Artículo de Martín Pesce para la revista Más Seguros


“Los datos son el petróleo del siglo XXI”; una frase tan repetida como cierta. La explosión de la cantidad de dispositivos conectados, los millones de datos generados cada minuto y, sobre todo, la capacidad de analizarlos y aprovecharlos de las más diversas formas han convertido a los datos en la materia prima más valiosa del momento. Un botín más que apetitoso para la proliferación de los hackers y el cibercrimen.

En este escenario, la seguridad cibernética se ha convertido en uno de los desafíos más relevantes a los que hoy se enfrentan las empresas y la sociedad. La vertiginosa expansión tecnológica ha masificado la accesibilidad a internet y a los servicios digitales. Con esto también se han multiplicado exponencialmente los posibles canales de ciberataques así como el impacto que estos pueden tener sobre organizaciones y empresas.

Hasta hace poco tiempo solo nos enterábamos de hackeos de información por noticias o eventos puntuales que veíamos desde lejos, limitado mayormente a espionajes de gobierno (como las filtraciones del estadounidense Edward Snowden). Pero hoy esto se ha transformado en una amenaza real y concreta que no hace distinciones y nos toca muy de cerca.

I Wanna Cry ha pasado del romanticismo de la célebre canción de Paul McCartney a la contemporaneidad dramática generada por un virus de tipo ransomware (cibersecuestro) que ha infectado a cientos de miles de computadoras alrededor del mundo y generado pérdidas millonarias, así como pagos de rescates por cifras incalculables. En efecto, WannaCry ha tenido más víctimas de las declaradas, según publica El País de Madrid. Las aseguradoras de riesgos estiman el costo potencial del ataque en 4.000 millones de dólares. Una cifra impactante si se tiene en cuenta que en todo 2016 valoró en 1.500 millones de dólares las pérdidas generadas por ataques.

Es que, ahora más que nunca, un ataque cibernético es una amenaza real que puede asestar un duro golpe el corazón mismo de las organizaciones. Las consecuencias para las empresas que no implementan robustas medidas de seguridad y que no capacitan y concientizan a su personal sobre los cuidados a tener pueden ser muy graves: desde peligrosas interrupciones operacionales hasta la destrucción irreversible de un negocio. Lo anterior se vuelve aún más crítico considerando la cada vez mayor dependencia de los sistemas de tecnología informática en el proceso productivo de las empresas de servicios e incluso industrias de todo tipo. Se ha advertido con acierto que los atacantes más sofisticados siempre estarán al menos un paso por delante de los proveedores de servicios de seguridad y del departamento de informática de una empresa, por lo que ninguna compañía puede esperar repeler con éxito cada ataque cibernético.

Así las cosas, es aconsejable asumir que más tarde o más temprano su empresa sufrirá un ataque cibernético exitoso. La escala y las consecuencias que este tenga dependerán en gran medida de si se está preparado para ello o no. La inversión en seguridad de la información y protección de datos no debe considerarse como un gasto que desatienda o postergue otras áreas estratégicas; en realidad es la base necesaria para el desarrollo sostenido de ellas.

El Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), por ejemplo, registró en Uruguay más de un centenar de incidentes de seguridad informática, según los últimos datos disponibles, solo desde enero a setiembre de 2016. Y esto, bastante antes de la explosión del WannaCry y otros ramsonware que han salido a escena con inusitada virulencia durante 2017.

Cotizando en alza: seguros de responsabilidad cibernética

En este marco, las pólizas de seguro cibernético ocuparán día a día un papel cada vez más relevante. El mercado está cambiando rápidamente y comenzado a demandar tales productos, pero la tarea no es sencilla debido a que todos los días surgen nuevos riesgos. Estamos frente a un riesgo de naturaleza esencialmente dinámica, la escasez de datos históricos tornan aún más difícil evaluar con precisión su riesgo y ponerle un valor monetario al mismo. Por tanto, las empresas deben ser cuidadosas en sus prácticas de suscripción.

