Seguro de responsabilidad cibernética - Cyber Liability Insurance
Como empresa de tecnología, reconocemos los riesgos asociados con los datos y la tecnología en los negocios de hoy. Las filtraciones de datos, las fallas de la red, la extorsión cibernética y otros riesgos cibernéticos son exposiciones cada vez más importantes para las empresas tecnológicas y no tecnológicas por igual.
Hoy en día, prácticamente cualquier empresa que utilice tecnología o gestione información digital se enfrenta a un riesgo cibernético. Para muchos, la ciberseguridad es un tema desafiante. La amenaza y el impacto potencial de los ataques cibernéticos han crecido exponencialmente. De hecho, las estadísticas muestran que el 60 por ciento de las pequeñas y medianas empresas pirateadas se retiran a los seis meses de experimentar un ciberataque.
Las organizaciones más grandes ven con razón el seguro cibernético como una pieza esencial de su programa de gestión de riesgos. Empresas de alto perfil como Chipotle, Trump Hotels, Wendy's y Arby's se han enfrentado recientemente a ciberataques graves .
Escribimos esta guía para ayudarlo a usted, el lector, a comprender tanto los conceptos básicos del seguro cibernético como algunas consideraciones más avanzadas.
¿Qué es el seguro cibernético?
Una póliza de seguro cibernético, también conocida como "seguro de riesgo cibernético" o cobertura de "seguro de responsabilidad cibernética", es un producto financiero que permite a las empresas transferir los costos relacionados con la recuperación de una violación de seguridad relacionada con el cibernético o eventos similares. En muchos casos, la política también puede brindar acceso a un panel de entrenadores de violaciones de primer nivel y otros proveedores de servicios.
Una breve historia del seguro cibernético
Como era de esperar, el seguro cibernético apareció recientemente en la escena de los seguros como resultado del hecho de que otras pólizas de seguros comerciales tradicionales simplemente no se crearon para cubrir los tipos de riesgos más comúnmente asociados con el seguro cibernético.
Por lo tanto, muchos expertos en seguros argumentarán que las pólizas de seguro cibernético aún se encuentran en su infancia y es necesario hacer mucho trabajo cuando se trata de estandarizar la cobertura y asegurarse de que las compañías de seguros puedan satisfacer las necesidades de las empresas modernas. No solo eso, la educación es importante para que las empresas comprendan la amenaza de los ciberataques y la gravedad de este tipo de amenazas.
Un informe muy reciente de las aseguradoras Hiscox afirma que siete de cada 10 empresas no cuentan con una estrategia de ciberseguridad de calidad.
Sin embargo, no hay duda de que el espacio de los seguros cibernéticos seguirá creciendo rápidamente y, sin duda, las ofertas se ampliarán y personalizarán. Además, como es el caso de la mayoría de los otros tipos de ofertas de seguros, las pólizas de seguro cibernético están evolucionando hacia soluciones más específicas de la industria y se están volviendo menos generales.
¿Quién necesita cobertura de seguro cibernético?
Recomendamos encarecidamente a todos nuestros clientes que consideren el valor del ciberseguro, especialmente si manejan o utilizan información digital.
Uno de los primeros temas que cubrimos con muchos nuevos compradores de seguros cibernéticos es la responsabilidad regulatoria o contractual de la empresa con respecto a la información personal de los clientes. Si su empresa almacena datos de clientes como nombres, direcciones, información de tarjetas de crédito, números de Seguro Social y más, en cualquier tipo de sistema informático en línea o fuera de línea, entonces existe una obligación regulatoria de mantener esos datos seguros y, por lo tanto, una mayor precio en caso de incumplimiento.
Muchos se sorprenden al conocer los costos reales asociados con una infracción. Según un informe de Ponemon de 2017 , los ciberataques cuestan a las pequeñas y medianas empresas un promedio de $ 2.235 millones. Además de eso, el estudio mostró que el 60 por ciento de las empresas que fueron encuestadas dijeron que los ataques son cada año más severos y sofisticados.
Además, si el flujo de ingresos de su empresa tiene algún contacto con consumidores o empresas europeas, es probable que le aplique el Reglamento General de Protección de Datos (RGPD) recientemente implementado . Muchas empresas con sede en EE. UU. Ya han tomado medidas para cumplir con GDPR, pero eso no significa que su seguro haya seguido su ejemplo.
¿Qué cubre el seguro cibernético?
El ciberseguro es tan dinámico como las empresas a las que protege y, en consecuencia, dista mucho de estar estandarizado. Sin embargo, algunos de los problemas que generalmente cubre el seguro de responsabilidad cibernética incluyen:
- Pérdida, recuperación y recreación de datos
- Interrupción del negocio / pérdida de ingresos debido a una infracción
- Pérdida de fondos transferidos
- Fraude informático
- Extorsión cibernética
Nota importante: El seguro de errores y omisiones no es un seguro cibernético y no puede servir como sustituto del seguro cibernético adecuado, incluso si la póliza E&O tiene una cláusula adicional de error tecnológico.
