Cada vegada és més freqüent que es produeixin ciberatacs que danyen els sistemes informàtics de les empreses. La pèrdua dels actius d’informació, sigui per un accident fortuït (causes naturals, errors humans, etc.) o a causa d’un atac intencionat és una preocupació creixent per a les empreses de totes les mides i sectors. Les conseqüències d’un incident poden afectar a dades comercials, patents, finances, equipament, etc. i a la reputació de les persones o de la marca, en definitiva al negoci. Algunes asseguradores ja comercialitzen les anomenades “ciberassegurances”, que cobreixen els danys causats per atacs informàtics externs (pèrdua d’informació, sancions, etc.).
Els riscos del ciberespai, i la necessitat de complir amb normatives com la de protecció de dades personals, han propiciat la comercialització de les anomenades “ciberassegurances”. Però, en què consisteixen realment? Quines són les seves principals cobertures?
Cada vegada és més freqüent que es produeixin ciberatacs que danyen els sistemes informàtics de les empreses. La pèrdua dels actius d’informació, sigui per un accident fortuït (causes naturals, errors humans, etc.) o a causa d’un atac intencionat és una preocupació creixent per a les empreses de totes les mides i sectors. Les conseqüències d’un incident poden afectar a dades comercials, patents, finances, equipament, etc. i a la reputació de les persones o de la marca, en definitiva al negoci. Per això, ciutadans i empreses –sobretot aquestes últimes, independentment del seu volum de negoci– han començat a subscriure “ciberpòlisses”, definides com a “productes asseguradors que el seu objectiu és proveir protecció davant una àmplia gamma d’incidents derivats dels riscos en el ciberespai, l’ús d’infraestructures tecnològiques i les activitats desenvolupades en aquest entorn”.
Principals cobertures de les ciberassegurances
Les ciberassegurances vinculen i obliguen legalment a una companyia asseguradora davant l’ocurrència de determinats esdeveniments cibernètics definits contractualment que comportin pèrdues, pagant una quantitat especificada (reclamació/sinistre) a l’assegurat. En contraprestació, el prenedor de l’assegurança pagarà una suma fixa (prima) a la companyia asseguradora. I el contracte signat per ambdues parts inclourà aspectes com els tipus de cobertures, límits, exclusions, definicions i, en alguns casos, com es procedirà a avaluar el nivell de l’assegurat.
Com succeeix amb altres pòlisses d’assegurances, les ciberassegurances contemplen unes garanties bàsiques i altres opcionals. I si bé és cert que cada contracte és diferent en funció dels actius, la mida de l’empresa, el nivell d’exposició digital, el volum de dades a salvaguardar o el nivell de seguretat del prenedor.
Les cobertures no són només legals o econòmiques, sinó que també són tècniques. Aquestes en són algunes:
- cobertures de responsabilitat civil a tercers
- responsabilitat per pèrdua de dades de caràcter personal o riscos de privadesa i per despeses de notificació de vulneracions de privadesa als titulars de les dades i a tercers interessats
- cobertura contra les reclamacions per la violació de drets de propietat intel·lectual relatius a qualsevol tipus de continguts, inclosos els continguts generats per un usuari
- defensa jurídica i assistència a judici; despeses de defensa per multes i sancions d’organismes reguladors; cobertura per a procediments i recerques d’organismes reguladors
- protecció enfront de reclamacions de tercers per incompliment en casos de custòdia de dades, difamació en mitjans corporatius o infecció per malware
- cobertura de pèrdua de beneficis
- cobertura de pèrdues d’ingressos nets com a resultat d’una vulneració de seguretat o d’un atac de denegació de servei
- cobertura per a les dades hostatjades al núvol
- despeses de gestió i comunicació de crisi (a través de consultores tecnològiques)
- assistència tècnica i despeses d’investigació del sinistre; costos d’una possible anàlisi forense en cas que sigui necessari (fugides de dades, pirateria, etc.)
- despeses de reparació i restauració de les dades esborrades i dels equips danyats
- cobertura de delictes cibernètics: estafes de phishing, suplantació d’identitat, hacking telefònic, robatori d’identitat, frau electrònic i extorsió cibernètica
- assistència tècnica enfront d’una intrusió de tercers en els sistemes informàtics de l’assegurat
- despeses per errors tecnològics i omissions
A més algunes ofereixen serveis extra com:
- adequació personalitzada a la LOPD
- mesures de prevenció com a anàlisi externa i interna de les xarxes informàtiques del client
- línia d’atenció telefònica o a través del web
Com sempre que tractem amb asseguradores hem de llegir amb deteniment les pòlisses amb les seves condicions i exclusions per no tenir sorpreses i comprendre com hem de procedir en cas d’un incident.
Font: Institut Nacional de Ciberseguretat (INCIBE)
Lecturas: 1.389