Dialogamos con Martín Elizalde, Socio Fundador de Foresenics, Informática Forense; Christian Rada, Vicepresidente y Gerente del área de Corporate de Marsh; y con Juan Ramallo, Gerente de Líneas Comerciales y Segmento Corporativo de Seguros SURA, sobre las coberturas disponibles para riesgos informáticos. Los tipos de ataques más frecuentes.
Escribe Aníbal Cejas
Se dice que la cobertura de los seguros de ciber riesgo es el negocio del futuro. A medida que la tecnología digital se ha instalado en nuestras vidas, la pérdida de privacidad es cada vez más frecuente.
La oferta de seguros del mercado para transferir los riesgos cibernéticos se basa en dos aspectos: la cobertura de los riesgos relacionados con la mayor dependencia que las empresas tienen de las redes informáticas, y los riesgos derivados de la violación o destrucción de la inmensa cantidad de datos privados que las empresas recogen y almacenan.
Entre estos riesgos se destacan la responsabilidad frente a la privacidad de terceros, la extorsión cibernética, los gastos para investigar y responder a un fallo del sistema o a la violación de la privacidad.
Pero, ¿qué se entiende por ciber delito? El abogado Martín Elizalde, Socio Fundador de Foresenics, Informática Forense, respondió: «El delito informático son acciones, no omisiones, acciones voluntarias en contra de la confidencialidad de la información que se ataca, de la integridad y de la disponibilidad de la información que ataca. La confidencialidad, integridad y disponibilidad es esencial en materia de seguridad informática. Hay que cuidar la confidencialidad porque el valor a preservar es la privacidad. Y hay que conservar la integridad porque si no, la documentación pierde confiabilidad.
Pero ojo, la confidencialidad no debe ser asociada a algo ‘secreto’. No hay que asociar secreto y confidencialidad. La confidencialidad viene de la mano de la privacidad y cada uno tiene su propio valor de la privacidad».
Sobre la magnitud que pueden alcanzar los siniestros informáticos, Elizalde señaló: «No hay techo. Absolutamente no hay techo. Es tal la cantidad de datos que se procesan por fracción de segundo, que la magnitud de esos siniestros puede ser enorme. Imaginemos un ataque informático al sistema de una aseguradora: se obtiene información confidencial y no confidencial de los asegurados, del propio asegurador, de los liquidadores, de los proveedores, de los empleados, de los terceros, información que va desde los datos de la tarjeta de crédito, la cuenta corriente, la información íntegra de facturación hasta los datos fiscales de una persona. Y desde ahí en adelante, todo lo que se pueda, hasta el estado de salud de una persona.
Otro ejemplo. Hace poco ‘hackearon’ la administración central de un municipio. No se pudo emitir boletas de impuestos y tampoco se podía sacar turno para el hospital municipal. Y hasta hubo problemas de transferencia de fondos del municipio a terceros».
Christian Rada, Vicepresidente y Gerente del área de Corporate de Marsh, lidera un equipo de profesionales en la atención de grandes clientes corporativos, con especialización en diversos riesgos de la industria financiera como el Cibernético. Desde este lugar, Rada definió: «Los delitos informáticos son todas aquellas acciones ilegales, delictivas, o no autorizadas que hacen uso de dispositivos electrónicos e Internet, a fin de vulnerar o dañar los bienes, patrimoniales o no, de terceras personas o entidades.
La magnitud de un siniestro cibernético puede ser muy grande provocando enormes pérdidas para las personas y para las organizaciones. Puede involucrar diversas situaciones como, por ejemplo, una interrupción de la operación de una empresa -ocasionando pérdidas de ingresos-, extorsiones cibernéticas con pedidos de rescates, y situaciones de captura de datos de cliente con amenazas de divulgar la información. El cibercrimen en el mundo está generando pérdidas estimadas de alrededor de 600 mil millones de dólares al año, aproximadamente 0.8% del PBI mundial».
