¿Cómo escoger mi póliza cibernética?

Sara Muñoz Rubio, Cyber Risk Practice Leader Spain, Marsh

Las pólizas de ciberriesgo deben entenderse como una medida adicional de protección frente a los incidentes de ciberseguridad, y matizo incidentes y no ciberataques dado que el error humano puede ser uno de los desencadenantes en la materia. En este sentido el seguro Cyber es la última barrera de defensa entre las consecuencias del ciberriesgo y la cuenta de resultados de cualquier empresa o entidad. Esta medida de defensa financiera debe tener en cuenta que es lo que necesita la empresa y que es lo que se puede transferir al mercado asegurador.

Antes de dirigirnos y embarcarnos en la compra del seguro debemos hacer un ejercicio de autocrítica, para con ello revisar si todos estamos alineados con las políticas de seguridad y si somos conocedores de lo que podemos y no podemos hacer con los dispositivos corporativos. Si disponemos de medidas técnicas suficientes para proteger nuestros activos e información y cumplimos con la normativa vigente, siendo este último de gran relevancia con la entrada en vigor a finales de mayo del nuevo reglamento de Protección de Datos. No debemos olvidar que este riesgo es un riesgo transversal que afecta a toda la compañía y no solo al departamento de seguridad de la información o el departamento informático.

Junto con este análisis previo es importante y fundamental tener en cuenta a nuestros proveedores tecnológicos, pues estos también son foco de riesgo. Es lo que comúnmente llamamos “Puertas Traseras”. Podemos invertir cantidades ingentes en ciberseguridad pero sino ponemos en nuestro radar a nuestros proveedores o colaboradores junto con la formación a los empleados, no estaremos haciendo un buen trabajo.

Una vez seamos conscientes de nuestras políticas, lo proveedores tecnológicos con los que contamos y sus niveles de seguridad, podremos conocer y tener una toma de decisión informada sobre qué es lo que se necesita del sector asegurador.

En base a nuestra experiencia una buena póliza de ciberriesgos tiene que tener:

  • Un buen panel de respuesta a nivel técnico, legal y reputacional. Para que desde el minuto 1 ayude a minimizar el impacto de cualquier incidente. Esta cobertura es crucial sobre todo para aquellas empresas que no cuentan con un equipo propio de profesionales que puedan resolver los problemas de una caída de los sistemas o la introducción de un virus por ejemplo.
  • En función de lo que necesite cada entidad, debe contar con la cobertura para las pérdidas que nos pueda causar un proveedor tecnológico de servicios y más si tenemos proveedores “cloud”. Esto no implica que se dé cobertura directa a los propios proveedores, tan solo a aquellos incidentes que nos afecten directamente y nos causen algún tipo de pérdida en relación con nuestros datos o la paralización de los sistemas informáticos.
  • Adicionalmente y como parte de la activación de la cobertura es importante que se considere el error humano como desencadenante del incidente. Al ser un riesgo transversal cualquier empleado puede cometer un error que termine en un incidente de seguridad o privacidad.

Somos conscientes de que este ejercicio puede ser complicado dentro de una organización, por lo que es fundamental el buen asesoramiento a través de profesionales que puedan ofrecer soporte desde la definición de los escenarios potenciales de riesgo hasta el diseño y contratación de un producto adaptado a las necesidades empresariales y organizativas de cada empresa.