Ciberpólizas: parte de la solución frente a los riesgos cibernéticos

Antes de adentrarnos en la cobertura de las pólizas de seguro para los riesgos cibernéticos, debe tenerse en consideración que dichos riesgos no solo se centran en aquellos asociados a los ataques externos o internos (no olvidemos que un foco muy importante de riesgo es el empleado descontento), sino que también se encuentran como factor de riesgo los errores humanos.

Por otro lado, también es importante destacar que no solo debemos proteger los sistemas informáticos propios, sino todos aquellos que de alguna manera tengan conectividad con los nuestros, por lo que no podemos olvidarnos de los proveedores. De hecho, una buena gestión de riesgos incluye de manera contractual la limitación de responsabilidad y la exigencia de unas medidas de seguridad adecuadas de los proveedores. Estamos empezando a ver que se está instaurando como buena práctica la exigencia de las pólizas ciber a los propios proveedores.

Dicho lo anterior, podemos constatar que estos riesgos son transversales, que no solo se centran en los departamentos de IT o de asesoría jurídica de una empresa, sino que atañe a cualquier departamento de la misma: recursos humanos, contabilidad, ventas, compras, etc. Por ello, antes de dirigirnos y embarcarnos en la compra del seguro, debemos hacer un ejercicio de autocrítica para revisar si todos los departamentos están alineados con las políticas de seguridad de la empresa y si son conocedores de lo que se puede y no se puede hacer con los dispositivos corporativos, o de si se dispone de medidas técnicas suficientes para proteger los activos e información y para con la normativa vigente. Esto último, además, adquiere gran relevancia con la entrada en vigor el pasado mes de mayo del nuevo Reglamento Europeo de Protección de Datos.

Evitar duplicidades

Adicionalmente a este ejercicio, también será necesario tener en cuenta la cobertura que ofrecen otro tipo de seguros tradicionales, para con ello poder evitar duplicidades o vacíos de cobertura. A modo de ejemplo, destacamos:

- Cobertura para los administradores y directivos. En la actualidad existen pólizas para cubrir la responsabilidad personal de estas figuras. No olvidemos que tienen responsabilidad frente a las decisiones que se tomen para la empresa, y la estrategia de ciberseguridad es una de ellas.

- Cobertura de fraude/crimen. Estas pólizas existen mucho antes de la creación de las pólizas ciber, aunque la parte que en este caso nos afecta es la de fraude informático. Este tipo de ataques, cada vez más frecuentes, está haciendo que las pólizas ciber empiecen a tener coberturas parciales para tratar de cubrir las pérdidas financieras directas de los ataques o suplantaciones de identidad. No obstante, las propias pólizas de fraude ya ofrecen esta extensión y de una manera amplia.

- Por otro lado, y dependiendo del sector de actividad, también es muy importante tener una buena cobertura de daños materiales que incluya los incidentes de ciberseguridad como disparadores de la cobertura. Hasta hace relativamente poco tiempo, los mercados tradicionales de daños materiales no estaban contemplando esta opción, pero no se puede parar el desarrollo, con lo que se están viendo forzados a ir cambiando la mentalidad y, con ello, los clausulados de sus pólizas.

- Por último, y también dependiendo del sector de actividad, es necesario revisar los clausulados de las pólizas de responsabilidad civil profesional, para con ello evitar duplicidades o vacíos de cobertura derivados de los errores profesionales en la prestación de los servicios. Esto último es de especial relevancia para las profesiones técnicas, como los desarrolladores de software o cualquier proveedor tecnológico.

Con todo lo comentado anteriormente, podemos concluir que el riesgo cibernético es transversal, donde la solución que ofrece el sector asegurador se compone de varias pólizas, principalmente a través de las de tipo ciber, que dan respuesta ad hoc. Asimismo, es imprescindible hacer un acercamiento maduro al mercado asegurador que se base en las necesidades de cada empresa en función de su sector de actividad, madurez, internacionalización, requerimientos contractuales, etc.