Título

La mayoría de empresas no cubre adecuadamente los daños por WannaCry

Ciberriesgos
Archivo
La mayoría de empresas no tiene una cobertura aseguradora adecuada para para hacer frente a las pérdidas y gastos de un ciberataque como WannaCry, según un informe de Aon y Ponemon.
Redacción
18 de Mayo de 2017, 13:15CEST

La mayor parte de las empresas no cuenta con una cobertura aseguradora que les permita hacer frente a las pérdidas y gastos que les generaría WannaCry o cualquier otro tipo de ciberataque similar. El Informe Global de Comparación de Transferencia de Ciber Riesgo 2017 recientemente lanzado por Aon y  Ponemon Institute, firma global líder en privacidad, protección de datos y seguridad de la información, destaca que las organizaciones actualmente consideran que sus activos digitales son más valiosos que los activos físicos (propiedades, instalaciones y equipamientos), aunque gastan casi cuatro veces más de su presupuesto en la protección aseguradora de los últimos.

“Este estudio sobre ciber, único en su clase, revela una seria desconexión en la gestión de riesgos”, afirma Dr. Larry Ponemon, presidente y fundador de Ponemon Institute. “Lo que es interesante es que la mayor parte de las empresas cubre las pérdidas relacionadas con los activos tangibles, tales como incendios o eventos naturales, asegurando de media un 59%. Con respecto a los riesgos cibernéticos ocurre casi lo contrario, ya que las empresas están asegurando de media un 15%.”

Este ataque debe hacer reflexionar a muchas empresas sobre su preparación frente al riesgo. Aunque el 46% de los participantes reconoce que existe una brecha de datos en los últimos dos años con un impacto económico medio de 3,6 millones de dólares, y el 65% de las organizaciones espera que su exposición al riesgo cibernético se incremente en los próximos dos años, todavía un 43% indica que no tiene intención de contratar un seguro.

“Es fundamental conocer las distintas soluciones aseguradoras que existen en el mercado y saber de qué forma hay que contratar los seguros para hacer de ellos una herramienta valiosa de gestión de riesgos”, afirma Claudia Gómez, directora de Líneas Financieras de Aon Risk Solutions. “Muchas organizaciones no han acometido aún la tarea de analizar y cuantificar no sólo las amenazas o el valor de sus activos de la información, sino el impacto que puede suponer para la organización el sufrir un incidente crítico y el coste-beneficio de lo que implica invertir en seguridad y/o transferir estos riesgos al mercado asegurador. En comparación con el presupuesto invertido en la seguridad de los sistemas, el importe de las primas de seguros es muy inferior pero son todavía pocas las organizaciones que prefieren estar tranquilas contando con las coberturas adecuadas para cuando ‘todo lo demás falle’.

Los expertos de Aon señalan que el mercado asegurador está transformando su oferta para dar cobertura, de la forma más amplia posible, a todas las consecuencias previsibles a día de hoy y que pueden de un incidente de la información y de los sistemas.  De forma general, la cobertura da respuesta a los innumerables gastos asociados a la gestión de un incidente (gastos forenses, asesoramiento legal, gestión de crisis reputacional, notificación y servicios a afectados por una quiebra de datos); pérdida propia (pérdidas de beneficios, extracostes y recuperación de ficheros como norma general), responsabilidades frente a terceros por fallos de privacidad y seguridad o procedimientos frente a reguladores en materia de protección de datos.  Las pérdidas directas derivadas de fraude informático deben, por el momento, complementarse con pólizas de fraude informático / transferencias fraudulentas de fondos.

Además, el 63% de las compañías que ha sufrido una brecha de datos en los últimos dos años están ahora más preocupadas que antes por su responsabilidad derivada del ciber riesgo. Solo el 53% de las empresas recurre al asesoramiento de terceros o a un proceso formal interno de valoración para determinar el nivel de ciber riesgo, lo que implica que casi la mitad de las empresas no conoce bien el impacto real o nivel de exposición.

A pesar del crecimiento de la exposición al riesgo y del potencial impacto declarado por las empresas solo el 30% de las mismas contrata un seguro de ciber riesgos con límite medio de 15 millones de dólares.

El 71% de los participantes en la encuesta están solo algo o nada enterados sobre las consecuencias económicas y legales de las próximas normativas que entrarán en vigor, como la European Union General Data Protection Regulation (GDPR).

Para ver el informe completo pinche aquí.