�Ӱ�ԭ��

Desde hace apenas unos años se han detectado un número cada vez mayor de ataques a los sistemas informáticos de empresas de todo tipo, especialmente grandes corporaciones y cadenas de tiendas que atienden al consumidor como Target y Home Depot, pero eso no exime de este tipo de riesgos a las empresas más pequeñas.

En realidad, casi todas las empresas que usen alguna forma de sistema computarizado ya sea interno o con acceso internet, aquellas usan los sistemas de correo electrónico (e-mail) para comunicarse – algo que es casi universal hoy día – o que ofrezca servicios o productos a través de una página web o mantengan datos de pagos de sus clientes, están adquiriendo una responsabilidad legal y civil hacia sus clientes y quienes podrían demandarlos si resultaran afectados negativamente por culpa de la perdida o daños asociados con ataques cibernéticos que comprometan datos personales de los clientes, ya sean en un ataque intencional o por una situación accidental. Una situación accidental incluye la pérdida de un teléfono celular o de una computadora portátil – laptop – de la empresa y que estos equipos sean usados para acceder a datos o información privada tanto de la empresa como de sus clientes.

Aparte que los riesgos de responsabilidad legal comercial y civil causados por ataques o crímenes cibernéticos evolucionan a una velocidad enorme, con cada nueva tecnología aplicada al servicio de los negocios y las nuevas regulaciones para controlarlos, aparecen nuevos riesgos y exigencias que considerar.

Los expertos de seguros indican que la exposición de responsabilidad comercial causada por riesgos cibernéticos de un negocio pueden sobrepasar ampliamente las pérdidas que esta pudiera tener por robo o por fraudes. Ante estas circunstancias de vulnerabilidad para los negocios, hay algunas medidas preventivas y herramientas de seguros que pueden implementarse para proteger a su negocio de estos riesgos de origen cibernético.

¿Cuáles son los riesgos cibernéticos que generan responsabilidad comercial para un negocio?

Si el sistema informático de su empresa, los datos personales de los clientes como tarjetas de crédito o acceso internet, o los datos de sus empleados (información personal, fiscal o de salud), son vulnerados por un ataque intencional a sus sistemas o se ven expuestos por una situación accidental, el costo de responder a estas situaciones y remediarlas puede resultar significativo para la empresa ya que expone al  negocio a responder por pérdidas financieras. Algunas situaciones y gastos típicos de un ataque cibernético serían estos:

Responsabilidad legal civil y comercial (liability) – Pudiera incluir pago por los costos incurridos por los clientes y otros afectados por el ataque cibernético a la empresa, o por otros incidentes relacionados con los  sistemas informáticos o de computación.

Recuperación o reparación del sistema informático (system recovery) – Costos de reparar o reponer sistemas afectados o de recuperar la data e información perdida en el ataque. Estos pueden resultar muy costosos. Además, la empresa pudiera no poder operar normalmente a consecuencia del ataque o daño causado, agravando aún más las pérdidas.

Gastos por notificación pública del incidente (notification expenses) – En varios estados del país, si un negocio mantiene archivos de información de sus clientes, este negocio está obligado a notificar a sus clientes si los datos que almacena de ellos han sido vulnerados o existe la sospecha o la posibilidad que hayan sido vulnerados. Este tipo de notificación puede ser muy amplia y resultar muy costosa, especialmente si la empresa tiene una gran cantidad de clientes.

Multas por la infracción de regulaciones (regulatory fines) – Varias entidades federales y estatales tienen regulaciones que requieren que los negocios y organizaciones que posean acceso o almacenen datos de consumidores o clientes cumplan con dichos reglamentos. Si un incidente o ataque cibernético compromete, expone o pone en peligro los datos de los clientes y las empresas no han cumplido las regulaciones, las entidades reguladoras pueden imponer medidas correctivas y multas que suelen ser sustanciales.

Demandas o acciones legales colectivas (class action lawsuits) – Es común que en casos de ataques cibernéticos a gran escala conlleve a acciones legales o demandas colectivas contra los negocios que se vean involucrados en este tipo de incidentes, así no sea causado por negligencias del negocio. Los costos de enfrentar este tipo de demandas son muy muy amplios y pudiera no ser suficiente la cobertura de otros seguros de responsabilidad comercial del negocio.

¿Qué cosas cubre el seguro de Responsabilidad comercial para riesgos cibernéticos?

Algunas pólizas de seguros de negocios como la conocida como Seguro de Propietarios de Negocios o Business Owners Policy (BOP), pudiera darle algo de cobertura en ciertas situaciones que involucran un crimen cibernético y crea una situación de responsabilidad civil o comercial. Por ejemplo, si su sistema de computación o informático falla en detectar un virus que causa que el negocio pierda datos almacenados de importancia para su desempeño normal, la cobertura de seguros que posea a través del BOP puede ayudarle a costear la recuperación de los datos o la reparación de los equipos. Pero, para extender la protección para incluir la responsabilidad civil ante este tipo de ataques, necesitará de una póliza específica para ataques cibernéticos, según las especificaciones de su negocio.

Estas pólizas de responsabilidad comercial para riesgos cibernéticos suelen comprarse por separado y suelen dar protección contra estos riesgos:

• Pérdida o deterioro de data (loss or corruption of data).
• Interrupción de operaciones o de negocios (business interruption).
• Varios tipos de responsabilidad civil y comercial para la empresa.
• Robo de identidad.
• Extorsión a raíz de un ataque cibernético (cyber extortion).
• Gerencia de crisis y recuperación de la imagen pública y de reputación de la empresa (reputation recovery).

Medidas preventivas para reducir el riesgo y la responsabilidad comercial por ataques cibernéticos

Por la naturaleza del campo de la informática y la velocidad en la que evoluciona, no hay una forma o mecanismo de protección completamente efectiva o a prueba de ataques que se pueda implementar para evitar los ataques cibernéticos. Y mecanismos o tecnologías que en un momento parecieran ser a toda prueba, pueden volverse vulnerables y los criminales cibernéticos encontrarles vulnerabilidades técnicas o de operación. Por ejemplo, es sabido que la mayoría de los sitios o páginas web usan sistemas para hacer las comunicaciones encriptadas, de los cuales el llamado OpenSSL es uno de los más conocidos  que se creía era el más resistente a la penetración de los ataques, hasta que se descubrió que había sido blanco de ataques y que sucumbió a muchos de ellos. .

Por tanto, proteger a su negocio de los ataques cibernéticos es una combinación de medidas preventivas y contar con el seguro adecuado. Estas son algunas de las medidas de seguridad que puede implementar en sus sistemas informáticos:

• Instale y mantenga actualizados los sistemas de filtros de seguridad tanto para los equipos (hardware) como para los programas (software) de todo el sistema informático.
• Contrate un proveedor de servicios de informática o IT que se encargue y responsabilice de los sistemas.
• Use los servicios de computación en la “nube” o “cloud”.
• Haga respaldos y copias frecuentes “backups” de data y programas.