Oferta
Rada especificó que las pólizas de Cyber son seguros nuevos, sobre todo para el mercado de Argentina: «Estas coberturas aún se encuentran en un proceso de desarrollo, y pueden diferir en base a la aseguradora que está analizando y suscribiendo el riesgo. Actualmente son muy pocos los aseguradores locales que ofrecen propuestas para este riesgo».
De hecho, las entidades que lo ofrecen, por ahora, son SURA, Meridional, Chubb y Zurich.
Elizalde, por su parte, dijo que la evolución de esta cobertura en la Argentina también depende de la capacitación interna que se dé en la aseguradora a quienes la manejan, y del énfasis que se ponga en las cláusulas de colaboración: «Hay que concientizar a la aseguradora que está vendiendo un producto relacionado con la privacidad. Tiene que haber un gran conocimiento en la regulación que está en juego, porque en última instancia la magnitud del siniestro va a depender del grado de violación de la privacidad.
El riesgo informático no se basa tanto en reponer una computadora que se rompió sino, fundamentalmente, en cómo componer el daño a la privacidad, cómo enfrentar la violación de la regulación nacional e internacional que protege la privacidad. En otros mercados estamos en un momento donde hay mucha más demanda que oferta porque las aseguradoras son bastante cuidadosas respecto de qué es lo que realmente pueden asegurar. Acá estamos en una etapa previa, en la que la demanda todavía no es importante».
Más adelante, Rada retomó la palabra para informar sobre las soluciones para transferir riesgos informáticos que distribuye Marsh: «Analizamos cada caso con las particularidades propias que puede tener cada empresa e industria. La pérdida y el robo de datos electrónicos, la denegación de servicio e incluso las infracciones de derechos de autor hacen que la protección de datos sensibles sea un problema para toda clase de organizaciones. Los riesgos cibernéticos no sólo pueden revelar, alterar o negar el acceso a información confidencial, sino que pueden causar otro tipo de daños. Buscamos desarrollar soluciones que permitan a nuestros clientes transferir los principales riesgos que son:
• Pérdida de información propia y de terceros.
• Perjuicios a terceros.
• Pérdidas de ingresos.
• Riesgos reputacionales.
Las principales coberturas ofrecidas para transferir las perdidas ocasionados por el riesgo cibernético son las siguientes:
• Gastos legales que, básicamente, incluye los honorarios de abogados, peritos y las primas razonables y necesarias por cualquier póliza judicial o caución.
• Gastos para cubrir la defensa ante procedimientos regulatorios.
• Cobertura para la recuperación de datos perdidos por un incidente informático.
• Cobertura de pérdida por interrupción del negocio.
• Gastos de notificación a clientes sobre el incidente informático sufrido en los sistemas del asegurado.
• Gastos de expertos de relaciones públicas para la restitución de imagen del asegurado luego de un incidente.
• Gastos y monto de rescate ante un incidente de extorsión cibernética.
• Cobertura por reclamos a consecuencia de divulgación de información sensible (datos personales, información corporativa, etc.) de clientes del asegurado.
• Cobertura de reclamos derivados de responsabilidad por fallas en la seguridad de la red informática del asegurado.
• Cobertura de reclamos por calumnias e injurias y derechos de autor en material publicado por el asegurado en la red».
Nuevo producto
El mes pasado, Seguros Sura lanzó su cobertura para riesgos cibernéticos. Sobre este producto, Juan Ramallo, Gerente de Líneas Comerciales y Segmento Corporativo de Seguros SURA, indicó: «Hoy por hoy, el riesgo cibernético está presente en todos los ámbitos y refiere a cualquier peligro que proviene del uso y transmisión de información electrónica. Por esta razón, este producto cubre el daño propio, como la recuperación de información digital, la interrupción de actividad empresarial, la extorsión cibernética, las transacciones bancarias fraudulentas y los gastos para proteger su reputación; también los daños a terceros, como la responsabilidad por violación de información confidencial o datos personales, la responsabilidad por software malicioso o virus informático, la publicación en medios digitales y los gastos judiciales y de defensa; y el manejo de crisis, que incluye gastos forenses, de defensa y autoridades administrativas, y los gastos sin previa autorización. A su vez, este producto brinda al usuario una cobertura 24/7 y está enfocado en otorgar respaldo al ecosistema digital y global de las compañías».
