BAQUIA

Ciber-responsabilidad: los seguros de riesgo electrónico

La aún escasa oferta de cobertura de riesgo electrónico proviene de pólizas de amplio recorrido en otros países de nuestro entorno económico, sobre todo anglosajón. En estos países, el seguro complementa toda estrategia de gestión de riesgos. No en vano son dos caras de la misma moneda y, por tanto, necesariamente complementarias e interdependientes.

Es extraño que, por ejemplo, la omnipresencia de los virus no haya hecho pensar que resulta muy difícil la protección contra los llamados “virus del día cero” , es decir, los creados y lanzados inmediatamente después de descubierta una vulnerabilidad, sin dejar tiempo de respuesta a la defensa propuesta por las casas antivirus. En estos casos, la estrategia reactiva no es efectiva y se pueden infligir graves daños sin posibilidad de prevención. Y, una vez que esto suceda, alguien va a tener que dar explicaciones sobre por qué nunca se había contemplado internamente analizar y gestionar la defensa ante esta posibilidad.

Si el ataque es de la suficiente entidad, el asunto escalará a los niveles directivos, quienes sólo van a entender de cuantificación de los daños y de las responsabilidades asociadas, importándoles bien poco el nombre o el lenguaje de programación usado en el virus destructor. Y como, por lo general, carecemos de herramientas de métricas para la cuantificación del daño, el desencuentro entre el entorno tecnológico y el de negocio se acrecienta una vez más.

Las pólizas de riesgo electrónico, en el contexto de un Plan Integral de Gestión de Riesgos, cubren la pérdida no sólo mediante el pago de consultores en seguridad que reparen los sistemas y restablezcan los datos perdidos sino las pérdidas por tiempos muertos de operación, abrazando el concepto de “lucro cesante” , tan escurridizo en la realidad de los sistemas de información.

Es más, si el virus es del jaez de las últimas generaciones, puede incluso utilizar los sistemas infectados como plataforma de ataque a otras organizaciones, añadiendo el riesgo de que éstas reclamen responsabilidad por los daños producidos a la empresa desde la que se ejecutó inadvertidamente el ataque. Hilando aún más fino, si el incidente llega a los medios de comunicación, las modernas pólizas de riesgo electrónico, de escasa difusión en nuestro país, ofrecen incluso posibilidad de cobertura de gastos de un consultor de relaciones públicas que minimice los daños a su reputación, tan difícilmente cuantificables como críticos para el negocio en ciertos sectores.

No son escenarios apocalípticos. Son realidades documentadas y difundidas cada vez con mayor frecuencia en forma de titulares de prensa. En estas últimas semanas, han proliferado diversas noticias de troyanos espías y fraudes en la banca online. La información pública cada vez es mayor y el grado de sensibilización debe abandonar los niveles técnicos para impregnar a la Dirección General, única responsable de mantener la confidencialidad, integridad y disponibilidad de la información.

La cobertura puede abarcar todas las áreas del riesgo electrónico: daños en los propios sistemas de información; demandas de responsabilidad por parte de los empleados (acoso sexual vía email, por ejemplo); responsabilidad hacia terceros por actividades electrónicas realizados por empleados, directivos o socios de la empresa; reclamaciones por incumplimiento de Acuerdos de Nivel de Servicio (SLA) en la prestación electrónica de servicios o la extensión de la tradicional responsabilidad civil profesional a dichas actividades electrónicas, que puede aplicarse en el caso de productos y servicios ofrecidos por cualquier proveedor remoto de servicios de tecnología (ASP).

Pero, ¿por qué se conocen tan poco estos productos? Existen varias razones: la falta de una adecuada percepción, análisis y gestión del riesgo empresarial y el desconocimiento de esta problemática por parte del habitual canal de comercialización del sector asegurador, quien, además, no se relaciona habitualmente con el interlocutor más sensibilizado con los riesgos tecnológicos.

De la mano de la normativa (llámese Sarbanes-Oxley en EEUU, el informe Turnbull en el Reino Unido o la Ley de Transparencia en España), se abren paso los principios del gobierno corporativo, que debe tener el análisis y gestión de los riesgos como herramienta estrella. Y de los resultados del análisis, se debe contemplar la opción de la transferencia del riesgo de la ciber-responsabilidad como una más de las opciones sobre el tapete.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios