Pillsbury Latin America | La Bola de Cristal Cibernética: ¿Existe una Cobertura de Seguro para las Principales Amenazas de 2017? (Parte I)
Perspectivas Juridicas
This links to the home page
Blog
Filtros
  • La Bola de Cristal Cibernética: ¿Existe una Cobertura de Seguro para las Principales Amenazas de 2017? (Parte I)
    03/14/2017
    Por Peri Mahaley

    Los sabios cibernéticos nos dicen que la cuestión no es saber si su empresa sufrirá una filtración de datos, sino cuándo. Para prepararse para lo inevitable, las empresas quieren saber cuál es la siguiente amenaza en el horizonte. En los últimos meses, los expertos han ofrecido muchos puntos de vista sobre las principales tendencias cibernéticas para 2017 y muchos consejos sobre las medidas de seguridad que las empresas deben tomar ante estas predicciones. Pero si la pérdida futura de datos es una realidad, las empresas quieren saber si existirá un seguro que cubra esa pérdida. Examinamos algunos de los pronósticos e intentamos responder esta pregunta.

    En su cuarto Pronóstico Anual de la Industria de Filtración de Datos, (Experian Data Breach Resolution), Experian, un proveedor de servicios de respuesta y protección contra filtraciones de datos con un historial de manejo de incidentes de alto perfil, identificó cinco tendencias principales de filtración de datos para 2017. Abordaremos las primeras dos de esas tendencias en esta publicación.

    Aftershock Password
    Experian pronostica que las compañías experimentarán cada vez más los impactos producto de filtraciones anteriores ya que la información de nombres de usuario y contraseñas obtenidas en ataques anteriores es vendida y revendida en la dark net. Las compañías afectadas podrían incluir no solo aquellas que fueron víctimas del ataque original, sino a empresas no relacionadas en los casos en que los consumidores han utilizado los mismos nombres de usuario y contraseñas para múltiples cuentas. Las violaciones masivas como el hackeo de mil millones de cuentas de usuario de Yahoo aumentan de forma exponencial este riesgo.

    Las pólizas de seguro especializadas para riesgo cibernético son la fuente principal de cobertura para este tipo de eventos. Tanto el costo de la defensa como los daños y perjuicios derivados de reclamos de terceros por el acceso o la divulgación no autorizada de información personal identificable (personally identifiable information, PII), incluida la información médica protegida (protected health information, PHI), están dentro de la cobertura principal de estas pólizas. Los costos de responder a una filtración —costos de notificación, costos del centro de llamadas, gastos de gestión de crisis y monitoreo de crédito—también suelen estar cubiertos. La cobertura por multas y sanciones pagaderas a las marcas de tarjetas de pago como Visa y Mastercard está disponible, pero normalmente por una prima adicional. También se puede comprar la cobertura de lucro cesante debido a una interrupción comercial o de la red provocada por una violación.

    Pero el escenario después de la conmoción presenta problemas especiales. Con respecto a la víctima del ataque original, es probable que la aseguradora asuma la posición de que cualquier reclamo o pérdida atribuible a una violación que haya ocurrido hace años se relaciona con el incidente original y no está cubierta por la póliza actual. Aunque la compañía puede recurrir a la póliza que estaba vigente cuando se presentaron los reclamos por primera vez, es posible que los límites de esa póliza ya se hayan agotado o liberado por un acuerdo anterior. Una compañía que no experimentó una filtración directamente, pero que sufre pérdidas o reclamos debido al uso fraudulento de credenciales robadas anteriormente a una compañía diferente, se enfrenta un reto aún mayor. Su cobertura puede ser activada solo por un fallo de seguridad que afecte a su propia red o el acceso no autorizado de información bajo su propia custodia o control. Por último, no hay cobertura para los efectos a largo plazo en las empresas de las víctimas de la violación, como el impacto negativo en el acuerdo de Yahoo-Verizon.

    Ataques de Estados: Transición de Espionaje a Guerra
    Experian pronostica una escalada de conflictos cibernéticos entre países, que evolucionará desde el espionaje hasta el conflicto abierto y, quizás, incluso la guerra. Según la opinión de Experian, los daños colaterales para los consumidores y las empresas son inevitables, mientras que las industrias responsables de la infraestructura crítica son particularmente vulnerables.

    Surgen dos áreas de preocupación en el frente de la cobertura. El primero es el hecho de que la mayoría de las pólizas cibernéticas contienen alguna forma de exclusión por pérdidas derivadas de actos de guerra por parte de estados extranjeros, acciones militares, insurrecciones, revolución y similares. Pero, hasta ahora, aunque se conocera o se sospechara que los actores estatales extranjeros eran responsables de ciberataques, los incidentes llegarona considerarse actos de guerra o acción militar. Además, muchas de estas exclusiones tienen excepciones de ciberterrorismo, que han servido para preservar la cobertura de este tipo de escenarios hasta la fecha. Sin embargo, si la predicción de Experian es correcta, las aseguradoras probablemente negarán la cobertura con más frecuencia basándose en la exclusión de la guerra.

    La segunda preocupación es que la cobertura por pérdidas debido a ataques cibernéticos a infraestructura crítica puede no estar cubierta por las pólizas cibernéticas estándares. La mayoría de las pólizas proveen cobertura por pérdidas derivadas de fallos en las medidas de seguridad del sistema informático del titular de la póliza destinadas a prevenir el acceso o uso no autorizado , pero el término “sistema informático” con frecuencia no está claramente definido para incluir controles operacionales o industriales. Muchos ataques a la infraestructura hasta la fecha se han dirigido precisamente a este tipo de sistemas (p. ej., el ataque de 2015 a dos compañías de distribución de energía de Ucrania y la toma de control del sistema de una planta de acero alemana en 2014), y se espera que lo hagan en el futuro. La cobertura para este tipo de hechos está disponible en el mercado y debe ser considerada, especialmente, por las compañías cuyas operaciones continuas son esenciales para la seguridad pública.