Estrategias para evitar los problemas de los reclamos de seguros cibernéticos: Parte II

Introducción

En la Parte I de esta serie, planteamos una serie de preguntas para considerar al contratar un seguro cibernético. Nuestro enfoque fue deliberado: las preguntas correctas lo ayudan a obtener el seguro correcto para abordar los riesgos cibernéticos que enfrenta su organización. Recuerde buscar la cobertura correcta para usted, no solo cualquier cobertura.

La Parte I se concentró en:

1. El lenguaje de la póliza
2. Consideraciones de la cobertura real
3. Cuantificación del impacto del siniestro
4. Alineación de la póliza con los planes de respuesta a incidentes
5. Gestión de las pólizas que no siempre están hechas a la medida de las necesidades específicas de la empresa.

A continuación, en la segunda parte de esta serie, identificamos no solo cómo responder a algunas de las preguntas que planteamos, sino también qué valor aportan esas respuestas. Además, identificamos algunas de las lagunas más comunes y cómo abordarlas.

Cómo minimizar el riesgo de lenguaje de "zonas grises"

Usted no sabe lo que no sabe. La precisión en el lenguaje es importante. Incluso los "Y" y los "O" pueden influir significativamente en las expectativas y el proceso de reclamos. Le corresponde al asegurado hacer preguntas sobre las definiciones y los calificativos. Además, no debe tener reparos en hacer preguntas específicas sobre el escenario. Hacer esto permitirá que una organización:

• defina qué es y qué no es el seguro de responsabilidad cibernética,
• determine qué monto de seguro cibernético es necesario,
• identifique qué exclusiones o limitaciones se aplican,
• se prepare para analizar un posible siniestro,
• entienda el siniestro y las disposiciones de la póliza, incluidos los deducibles aplicables,
• mantenga registros apropiados, artefactos y documentación relacionada para respaldar los reclamos, y
• calcule un reclamo por interrupción del negocio y gastos extras en caso de un incidente cibernético.

Haber reflexionado sobre estas cuestiones y tener preparadas las respuestas o incluso las mejores estimaciones ayudará a una organización a dimensionar correctamente la póliza de seguro cibernético para su negocio. Además, mantener conversaciones con un contador forense, junto con un profesional de seguridad cibernética, antes de un evento cibernético le permite a una organización preparar mejor las respuestas a muchas de las preguntas previstas, con una buena antelación. ¿Cuál es el resultado? La organización está mejor posicionada para gestionar los incidentes y sus impactos, y la organización ha establecido los protocolos necesarios para respaldar su reclamo.

Insuficiencia de cobertura cibernética por interrupción del negocio

Muchas organizaciones subestiman los impactos financieros de un evento cibernético. Las pólizas por interrupción del negocio y gastos extras pueden proporcionar cierta cobertura (p. ej., pérdida del ingreso comercial, horas extras, gastos de viaje y entregas rápidas para cumplir con las exigencias de los clientes), pero una organización puede determinar que necesita cobertura adicional para cubrir las lagunas. La forma de adelantarse a los acontecimientos es calcular razonablemente la posible pérdida de ingresos comerciales y los gastos extras que pueden producirse durante una interrupción, como por ejemplo:

• Interrupción del negocio dependiente, a veces denominado ingreso comercial contingente. Esta cobertura puede ayudar durante una interrupción causada por un programa de servicios externo, como la falla de un parche de software, un error humano o un ciberataque.
• Daño a la reputación. No todas las pólizas cibernéticas incluyen cobertura que protege la reputación de una organización. Incluso cuando este tipo de cobertura está disponible, hay limitaciones, como la duración y el alcance e, incluso, qué define exactamente el daño a la reputación.

