Pòlisses contra pirates
L'assegurança contra accidents informàtics comença a fer el seu mercat
Internet i totes les seves derivades tecnològiques creixen dia a dia en complexitat, que ajuda a resoldre molts processos, però també nodreixen la possibilitat dels riscos cibernètics, contra els quals, a banda del disseny d'una estratègia d'actuació, l'empresa potser s'haurà de cobrir amb una pòlissa d'assegurances.
Amb la consolidació del núvol, i la sofisticació de totes les vies d'interconnexió que la xarxa admet cada dia que passa, les prevencions s'han de multiplicar. Ja fa cosa de dos anys que el sector assegurador dissenya productes ad hoc per defensar-se davant l'amenaça dels riscos cibernètics, tant pel perill que el sistema informàtic caigui i es bloquegi com per la fuita de tota mena de dades confidencials. El grup Zurich ja fa un any que està immers en aquest nou mercat dels riscos cibernètics, amb la seva assegurança Security & Privacy, que va ser dissenyada pels seus experts als EUA. Com explica Amparo Zabala, responsable de producte de riscos cibernètics de Zurich Empreses, aquest tipus d'assegurança “cobeja cobrir tant esdeveniments de seguretat com de privacitat”. En el primer cas, “es tracta de prevenir atacs de hackers que poden fer que els serveis que es presten a partir del sistema informàtic, siguin denegats”. Pel que fa al segon, el risc rau “en la violació de la privacitat, que dades confidencials, personals o empresarials, vegin la llum arran d'un atac informàtic”. Posa l'exemple d'una clínica, un tipus de sol·licitant habitual d'aquesta figura de l'assegurança, que ha d'estar alerta tant pel risc que un atac informàtic la deixi inoperativa davant dels seus clients, com perquè expedients clínics estrictament confidencials siguin fets públics.
Garanties dividides.
Tot i que és un mercat al qual li queda molt per arribar a un estat de maduració, ja s'hi entrelluca un cert interès. Zurich, per exemple, ja rep diàriament una sol·licitud per cotitzar. Però cal fer una feina pacient per esvair prejudicis: “A banda que la crisi frena les intencions de cobrir-se davant un eventual risc cibernètic, també hi ha la barrera del desconeixement, i moltes empreses només estan disposades a contractar una pòlissa d'aquesta mena si ho fan els seus competidors.”
Actualment, aquesta incipient demanda de l'assegurança pel risc cibernètic es concentra en el nucli de la gran empresa, que factura més de 300 milions, tot i que ja es comença a percebre un cert interès en la franja de l'empresa mitjana, la que se situaria en unes vendes d'entre 30 i 300 milions. Des de la seva experiència diària, Amparo Zabala ha pogut detectar que “les pimes encara no ho tenen clar, han d'aclarir la seva pròpia anàlisi de riscos”.
El risc d'un daltabaix informàtic de conseqüències incalculables ha passat a un primer pla en les preocupacions de l'empresari a partir que l'aparell informàtic de la seva companyia ha deixat d'estar dipositat en un o dos servidors propis a estar al núvol. Zabala ho explica: “No és el mateix tenir totes les teves dades en un servidor físic que tenir-les al núvol, que ningú sap on és localitzat, i on es poden plantejar problemes legals, ja que si el teu servidor és als EUA, estaràs sotmès a lleis de privacitat ben diferents de les dels estats de la UE.”
Primer, anàlisi de riscos.
Darrerament, el grup Zurich, en col·laboració amb l'Atlantic
Council, ha publicat l'estudi Més enllà de la pèrdua de dades: les interconnexions globals del risc cibernètic. L'estudi parteix d'una realitat en què l'expansió massiva de dispositius connectats fan que el risc de ser objecte d'un gran falla sistèmica sigui elevat. Revela que l'any 2013, 740 milions de fitxers de dades van ser robats a tot el món i, segons Online Trust Alliance, organització que vetlla per la protecció de la informació en línia, el 89% s'hauria pogut evitar si s'haguessin tingut els mecanismes de control necessaris. En aquest sentit, a l'estudi es recomana que les empreses i les institucions treballin en l'elaboració d'estratègies adequades per millorar la seva resposta davant el risc cibernètic. Experts com ara Gib Sorebo, de la firma Leidos, no s'estan d'advertir de grans accidents en cascada: “Si hi ha una manipulació informàtica dels preus, la manipulació de la firma digital d'un metge en un dispositiu mèdic o una alteració de les dades del GPS, fóra desastrós, per l'impacte del problema abans que en siguin descobertes les causes i després per l'absència de confidencialitat un cop ja ha estats fixades les causes de l'accident.”
7 ‘shocks' externs
Riscos que no estan sota el control de cap organització concreta i que poden afectar en cascada. Per exemple, els grans conflictes internacionals.
2 socis i contraparts
Són els riscos que es poden derivar de la dependència o la interconnexió directa, d'una empresa possiblement sense que hi hagi un contracte al mig, amb una organització externa.
6 serveis i infraestructures
Riscos associats a les infraestructures que sostenen l'economia i la societat, com ara l'electricitat, els sistemes financers i les telecomunicacions.
5 tecnologies disruptives
Riscos vinculat a les tecnologies que podrien tenir efectes inesperats perquè encara estan en fase de desenvolupament. Aquí hi ha els dispositius mèdics que s'implanten i es poden controlar a distància o els cotxes sense conductors.
4 cadena de subministrament
Aquí hi ha els riscos que afecten la cadena de subministrament tradicional per la intervenció de diverses persones i empreses.
3 externalització
En aquest apartat hi ha els riscos provocats per la relació de pres- tació de serveis, habitualment contractual, amb proveïdors. En compartir informació, el risc d'exposició creix.