Si los piratas informáticos exponen o roban información personal, como números de Seguro Social, número de licencia de conducir (en algunos estados), dirección e información de cuenta bancaria, una póliza de seguro de responsabilidad cibernética paga por:
Costos de notificación: este gasto es significativo porque la empresa soporta la carga tanto de identificar a las víctimas potenciales, lo que requiere una investigación interna, como de proporcionar una notificación que esté razonablemente calculada para dar una notificación real.
Monitoreo de crédito: en efecto, su póliza de seguro cibernético paga las pólizas de seguro para víctimas. Los reguladores generalmente dictan el tipo de monitoreo crediticio que deben proporcionar y es una apuesta segura que no estarán satisfechos con la protección más barata disponible.
Daños civiles: La mayoría de estos juicios de responsabilidad son acciones colectivas, con cientos de miles de dólares en daños como mínimo, incluso para una empresa muy pequeña.
Informática forense: esto cubre los costos de contratar consultores de informática forense que trabajen bajo la dirección de sus abogados para determinar si ocurrió una violación de datos, para contener y prevenir daños mayores, e investigar la causa y el alcance de la violación.
Las compañías de seguros cibernéticos también tienen el deber de defender a los asegurados de acciones administrativas relacionadas o demandas por responsabilidad. Además, la mayoría de las pólizas también proporcionan recursos que ayudan a los asegurados a diseñar un protocolo de cifrado de datos y seguridad robusto y rentable. Para minimizar aún más el riesgo de responsabilidad, considere abordar los procedimientos BYOD (traiga su propio dispositivo) .
Ejemplos muy publicitados de pólizas de seguro cibernético en funcionamiento
- Una firma de datos republicana que expuso la información personal de millones de estadounidenses se enfrentó a una demanda colectiva por primera vez, argumentando que los "daños reales" superan los $ 5 millones.
- La empresa de viajes compartidos Uber tuvo que pagar una multa en los 50 estados después de supuestamente ocultar una violación de datos en 2016 que afectó a aproximadamente 57 millones de personas.
Ver: Uber resuelve su demanda más grande después de ocultar un importante ataque de datos a los usuarios - Una demanda presentada contra Facebook alegaba que la compañía era culpable de prácticas comerciales ilegales, engaño por ocultación, negligencia y violaciones de la Ley de Registros de Clientes de California como resultado de un ataque masivo que explotó una falla de seguridad para robar credenciales de cuentas de hasta 50. millones de usuarios.
Ver: Facebook enfrenta una demanda colectiva por una violación de seguridad que afectó a 50 millones de usuarios - Yahoo enfrentó demandas de personas que temían que sus cuentas hubieran sido pirateadas y afirmaron que la compañía fue "negligente grave", poniendo en riesgo sus datos financieros y personales. La demanda también alegó que Yahoo no reveló adecuadamente la violación que expuso la información privada de al menos 500 millones de usuarios.
Ver: Yahoo enfrenta demandas a raíz de una violación masiva de datos - Tres años después de que Neiman Marcus revelara que se había convertido en víctima de un ataque de piratería en 2013, exponiendo la información de la tarjeta de crédito de más de 350.000 clientes, el minorista llegó a un acuerdo de $ 1,6 millones en la demanda colectiva posterior.
Ver: Neiman Marcus acuerda pagar $ 1.6 millones para resolver la demanda colectiva por violación de datos de 2013 - Target Corp acordó pagar $ 39,4 millones para resolver reclamos de bancos y uniones de crédito que dijeron que perdieron dinero debido a la violación de datos del minorista a fines de 2013. Este acuerdo resolvió las demandas colectivas de los prestamistas que buscaban responsabilizar a Target por sus costos para reembolsar cargos fraudulentos y emitir nuevas tarjetas de crédito y débito.
Ver: Target en un acuerdo de $ 39.4 millones con bancos por violación de datos
Costos del seguro cibernético
Es mejor comprar este tipo de seguro por cobertura en lugar de por costo. La sofisticación y la capacidad de su empresa para evitar un incidente y el límite de cobertura son los dos factores más importantes para determinar los costos de las primas, así como los ingresos y la cantidad de registros PII o PHI únicos almacenados o mantenidos en los sistemas del asegurado. Puede leer más en nuestra guía completa sobre los costos del seguro cibernético .
La buena noticia para quienes buscan cobertura cibernética es que el mercado de seguros es un mercado de compradores en 2019. Hay varias docenas de aseguradoras que compiten por su negocio.
Conclusión
Naturalmente, también hay cosas que puede hacer como empresa para ayudar a reducir el riesgo de ataques e infracciones, como asegurarse de que sus empleados reciban capacitación e instrucciones periódicas sobre lo que deben hacer para mantener la seguridad y qué tipos de cosas a las que deben estar atentos, cosas que podrían alertarlos de un posible ataque.