Cálculo de pérdidas

Dada la complejidad y las incertidumbres relacionadas con los ciberataques, impactos y dependencias externas, no hay una ciencia clara para estimar las pérdidas. Pero una organización puede comenzar a estimar sus pérdidas al entender mejor cómo se pueden ver afectados sus flujos de ingresos a causa de un ciberataque. Las siguientes son algunas categorías para tener en cuenta:

• Contratos con cargos fijos. Comprenda cuándo se devengan y registran los ingresos y cómo se relacionan con el periodo de indemnización.
• Tipos de pagos. Conozca con antelación si las horas no productivas de los empleados asalariados se consideran en la póliza. Este escenario afectará el cálculo de interrupción del negocio y puede dirigir fondos a ciertos tipos de cobertura (p. ej., gastos extras frente a gastos ahorrados).
• Gastos extras. Entienda mejor lo que constituye un "gasto extra" o un "gasto para reducir pérdidas". Además, asegúrese de tener presente el período de indemnización.
• Bonificaciones pagadas. Entienda cómo pueden considerarse las bonificaciones. ¿Se requieren por contrato o pueden ser una decisión de la empresa? Esto hace una diferencia en sus cálculos.
• Ventas compensatorias o retrasadas. Comprenda cómo se tienen en cuenta las ventas compensatorias o retrasadas en el cálculo de la interrupción del negocio (p. ej., si un fabricante no pudo producir su producto por dos días, tenía inventario en mano, la producción fue compensada una vez que su sistema volvió a estar en línea y no estaba trabajando a capacidad plena antes de la pérdida, es posible que no haya una pérdida por interrupción del negocio).
• Lugar y tipo de establecimiento. Entienda el impacto real del incidente (p. ej., si el incidente se concentra en un lugar, región o segmento de ingresos específico). Es importante entender cómo el incidente cibernético afectó las ventas, especialmente si la empresa tiene múltiples establecimientos o genera ventas tanto en línea como en una o varias tiendas físicas. Es posible que sea necesario evaluar las ventas y los gastos no solo en los establecimientos afectados.

Cómo minimizar la onda expansiva y lograr la alineación de la póliza

Entender de qué manera la empresa interactúa con la tecnología es esencial para una buena planificación. Específicamente, el mapeo de dependencias no solo da a los planificadores información sobre cómo opera la empresa, sino también les da un pantallazo sobre cómo podría desarrollarse un futuro incidente. Efectivamente, los puntos débiles se identifican con antelación y, en el caso de un incidente, se puede ver cómo se desarrollan los problemas en cascada. Una forma de pensar en las dependencias es utilizando estos ejemplos:

• De tecnologías a tecnologías, por ejemplo, de aplicaciones a bases de datos
• De procesos a tecnologías, por ejemplo, de servicio al cliente a solicitudes
• De procesos a procesos, por ejemplo, de ventas a contabilidad.

Al hacer este ejercicio, una organización está mejor preparada para identificar qué tipos de lagunas existen, ver dónde se necesita ayuda externa e, incluso, identificar posibles áreas de riesgo, tanto antes como después de un incidente, incluidos los que requieren trabajo de seguimiento (p. ej., juicios, daño a la reputación, exposiciones a mayores gastos, etc.).

Una vez que se identifique, se debe realizar un ejercicio de mapeo final contra la póliza de seguro. En esencia, una organización que realiza este ejercicio "está intercambiando tarjetas comerciales antes del incidente" y "preposicionando activos". Parte de este "preposicionamiento" o planificación formalizada puede incluir la identificación de las firmas forenses, de respuesta, jurídicas y de relaciones públicas, y determinar si son un proveedor autorizado. Estos terceros podrían figurar en la póliza de seguro como proveedores aprobados. Este enfoque incluso podría permitir que una organización negocie tarifas por hora de proveedores antes de un incidente.

Conclusión: Cómo evitar los puntos débiles comunes

Esta serie de dos partes tiene como objetivo ayudar a las organizaciones a identificar áreas posiblemente problemáticas que podrían surgir durante el proceso de reclamos. Si la organización ha sufrido un ataque, gestionar proactivamente estas cuestiones la ayuda a atravesar un proceso de reclamos más fluido.

