El trabajo en remoto es un desafío para la seguridad de las empresas. Las incidencias se han disparado y también el interés de las empresas por seguros que cubran estos riesgos
Nunca ha habido tanto teletrabajo en España, y ha tenido que ser de manera forzosa y sin tiempo para que las empresas adapten sus sistemas. Hay una parte positiva, que es acelerar una tendencia más habitual en otros países que facilita la conciliación laboral. Y otra negativa, porque gran parte del tejido empresarial no estaba preparado y el trabajo en remoto eleva la vulnerabilidad contra potenciales ataques informáticos.
Muchas grandes empresas ya tenían seguros contra ciberriesgos, y en algunos segmentos empezaban a extenderse. Por ejemplo, la Comisión Nacional del Mercado de Valores (CNMV) puso el año pasado el acento en conocer cómo estaban preparadas las gestoras de fondos para potenciales ataques o problemas en sus sistemas, al ser empresas de tamaño reducido pero gestionando cientos de millones de miles de clientes. Muchas decidieron contratar seguros.
Fuentes del mercado de los seguros de ciberriesgos (aseguradoras, brókeres y abogados) recuerdan que hace tres años casi ninguna empresa contaba con estos seguros, que hace un año podía ser un 10% del conjunto de grandes o medianas compañías y que entre las que ya lo han contratado o están en ello, el porcentaje se ha disparado estas semanas hasta el 30%. Las cifras son aproximaciones a partir de la experiencia y análisis que están haciendo los agentes a contrarreloj, dentro del universo potencial de empresas que consideran que son público objetivo para estos seguros. Su trabajo se ha disparado estas semanas en un mercado que era totalmente incipiente, y ahora se está consolidando.
"Se están produciendo muchas incidencias porque no todos los trabajadores se conectan en redes seguras. Las empresas no han podido prevenirse", explica Paloma Bru, socia de Pinsent Masons. "Ahora, muchas compañías valoran la contratación de seguros. Algunas ya lo estaban analizando, y otras se han puesto ahora a ver la oferta disponible, en general, de aseguradoras internacionales", agrega. Paloma Bru señala que la demanda es tanto de grandes empresas como de medianas, que tienen menos recursos para protegerse.
La oferta es, principalmente, de aseguradoras internacionales, que se contratan a través de brókeres o también de aseguradoras que operan en España y que hacen de intermediarios. "Estamos notando la reactivación de los procesos de compra de seguros de cyber así como una mayor revisión en detalle de las sumas aseguradas que se compran por construir estas coberturas de seguro una última barrera de defensa de la cuenta de resultado y balance de la empresa ante incidentes de seguridad o de privacidad", alude Sara Muñoz, responsable de cyber de Marsh España.
Estos productos, explica la ejecutiva del bróker de seguros, sirven "no solo para soportar los costes de un incidente, sino también para apoyar en la inmediata respuesta ante una brecha de seguridad identificada proporcionando ayuda forense, legal, tecnológica y comunicación especializadas".
Entre los ataques que están siendo más habituales, según cita el despacho, están el 'ransomware' (secuestro de datos); 'phishing' con información del coronavirus (mensajes con un 'link' para que haga clic el usuario); contra la seguridad en la nube; sobre los dispositivos de los empleados ('BYOD, bring your own device'); brechas en proveedores y colaboradores (estos días ha habido preocupación con Zoom); o aprovechar la falta de concienciación por parte del empleado.
Para las consecuencias de los ataques que tienen éxito hay seguros a medida, que son normalmente los que contratan las grandes compañías y, además, sensibles con estos riesgos por su manejo de datos o el uso de tecnologías digitales. También los hay estándar, que son los que suelen contratar empresas medianas. Una póliza habitual obliga al asegurador al abono de los gastos y honorarios del asesor legal y la defensa ante servicios legales por reclamaciones o denuncias, el especialista tecnológico para la respuesta inmediata y el consultor en relaciones públicas si es necesario.
Este ejemplo, que parte de una póliza revisada por este medio, recoge la obligación del abono en menos de 48 horas, así como la cobertura con límites específicos de posibles multas de la Agencia Española de Protección de Datos pero también obligaciones para el asegurado. "Cubren gastos cuantificables, como desvío de fondos o costes asumidos ante el ataque, y multas, que pueden ser de hasta 20 millones por la Agencia de Protección de Datos, aunque no ha habido ninguna tan grande. Lo que es más difícil es que cubran el daño adicional generado al negocio", comenta la socia de Pinsent Masons.
Los asegurados también tienen obligaciones. Las empresas deben contar con protocolos que respeten los requerimientos de ciberseguridad y, si hay un problema, dar pasos rápidos. Tanto para evitar multas como para que el seguro entre en vigor. Por ello, son seguros en los que suelen intervenir brókeres y asesores legalestanto en la contratación de las empresas como cuando sufren alguna incidencia. "Lo que no hagas en el momento, te puede condicionar las futuras reclamaciones", advierte Bru.
En el sector indican que se han multiplicado las incidencias, y muchas acaban en brechas de seguridad. La experta legal indica que la empresa que sufre una brecha de seguridad debe analizarla rápidamente y notificarlo a la Agencia de Protección de Datos y a la agencia de ciberseguridad, Incibe. Ambas tienen ventanilla única, con lo que con hacerlo ante una de ellas es suficiente. Asimismo, si hay daño potencial o uso de datos de clientes o proveedores, la empresa puede tener que notificárselo.
Obligación de notificar
El estado de alarma actual ha suspendido muchos plazos administrativos, pero no en lo referente a la ciberseguridad. La Agencia de Protección de Datos especificó que deben seguir las notificaciones, porque de hecho ahora es más necesario que nunca ante el auge del trabajo en remoto y las conexiones múltiples a los sistemas de las empresas.
"El incumplimiento de las obligaciones de control y notificación de las brechas de seguridad durante el estado de alarma podría implicar la apertura de investigaciones por parte de las autoridades competentes que podrían desembocar en los correspondientes procedimientos sancionadores. Adicionalmente, podrían dar lugar a la reclamación de daños y perjuicios tanto por parte de los interesados como terceros afectados por la brecha de seguridad", asegura una guía sobre ciberseguridad de Pinsent Masons.
Así, los abogados recomiendan revisar y adaptar el teletrabajo a los protocolos internos de ciberseguridad, hacer lo propio con las políticas de privacidad, analizar el estado de excepción de los proveedores tecnológicos, verificar el control de la implantación de garantías de protección de datos, adaptar los recursos tecnológicos de defensa (antivirus) o de comunicación (para reuniones telemáticas, llamadas o intercambios de archivos) y la revisión de las pólizas de ciberriesgos.
En este sentido, hay seguros que ante causa de fuerza mayor, como es la situación actual, pueden modificar sus prestaciones e, incluso, dejar de funcionar. "Estamos analizando los contratos de muchos clientes, y por ahora no nos hemos encontrado ningún caso en el que se suspenda el seguro en esta situación, pero podría pasar", dice Paloma Bru. Aseguradoras y proveedores tecnológicos siguen operando, aunque todas las empresas se ven afectadas en mayor o menor medida por las restricciones decretadas para frenar la pandemia.
Fuente: elconfidencial.com
Autor: Oscar Giménez