NUEVA YORK, Las aseguradoras estadounidenses se están convirtiendo en expertas en la suscripción y fijación de precios de las pólizas de seguros cibernéticos independientes a medida que las empresas muestran un mayor interés en protegerse de las filtraciones de datos y los ataques cibernéticos, según el Insurance Information Institute (Instituto de información de seguros, o I.I.I. por sus siglas en inglés).
«Más de 60 compañías aseguradoras ofrecen pólizas de seguros cibernéticos independientes, y se estima que el mercado de Estados Unidos asciende a más de $3.250 millones en primas brutas emitidas en 2016, con algunos cálculos que ponen la cifra de posible crecimiento en $7.500 millones», según escribe el Dr. Robert Hartwig, asesor especial de la I.I.I., y Claire Wilkinson, autora del premiado blog Terms + Conditions de la I.I.I. Ambos son los coautores del informe oficial recientemente publicado de la I.I.I., titulado Cyber Risk: Threat and Opportunity (El riesgo cibernético: amenaza y oportunidad).
Los incidentes cibernéticos se clasificaron como el tercer riesgo empresarial más alto a nivel mundial en 2016, según lo determinó el barómetro del riesgo Allianz’s Risk Barometer. El costo promedio de una filtración de datos en los Estados Unidos alcanzó los $7 millones en 2016, según un estudio del Ponemon Institute citado en el informe del I.I.I. La mayoría de las políticas de responsabilidad general tradicionales no cubren los riesgos cibernéticos.
Las pólizas de seguros cibernéticos independientes se adaptan a las necesidades específicas de una empresa y generalmente ofrecen las siguientes coberturas, según explica el informe oficial de la I.I.I.:
Responsabilidad: Cubre los costos (por ejemplo, honorarios legales y sentencias judiciales) incurridos después de un ataque cibernético, como el robo de datos o la transmisión involuntaria de un virus informático a un tercero, causándole un daño financiero.
Gestión de Crisis: Cubre el costo de notificar a los consumidores acerca de una filtración de datos que tuvo como resultado la publicación de información privada, y les proporciona servicios de control de crédito, así como el costo de contratar los servicios de una firma de relaciones públicas o el lanzamiento de una campaña publicitaria para recuperar la reputación de una empresa.
Directores y directivos (D&O) / Gestión de Responsabilidad: Cubre los riesgos de responsabilidad cibernética encarados individualmente por los responsables de la toma de decisiones clave de una empresa mientras desempeñan labores en nombre de la misma.
Interrupción de negocios: Cubre la pérdida de ingresos debido a un ataque a la red de una empresa que limita su capacidad de hacer negocios.
Extorsión cibernética: Cubre la «liquidación» de una amenaza de extorsión contra la red de una empresa, así como el costo de contratar a una empresa de seguridad para dar con los chantajistas.
Pérdida / corrupción de datos: Cubre los daños a los activos de información valiosos, o la destrucción de los activos de información valiosos, como resultado de los «virus, códigos maliciosos y caballos de Troya», señaló el informe oficial.
Recompensas por la detención de delincuentes cibernéticos: Cubre el costo de establecer un fondo de recompensa por información que conduzca al arresto y la condena de un delincuente que haya atacado los sistemas informáticos de una empresa.
Filtración de datos: Cubre los gastos y las responsabilidades legales que surjan como resultado de una filtración de datos.
Robo de identidad: Proporciona acceso a un centro de llamadas de robo de identidad en caso de robo de información personal del cliente o de los empleados.
Sin embargo, los riesgos cibernéticos siguen siendo un reto para las aseguradoras, reconocieron el Dr. Hartwig y la Sra. Wilkinson. Las tres razones citadas por el informe incluyen el cambio constante del tipo de perpetrador, así como los objetivos de ataque y los valores de la información expuesta; la falta de datos actuariales históricos; y la naturaleza interconectada del ciberespacio, que hace que sea difícil para las aseguradoras evaluar la posible gravedad de los ataques cibernéticos.