Para terminar, los siguientes son algunos de los mayores problemas que hemos visto cuando no se han tomado las medidas proactivas, junto con algunas soluciones rápidas para ellos:

• Mala comunicación inicial con las partes interesadas afectadas, incluidos aseguradoras y proveedores. Antes de un ciberataque, hable con proveedores de respuesta a incidentes y expertos en reclamos para tener un plan y una metodología.
• Mal entendimiento de la póliza y las exclusiones. Haga preguntas difíciles durante el proceso de contratación y renovación, no después del incidente. Consulte la sección anterior sobre cómo aclarar las "zonas grises" durante la contratación.
• Incapacidad para responder a las solicitudes de información. Esté preparado para responder a solicitudes de información para respaldar un reclamo, tras un incidente. Saber cuáles son los tipos de solicitudes más comunes y mantener la capacidad de responder a estas solicitudes hará que el proceso de reclamo sea mucho más fluido y ágil. Esté preparado para contar esa historia de forma que aborde su cobertura y pueda aportar las pruebas que la respalden.
• Definición del período de restauración. Los límites entre la respuesta, la restauración y la recuperación pueden difuminarse. Cuanto antes pueda definirse el plazo, más fácil será el proceso de reclamos.
• Período de espera. Determine cómo se calcula el período de espera (p. ej. horas laborales, horas de reloj, etc.). Un período de espera puede afectar los cálculos de pérdidas y los umbrales para el reembolso del reclamo.
• Atribución de la pérdida de ingresos a un evento cibernético. Un cambio en los ingresos no necesariamente implica que la pérdida se atribuye al evento dado que otros factores pueden afectar las ventas. Por eso debe haber una correlación entre el incidente cibernético y los impactos financieros, respaldada por la documentación necesaria.
• Póliza genérica. Evite la póliza de "talla única", consiga anexos y haga preguntas. La organización debe obtener una póliza que sea adecuada para su negocio, sus operaciones, su sector y sus riesgos únicos.

Reconocimientos

Nos gustaría agradecerles a nuestros colegas Jessica Eldridge y George Platsis por compartir su experiencia y sus conocimientos, los cuales contribuyeron en gran medida a llevar adelante esta investigación.

Más acerca de los contribuyentes de J.S. Held

Jessica Eldridge es vicepresidenta sénior en la práctica de Contabilidad Forense - Servicios de Seguros de J.S. Held. Cuenta con más de 19 años de experiencia en investigaciones y contabilidad forense, especialmente en mediciones de los daños financieros relacionados con la interrupción de actividades comerciales, informática, gastos adicionales, acciones, riesgos del contratista, deshonestidad/fidelidad de los empleados, lesiones personales, subrogación y servicios de apoyo en litigios. También tiene vasta experiencia en la administración de fondos de cargos comunes y la supervisión de reclamos por daños a la propiedad para proyectos grandes de construcción.

Puede comunicarse con Jessica enviando un correo electrónico a [email protected] o llamando al +1 857 219 5720.

George Platsis es un director sénior que presta servicios de Descubrimiento e Investigación Digital en la práctica de Investigaciones Globales de J.S. Held. El Sr. Platsis es un profesional de los negocios, autor, educador y orador público con más de 20 años en el emprendedurismo. Ha diseñado y proporcionado soluciones, además de dirigir equipos, para mejorar la preparación ante ataques cibernéticos y brindar programas de respuesta a incidentes específicos para unidades comerciales o a nivel empresarial, y ha fortalecido a una serie de clientes incluidos en la lista Fortune 100 en el campo de la atención médica, medios, servicios financieros, fabricación, defensa e industrias comerciales electrónicas, lo que también incluye a brindar soporte a clientes de pequeñas y medianas empresas. Asimismo, aporta su experiencia en la gestión de emergencias e investigaciones complejas a empresas y particulares que deseen reducir sus riesgos. George es un director de seguridad de la información certificado.

Puede contactarse con George enviando un correo electrónico a [email protected] o llamando al +1 321 346 6441.