ashley madison

Erase una vez un portal de citas, polémico desde el punto de vista ético, que sufrió un ataque informático. Su base de datos quedó en manos de un grupo de intrusos que amenazaban con publicar los nombres y otros datos personales de sus clientes, todos infieles de pensamiento u obra, si la página no cerraba pronto y para siempre. Fotos íntimas incluidas.

La web se llama Ashley Madison y, finalmente, los datos de 39 millones de usuarios en todo el mundo han sido publicados.

Pensaba salir a bolsa este mismo año, pero su cotización habrá de esperar porque la banca de inversión pone en duda la continuidad del servicio. Sus planes de pisar el parqué se han ido al traste. Su credibilidad, probablemente, está arruinada.

Ciberseguros para empresas

El suyo es un ejemplo, reciente y extremo, de lo que puede significar para una compañía un ciberataque. El coste medio de un robo de información ronda los 3,8 millones de dólares (3,4 millones de euros), según datos del último informe del Ponemon Institute. Un 23% más de lo que una empresa solía perder a causa de un ataque informático en 2013.

El daño que inflige a la credibilidad podría ser irreversible, pero al menos es posible paliar este perjuicio económico. Las corporaciones son conscientes del riesgo y están buscando soluciones. Por eso están en auge los ciberseguros, cuya tasa de adopción en los Estados Unidos pasó del 10% en 2013 al 26% un año después. Se estima que entre 50 y 60 firmas aseguradoras ofrecen ya este tipo de póliza.

El robo de información también preocupa a las empresas europeas, que se mueven en un marco jurídico más riguroso en materia de protección de datos. Además, un nuevo reglamento está en camino. Protección ante posibles multas y sanciones del regulador es algo que todo buen ciberseguro ha de cubrir en el Viejo Continente.

En términos generales, podría decirse que hay dos riesgos que cubren estas pólizas: los directos, que afectan a la propia empresa, y los indirectos que afectan a terceros (los clientes o usuarios, además del ya citado regulador). En un escenario típico de filtración de datos, la cobertura directa ayudaría a sufragar el coste de notificar y analizar el ataque, las reparaciones o restauración de datos y los servicios de verificación de identidad para las víctimas. La cobertura a terceros, por su parte, ayudaría a cubrir los gastos de multas y tasas legales, de juicios y denuncias de los clientes involucrados.

programacion ordenador

Entonces, ¿merece la pena contratar un ciberseguro o es una necesidad artificial creada por las aseguradoras para pescar en el río revuelto de los ciberataques? Depende. Lo primero que la empresa ha de entender es lo evidente: siempre es mejor prevenir que curar, evitar la brecha antes de que se produzcan daños que un seguro pueda aminorar. Un buen antivirus para empresa y medidas de seguridad adecuadas valen más que cualquier ciberseguro.

Dicho esto, la principal ventaja de estas pólizas es que garantizan la continuidad del negocio cuando, por desgracia, se produce un grave incidente. Es una medida reactiva y no reduce el riesgo, pero aporta tranquilidad. El futuro es menos negro tras un robo de información si la compañía tiene contratado un seguro.

No obstante, jamás cubrirá la pérdida de actividad comercial que se derive del daño a la reputación de la firma. Y suele ser significativa. Según el informe de Ponemon, una filtración de datos puede suponer una pérdida de hasta el 4% de los clientes en algunos sectores.

Si finalmente se decide a contratarlo, la empresa deberá buscar en un ciberseguro elementos como la cobertura retroactiva (que pague incluso si la brecha es previa a la contratación), que cubra el robo de datos sin cifrar (documentos de texto, hojas de cálculo…), los datos proporcionados a terceros cuando parte de la actividad está subcontratada, los datos en la nube y en dispositivos móviles, y que refleje claramente lo que la aseguradora considerará una negligencia (no vaya a ser que se laven las manos en el peor momento).