‘Datástrofes’

Mi amigo Antonio me pidió consejo acerca de los seguros de protección ante ciberriesgos. Antonio es abogado y entiende no solo el valor que -desde hace un tiempo- han tomado los datos, sino también el riesgo que nace ante terceros por una intrusión ilícita que exponga aquellos que custodiamos.

Hasta aquí, la petición de Antonio es normal en un buen profesional y empresario, al preocuparse por las consecuencias de un riesgo del que ya no cabe duda que va a ocurrir y tan solo desconocemos la fecha y la intensidad del ataque. Lo curioso fue que a Antonio se le ocurrió citar este seguro como “el de Datástrofes”. Y me gustó el invento.

Da el diccionario de la RAE dos definiciones de catástrofe: “Suceso desdichado en el que se produce gran destrucción y muchas desgracias con grave alteración del desarrollo normal de las cosas”; y “cosa mal hecha, de mala calidad o que produce mala impresión”. Me sirven ambas para seguir con este artículo.

En primer lugar voy a empezar con la segunda acepción, pues es general que en la empresa española el tratamiento de los datos sea algo que se lleva de cualquier manera.

Se ha contratado, generalmente, a un consultor para que haga el consabido manual de protección de datos, se ha colgado en la web la página informativa de turno y el pie de firma en los correos y... c’est fini! Con eso ya hemos hecho el exorcismo y los demonios procedentes del este de Europa, de Asia o de otros santuarios del cibercrimen acaban de ser vetados en nuestros sistemas.

¿De verdad? No. Tan solo tenemos una falsa sensación de seguridad que se hace trizas al menor contacto con la realidad. Ni siquiera es consciente el empresario o profesional español de que cerca del 70% de los incidentes son internos y de que casi el 100% tienen detrás la impericia o la negligencia humana.

Eso no sería un problema insalvable si no mediara una nula inversión estratégica en sistemas automatizados preventivos y de protección física y lógica. También es habitual oír eso de “¿Quién puñeta se va a fijar en una microempresa como la mía y qué iban a sacar de aquí?”, algo que necesariamente me recuerda que muchos no entienden que los ciberdelincuentes se sirven de bots que exploran vulnerabilidades a millones por hora. Cualquiera es una posible fuente ¿de qué? Pues de datos que tienen un valor, como identidades, direcciones de e-mail o teléfonos, de correos que contienen datos de transacciones o de facturación con los que suplantar identidades y desviar fondos a cuentas falsas, etc. O, peor aún, datos de salud, imágenes o de incidencias legales que pueden exponer gravemente a terceros.

Y aquí es donde entra la primera de las acepciones, pues el acceso a los datos de una empresa o de un despacho profesional puede ser un suceso muy desdichado, que genere una gran destrucción y una concatenación de desafortunadas desgracias que alteren el curso normal de esa actividad mercantil o profesional y puede que lo hagan para siempre.

Obviamente, el daño absoluto que puede causar un ataque en una corporación es muy distinto y distante del que puede causar en un pequeño despacho profesional. Pero el daño relativo puede ser mucho peor en el último pues carece de medios con que contrapesar los efectos y, normalmente, de liquidez suficiente con que afrontar las responsabilidades. ¿Qué pasaría en un despacho de abogados que factura 300.000 euros anuales si recibe una reclamación de varios afectados que suman dos millones de euros?

Si volver a la edad de piedra o cerrar el negocio no es una opción, puede ser muy inteligente contar con un seguro para parar el golpe.

No obstante, cabe pensar en el daño reputacional, las sanciones, los costes sobrevenidos derivados de las obligaciones en materia de comunicación del incidente y -claro está- los de reobtención de datos incluido el posible secuestro de estos por ransomware. El seguro no olvida estos riesgos y es normal que también provea cobertura ante dichas amenazas.

Por tanto, el empresario diligente puede afrontar con garantías este tipo de riesgos gracias a soluciones de seguro que han sido diseñadas específicamente para ello. Importante contar con asesoramiento profesional y que este conduzca a soluciones especializadas que serán controladas por expertos en beneficio de un resultado óptimo. Dicho de otro modo, no esperemos buenos resultados si la contratación de este tipo de seguros es, de partida, de escasa calidad.

Y esa calidad empezará a ser percibida si la contratación es objeto de suscripción. ¿Qué significa esto? El asegurador necesita conocer que su potencial cliente ha hecho los deberes en materia de prevención de incidentes y es por ello que no debe asegurarse aquel que esté descuidando su seguridad. Ello pasa, forzosamente, por hacer los deberes en la materia para minimizar el riesgo y, una vez adoptadas medidas de seguridad y prevención, podrá pasarse el filtro de un asegurador experto.

Mi sugerencia es desconfiar de las contrataciones fáciles, esas poco exigentes en el momento de contratar y pagar la prima. Se basan en unas declaraciones genéricas que trasladan la suscripción al momento del siniestro. Créame, el peor momento para descubrir que contrató lo que no debía, como no debía y con quien no debía es el del siniestro.

Hacer lo correcto siempre trae buen resultado y, en materia de datos, lo correcto es ser consciente de la amenaza, tomar medidas y cubrir con un seguro el riesgo de un ataque que, tarde o temprano, va a producirse. Con ello evitaremos la datástrofe que intuye Antonio.