Los recientes ciberataques a grandes empresas y administraciones públicas han puesto de relieve que ninguna organización, grande o pequeña, está completamente a salvo de los ciberdelincuentes. En función de lo precavida que haya sido -por ejemplo, con actualizaciones constantes de sus softwares, análisis de riesgos periódicos y copias de seguridad-, el impacto será mayor o menor, pero la protección completa nunca está asegurada.

Por este motivo, muchas compañías están encontrando en las pólizas de riesgos cibernéticos un buen complemento para su plan de defensa digital: seguros que cubren una importante cantidad de los daños que se pueden sufrir en un ataque, fundamentalmente económicos, y que proporcionan apoyo técnico y legal para minimizar el impacto y recuperar la actividad normal de la organización lo antes posible.

“Dentro de un buen plan de ciberseguridad hay un apartado muy importante, el plan de respuesta ante incidentes, es decir, estar preparados para cuando se sufra un ataque, y este tipo de seguros aporta un plus muy interesante en este sentido. Además, la prima, comparada con el nivel de coberturas, no es demasiado alta”, explica a Xataka Deepak Daswani, experto en ciberseguridad.

La mayoría de aseguradoras de nuestro país ofrece este tipo de pólizas, que comparten una serie de coberturas básicas comunes como indemnizaciones por responsabilidad civil, los daños a los sistemas informáticos del asegurado, la asistencia legal y técnica, la comunicación a la Agencia de Protección de Datos del ataque y sus consecuencias y las posibles multas de este organismo estatal.

Y unas pocas, las más completas, también incorporan en su precio base coberturas como compensaciones por la pérdida de beneficios por la interrupción del negocio, por extorsión de los ciberdelincuentes y recomendaciones de ciberseguridad preventivas. Otros seguros de este tipo incluyen estas coberturas como opcionales. La mayoría de ellos, además, ofrecen algunas garantías optativas más como sustitución de los equipos afectados o el desplazamiento de equipos técnicos y legales a las instalaciones de la empresa para afrontar el problema.

“En un siniestro de ciberseguridad es muy importante solucionar o estabilizar el incidente lo antes posible, así que una cobertura esencial es la asistencia informática y legal. Además, es capital que dispongan de un servicio de atención 24x7, porque la velocidad es crucial. También debe tener coberturas para los daños económicos producidos por la paralización del negocio, para sanciones de la Agencia Española de Protección de datos, la ciberextorsión y la responsabilidad frente a terceros”, responde Amaia Ayerdi, directora de Operaciones y Desarrollo de Negocio de Telefónica Seguros, al ser cuestionada por las coberturas que considera básicas para este tipo de pólizas.

Análisis de riesgos antes de contratar

Rafael García, CTO de la empresa de ciberseguridad Hack by Security, coincide en que con esas coberturas la mayoría de organizaciones están bien cubiertas, pero también advierte que no todas tienen las mismas necesidades de protección, por lo que considera fundamental hacer un análisis de riesgos antes de contratar cualquier seguro de ciber riesgos.

“No es lo mismo tener una frutería y usar la web como simple escaparate, porque la mayoría de los clientes son del barrio, que un comercio electrónico en el que vendemos productos a distancia y donde almacenamos datos de los clientes y de la empresa”, subraya.

Otra recomendación de los expertos en ciberseguridad consultados por Xataka es leer atentamente la letra pequeña, como es aconsejable en cualquier seguro, para detectar las cosas que no cubre. Por ejemplo, Daswani señala que es bastante habitual que no incluyan coberturas por negligencias de los trabajadores, como aquellos casos en los que un directivo es engañado por los delincuentes para que hagan transferencias de dinero desde la cuenta de la empresa, una técnica conocida como el fraude del CEO. Las aseguradoras ofrecen clausulas para este tipo de timos, pero en la mayoría de los casos deben ser contratadas aparte.

Los requisitos y el precio

Para contratar un seguro de ciber riesgos las aseguradoras tienen que estudiar algunos aspectos de la empresa, y sólo si cumplen con los requisitos establecidos por la compañía podrán firmar la póliza.

Así, por ejemplo, Allianz –una de las pocas que comparte sus requisitos de forma pública en su web- establece que las empresas que aseguren no podrán facturar más de 15 millones de euros anuales, las ventas que realicen a través de comercio electrónico no podrán superar el 30% de la facturación de la compañía, debe tener más de dos años de antigüedad, sus sistemas informáticos deben estar en España, sus datos tienen que estar almacenados en países de la Unión Europea, no deben haber más de 50 dispositivos conectados a los sistemas de la organización y no deben almacenar datos de las tarjetas de crédito de sus clientes.

Como podemos observar, el seguro de Allianz es bastante básico y está dirigido, fundamentalmente, a pymes y autónomos. Hay otros más completos, pero las aseguradoras no comparten sus requisitos. Además, para grandes empresas u organizaciones cuya actividad entrañe un riesgo alto, las compañías de seguros suelen negociar todas las cláusulas de la póliza en lugar de ofrecer un producto preconfigurado.

Todas esas variables –coberturas, tamaño de la empresa, actividad económica, sector- influyen en el precio final del seguro, que puede oscilar desde unos cientos de euros al año para pequeñas empresas o profesionales independientes a muchos miles de euros para grandes compañías.