Es interesante que en un artículo reciente sobre El asegurado un corredor de seguros internacional (AON) ha declarado que, según los datos recopilados por él para 2019, los incidentes cibernéticos ya superan el total de los años completos de 2015 y 2016.
De hecho, casi todos los días tenemos un impacto constante en las infracciones de noticias, incidentes informáticos y ataques contra redes y sistemas de empresas y organismos públicos.
Puede sonar extraño, pero se sabe que los sujetos más afectados por estos riesgos son aquellos que representan más del 88% de nuestro tejido empresarial nacional, o empresarios que pertenecen a la categoría de MIPYME.
A menudo, esta categoría ignora o no es lo suficientemente consciente de los posibles impactos a los que la penetración tecnológica los expone casi en un ciclo continuo.. Es suficiente citar como ejemplo (algo evocador) el desafortunado asunto del cryptolocker - actualmente todavía en circulación con una apariencia cada vez más avanzada - para recordar cuánto daño puede causar a la productividad el bloqueo de bases de datos o el daño de sistemas corporativos o institucionales. Es una gota destilada de criticidad en un océano de posibles ejemplos preocupantes, pero aún poco conocidos por los responsables.
Brinde esta información extremadamente elemental y bajo los ojos de la comunidad (crecimiento exponencial de incidentes informáticos, por un lado, y ausencia de conciencia adecuado para víctimas potenciales, representando el enfoque de la industria de un estado) es bastante fácil preguntarse: ¿Cómo aumentar la protección contra riesgos de TI?
Una primera respuesta, diría obvia, cuyo desarrollo no es objeto de esta intervención sintética, es prestar máximo cuidado en la selección y preparación de medidas técnicas y organizativas de seguridad adecuadas, de naturaleza progresiva y fácilmente adaptable con respecto a los cambios repentinos que conllevan las tecnologías disruptivas.
En segundo lugar, siempre es bueno enfatizar elimportancia absoluta de una formación adecuada dentro de las realidades del trabajo. Es imposible prever la ocurrencia del llamado "error humano", pero la valorización de este factor constituye una piedra angular esencial en la implementación de una correcta gestión del riesgo, de cualquier naturaleza.
El tercer punto a considerar para una correcta gestión de riesgos, que es el tema de una breve discusión aquí, es el seguro cibernético.
De hecho, sin las dos primeras consideraciones (que no representan una alternativa a la segunda), una cobertura de seguro adecuada constituye sin duda un soporte válido para el organismo público o privado que ha tomado conciencia del riesgo potencial que realmente corre. .
¿De qué hablamos cuando hablamos? seguro cibernético?
En pocas palabras, estamos hablando de paquetes de seguros, generalmente ofrecidos por grandes grupos, que tienen como objetivo proteger al suscriptor de las consecuencias del posible daño sufrido debido a la aparición de una amenaza informática.
Este es un mercado percibido como un fuerte crecimiento. Según una encuesta reciente de Insurance Post, el 78% de los corredores británicos cree que el mercado de políticas cibernéticas tiene un enorme potencial de desarrollo, y hasta la fecha, el 72% de ellos ya ha vendido una política sobre riesgos cibernéticos.
El mercado italiano, como de costumbre, aún no tiene una definición propia y no ha desarrollado un plan consolidado de límites máximos o primas; Muchos corredores parecen haber optado por explorar este mercado con mucha, mucha cautela.
Las únicas estimaciones compartidas, ciertamente nada alentadoras, identifican un mercado que vale más o menos 100 millones al año, una cifra baja pero proporcionada a la falta de conciencia de los empresarios y del sector público, como se acaba de mencionar.
Sin embargo, sin querer involucrarse en el análisis de mercado, está claro que esta es una parte del negocio de seguros destinada a un rápido crecimiento. Precisamente por este motivo, es bastante alta la posibilidad de que un suscriptor apresurado recurra --en su loca carrera hacia un efecto paliativo del riesgo informático o por la ausencia de información y nociones precisas sobre el tema-- a productos de seguros que no siempre reflejan sus expectativas.
A partir de aquí, es necesario hacer una última pregunta: ¿qué riesgos debe cubrir (y las garantías legales deben proporcionar) una política sobre riesgo cibernético, para que se considere válida?
Dado que los casos varían mucho según la especificidad de las tecnologías utilizadas y el impacto que tienen con respecto a la actividad precisa que lleva a cabo la Entidad o la empresa, hay algunos puntos que seguramente deben estar presentes para evaluar la idoneidad del producto del seguro. En particular, la política debe incluir protección sobre:
- Intrusión informática por parte de terceros (basada en ataques físicos y de red);
- Robo, divulgación o eliminación de datos (ya sea por negligencia o malicia)
- Riesgo reputacional, familiar y de imagen (por la divulgación de información confidencial tanto de los empleados como de la empresa o de la propia entidad)
- Robo de identidad y usurpación de redes sociales
- Bloqueo de sistemas de producción automatizados.
- Daño del sistema o el correcto funcionamiento de la red.
- Robo de propiedad intelectual digitalizada
Finalmente, una política óptima también podría incluir pronósticos específicos relacionados con el software comercial utilizado (o la eliminación de licencias), evaluando las certificaciones, los proveedores involucrados, el nivel de riesgo y el impacto de cualquier integrador de sistemas agentes.
En ausencia de uno o más de estos elementos, una evaluación legal del folleto de oferta propuesta podría ser un soporte válido para una elección correcta, dada la escala de la inversión.
Si bien algunos de estos elementos pueden parecer obvios para un lector capacitado en estos temas, en realidad para muchos es difícil decir lo menos, lo que deberá ser masticado y digerido no solo por la industria de seguros sino también por el personal legal y administrativo e institucional que a menudo persigue la tecnología como en uno raza loca cuyo resultado es casi siempre contra el ciudadano.
