Estamos en una sociedad altamente tecnologizada donde todas las empresas y organizaciones manejan datos personales y corporativos a diario: números de tarjetas de crédito, RUT (número de identificación personal en Chile), información demográfica de clientes, registros médicos, presupuestos y planes de negocios y de marketing. La responsabilidad que enfrentan las empresas es enorme si dicha información llegara a caer en manos equivocadas, o si llegara a ser publicada. Además, la información divulgada, ya sea tanto personal o corporativa puede generar demandas a la empresa por parte de terceros afectados, tal como lo han demostrado hechos recientes del sector de la banca, la entretención y negocios de contenido (ej. Linkedin). Así entonces, con los avances tecnológicos el riesgo de manejo de datos se torna más complicado, difícil de manejar, de mitigar e incluso de identificar.

Entre las principales industrias afectadas por la pérdida de datos están: retail, salud, tecnología y telecomunicaciones, tecnologías de la información, industria, ONG’s, seguros y servicios profesionales. Son infinitas las actividades que hoy están expuestas y más de la mitad de las compañías tardan años en descubrir una vulneración de datos. Sólo en Latinoamérica los ataques cibernéticos se incrementaron 500% desde 2009.

Los riesgos están continuamente transformándose y cada vez es más difícil defenderse frente a piratería, phishing, inyección SQL, virus y troyanos, además de la pérdida de información por errores de empleados o derechamente por trabajadores deshonestos, o tan simplemente ante la pérdida de dispositivos móviles (notebooks, pendrives), involucrando riesgos operacionales, financieros, reputacionales, de propiedad intelectual, legales y regulatorios. La caída promedio de los valores bursátiles a consecuencia de la notificación de una violación a la seguridad de la red es de 5%. Esto, sin considerar la abrupta caída en imagen y reputación a la que deben verse enfrentadas las empresas.

La responsabilidad de la seguridad de los datos ya no se limita a TI de las compañías, la gestión de riesgos cibernéticos es finalmente responsabilidad de todos los niveles de la organización y debiera convertirse en una real preocupación para los máximos responsables de las empresas.

En el caso de empleados deshonestos, hay una directa relación entre desempleo y robo de información privilegiada, utilizándose para ello formas para nada sofisticadas, como: sacar datos a través del e-mail de la compañía (46%), robo de documentos  impresos (22%) y copia de información en pendrives o cd (9%); datos que finalmente son utilizados para llevar información a la competencia (70%), para comenzar un negocio propio (23%) o para la venta de éstos (1%).  

Otro flanco importante es la contratación de terceros para la realización de funciones, donde hoy se externalizan un alto porcentaje de funciones a terceros, como: entrega de pedidos (39%), investigación de mercado (39%), administración y pago de empleados (39%), abastecimiento (25%), contabilidad (22%), atención al cliente (20%), producción (14%), propuestas, licitaciones y administración de contratos (14%) y finanzas (14%).  Sólo en el área de TI, la externalización de funciones contempla: desarrollo de software (61%), administración de datos (50%), administración de redes y comunicaciones (48%) y almacenamiento centralizado (42%).

En este escenario, la responsabilidad de la seguridad de los datos ya no se limita a TI de las compañías, la gestión de riesgos cibernéticos es finalmente responsabilidad de todos los niveles de la organización y debiera convertirse en una real preocupación para los máximos responsables de las empresas.

Además de tomar todas las medidas que la misma tecnología ofrece, hoy la clave para las empresas está en poder traspasar este riesgo y resguardarse de los altos costos que esto podría significar, incluyendo reposición/restauración, notificación al afectado, restablecimiento del crédito e instalación de controles de seguridad, entre otros. Una violación de seguridad de la red tiene un costo promedio de US$7millones.

Una alternativa pensada especialmente para este escenario es el Seguro de Responsabilidad Civil de Protección de Datos de Chartis Seguros Generales, que es una solución para hacer frente a la responsabilidad de las empresas derivada de la protección de datos, la gestión y el manejo de datos personales y las consecuencias de la pérdida de información corporativa, resguardando a la empresa desde diversos flancos.

Es así como puede existir divulgación pública de datos personales que se encuentran bajo la custodia de la sociedad; de datos corporativos o cualquier información profesional de un tercero, que se encuentre bajo la custodia de la sociedad y que sea confidencial.

Además, es posible que las empresas puedan sufrir  la pérdida de datos derivada de un acto. Desde un error u omisión, en que resulte un tercero afectado, por contaminación de datos  por un virus, denegación errónea de los derechos de acceso a los datos a un tercero autorizado, robo de código de acceso de las instalaciones de la empresa o a sistemas informáticos, robo físico de hardware de la empresa por otro, hasta incluso la revelación de datos como consecuencia de una violación de seguridad de datos.

Esta solución cubre los gastos de defensa, tanto civil como penal reembolso de gastos incurridos por la sociedad para mitigar los daños en reputación; gastos de notificación a los titulares de los datos; costos para determinar si los datos finalmente pueden ser o no restaurados, y restablecer y recopilar los datos electrónicos cuando sea posible.

Es importante saber que cualquier violación a la red significa pérdidas en todo sentido, por extorsión en la web, contenidos multimedia hasta incluso informaciones relacionadas a la interrupción de la red que haya llevado a una suspensión del negocio, porque finalmente cualquier riesgo cibernético en las empresas, se podría significar la perdida del negocio, y por consiguiente, el quiebre de la organización.

Este seguro fue recientemente lanzado al mercado y  protege parte importante de los riesgos asociados a las diferentes actividades de las empresas. Las organizaciones debieran enfocarse a proteger su capital humano, sus informaciones y, por supuesto, su negocio.