Nuevos riesgos y desafíos se presentan con las políticas de distanciamiento social y los protocolos de teletrabajo que se han adoptado para afrontar la crisis generada por el COVID-19. El hecho de que las personas estén interactuando de manera remota, bajo circunstancias estresantes, y sobrecargando la infraestructura tecnológica, impone a las organizaciones considerar cómo su perfil de riesgo cibernético se puede ver afectado.
Se impone un gran desafío al migrar de un entorno físico a un entorno virtual. Una vez que las compañías reconozcan este desafío, deben tomar medidas apropiadas para mitigar el potencial riesgo, por ejemplo, generando conciencia en sus empleados y usuarios sobre las amenazas cibernéticas, mejorando los sistemas tecnológicos y revisando las coberturas bajo seguros de riesgo cibernético, errores y omisiones tecnológicos y responsabilidad por contenido multimedia.
Consciencia y vigilancia
Con el incremento del trabajo remoto las organizaciones son más susceptibles de sufrir ataques cibernéticos, especialmente aquellas que están empezando a usar este tipo de protocolos, adicionalmente, los atacantes cibernéticos tienen más oportunidades. Por ejemplo, las personas al ingresar remotamente a la red de las organizaciones lo hacen a través de redes domésticas que, por regla general, utilizan hardware menos seguro.
Estos atacantes también están sacando provecho de las personas en busca de información de la pandemia. COVID-19 ha incrementado los casos de Phishing y otros eventos de ingeniería social, utilizando como anzuelo información relacionada con el virus.
El trabajo remoto también incrementa el riesgo debido a la flexibilización de políticas y procedimientos de seguridad. Para facilitar el trabajo desde el hogar, los empleados pudieron retirar archivos impresos del lugar del trabajo o transferir información confidencial o sensible a dispositivos de almacenamiento inseguros y sin cifrado, exponiendo estos datos a terceros no autorizados, a un uso indebido y a una eliminación inadecuada de los mismos.
Las organizaciones deben actuar de una manera proactiva, recordándoles a sus empleados que una adecuada higiene digital es aún más crítica al conectarse a las redes de manera remota. Los empleados tienen una carga en la gestión adecuada de estos riesgos, realizando actividades como la actualización de sistemas, cerrar sesión cuando no estén trabajando o usando las redes, protegiendo los computadores, siguiendo los procedimientos de manejo de información confidencial o sensible y usando contraseñas complejas para los dispositivos y redes Wi-Fi del hogar.
Equipos de Tecnología
Las organizaciones también necesitan mantener un nivel alto de ciberseguridad, incluyendo pruebas a sus sistemas que les permita estar preparados para una interrupción operativa inevitable. Los equipos de TI de las organizaciones están teniendo una alta demanda para resolver situaciones derivadas de un repentino aumento de la fuerza de trabajo remoto.
La demanda en herramientas de comunicación en línea tendrá un incremento, que podrá reducir la disponibilidad de los sistemas. La suspensión o degradación de los sistemas generará interrupciones en las operaciones, causando pérdidas de beneficios y gastos adicionales.
Consideraciones Seguro
Cobertura de seguros para eventos de fuga de información personal o confidencial, incidentes de seguridad y fallas de tecnología se encuentran disponibles en el mercado. De hecho, varios de los seguros tradicional de riesgo cibernético incluyen servicios de prevención y mitigación del riesgo, que pueden ser utilizados antes o después de un evento. Adicionalmente, muchos aseguradores de manera proactiva se acercan a los asegurados cuando tienen conocimiento de potenciales amenazas o vulnerabilidades.
Sin embargo, con el distanciamiento social sin precedentes que estamos viviendo y el rápido aumento del trabajo remoto, es muy probable que se creen nuevos eventos para reclamaciones cyber, especialmente bajo tres coberturas:
Riesgo Cibernético o Cyber
Errores u omisiones tecnológicos
Responsabilidad por contenido multimedia
Algunas de las circunstancias únicas de la pandemia del COVID-19 pueden limitar o desafiar la capacidad de respuesta de estos seguros.
Cobertura de Riesgo Cibernético o Cyber
La mayoría de seguros de Riesgo Cibernético incluyen un amplio margen de coberturas relevantes para el entorno actual. Dentro de estas coberturas se incluyen responsabilidad por seguridad de la red, responsabilidad por privacidad, costos forenses, recuperación y reconstrucción de activos digitales, costos por extorsión cibernética, protección reputacional, interrupción del negocio y gastos extra, fallos del sistema, interrupción del sistema contingente y gastos de defensa. No obstante, en algunas situaciones la cobertura no aplicará por las exclusiones o limitaciones de cobertura incluidas en este tipo de seguros:
Exclusión de infraestructura: los seguros Cyber tradicionalmente excluyen cobertura por fallas en los servicios de energía, gas, agua, telecomunicaciones (incluyendo internet), que no se encuentren bajo el control operacional directo del asegurado.
