Los crímenes cibernéticos aumentan cuando la economía va en picada

Las pólizas tradicionales de cobertura para negocios pueden no incluir la protección adecuada para los riesgos de los crímenes cibernéticos, dice el I.I.I.

INSURANCE INFORMATION INSTITUTE
Oficina de Prensa
New York: 212-346-5500; media@iii.org
Elianne Gonzalez, Florida: 954-389-9517 o 305-407-4305

NEW YORK, 3 de marzo de 2009 — La débil economía ha disparado los problemas relacionados con el crimen tecnológico o cibernético, causando millones de dólares en pérdidas en todo tipo de negocios. El envío de correos electrónicos basura (spamming), la entrada no autorizada en las bases de datos de los negocios (hacking), el robo de las claves de acceso a lugares privados (pinging) y el acceso denegado de los usuarios a una página Web específica objeto de un ataque cibernético, son solo algunos de los ejemplos de fraudes relacionados a los servicios cibernéticos que pueden paralizar un negocio. Basarse solo en los sistemas de seguridad y los seguros tradicionales para protegerse de estos riesgos no es suficiente, lo que hace obtener protección contra estos en la forma de un seguro contra ataques cibernéticos una necesidad crítica para cuidar de su negocio, según indica el Insurance Information Institute (I.I.I.).

“El incremento del crimen cibernético es enorme”, dijo Loretta Worters, vicepresidente del I.I.I. “Van desde correos electrónicos que tratan de pescar información privada del usuario (phishing) engañándoles para que usen páginas Web ficticias, hasta lo que se conoce como secuestro cibernético, en el que los criminales se roban los nombres de usuarios y las claves para obtener acceso a cuentas en línea, muchas veces destruyendo sistemas de redes (network) y sus bases de datos, o simplemente robando estas, lo que expone a los negocios a demandas de terceros”.

La industria de los seguros ha desarrollado un seguro para riesgos cibernéticos que ayuda a los negocios a hacerle frente a los riesgos de seguridad que tienen el potencial de desconectar o destruir la red, destruir la data almacenada o causar otros daños que pueden afectar los negocios a través del robo de la información de sus clientes.

Ahora que el público está cada vez mas preocupado e interesado en lo concerniente a mantener su información lo más privada posible, los negocios pueden estar mas expuestos a demandas de los clientes en casos en los que la información privada de estos se vea comprometida. El grave problema es que la mayoría de los negocios no están preparados o asegurados apropiadamente para estos riesgos.

Según una reciente encuesta producida por Ernst & Young en la que se entrevistaron 1,400 organizaciones, en el informe 2008 Global Information Security Survey, sólo un 13% de los que respondieron tienen un seguro que cubra las pérdidas resultantes de un ataque cibernético. Lo que es más, sólo un 20% de los que respondieron a la encuesta tienen una estrategia documentada para proveer de información de seguridad, y menos de la mitad realizan alguna actividad directamente relacionada con la seguridad de la información almacenada.

Las perdidas por ataques cibernéticos pueden ser bien cuantiosas y además van en aumento. El informe llamado Computer Crime and Security Survey de 2007 del Computer Security Institute, indica que un 46% de las empresas han sufrido uno o más incidentes de seguridad en los previos 12 meses y el promedio de las pérdidas sufridas ha incrementado de $168 mil en el año anterior, a $350,424.

“Sin importar la línea de negocios, virtualmente todas las empresas dependen en una u otra medida de los sistemas computarizados para funcionar”, enfatizó Worters. “Es necesario que las empresas vean que el riesgo de sus sistemas de conexiones son diferentes de los riesgos físicos tradicionales como sería un incendio. Si un criminal o un virus cibernético logra desactivar sus sistemas computarizados o destruir sus equipos de computadoras, data o programas (software), la mayoría no tiene cobertura o si tienen, esta es muy limitada. Las aseguradoras han excluido estos riesgos de las pólizas comerciales estándares y son ofrecidas por separado. Ya sea que su empresa conduzca negocios usando Internet, archive datos de los clientes en sus servidores o simplemente use el correo electrónico, están expuestas a este riesgo”.

Las coberturas de riesgos cibernéticos están disponibles en una póliza separada. Cada póliza esta diseñada según las necesidades de la compañía, incluyendo la tecnología que se esté usando y el nivel de riesgo al que esté expuesta. Estas suelen incluir tanto cobertura para daños a la propiedad propia de la empresa asegurada como a la de terceras personas.

