Muchos empresarios, ante el peligro cierto que cada vez más acecha no sólo a sus activos, sino a su propia sostenibilidad, apuestan por pagar las primas de seguros, diseñados de manera estandard para los problemas que genere la ciberseguridad.
Suelen ser productos tipo, no personalizados, porque como es de prever, las aseguradoras no cuentan entre sus actuarios de expertos juristas y técnicos en ciberseguridad. Ello es lógico, porque lo contrario sería tener que formar a sus profesionales en cuestiones de arquitectura o albañilería si quisieran vender un seguro de hogar o, en mecánica para el caso de que lo que se asegure sea un coche.
El empresario estaría pues dispuesto a pagar una cantidad superior en prima de seguro, a costa de no invertir en seguridad técnica o infraestructura
Antes al contrario, los actuarios de seguros en ciberseguridad van a recibir una ayuda inestimable de los técnicos y juristas en la materia, que les va a permitir personalizar las pólizas según el cliente y sus necesidades.
Dicho ello como reflexión inicial, es conveniente no obviar una cuestión que no puede ser pasada por alto y que afecta de lleno a la concepción del seguro que en algunos casos se deduce de los comentarios y actuaciones de los empresarios. En ocasiones la política seguida por una entidad pasa por no generar gasto alguno en mejoras técnicas o adaptaciones jurídicas, en la confianza de que cuando llegue la contingencia, el seguro se hará cargo tanto del daño emergente como del lucro cesante, incluyendo a veces hasta la parte correspondiente a la estimación necesaria en términos de pérdida de imagen.
Es decir, el empresario estaría pues dispuesto a pagar una cantidad superior en prima de seguro, a costa de no invertir en seguridad técnica o infraestructura, pero sin advertir, que eso puede llegar a ser un suicidio para la empresa.
Pensemos en que un ataque cibernético deje sin poder distribuir un producto a un cliente durante una semana: según qué caso –pensemos en el sector salud-, los contratos permiten que la citada sea causa de resolución contractual, con los correspondientes daños y perjuicios; es decir el suministrador habrá perdido un contrato por ese ataque. Igualmente, piénsese y esto es más preocupante, que el cliente se va a ver forzado si el pedido es de uso inmediato en su actividad, a buscar a la competencia del cliente para el suministro y una vez que ésta se asiente…
Mas expongamos algunas reflexiones adicionales: el seguro no paga con inmediatez. El abono tiene que pasar por las manos de un perito experto al que se ha de demostrar que no ha habido mala fe o negligencia por parte del asegurado. No menos difícil es probar el daño real, y no digamos el lucro cesante, que según quien sume (empresario o aseguradora), puede variar en millones de euros.
En fin, una locura y además con la competencia quitándonos cuota de mercado, en la mayoría de los casos, irrecuperable.
La solución es clara: un plan director en seguridad, que nos diga hasta dónde hemos de mejorar técnicamente y adaptarnos jurídicamente, para que la contingencia posible apenas tenga opciones de tener lugar y, para el caso del todo inevitable – por supuesto con una prima inferior pero adaptada a necesidades reales-, un seguro hecho a medida.