Que vivimos en un mundo interconectado es algo que nadie discute. Desde usuarios particulares, pymes, grandes empresas, industria e infraestructuras críticas, el uso de las TICs son parte esencial de la comunicación y desarrollo del negocio. Por ejemplo, cada vez son más las pequeñas empresas industriales que tienen sistemas SCADA, aplicaciones CAD/CAM etc.

Pese a la ingente labor divulgativa y de concienciación que la comunidad de seguridad informática (nuestros hackers) viene haciendo desde hace años, no ha sido sino hasta fechas recientes, fruto de la normativa y procedimientos regulatorios y actualmente con ayuda de un famoso “Ramonguare”, cuando se ha empezado a interiorizar la importancia de la ciberseguridad

Respecto de las empresas, uno de los consejos que suelen dar los auditores a la hora de evaluar las opciones de tratamiento de los riesgos que han identificado, es el de transferirlo a terceros como pueden ser proveedores de outsourcing y/o compañías de Seguros

Y ello es lógico dado que la ciberseguridad al 100% no existe ni puede ser garantizada y, ante un incidente, el gasto para gestionar y paliar sus efectos (propios y a terceros) puede ser tan elevado que haga tambalear la viabilidad de la empresa

Hasta ahora existía una gran oferta de pólizas de responsabilidad civil profesional para autónomos y empresas TIC (bloguers, CMs, Consultores Informáticos, Empresas de Hosting, Desarrollo Software, etc.). Sin embargo, en el actual contexto se ha incrementado el interés de compañías de otros sectores por contratar pólizas que cubran sus “ciberriesgos”

¿Cómo las contrato?

No son de contratación directa, aunque alguna compañía ya las publicite en su web. En general son ofrecidas por brokers de seguros.

Dependiendo del tipo de empresa, actividad, y nivel de riesgo, precisaran de una auditoria previa o, como mínimo, cumplimentar un detallado formulario en el que destacan preguntas tales como:

Sector de actividad. Número de empleados. Filiales. Mercados con los que se opera. Si se ha realizado alguna auditoria de sistemas y en qué fecha. Nombre de proveedores externos (ISP, de back up, servicios cloud Protección de datos,etc). Si se dispone de un plan o política de seguridad y privacidad de la red, ordenadores, servidores, dispositivos móviles. Medidas de protección de los dispositivos. Mecanismos de cifrado de la información. Medidas de disociación y seguridad lógica. Medidas de control de acceso. Si la empresa ha sufrido en los últimos x años/meses algún incidente de ciberseguridad. Si ha sido objeto de sanción o investigación.  Y/o auditoria y clasificación en el PCI (Payment Card Industry)

 

¿Que pueden cubrir?

Las siguientes coberturas son las más habituales. Sin embargo, existen garantías adicionales en función de las necesidades, tipo y sector

Daños propios: Por perdida de datos e información: restauración. Perdidas de beneficio por paralización a consecuencia de un incidente ( ramsonware, ataque DDos,…). Daños en hardware y software. Ciber extorsión, Restauración de sistemas tras un ataque

Pay Card Industry

Gastos de defensa, fianzas y sanciones o multas regulatorias

Gastos de auditoria, asistencia técnica, legal y de investigación forense.

Gastos de gestión de crisis (notificación y reputacionales)

Responsabilidad civil (daños a terceros). Gastos de defensa, de notificación (cuando sea preceptiva) y pago de indemnizaciones por:   filtraciones o perdida de datos de carácter personal o violaciones de privacidad; violación de derechos de propiedad intelectual e industrial; perdida/robo de activos digitales información confidencial o empresarial de terceros; por actividades en medios digitales; como consecuencia de un ataque malicioso al sistema que se ha propagado y causado daños a terceros

 

Algunos consejos

Antes de contratar. Carece de sentido incluir coberturas para una contingencia que por nuestro modelo de negocio difícilmente se van a dar, o no negociar lo que pueda cubrir un riesgo alto por el mero hecho de no estar en las de contratación estándar. Por ello es esencial analizar y evaluar los riesgos de una forma realista en cuanto a su impacto en el negocio y probabilidad de que ocurra. Evaluar igualmente las otras pólizas que tenga contratadas la empresa (de RC general, patronal, de D & O, etc.)  para conocer que tenemos ya cubierto e identificar necesidades.

Durante la negociación/contratación: Es aconsejable que en el proceso de negociación con la Compañía o Broker de Seguros intervenga el CISO (o nuestro proveedor externo de seguridad) y un abogado o equipo especialista en derecho tecnológico y derecho del seguro. ¿Por que? Porque son innumerables los conflictos que pueden surgir a la hora de interpretar el contrato una vez acontecido el siniestro, y si bien nuestro tribunales aplican el principio “ in dubio pro asegurado” ( en caso de duda en la interpretación de cláusulas oscuras o ambiguas se debe favorecer a la parte más débil del contrato ,el asegurado)  o los requisitos que deben tener las cláusulas limitativas para ser oponibles, nadie quiere verse inmerso en un litigio que puede durar años , tiempo durante el cual la empresa ha tenido que hacer frente a importantes gastos que creía cubiertos.

Hay que tener especial cuidado con las cláusulas que delimitan limitan o excluyen la cobertura. Un enunciado genérico que parece incluir todo tipo de incidentes puede ser que exceptúe algunos concretos. Por ejemplo, la garantía de recuperación de datos e información puede excluir el borrado de la misma por un empleado.

Atención a los enunciados abiertos en las cláusulas. Ejemplo: Contratación de RC de proveedores externos de servicios en la que se indica que se dará cobertura “siempre que sea de reconocida solvencia” o “debidamente reconocidos y autorizados” con lo que puede darse el caso de que tras un siniestro la compañía alegue que ese proveedor en su opinión no tiene la “suficiente solvencia” o no esta “debidamente reconocido”. En estos supuestos es importante remitir a la compañía el listado con nombres y datos de nuestros PSEs y solicitar que la compañía (no el bróker o corredor, salvo que sea agente exclusivo) certifique si entiende que están debidamente reconocidos, autorizados, o tienen la suficiente solvencia (ojo aquí con los requisitos que establece el Reglamento de Protección de Datos en relación a la figura del DPO)

Supervisar los límites temporales ( clausulas Claim Made ) y territoriales de la póliza

Supervisar igualmente capitales y franquicias

Por último, recordar que, de conformidad con el art 19 LCS, el asegurador no está obligado al pago de la prestación cuando el siniestro haya sido causado por mala fe del asegurado (principio de inasegurabilidad del dolo).  En cuanto a la responsabilidad civil (los daños causados a terceros), sin perjuicio de la acción directa que tienen los perjudicados contra la compañía aseguradora, de conformidad con el art 76 LCS esta podrá repetir las cantidades satisfechas contra su asegurado.   Es esencial por tanto que las empresas tengan un programa de compliance penal que contemple los ciberriesgos de forma efectiva.  Y es que, en ocasiones he visto programas de compliance penal un tanto “tuertos” en esta materia.

Carmen Basagoiti

carmenbasagoiti@legalconsultors.es

Legalconsultors Bilbao