Saltar al contenido

¿Qué cubre exactamente el seguro de responsabilidad civil cibernética?

Con las violaciones de datos y los ciberhackeos dominando los titulares aparentemente todos los días – Equifax y Yahoo son sólo las últimas grandes compañías en reportar un mega-alcance – los líderes empresariales están cada vez más preocupados por los hackers y otras violaciones en la seguridad de los datos.

Esta amenaza es doblemente irritante para los líderes de las empresas de contabilidad, que se enfrentan al doble reto de no sólo proteger su información como empresa, sino también proteger la información de los clientes.

¿Qué cubre exactamente el seguro de responsabilidad civil cibernética?
¿Qué cubre exactamente el seguro de responsabilidad civil cibernética?

Las posibles exposiciones y riesgos para los directores y funcionarios de empresas estrechamente vinculados a la empresa están alcanzando ahora el nivel de las empresas públicas, según CPA Mutual, un grupo nacional de retención de riesgos y proveedor de cobertura de responsabilidad de empresas de contabilidad.

Es menos probable que los jueces desestimen las demandas de lo que lo hacían en el pasado, incluso en el caso de pequeñas y medianas empresas de contabilidad pública independientes. La responsabilidad no sólo afecta a la empresa, sino que también puede extenderse a los líderes individuales.

Según CPA Mutual, desde que ofrecen cobertura cibernética a sus clientes, los miembros han experimentado 18 pérdidas cibernéticas. En promedio, estas han costado un poco menos de 17.000 dólares, y la reclamación más cara hasta la fecha ha sido de 166.000 dólares.Desde 2015, el número de reclamaciones se ha duplicado cada año.

Dado este clima, dice Bill Thompson, CPA, RPLU, Presidente de CPA Mutual, es imperativo que los líderes de las firmas de CPA revisen regularmente sus políticas de responsabilidad cibernética para asegurarse de que tienen el mejor plan en marcha.

Algunas aseguradoras, como CPA Mutual, que ofrecen seguros de responsabilidad civil cibernética, también disponen de recursos para la mitigación de riesgos y la planificación de desastres. Sin embargo, el seguro de responsabilidad cibernética cubre principalmente los costos asociados con una brecha real, según Kari Stern, gerente de reclamos senior de NAS Insurance en California.

«Ahí es donde está la mayor parte de los gastos: los costos asociados con el asesoramiento legal y el proyecto de avisos. Hay costos forenses de IT para determinar dónde ocurrió la violación y hasta qué punto los datos se vieron comprometidos», dice Stern. «Si necesitas dar aviso y tienes clientes en varios estados, redactar avisos se vuelve realmente importante para que se haga de manera eficiente. Cada estado tiene diferentes requisitos de notificación. También puedes necesitar un centro de llamadas configurado para manejar consultas una vez que las notificaciones salen.»

Otros costos cubiertos en la cobertura de responsabilidad civil cibernética (dependiendo de si tiene pólizas de primera o tercera parte) incluyen:

  • Interrupción de negocios y costos de relaciones públicas
  • Dispositivos perdidos
  • Infracción de derechos de autor y marcas registradas
  • Multas reglamentarias
  • Pagar el rescate viola
  • Servicios de control de crédito ofrecidos a los clientes
  • Restauración de datos y mejoras de seguridad
  • Reclamaciones o demandas judiciales adicionales

Algunos ejemplos generales de los tipos de infracciones de datos que pueden sufrir las empresas de contadores públicos incluyen desde la «pérdida en el momento oportuno» de una computadora portátil que contiene información personal de un cliente hasta el fraude electrónico o los ataques de rescate.

De acuerdo con el estudio Ponemon Cost of Data Breach Study de 2017 del Ponemon Institute, el costo promedio de cada registro perdido o robado que contenga información sensible y confidential se redujo de 158 dólares por registro en 2016 a 141 dólares por registro en el estudio de este año. Sin embargo, el tamaño promedio de las brechas de datos ha aumentado un 1,8% a más de 24.000 registros por incidente. Haciendo las cuentas, eso equivale a más de 3 millones de dólares en valor de datos en juego.

Stern advierte que cada póliza de responsabilidad cibernética es diferente, en el sentido de que algunas no cubren a su proveedor de nube ni a otros proveedores o terceros que puedan acceder a su sistema. Esos proveedores o terceros pueden incluir a todos los clientes que acceden al sistema desde portales de clientes, contratistas de TI de terceros o, posiblemente, representantes de agencias reguladoras, por ejemplo.

Esos vendedores pueden tener protocolos menos seguros. «Mucho depende de dónde se almacena su información. Puede que tenga un servidor asegurado, pero ¿permite que un tercero acceda a su servidor para realizar ciertas tareas? También podrías estar en riesgo al compartir información a través de buzones compartidos», dice Stern.

Thompson dice que siempre debe haber un lenguaje claro en cualquier acuerdo vigente entre la empresa y terceros, relativo a la confidencialidad de los datos de los clientes y las responsabilidades, en caso de que se produzca una violación debido a un error o a un fallo de seguridad por parte del tercero.

«Recuerdo a nuestros miembros que la brecha de Target [minorista] fue causada principalmente por un virus introducido en los sistemas de Target por su contratista de HVAC», dice Thompson.

Contraseñas fuertes y cambiadas regularmente y una base de empleados que es consistente y repetidamente monitoreada por buenas prácticas de seguridad son todavía las dos principales formas de mitigar el riesgo de una violación de datos, según Stern. «Cuando sea necesario, entregue a los empleados y a los empleados de los proveedores sus propias contraseñas. De esa manera, incluso si un empleado es despedido a nivel de proveedor, se puede cortar ese acceso», dice Stern.

«En última instancia, la empresa de contabilidad asegurada es la que está expuesta a la responsabilidad», señala Thompson. «Utilice la página de recursos de responsabilidad cibernética de su proveedor de seguros, si está disponible, para ayudar a mitigar su riesgo. Luego revise cuidadosamente sus opciones con respecto al seguro de responsabilidad cibernética. No todas las pólizas son creadas iguales».