Los gestores de riesgos, los responsables de seguridad de la información y los directivos de las compañías, afrontan determinadas necesidades en las que los ciberseguros presentan coberturas de especiales

Los asegurados, a la hora de contratar un seguro cibernético, principalmente buscan dos vertientes que cubrir: la necesidad normativa y la necesidad de cubrir el impacto de los ciberriesgos.

Necesidad normativa

Las necesidades del asegurado en el ámbito de la ciberseguridad no vienen solo motivadas por el mayor uso de las tecnologías y una mayor conectividad, sino también por las obligaciones legales impuestas por los órganos regulatorios. Un ejemplo de ello son las obligaciones impuestas a todos aquellos proveedores de servicios de comunicaciones o redes electrónicas. Desde la Directiva Marco 2002/21/CE, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas, España ha venido transponiendo la misma mediante la Ley 9/2014 General de Telecomunicaciones.

En este caso, la póliza contratada se encarga de informar a los abonados de todos aquellos riesgos de fuga de datos que puedan existir y de las medidas a adoptar, así como comunicar de los incidentes que sucedan a la Agencia Española de Protección de Datos, al Ministerio de Industria, Energía y Turismo, y a los usuarios afectados.

Otra de las coberturas básicas ofrecidas en las pólizas son los costes asociados a las notificaciones y actuaciones exigidas en el Reglamento Europeo de Protección de Datos. Indica que tan pronto como el responsable del tratamiento de datos tenga conocimiento de que se ha producido una violación de seguridad, debe notificarla a la autoridad de control sin retraso justificado.

Necesidad de reducir el impacto de los ciberriesgos

Centrándonos en los riesgos cibernéticos que pueden sufrir las empresas, debemos diferenciar entre los de carácter directo y los de carácter indirecto.

Ciberriesgos de carácter directo.

Destacan el robo de datos personales, de contraseñas o de know-how; la utilización indebida de información privilegiada, el sabotaje a sistemas o programas informáticos de la compañía; abusos en el acceso a correos e internet; accesos no autorizados; redes de equipos infectados remotamente; daños físicos de los equipos; captura de contraseñas; extorsiones; explotación de servidores y navegadores; hurtos y robos de ordenadores o dispositivos móviles, entre otros.

Ciberriesgos de carácter indirecto.

Incluyen la paralización de la actividad y/o suspensión de la prestación del servicio a terceros, con el consiguiente incumplimiento contractual; pérdida de beneficios; pérdida de mercado o pérdida de confianza en el sector; imposición de sanciones regulatorias; perjuicios causados a terceros; responsabilidad civil, penal o administrativa; incremento del coste para resolver o minimizar los daños así como el derivado de tener que asumir el pago de las indemnizaciones que se determinen a favor de los posibles afectados. Como elemento principal, destaca la responsabilidad derivada del desarrollo de su actividad en el ciberespacio. 

Por otro lado, para que los proveedores de ciberseguros acepten dar cobertura a las compañías en el ámbito de la ciberseguridad, es imprescindible que los interesados acrediten primero que ejercen un determinado nivel de monitorización, control y supervisión de las herramientas utilizadas para el desarrollo de su actividad, y que implementan y actualizan los procedimientos de control y fomentan una mayor concienciación de los trabajadores de la compañía en el ámbito de la ciberseguridad. Además de demostrar un nivel de cumplimiento determinado ante el marco regulatorio y normativo de aplicación en cada caso.