De hecho, un producto de seguro de responsabilidad cibernética no puede ser estándar o de tamaño único, sino que debe adaptarse a cada empresa. La oferta básica de este seguro incluye generalmente dos componentes: cobertura para las pérdidas propias de las compañías y la cobertura de terceros por las pérdidas de terceros. Puede agregarse eventualmente otro tipo de cobertura como la de continuidad del negocio, para cubrir los riesgos y necesidades específicas del mismo. Según el reporte de A.M. Best Company de junio de 2017[1], con la creciente frecuencia y severidad de los ataques cibernéticos de los últimos dos años las aseguradoras se han vuelto más conscientes de los riesgos y los beneficios de esta línea de negocio.

Considerando la cantidad de ataques verificados en estos últimos dos años, así como el daño potencial que estos pueden causar, A.M. Best reconoce las oportunidades para esta líneas. El reporte agrega que los observadores de la industria han vaticinado que la línea cibernética de negocios será una de las principales áreas de crecimiento dentro de la línea de propiedad y accidentes. Se estima que las coberturas cibernéticas aumentarán de USD 7.500 millones a USD 20.000 millones en 2020.

Los “data breach”, el otro flagelo de los ataques

Cuando hablamos de activos de información, la seguridad de los datos de carácter personal es una materia que no puede dejarse pendiente. Es que la Ley de Protección de Datos Personales N° 18.331 impuso a las empresas distintas obligaciones, entre la que se encuentra la de adoptar medidas técnicas y organizativas adecuadas contra el tratamiento no autorizado de datos personales y contra la pérdida, destrucción o daño de los mismos.

A diferencia de otros países, nuestro legislador no previó qué medidas de seguridad específicas deben tomarse, pero es altamente recomendable implementarlas de forma proporcional a la naturaleza y volumen de datos que se traten, y sobre todo, al daño potencial que un incidente de seguridad podría causar. Y la tarea no es menor, las empresas están cada vez más expuestas a reclamos por responsabilidad civil además de multas por parte de los reguladores en caso de producirse una fuga de información personal.

En esa línea, muchas compañías están optando por certificarse en normas como la ISO/IEC 27001 sobre la Seguridad de la Información, como forma de gestionar los riesgos de forma controlada y eficiente. Es que lo que hasta hace poco se podía considerar como una buena práctica, hoy ha pasado a ser una exigencia para los proveedores de servicios de las más diversas ramas. Prueba de ello, son los lineamientos que acaba de publicar la “Association of Corporate Counsel” (ACC), una asociación legal global que representa a más de 42.000 in house lawyers en 85 países. Se trata de un modelo de protección y seguridad de la información que se considera altamente relevante tengan en cuenta los asesores externos. Esto incluye la adopción de políticas de privacidad y de procedimientos de seguridad, encriptación de datos, certificación en normas de seguridad de la información como las ISO 27.000, reporte de incidentes, entre otras.

Todas medidas que no hacen más que confirmar que la ciberseguridad es una de sus principales preocupaciones en la actualidad, lo que representa un desafío pero también una importante oportunidad de diferenciación.

Obligación de notificar

Cabe señalar por último, que nuestra regulación exige comunicar a los titulares toda vez que el responsable o dueño de una base de datos conozca de la ocurrencia de vulneraciones de seguridad que sean susceptibles de afectar de forma significativa sus derechos.

Es claro que dar aviso de un incidente de seguridad, trae un factor reputacional involucrado y que debe analizarse caso a caso. Pero es ciertamente recomendable ser exhaustivo y conservador en dicho análisis porque las consecuencias de no dar un aviso a tiempo, pueden aparejar consecuencias aún más graves. Es que en materia de datos personales, con el desarrollo tecnológico actual, los usos no autorizados pueden ser muy variados y los daños muy cuantiosos.

En este contexto, destinar recursos a la seguridad de la información y a asegurarse un cabal cumplimento de la regulación de protección de datos personales lejos está de ser un gasto. Resulta una inversión necesaria, pero con un retorno cierto y palpable cada vez más valorado por el mercado, que asegura además el desarrollo sostenido de las áreas estratégicas de las empresas.