A ningú ens estranya que al comprar un mòbil o una tauleta ens ofereixin una assegurança. I nosaltres, que sabem que la pèrdua, el robatori o el trencament de la pantalla és habitual en aquest tipus de dispositius, accedim sense dubtar-ho. Però és que ara, a més, tenim les pòlisses de ciberriscs. Un tipus d’assegurança que va més enllà de protegir un aspecte material o físic, sent la violació de la informació i la privadesa el major representant de la llista i del que més notificacions reben les asseguradores.
Taula de continguts
Quin interès tenen per a la PIME?
Com apunta INCIBE (Institut Nacional de la Ciberseguretat), la pèrdua dels actius d’informació, bé per un accident fortuït (causes naturals, errors humans...) o a causa d’un atac intencionat és una preocupació creixent per a les empreses de totes les grandàries i sectors. Tota activitat té riscos, al món real i en el virtual.
Les conseqüències d’un incident poden afectar a dades comercials, patents, finances, equipament, etc. i a la reputació de les persones o de la marca, en definitiva al negoci.
Un informe recent de la signatura Kaspersky valorava en 33.700 € el pressupost mitjà que necessitaria una pime per resoldre un problema de seguretat com a fugides de dades, frau o atacs de denegació de servei. Això, sense incloure altres despeses indirectes i els deguts a l’eventual parada dels serveis.
Què cobreix una ciber assegurança?
Si les conseqüències dels riscos són molt diverses, les cobertures també haurien de ser-ho, però això no succeeix així. En el procés de gestió, i més concretament en la detecció, cada risc que té capacitat d’ocasionar un sinistre es troba en una capa. Poden ser més, encara que hi ha una que és predominant. Les conseqüències de cadascun d’ells es limita principalment a sis tipus de danys.
Les cobertures principals, per tant, poden tenir la seva base en dos conceptes o una combinació de tots dos:
- Cobertures basades en capes (Persones, Maquinari, Empresa, Programari i Xarxa).
- Cobertures basades en conseqüències (Danys físics, pèrdua de beneficis, pèrdua de reputació, multes o sancions, reclamacions, propietat intel·lectual).
De totes maneres, cada cobertura ha d’estar delimitada dins d’una capa, i dins de cada capa pot existir la combinació d’assegurances de danys propis i danys a tercers.
Els danys
Als Estats Units la cobertura d’aquest tipus de sinistres està molt més avançada perquè les companyies tenen històrics de dades per confeccionar les pòlisses. Aquestes cobreixen una amplísima gamma de riscos que es poden englobar en dos grans grups:
Danys propis:
- Els derivats de la pèrdua d’ingressos com a resultat d’una vulneració de seguretat o d’un atac de denegació de servei.
- La cobertura per a les dades allotjades en el núvol.
- Despeses de gestió i comunicació de la crisi (a través de consultores tecnològiques).
- Assistència tècnica i despeses de recerca del sinistre (informis forenses).
- Despeses de reparació i restauració de les dades esborrades i dels equips danyats.
- Pagament de rescats.
- Defensa jurídica i protecció contra multes o sancions d’organismes reguladors.
Danys de tercers:
- Aquí entrarien les cobertures de responsabilitat civil per pèrdua de dades de caràcter personal.
- També les despeses de notificació de vulneracions de privadesa als amos dels registres o a tercers que estiguin interessats.
- Protecció enfront de reclamacions de tercers per incompliment en casos de custòdia de dades, difamació en mitjans corporatius o infecció per malware.
- Cobertura de delictes cibernètics: estafes de phishing (suplantació d’identitat), hacking telefònic, frau electrònic i extorsió cibernètica.
- L’Institut Nacional de Ciberseguridad detalla a més que existeixen moltes altres cobertures addicionals, com pot ser l’assistència tècnica quan un atac posa en risc els sistemes informàtics, les despeses per errors tecnològics, l’adequació dels processos de l’empresa a la Llei de Protecció de Dades o la contractació de serveis d’atenció al client externs.
El primer pas: la conscienciació
Al final, tenir una pòlissa d’aquest tipus és l’última línia de defensa per a una empresa. El primer que s’ha de fer és considerar la seguretat informàtica com una àrea sensible dins de l’organització i dedicar els mitjans adequats a la seva gestió. Les grans empreses fa temps que s’han conscienciat, però no tant les pimes. La realitat és que quan els ciutadans observen que grans corporacions són atacades, és difícil convèncer-los que ells no van a sofrir la mateixa situació.
Evitar atacs és impossible, però minimitzar el seu poder destructiu no.
A Serpreco, la nostra especialitat és protegir-te a tu i als teus, protegir el que és teu.