Ciber Riesgos y el nuevo Reglamento Europeo de Protección de Datos

Si te quieren atacar te van a atacar.

Por ello,  la concepción que deberíamos de tener respecto a asegurarnos (desde un punto de vista de un cliente) en temas de Cyber Riesgos es como quien se pone una vacuna. Hay que vacunarse y así el virus tendrá menos impacto. Por tanto, toda empresa debería de tener un seguro de Cyber Riesgos porque atacarte tarde o temprano te van a atacar y si tienes seguro el impacto, obviamente, será menor, tanto para ti como para tu negocio.

¿Y cuáles son o pueden ser las consecuencias de dicho ataque?, muy dispares: disminución o pérdida de las ventas con la correspondiente disminución de los ingresos, responder ante la Agencia Española de Protección de Datos (en adelante AEPD), mala publicidad para su empresa, no poder cumplir con compromisos frente a sus proveedores, sanciones administrativas, etc.. Grosso modo los daños económicos podrían calificarse en: daño emergente (los costes extras que tiene la empresa para volver a su estatus quo como por ejemplo las horas extra improductivas), pérdida de valor de los intangibles (valor de una marca, fondo de comercio), lucro cesante (pérdida del margen bruto o margen de explotación) y daño reputacional (la opinión pública negativa, pérdida de confianza, fuga de talento, etc..)

Pero, ¿de qué tipo de ataques estamos hablando?. Los ataques podríamos dividirlos en ataques internos y ataques externos siendo los primeros de dos tipos, dirigidos (como por ejemplo, publicar secretos) o genéricos (ejemplo, malware, ramsonware o phising), y los segundos económicos y sociales (estos últimos buscando una repercusión mediática).

No obstante lo anterior lo aconsejable y recomendable antes de proceder con la cura es la prevención. La prevención es la clave, es una inversión a largo plazo y desde un punto de vista económico, el impacto es menos doloroso. Dado que un ciber ataque no se puede evitar lo ideal para mitigar el daño, cuanto más mejor, es estar lo más preparado posible, pero, ¿cómo?. Pues analizando las vulnerabilidades internas y externas, parcheando dichas vulnerabilidades, con un soporte técnico de seguridad, con un sistema antisecuestro de información, definiendo un protocolo de actuación y con un servicio de ciber vigilancia por ejemplo. Además, y desde un punto de vista cómo compañía de seguros, es positivo pues una empresa (cliente) que tiene medidas de prevención es vista con mejores ojos a la hora de suscribir su póliza de Cyber Riesgos, tendrá, a priori, una prima más económica, mejor franquicia y unos límites más adecuados que aquella que no disponga de medidas de prevención las cuales directamente podrían ser declinadas de cotizar.

Desde el punto de vista regulatorio y teniendo en cuenta que cada vez más los datos personales se están convirtiendo en la moneda de cambio el 4 de Mayo de 2016 se publicó el Reglamento (UE) 2016/679 del Parlamento Europeo y Del Consejo, de 27 de Abril de 2016, relativo a la protección de las persona físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (el “REPD”) que deroga la Directiva 95/46/CE. ¿Su aplicación?, a partir del 25 de Mayo de 2018. Entre los cambios que la aplicación de esta norma puede traer a nuestra país podemos destacar tres principales:

  1. En caso de fuga o pérdida de datos personales existe la obligación por parte de la empresa de notificarlo tanto a la AEPD (en el caso español) como a los afectados/perjudicados. Imagínense el coste que podría llevar acarreado dicha comunicación…
  2.  El importe de las sanciones. Con el REPD el importe cambia hasta 20MM de euros o el 4% del volumen total de negocio para las infracciones más graves. Actualmente está en 600.000 €.
  3. La posibilidad de que los perjudicados puedan demandar a las empresas. Hoy día es posible en la legislación española vigente pero con el REPD se posibilita el que se pueda hacer de forma colectiva si existen varios perjudicados en cualquier parte de Europa.

En definitiva, y para concluir, existen encuestas y estudios (como el realizado por Panda Security junto a Nielsen) que establecen que más del 91% de las PYMES españolas afirma sufrir ataques informáticos a diario. Por tanto, la necesidad de este tipo de pólizas no es ya para únicamente para la gran corporación sino que todo el negocio PYME se encuentra en el punto de mira. Y España, no lo olvidemos, es un país de PYMES.