Eines

Pòlisses contra pirates

L'assegurança contra accidents informàtics comença a fer el seu mercat

De moment, la demanda procedeix bàsicament de les grans empreses

Internet i totes les seves derivades tecnològiques creixen dia a dia en complexitat, que ajuda a resoldre molts processos, però també nodreixen la possibilitat dels riscos cibernètics, contra els quals, a banda del disseny d'una estratègia d'actuació, l'empresa potser s'haurà de cobrir amb una pòlissa d'assegurances.

Amb la consolidació del núvol, i la sofisticació de totes les vies d'interconnexió que la xarxa admet cada dia que passa, les prevencions s'han de multiplicar. Ja fa cosa de dos anys que el sector assegurador dissenya productes ad hoc per defensar-se davant l'amenaça dels riscos cibernètics, tant pel perill que el sistema informàtic caigui i es bloquegi com per la fuita de tota mena de dades confidencials. El grup Zurich ja fa un any que està immers en aquest nou mercat dels riscos cibernètics, amb la seva assegurança Security & Privacy, que va ser dissenyada pels seus experts als EUA. Com explica Amparo Zabala, responsable de producte de riscos cibernètics de Zurich Empreses, aquest tipus d'assegurança “cobeja cobrir tant esdeveniments de seguretat com de privacitat”. En el primer cas, “es tracta de prevenir atacs de hackers que poden fer que els serveis que es presten a partir del sistema informàtic, siguin denegats”. Pel que fa al segon, el risc rau “en la violació de la privacitat, que dades confidencials, personals o empresarials, vegin la llum arran d'un atac informàtic”. Posa l'exemple d'una clínica, un tipus de sol·licitant habitual d'aquesta figura de l'assegurança, que ha d'estar alerta tant pel risc que un atac informàtic la deixi inoperativa davant dels seus clients, com perquè expedients clínics estrictament confidencials siguin fets públics.

Garanties dividides.

En aquest tipus d'assegurança, Zabala explica: “Les garanties es divideixen, fan referència tant als danys propis com als soferts per tercers: si un sistema informàtic és violat per un pirata, a banda del perjudici per a l'empresa objecte de l'agressió, hi ha el mal sofert per les persones que no han pogut rebre els serveis que habitualment li presta o que han vist com les seves dades han estat revelades.” En aquest producte d'assegurança, l'assegurat rep el suport de l'assistència d'experts informàtics que fan una tasca de forense.

Tot i que és un mercat al qual li queda molt per arribar a un estat de maduració, ja s'hi entrelluca un cert interès. Zurich, per exemple, ja rep diàriament una sol·licitud per cotitzar. Però cal fer una feina pacient per esvair prejudicis: “A banda que la crisi frena les intencions de cobrir-se davant un eventual risc cibernètic, també hi ha la barrera del desconeixement, i moltes empreses només estan disposades a contractar una pòlissa d'aquesta mena si ho fan els seus competidors.”

Actualment, aquesta incipient demanda de l'assegurança pel risc cibernètic es concentra en el nucli de la gran empresa, que factura més de 300 milions, tot i que ja es comença a percebre un cert interès en la franja de l'empresa mitjana, la que se situaria en unes vendes d'entre 30 i 300 milions. Des de la seva experiència diària, Amparo Zabala ha pogut detectar que “les pimes encara no ho tenen clar, han d'aclarir la seva pròpia anàlisi de riscos”.

El risc d'un daltabaix informàtic de conseqüències incalculables ha passat a un primer pla en les preocupacions de l'empresari a partir que l'aparell informàtic de la seva companyia ha deixat d'estar dipositat en un o dos servidors propis a estar al núvol. Zabala ho explica: “No és el mateix tenir totes les teves dades en un servidor físic que tenir-les al núvol, que ningú sap on és localitzat, i on es poden plantejar problemes legals, ja que si el teu servidor és als EUA, estaràs sotmès a lleis de privacitat ben diferents de les dels estats de la UE.”

Primer, anàlisi de riscos.

Pot ser útil protegir-se davant de qualsevol incidència negativa subscrivint una pòlissa d'assegurances, però el pas previ indefugible “és fer una anàlisi de riscos rigorosa, perquè l'empresa tingui plena consciència que, segons les dimensions de l'accident informàtic que patís, podria arribar a tenir moltes pèrdues, i un dany en termes de reputació difícilment reparable”. L'anàlisi de riscos és especialment important un cop s'esdevé l'accident: “No és el mateix que truquin els nostres forenses i els diguin quina pot ser la causa de la incidència, que els diguin que no saben d'on ve.” Un estudi de Harvard Bussines Review als EUA revela que fins a un 20% de les empreses reconeixen sense embuts que tenen uns dispositius de seguretat informàtica inadequats.

Darrerament, el grup Zurich, en col·laboració amb l'Atlantic
Council, ha publicat l'estudi Més enllà de la pèrdua de dades: les interconnexions globals del risc cibernètic. L'estudi parteix d'una realitat en què l'expansió massiva de dispositius connectats fan que el risc de ser objecte d'un gran falla sistèmica sigui elevat. Revela que l'any 2013, 740 milions de fitxers de dades van ser robats a tot el món i, segons Online Trust Alliance, organització que vetlla per la protecció de la informació en línia, el 89% s'hauria pogut evitar si s'haguessin tingut els mecanismes de control necessaris. En aquest sentit, a l'estudi es recomana que les empreses i les institucions treballin en l'elaboració d'estratègies adequades per millorar la seva resposta davant el risc cibernètic. Experts com ara Gib Sorebo, de la firma Leidos, no s'estan d'advertir de grans accidents en cascada: “Si hi ha una manipulació informàtica dels preus, la manipulació de la firma digital d'un metge en un dispositiu mèdic o una alteració de les dades del GPS, fóra desastrós, per l'impacte del problema abans que en siguin descobertes les causes i després per l'absència de confidencialitat un cop ja ha estats fixades les causes de l'accident.”

7 ‘shocks' externs

Riscos que no estan sota el control de cap organització concreta i que poden afectar en cascada. Per exemple, els grans conflictes internacionals.

2 socis i contraparts

Són els riscos que es poden derivar de la dependència o la interconnexió directa, d'una empresa possiblement sense que hi hagi un contracte al mig, amb una organització externa.

6 serveis i infraestructures

Riscos associats a les infraestructures que sostenen l'economia i la societat, com ara l'electricitat, els sistemes financers i les telecomunicacions.

5 tecnologies disruptives

Riscos vinculat a les tecnologies que podrien tenir efectes inesperats perquè encara estan en fase de desenvolupament. Aquí hi ha els dispositius mèdics que s'implanten i es poden controlar a distància o els cotxes sense conductors.

4 cadena de subministrament

Aquí hi ha els riscos que afecten la cadena de subministrament tradicional per la intervenció de diverses persones i empreses.

3 externalització

En aquest apartat hi ha els riscos provocats per la relació de pres- tació de serveis, habitualment contractual, amb proveïdors. En compartir informació, el risc d'exposició creix.



Identificar-me. Si ja sou usuari verificat, us heu d'identificar. Vull ser usuari verificat. Per escriure un comentari cal ser usuari verificat.
Nota: Per aportar comentaris al web és indispensable ser usuari verificat i acceptar les Normes de Participació.