Uno de los riesgos que más amenazan a las empresas es indiscutiblemente el riesgo de ataques cibernéticos, constituyéndose como una amenaza global que escala de manera impresionante para ser pronto el principal riesgo.
No sería tema en discusión si no interiorizamos que las tecnologías de la información prácticamente las damos como algo intrínseco en nuestras vidas y en la gestión empresarial; originalmente creadas tanto para reducir el costo implícito en el uso de papel, como también para hacer más ágil y eficiente el uso de la información almacenada (minería de datos, “big data”, internet de las cosas, entre otros avances en tecnología).
La gestión de los riesgos en el uso de la información es algo más amplio; sin embargo, son los riesgos de taques cibernéticos lo que causan hoy día las mayores pérdidas dentro de esta generalidad.
Pueden existir pérdidas directas en el patrimonio de la empresa, pero también, puede haber exposición a responsabilidades civiles por las que debe responder la empresa frente a terceras personas por aspectos como el rompimiento de privacidad o confidencialidad de la información. Adicionalmente, luego de un incidente como éstos, es posible incurrir en ciertos gastos indispensables para la recuperación del negocio o defenderse de cualquier responsabilidad, como podría ser:
1. Contratación de expertos forenses en riesgos cibernéticos para comprender la causa.
2. Corrección sobre la divulgación equivocada de la información de terceros.
3. Investigadores sobre los delitos causados en contra de la empresa.
Manejo de crisis y relaciones públicas en supuestos de estos que afectan la reputación de la empresa.
¿Usted ha identificado cómo pueden darse las pérdidas económicas en su empresa?
Una tendencia en los administradores de riesgos es buscar dentro de las coberturas de seguros de daños a la propiedad, la existencia de coberturas que protejan también por daños catastróficos e interrupción de negocios causados por ataques cibernéticos en sus empresas. Según el “RMS 2017 Cyber Risk Landscape report”, estas son algunas de las coberturas relevantes:
Evento que causa rompimiento de la privacidad.
1. Responsabilidad por fallos en el servicio de redes.
2. Costo implícito en las respuestas ante estos incidentes.
3. Extorsión cibernética.
4. Pérdida de datos y “software”
5. Daños reputacionales.
6. Robo y fraude financiero.
7. Terrorismo cibernético.
8. Pérdida de propiedad intelectual de la empresa.
Reto asegurador. Para las compañías de seguros es un gran reto intentar suministrar este tipo de coberturas en razón de las provisiones económicas que deben calcular para el pago de siniestros, así como la frecuencia y severidad de éstos; resulta complejo poner en cifras económicas el daño por este tipo de incidentes. Los patrones de eventos no han sido análogos y, ciertamente, varía de negocio en negocio el impacto que causa; por ejemplo, la “violación de datos” es muy distinta en función al tamaño de las empresas, el tipo de registros que guardan, entre otros factores.
Controladores del riesgo. Para minimizar cualquier riesgo cibernético al que se exponen las empresas, es indispensable que garanticen mecanismos protección contra el “malware” o el “ransomware”. Para otorgar coberturas de este tipo, es lógico que las compañías de seguros exijan algún tipo de certificación o estándar mínimo de protección del software y de la base de datos.
Ransomware y phishing. Estos dos son las principales amenazas emergentes dentro del los ciber ataques. El ransomware es el aterrador mecanismo utilizado por los “hackers” para bloquear el sistema operativo pidiendo a cambio un pago o rescate para eliminar la restricción de uso. El phishing es más famoso en nuestro país, siendo un mecanismo utilizado por los “hackers” para lograr obtener información, datos o contraseñas de la tarjeta de crédito o cuentas bancarias para dirigirse a éstas y sacar provecho económico. La nueva modalidad de phishing (descubierta en el 2107) radica en que el “hacker” puede cambiar la información del depósito directo que se hace en las cuentas y potencialmente abrir líneas de crédito.
El aseguradora especializado llamado Beazley, con sede en Londres, reportó un total de 2.600 incidentes ocurridos a asegurados durante el 2017. Esta empresa debió analizar 54 casos sobre esta nueva modalidad de phishing, afectando a los siguientes sectores:
54% en el sector de educación superior.
30% servicios de salud.
5% servicios profesionales.
5% venta minorista.
4% fabricación.
En términos generales, el 84% fueron afectadas las medianas empresas.
¿Será que las empresas en Costa Rica se están preparando para enfrentar estas amenazas, previendo correctamente cuál es el nivel de seguridad tecnológica, el impacto en una posible interrupción del negocio y la búsqueda de eventuales coberturas de seguros para los ciberataques?