Què són les ciberassegurances i per què la teva empresa podria necessitar-ne una?

Les assegurances contra el risc tecnològic són un mitjà per a la cobertura, total o parcial, de la informació empresarial

Vetllar per la integritat dels actius digitals i posar en marxa mesures per a la seva protecció hauria de ser una prioritat per als negocis cibersegurs.

Tant si són causats per errors humans, per avaries fortuïtes o fruit d’un ciberatac, els danys en els sistemes i arxius informàtics haurien d’amoïnar tothom que disposi d’actius digitals i, especialment, les empreses que en depenen. Digitalitzar els negocis i saber-hi aplicar uns estàndards de ciberseguretat és una primera mesura fonamental per salvaguardar les dades davant qualsevol eventualitat. Però hi ha imprevistos i maltempsades que poden sacsejar fins i tot els individus, les corporacions i les entitats que més previsores. Com en altres àmbits, les assegurances s’encarreguen de protegir persones, empreses i institucions, indemnitzant els perjudicis que es puguin produir per la producció d’un esdeveniment lesiu. Les assegurances especialitzades en la protecció de la informació reben el nom de ciberassegurances.

Ciberassegurances empresa

Què són les ciberassegurances?

També anomenades ‘assegurances de ciberrisc’, ‘assegurances contra el risc tecnològic’ o ‘assegurances de ciberprotecció’, les ciberassegurances són un mitjà per a la cobertura, total o parcial, dels actius digitals davant la producció d’incidents i esdeveniments fortuïts. Com altres assegurances, la contractació d’aquest tipus de servei implica el pagament d’unes determinades quotes; en cas que s’esdevingui una situació adversa que afecti negativament els béns que són objecte de protecció, l’asseguradora indemnitzarà l’assegurat segons el que les condicions generals i particulars del servei estableixin i d’acord amb el resultat del peritatge.

Què protegeixen exactament?

En l’àmbit de les assegurances, es designa amb el nom de ‘risc’ tant el bé que és objecte de protecció com aquell fet no desitjat però que pot succeir en algun moment i que, per les seves conseqüències, pot malmetre un bé o causar un dany personal. Hi ha diversos tipus de ciberassegurances, segons els actius digitals que cobreixen i els riscos davant els quals ofereixen protecció.

Davant quina mena de perills poden oferir cobertura?

En cas de sinistre, les ciberassegurances poden protegir les empreses, els seus sistemes i les seves dades i les persones que els presten servei dels perjudicis econòmics ocasionats pels perills derivats de l’activitat a la xarxa, exògens o endògens, accidentals o no, tals com:

  • Seguretat de la xarxa: En aquest àmbit es garanteixen les principals necessitats de la majoria de companyies, especialment aquelles que poden ser sensibles a la fuga de dades i als riscos per a la privadesa. Això engloba tot allò que tingui a veure amb problemes de privacitat de la informació, incloent-hi la protecció davant el programari maliciós o la restauració de les dades. Les cobertures en aquest àmbit contemplen despeses legals, peritatge informàtic, notificació d’incompliments als clients, relacions públiques o fins i tot la negociació i possible pagament d’una demanda de rescat.
  • Interrupcions del negoci: En aquest àmbit es tenen en compte les amenaces per a l’estabilitat de les operacions de la companyia. Aquestes amenaces poden provenir de les falles de seguretat (per exemple, un atac de ransomware) o de la falla dels sistemes (es tracti d’errors en el maquinari o en el programari) i poden produir-se a la xarxa de la mateixa empresa o bé a les xarxes de proveïdors o de serveis de què la companyia depèn.
  • Responsabilitat en la publicació: En aquest àmbit s’engloben les responsabilitats derivades d’un incident cibernètic o de violacions de la llei de privadesa. Això inclou els costos derivats de responsabilitats contractuals amb tercers (les indemnitzacions a què pugui haver de fer front una empresa per compensar els seus clients en cas d’incident cibernètic o a causa d’una fuga de dades) o fruit d’investigacions reguladores (les multes o sancions ocasionades pel possible incompliment de la llei).
  • Errors i omissions: Aquest tipus de cobertures es refereixen a les denúncies per negligència o incompliments contractuals que poden comportar costos de defensa legal o l’assumpció d’indemnitzacions derivades de les demandes dels clients i que deriven d’errors humans. La major part de les asseguradores no cobreixen aquest tipus de risc.