El ejecutivo también puntualizó acerca de los tipos de ataques más frecuentes: «Actualmente, la principal amenaza que está ocurriendo es el Ransomware, o ‘secuestro de datos’, un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción.? Según el último informe de la firma especializada en ciberseguridad Kaspersky, en el segundo trimestre del año se detectaron 16.017 nuevas modificaciones de ransomware existentes. Esa cifra representa más del doble de las 7.620 muestras nuevas detectadas hace un año, en el segundo trimestre de 2018. Sin embargo, los ataques cibernéticos son tan diversos como empresas existan, y cada uno puede tener distintos tipos de riesgos. Algunos de los más comunes implican la pérdida de dinero o la fuente de ingresos como consecuencia de la interrupción de su actividad, la pérdida de información crítica para su negocio, el sufrimiento de daños reputacionales que afectan la confianza de sus clientes, y el recibir sanciones por parte de los organismos de control por el mal uso de la información o la posibilidad de ser demandados o recibir reclamaciones por parte de los afectados (clientes, empleados, socios o proveedores) por el mal uso de la información».
La legislación local
¿Qué indica la ley de protección de datos personales en la Argentina respecto de las responsabilidades de las empresas y cuáles de estas responsabilidades pueden transferirse al seguro? Ramallo explicó: «La Ley Nº 23.326 de protección de datos personales en Argentina indica que las empresas no pueden utilizar los datos recibidos con un fin distinto al pactado ni ceder o divulgar los datos a terceros no autorizados.
A su vez, éstas deben destruir los datos personales una vez terminado el contrato y cumplir con las medidas de seguridad establecidas en la ley. Además, las empresas deben adoptar esta ley y sus regulaciones como la aplicable al contrato, sujetarse a la jurisdicción de los tribunales argentinos para cualquier conflicto, reconocer la autoridad de la Dirección Nacional de Protección de Datos Personales y responder por reclamos de acceso, modificación o actualización realizados por los titulares de los datos. En este sentido, el Seguro de Riesgos Cibernéticos ayuda a que las empresas se concienticen y mediante la Administración del Riesgo empiecen a tomar medidas para proteger los datos de los empleados, clientes, proveedores, etc.
Por otro lado, una de las coberturas de la póliza es la Responsabilidad por violación de información confidencial o datos personales y, por lo tanto, estarían cubiertos en caso de recibir un reclamo de terceros».
Después, Rada sostuvo que la exigibilidad de parte del Estado es muy importante para el desarrollo de estos seguros: «Es clave el rol público dado que la ciberseguridad se ha convertido en uno de los retos más importantes para cualquier Estado. En 2017, el gobierno federal de EE.UU. gestionó 35.277 incidentes cibernéticos que pusieron en riesgo datos o sistemas.
Es importante contar con un marco jurídico actualizado y flexible que permita perseguir delitos que cambian rápido de método. A medida que los sistemas informáticos se han vuelto más sofisticados, los cibercriminales también han sofisticado sus métodos y son más difíciles de detectar».
Por último, Elizalde reflexionó: «Hay que ser muy eficaz en el análisis del asegurado: ¿en qué condiciones de inseguridad tiene su información, cómo la protege, dónde está almacenada, cuáles son los protocolos que se siguen en caso de incidente, cómo se denuncia el incidente, cómo está tratada la elaboración de la información en términos de cumplimiento de las leyes, qué grado de capacitación interna tiene la compañía asegurada?».