Limitación de la cobertura de apagado/desconexión voluntaria: la cobertura puede incluir apagados o desconexiones voluntarias realizados con la finalidad de prevenir la propagación de un malware o limitar el daño, pero no un apagón o desconexión voluntario con la intención de mejorar el acceso a los sistemas y su funcionalidad.
Limitación en las definiciones de sistemas o redes: se deben revisar las definiciones clave y determinar si estas afectan la cobertura para los sistemas o redes propias, operados o arrendados por el asegurado o los que son gestionados por terceras partes.
Limitación en la definición de fallos del sistema: algunos textos de los seguros requieren error humano o error de programación para activar la cobertura.
Cobertura de Errores u omisiones Tecnológicos
Las coberturas de Errores y Omisiones Tecnológicos están diseñadas para eventos en los que se presenta un error u omisión en la prestación de servicios de tecnología o una falla en el desempeño o las funcionalidades de un producto de tecnología. No obstante, en algunas situaciones la cobertura no aplicará por las exclusiones o limitaciones de cobertura incluidas en este tipo de seguros:
Definición de servicios o productos de tecnología y acto incorrecto: los actos incorrectos pueden solo tener cobertura cuando los productos o servicios de tecnología son ofrecidos a cambio de una tarifa, o proveídos o diseñados para el uso en conjunto con un servicio. Algunos de los seguros solo ofrecen cobertura cuando hay negligencia en la prestación del servicio, pero no cuando no se presta el servicio.
Prácticas comerciales engañosas, antimonopolio y exclusiones de protección al consumidor: los seguros pueden excluir cobertura cuando un producto o servicio no cumple con los estándares ofrecidos.
Exclusión de lesiones personales o daño a la propiedad: la mayoría de los seguros de Errores y Omisiones cubren la pérdida financiera sufrida por terceros, bajo la premisa que las lesiones personales y el daño a la propiedad será cubierto por los programas de responsabilidad civil, y solo se detonará la cobertura bajo estos seguros (E&O) después de que la reclamación bajo responsabilidad civil se agotó.
Exclusión de acciones gubernamentales: las coberturas Tech E&O pueden excluir reclamos de entidades gubernamentales, a menos que sea directamente en calidad de cliente.
Exclusión de pérdidas comerciales o pérdidas de dinero: las reclamaciones generadas por pérdidas comerciales, cambio en el valor de las cuentas y transferencias de dinero son exclusiones típicas de este tipo de seguros.
Exclusión de redención de premios o cupones: los juegos promocionales, descuentos en precios, cupones o cualquier otro incentivo otorgado en exceso del valor del contrato son exclusiones típicas de este tipo de seguros.
Responsabilidad por contenido multimedia
La cobertura de responsabilidad por contenido multimedia se extiende a amparar un amplio rango de actos relacionados con las creación y publicación de contenido (por ejemplo, información, sonidos, imágenes y gráficos). La cobertura típica incluye difamación o menosprecio de productos, generación de tensión emocional, infracción de derechos de autor, violación de derechos de intimidad o apropiación indebida de nombres. Sin embargo, algunas pérdidas y daños no están cubiertos bajo ciertas circunstancias, algunas de las exclusiones típicas son:
Prácticas comerciales engañosas, antimonopolio y exclusiones de protección al consumidor: los seguros pueden excluir cobertura cuando un producto o servicio no cumple con los estándares o el desempeño ofrecidos.
Exclusión de lesiones personales o daño a la propiedad: la cobertura puede incluir tensión o estrés emocional, pero no reclamaciones relacionadas con lesiones personales o daño a la propiedad.
Exclusión de acciones gubernamentales: la cobertura puede excluir reclamos de entidades gubernamentales, a menos que sea directamente en calidad de cliente.
Publicación de contenido en línea: la cobertura puede estar solo limitada a las publicaciones realizadas en línea y no en otros formatos.
Revisión de programa de seguros
A medida que la pandemia continúa, los profesionales de riesgos deben trabajar de la mano con sus asesores de seguros para revisar de manera cuidadosa el lenguaje de sus pólizas y revisar de manera consciente que está y no está cubierto, y tomar las acciones necesarias para asegurar que las coberturas se activaran en el evento de una pérdida.