Què cal tenir en compte?

Preparar els actius digitals perquè siguin assegurables és un pas previ indispensable per a la contractació d’una ciberassegurança. El risc es mesura segons la possibilitat d’aparició i la importància de les seves conseqüències, de manera que una gestió poc curosa de la informació pot fer incrementar molt sensiblement el preu d’una ciberassegurança o pot fer que la preceptiva auditoria prèvia per part de l’asseguradora indiqui que la producció d’un sinistre és altament probable i, per tant, la cobertura del risc resulti inassumible.

Abans que res cal, doncs, endreçar l’empresa i els seus actius digitals perquè siguin cibersegurs. Les petites, mitjanes i grans empreses han de formar els seus professionals i incrementar la robustesa dels seus sistemes per generar un mercat de confiança digital entre proveïdors i clients. Pots descobrir tot el que pots fer per protegir el teu negoci a Internet amb els nostres consells per a la digitalització d’empreses. Pots efectuar una primera avaluació per descobrir si el teu negoci és cibersegur de forma ben senzilla a través del nostre formulari d’autodiagnosi.


En què consisteix l’auditoria prèvia per part de l’asseguradora?

Normalment, els preus de l’assegurança s’estableixen d’acord amb els ingressos anuals i el sector de l’empresa que es vol assegurar. Per poder qualificar una cobertura cal sotmetre l’empresa a una auditoria de seguretat per part de l’asseguradora o proporcionar documentació a través d’una eina d’avaluació aprovada pel mercat d’assegurances. Els resultats d’aquesta anàlisi es tenen en compte tant pel que fa al tipus de cobertura proporcionats per l’assegurança com pel que fa al cost de les primes.

Les passes en què es divideix l’auditoria prèvia són:

·1·

La identificació de les exposicions cibernètiques habituals: fugues de dades, exposició a campanyes de correus electrònics de pesca o atacs per mitjà de programari maliciós, per exemple.

·2·

La determinació del model de risc (de pèrdua cibernètica) que és d’aplicació en cada cas: quant de risc està disposada a assumir l’empresa pel seu compte i quant de risc decideix transferir a l’asseguradora cibernètica.

·3·

L’avaluació del nivell de protecció autònoma en ciberseguretat de l’empresa: és per mitjà de l’adopció de mesures concretes i del coneixement de les pròpies capacitats que les empreses poden mitigar els possibles riscos de ciberseguretat.

Les assegurances de ciberseguretat han de ser un revulsiu que animi i motivi les empreses a millorar contínuament en l’àmbit de la ciberseguretat per tal que puguin renegociar primes més baixes. Tanmateix, les assegurances actualment encara no compten amb dades actuarials per a ajustar les primes segons els controls de seguretat i els productes de mitigació més eficaços (els actuaris són professionals especialitzats en l’aplicació de la ciència matemàtica a les qüestions econòmiques, estadístiques, financeres i tècniques de l’assegurança i de la previsió, es dediquen a l’avaluació de les repercussions financeres del risc i la incertesa).


Quina necessitat hi ha de posar la bena abans de la ferida?

Per a les empreses, siguin petites, mitjanes o grans, i pertanyin al sector que pertanyin, un incident que posi en perill informació sensible (de tipus comercial, financera, bases de dades, etcètera) o els sistemes amb què es gestiona i s’emmagatzema pot tenir un impacte seriós en l’activitat, per això considerar la contractació d’una ciberassegurança és convenient i necessari.


PIMEC Catalunya Central i PIMEC Baix Llobregat van organitzar el 29 de juny del 2021 l’acte “Ciberseguretat a la pime: consells pràctics“, una sessió formativa en línia per a empreses sobre la protecció de la informació i els sistemes informàtics en què es van tractar les vulnerabilitats i els riscos que poden afectar les companyies i, a través de casos pràctics, es van exposar eines, recursos i solucions per fer-hi front.


L’Agència de Ciberseguretat de Catalunya promou la campanya #NegoCibersegur, una iniciativa que es dedica a fer arribar a les empreses recomanacions i coneixements bàsics per protegir el seu vessant digital. La plataforma ofereix un seguit d’eines i suggereix les actuacions necessàries per afavorir i vetllar per la ciberseguretat empresarial.