Pillsbury Latin America | La Bola de Cristal Cibernética: ¿Existe una Cobertura de Seguro para las Principales Amenazas de 2017? (Parte II)
Perspectivas Juridicas
This links to the home page
Blog
Filtros
  • La Bola de Cristal Cibernética: ¿Existe una Cobertura de Seguro para las Principales Amenazas de 2017? (Parte II)
    03/16/2017
    Por Peri Mahaley

    En nuestra publicación anterior, comenzamos respondiendo la pregunta de si es probable que las pólizas cibernéticas especializadas respondan a dos de las cinco amenazas cibernéticas principales para 2017 identificadas por Experian Data Breach Resolution en su pronóstico de la industria. En esta publicación, examinamos las tres restantes.

    Ataques Continuos al Sector de Atención Médica
    Experian pronostica que el sector de atención médica seguirá siendo el sector más atacado, con más ataques a redes de hospitales y más robos de fichas médicas electrónicas. El ransomware seguirá siendo una preocupación principal, con un énfasis cambiante desde el bloqueo de acceso a sistemas hacia el robo de información para su venta o para usarla como palanca para el robo de identidad. Además, los lineamientos recientes de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos del gobierno estadounidense señalan que los ataques de ransomware pueden clasificarse como violaciones que conllevan la obligación de efectuar una notificación bajo la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (Health Insurance Portability and Accountability Act, HIPAA), lo que sincrementa significativamente los posibles costos de dichos eventos.

    Con frecuencia, la cobertura contra la extorsión cibernética se proporciona mediante pólizas cibernéticas, pero el alcance de dicha cobertura varía ampliamente. Mientras que algunas pólizas limitan la cobertura al pago de rescate, otras cubren una amplia gama de gastos relacionados, como los costos de investigación de la validez y gravedad de la amenaza, la contratación de negociadores independientes y la protección contra otras amenazas. Hasta hace poco tiempo, era posible que la notificación de las personas afectadas fuera requerida en los casos de extorsión y, por lo tanto, no se incluía en la cobertura. Los sistemas de atención médica, en particular, deberían asegurarse de comprar la cobertura más amplia posible contra la extorsión, teniendo en cuenta estos nuevos requisitos.

    Enfoque en Ataques Basados en el Pago
    Experian cree, en 2017, que los hackers seguirán enfocándose en obtener información de tarjetas de pago. Aunque la tecnología de chips EMV (cuyo nombre se debe a sus desarrolladores originales, Europay, MasterCard y Visa) está disponible para evitar el fraude en los puntos de venta (point of sale, POS), la adopción de la nueva tecnología ha sido desigual. Los minoristas estadounidenses van a la zaga de sus contrapartes en el extranjero, esto a pesar de que las principales redes de pagos están trasladando más responsabilidad por transacciones fraudulentas desde los emisores de tarjetas hacia aquellos comerciantes que no utilizan dispositivos con chip. Mientras tanto, los atacantes siguen encontrando nuevas técnicas para robar datos de tarjetas de pago en masa utilizando “skimmers” de POS.

    Como se indicó anteriormente, la cobertura está disponible para multas, sanciones y otros recargos que deben pagarse a las marcas de tarjetas de pago en virtud de los contratos de servicios de tarjetas, pero no se oferta automáticamente en una póliza cibernética estándar. Los titulares de pólizas que procesen pagos con tarjeta de crédito deben negociar esta cobertura especializada. Además, deben prestar mucha atención a los detalles de la cobertura. Parte de la redacción de la póliza limita la cobertura a reclamos realizados por las propias marcas de tarjetas, cuando, en realidad, la obligación directa puede ser hacia el procesador intermedio de pagos, quien a su vez está obligado a indemnizar a la marca de la tarjeta. Los asegurados también deben asegurarse de que una exclusión estándar de la póliza, por pérdidas derivadas de la asunción de responsabilidad contractual o incumplimiento general del contrato no anule la cobertura de responsabilidad de la tarjeta de pago. Idealmente, la cobertura incluirá los costos legales incurridos para responder a reclamos de la tarjeta de pago y los costos de cualquier investigación forense requerida por las marcas de la tarjeta.

    Grandes Dolores de Cabeza para Compañías Multinacionales
    Se espera que los ataques más perjudiciales sean los que implican la pérdida de datos de los consumidores internacionales, en gran parte debido a la proliferación de nuevas normas con respecto a los planes de respuesta y a las normas de notificación. El Reglamento General de Protección de Datos (General Data Protection Regulation) de la UE y las nuevas reglamentaciones preparadas para entrar en vigencia en Canadá y Australia complicarán las cosas y aumentarán los costos para las multinacionales. Los consumidores que no están acostumbrados a ser notificados de las filtraciones pueden aumentar sus quejas, y pueden dejar de hacer negocios con las compañías afectadas por una filtración.

    Los costos de notificar a los consumidores según lo requerido por la ley o la reglamentación— tanto nacional como extranjera—generalmente, están cubiertos por pólizas cibernéticas, pero las compañías pueden querer revisar la adecuación de los límites de sus pólizas. A pesar que las compañías pueden comprar cobertura de lucro cesante durante la suspensión o interrupción de operaciones causada por una filtración, generalmente, la cobertura no está disponible para el negocio que se pierde de forma permanente como consecuencia de la falta de confianza del consumidor.

    Si bien la cobertura de todas estas eventualidades puede no estar disponible en la actualidad, se espera que crezca en el futuro a medida que los riesgos se entiendan y se gestionen mejor. Más importante aún, las compañías deben ser proactivas en presionar a sus corredores y aseguradoras para que ofrezcan productos de seguros que hagan frente a las amenazas conocidas.