El propósito del seguro cibernético es básicamente el mismo que el de cualquier otra forma de seguro. El seguro brinda protección en caso de que ocurra un evento raro pero inasequible, que de otro modo podría dañar gravemente la posición financiera de la empresa y conducir potencialmente a la bancarrota.
Sin embargo, al igual que con el seguro del hogar o del automóvil, si deja su automóvil abierto con las llaves en el encendido y se lo roban, o esconde la llave de la puerta de entrada debajo de una maceta y le roban todas sus pertenencias, entonces ninguna aseguradora va a pagar. Tampoco es probable que el seguro cibernético cubra impactos intangibles como el daño a la reputación, por lo que no es una alternativa a la protección cibernética adecuada.
Las compañías de seguros están allí para obtener ganancias, por lo que, en promedio, sus pagos serán menores que las primas que reciben. No obstante, debido a que tomar precauciones, como instalar mejores cerraduras y alarmas, puede reducir los costos de seguro de hogar y automóvil, el mismo principio es válido para el seguro cibernético. Cuantas más medidas de protección reconocidas existan, es probable que las primas sean más bajas.
Esto podría incluir la certificación bajo el Cyber Essentials Scheme y la serie de estándares ISO27000, el uso de proveedores de servicios certificados. La protección y los procesos propios de la empresa y la integración de los servicios relevantes en el plan de respuesta a incidentes también son importantes.
Este nivel razonable de protección debe existir para que el seguro sea válido. En términos de seguridad física, esto normalmente significaría estándares reconocidos de sistemas de alarma de bloqueo, vigilancia por circuito cerrado de televisión, etc.
Sin embargo, lo que se considera una práctica razonable y buena cambiará con el tiempo y está cambiando más rápidamente para la seguridad cibernética, por lo que también es importante mantener esa protección actualizada e ir más allá del mínimo requerido por la aseguradora también puede reducir las primas.
En particular, su estrategia de copia de seguridad debe protegerse contra los últimos ataques de ransomware, que se dirigen tanto a la copia de seguridad como a los datos en línea. Algunas políticas pueden proteger contra ataques nuevos y desconocidos, pero probablemente no un ataque nuevo del que se debería esperar razonablemente que conozca.
Al abordar el seguro cibernético, el primer paso es identificar qué es lo que debe protegerse, por ejemplo, ¿cuáles son los activos de datos valiosos de la organización y qué sistemas o servicios, si se ven afectados por un ataque, podrían dañar gravemente el negocio? Entonces, teniendo esto en cuenta, ¿cuáles serían los costos en caso de que hubiera un ataque? Estos podrían incluir:
- El costo de responder al ataque en sí, ya sea costos internos o externos del proveedor de servicios, administración de medios y redes sociales, etc.
- Costes legales y regulatorios (como notificación al ICO y terceros afectados).
- Costo de la pérdida de acceso a sistemas o datos, en particular por un ataque de ransomware. Incluida la pérdida de producción.
- Reclamaciones de terceros: pérdida de datos personales, pérdidas financieras de terceros, daños por entregas tardías, imposibilidad de prestar servicios, etc.
- Cliente reclama si sus productos o servicios que han sido infectados con malware son parte de un ataque a la cadena de suministro.
- Daño a la reputación y otros costos intangibles que pueden no estar cubiertos.
Esto debería ayudar a identificar qué debe cubrir cualquier póliza y también proporcionar una estimación del nivel de cobertura que puede ser necesario.
Una vez identificada la necesidad, es posible consultar las ofertas de las aseguradoras para ver cuánto se puede cubrir. Esto nunca es tan fácil con las pólizas de seguro y la seguridad cibernética puede tener complejidades técnicas, por lo que necesitará el apoyo de expertos técnicos y legales para analizar los detalles y garantizar que la cobertura sea adecuada y confirmar qué está cubierto y qué no está cubierto.
Esto debería incluir la identificación de requisitos específicos de protección y certificación, así como la cobertura de ataques nuevos y emergentes y cualquier posible exclusión o limitación. Por ejemplo, ¿se incluyen reclamaciones de terceros y violaciones de datos? Otras consideraciones podrían ser qué servicios de asesoramiento, orientación o consultoría están disponibles del asegurador.
El seguro cibernético ha madurado significativamente en los últimos años, pero aún puede ser complejo. Al mismo tiempo, la amenaza de un ataque cibernético está cambiando más rápido que nunca y su costo puede ser devastador para algunas empresas. Por lo tanto, el seguro cibernético es una herramienta legítima para que muchos protejan sus negocios.
Pero se necesita un grado de diligencia para seleccionar un seguro adecuado y verificar que la cobertura sea la adecuada, así como que los sistemas estén a la altura para que cualquier siniestro sea válido.