwick y las capacidades de interrupción del negocio en Asia o envíe un correo electrónico a [email protected] para obtener más información.
Tags: BI, Interrupción del negocio, Siniestros, ciber, ciberseguro, Ciberriesgo, Propiedad, Pérdida de propiedad, Restauración de la propiedad