Tipos de cobertura disponibles

• Daños o pérdida a archivos y data (loss/corruption of data) – Provee de cobertura por daños o la destrucción causada a las bases de datos e información valiosa, sean resultado del efecto de virus, códigos maliciosos o los programas conocidos como caballos de Troya (Trojan horses).
• Interrupción de negocios (business interruption) – Cubre la perdida de ingresos como resultado de un ataque a los servicios computarizados de la compañía que puedan limitar la habilidad de la empresa en conducir sus negocios, por ejemplo, el ataque que se conoce en inglés como “denial-of-service” que es un ataque a los sitios Web que imposibilita que los usuarios acceden el sitio y por tanto no pueden conducir transacciones. Esta cobertura también incluye gastos extras, servicios de estudios forénsicos para determinar los daños e interrupción de los servicios dependientes de estos sistemas.
• Responsabilidad civil (liability) – Da protección a la empresa por costos de defensa, montos asignados en una sentencia de corte, gastos de juicios y en ocasiones demandas punitivas por daños causados por la compañía como resultado de una de estas situaciones: -Uso inapropiado de los datos privados debido al robo de la data (por ejemplo, tarjetas de crédito, información financiera o médica privada, etc.). -Re-transmision de virus de computadoras y de otras consecuencias resultado del uso de los sistemas computarizados de la empresa por los atacantes y que puedan causar daños a terceros. -Fallos de seguridad que previenen a terceros el uso de los sistemas de computarizados. -Servicios provistos por profesionales especializados en Internet. -Demandas alegando el uso no autorizado de materiales con derechos de autor (copyright/trademark infringement), difamación o calumnias ya sea por el material usado en el sitio de la compañía, como por las contribuciones a éste de visitantes en boletines públicos (bulletin boards) y lugares de conversación en línea (chat rooms). Este también cubre responsabilidades asociadas con la publicación de promociones y propaganda digital (banner ads) de otros, en el sitio Web.
• Extorsión cibernética (cyber extortion) – Da cobertura para los pagos de rescate por extorsión contra los sistemas computarizados de la compañía, así como los costos adicionales de contratar empresa o servicios privados especializados para encontrar y contrarrestar los efectos de los extorsionadores.
• Manejo de emergencias (crisis management) – Provee de cobertura para contratar servicios de compañías especializadas en relaciones públicas o de publicidad que ayuden a reconstruir el buen nombre de la compaña después de un incidente. También incluye reposición de los costos de notificar a los clientes sobre posibles efectos del uso no autorizado de sus datos personales, así como ofrecer servicios de monitoreo de crédito o cualquier otro mecanismo de mitigación de daños a aquellas personas afectadas por un evento cubierto en la póliza.
• Pago de recompensas por captura de criminales (criminal rewards) – Da cobertura para ofrecer y pagar recompensas que conlleven a obtener información pertinente a un crimen cibernético y a la captura y convicción de aquellos que hayan atacado a la empresa asegurada.
• Cobertura de robo de identidad (identity theft) – Provee acceso a un centro especializado en robo de identidad para los clientes o empleados de la empresa que pudieran verse expuestos a este crimen a raíz de un ataque a la empresa.

¿Cuánto cuesta el seguro para riesgos cibernéticos?

Dependiendo de la póliza, puede dar cobertura para ataques lanzados tanto desde afuera como dentro de la empresa, o por la implantación de un virus específicamente dirigido contra la empresa o si éste virus es enviado masivamente por Internet. Las primas de este seguro pueden variar entre varios miles de dólares, basados en la facturación y considerándolos pequeños negocios (menos de $10 millones de ingresos anuales) hasta varios cientos de miles de dólares para corporaciones mayores que necesitan de una cobertura más extensiva.

Como parte del proceso de solicitud de la póliza, muchos proveedores de seguros ofrecen un análisis de los riesgos tanto en línea como en las instalaciones físicas de la empresa, generalmente sin costo para el asegurado ya sea que compren o no el seguro con esa empresa. Esto puede resultar sumamente útil no solo para el analista de riesgo de la aseguradora sino también para el director de servicios tecnológicos de la compañía, para los departamentos de riesgos y otros ejecutivos.

“Aunque las compañías invierten millones de dólares anualmente en establecer barreras de protección (firewalls) y programas anti-virus, esto no es suficiente”, indicó Worters. “Adquirir un seguro para los riesgos cibernéticos es otra capa mas de protección para cuidar de su negocio”.

El I.I.I. es una organización sin fines de lucro dedicada a la difusión de información y respaldada por la industria de seguros.