Las estadísticas dicen que España es el tercer país con más ciberataques del mundo con una media de 40.000 ataques al día, tras Estados Unidos y Alemania (fuente aquí). Con independencia del puesto que ocupa España en las estadísticas, lo cierto es que nuestro país es uno de los más vulnerables.
Según un informe de la Agencia Española de Protección de Datos, en el año 2021 se realizaron un total de 1.635 notificaciones de brechas de seguridad. La gran mayoría de las brechas de seguridad se producen por ciberataques.
La lista de afectados por ciberataques es extensa. Muchos ciberataques afectan a grandes empresas, si bien la mayoría se ceban con las pymes por su debilidad tecnológica.
Los perjuicios causados en una empresa por la ciberdelincuencia pasan por pérdidas económicas, perjuicios para su imagen y reputación y afectación en la continuidad del negocio. Aparte de posibles sanciones impuestas por la autoridad de control en los casos de ausencia o insuficiencia de medidas de seguridad de la información.
Para corregir los efectos derivados de ciberataques surgen los ciberseguros o seguros ciberriesgo.
En cualquier negocio es habitual contratar un seguro para cubrir los daños que puedan sufrir las instalaciones de la empresa, pero estos seguros no cubren los daños ocasionados por virus y ataques informáticos.
Coberturas
A modo de ejemplo, con independencia de la vía de entrada del ciberataque, las pólizas suelen cubrir:
- Daños a los sistemas informáticos del asegurado.
- Gastos de restauración del sistema de acceso.
- Pérdidas financieras derivadas por la paralización de la actividad.
- Pérdidas de beneficios por problemas técnicos.
- Gastos derivados de notificación de la brecha de seguridad a afectados.
- Responsabilidad civil frente a terceros por violación de la privacidad.
- Sanciones administrativas, como las multas impuestas por la autoridad de control.
- Gastos de defensa, fianzas y conflicto de intereses.
- Servicio forense (peritos informáticos judiciales).
- Asistencia técnica ilimitada de expertos en ciberseguridad.
Las pólizas lo que no suelen cubrir es lo siguiente:
- Reembolso del rescate.
- Daños causados por dolo o mala fe.
- Daños previsibles o conocidos al hacer la contratación.
- Infracciones o incumplimientos voluntarios de la normativa.
- Daños causados a bases de datos o aplicaciones con código de programación propio.
- Defectos o errores en los sistemas informáticos por errores de programación.
- Robo, daño o pérdida de información obtenida de forma ilegal.
Requisitos para contratar
Para poder contratar un ciberseguro, las compañías aseguradoras suelen exigir unas condiciones mínimas:
- Haber realizado la adaptación completa a la normativa de protección de datos.
- Haber implantado las medidas recomendadas para asegurar la información.
- Disponer de programas y aplicaciones (software) con licencia y actualizarlos.
- Realizar, periódicamente, copias de respaldo o seguridad.
De querer contratar un ciberseguro, las aseguradoras suelen evaluar todos los aspectos técnicos y de ciberseguridad de la empresa e infraestructuras tecnológicas. Tras detectar vulnerabilidades, como configuraciones inseguras, sistemas no actualizados o falta de protocolos de seguridad y formación, exigirán las correcciones y mejoras necesarias para alcanzar un mínimo de seguridad.
Tendremos que tener en cuenta las condiciones que establezca la aseguradora, ya que no estarán cubiertos los incidentes que sean atribuibles a nuestra empresa por comportamientos ilícitos o intencionados, como puede ser la vulneración de la normativa de protección de datos.
A modo de ejemplo, la prima de un ciberseguro para un centro sanitario con una facturación entre 125.001 € y 250.000 €, con un capital asegurado de 100.000 € y sin siniestros (ciberataques) en los tres años anteriores cuesta 316,86 € (ver presupuesto). En el mercado hay diferentes ofertas y hay unas compañías mejores que otras, de ello dependerá el precio de las primas.
Conclusión
Mi recomendación es que contemplen la contratación de este tipo de seguros. Para la gran mayoría, el coste es asumible y las ventajas son muchas. Siempre pueden contratar un seguro básico al principio e ir añadiendo coberturas según vaya evolucionando el negocio.
Dado el incremento de ciberataques, auguro que este tipo de seguros, en un futuro no muy lejano, serán más caros, incrementarán el importe de las franquicias, verán reducidas sus coberturas o directamente no se prestarán por parte de algunas compañías aseguradoras por falta de rentabilidad.
Más información
Pueden ampliar la información sobre ciberataques y sus distintas modalidades en los siguientes enlaces:
—