Perspectivas
J.S. Held refuerza su experiencia en contabilidad forense e investigaciones financieras y expande su gama de servicios en Canadá con la adquisición de ADS Forensics
LEER MÁSEn la Parte I de esta serie, planteamos una serie de preguntas para considerar al contratar un seguro cibernético. Nuestro enfoque fue deliberado: las preguntas correctas lo ayudan a obtener el seguro correcto para abordar los riesgos cibernéticos que enfrenta su organización. Recuerde buscar la cobertura correcta para usted, no solo cualquier cobertura.
La Parte I se concentró en:
A continuación, en la segunda parte de esta serie, identificamos no solo cómo responder a algunas de las preguntas que planteamos, sino también qué valor aportan esas respuestas. Además, identificamos algunas de las lagunas más comunes y cómo abordarlas.
Usted no sabe lo que no sabe. La precisión en el lenguaje es importante. Incluso los "Y" y los "O" pueden influir significativamente en las expectativas y el proceso de reclamos. Le corresponde al asegurado hacer preguntas sobre las definiciones y los calificativos. Además, no debe tener reparos en hacer preguntas específicas sobre el escenario. Hacer esto permitirá que una organización:
Haber reflexionado sobre estas cuestiones y tener preparadas las respuestas o incluso las mejores estimaciones ayudará a una organización a dimensionar correctamente la póliza de seguro cibernético para su negocio. Además, mantener conversaciones con un contador forense, junto con un profesional de seguridad cibernética, antes de un evento cibernético le permite a una organización preparar mejor las respuestas a muchas de las preguntas previstas, con una buena antelación. ¿Cuál es el resultado? La organización está mejor posicionada para gestionar los incidentes y sus impactos, y la organización ha establecido los protocolos necesarios para respaldar su reclamo.
Muchas organizaciones subestiman los impactos financieros de un evento cibernético. Las pólizas por interrupción del negocio y gastos extras pueden proporcionar cierta cobertura (p. ej., pérdida del ingreso comercial, horas extras, gastos de viaje y entregas rápidas para cumplir con las exigencias de los clientes), pero una organización puede determinar que necesita cobertura adicional para cubrir las lagunas. La forma de adelantarse a los acontecimientos es calcular razonablemente la posible pérdida de ingresos comerciales y los gastos extras que pueden producirse durante una interrupción, como por ejemplo:
Dada la complejidad y las incertidumbres relacionadas con los ciberataques, impactos y dependencias externas, no hay una ciencia clara para estimar las pérdidas. Pero una organización puede comenzar a estimar sus pérdidas al entender mejor cómo se pueden ver afectados sus flujos de ingresos a causa de un ciberataque. Las siguientes son algunas categorías para tener en cuenta:
Entender de qué manera la empresa interactúa con la tecnología es esencial para una buena planificación. Específicamente, el mapeo de dependencias no solo da a los planificadores información sobre cómo opera la empresa, sino también les da un pantallazo sobre cómo podría desarrollarse un futuro incidente. Efectivamente, los puntos débiles se identifican con antelación y, en el caso de un incidente, se puede ver cómo se desarrollan los problemas en cascada. Una forma de pensar en las dependencias es utilizando estos ejemplos:
Al hacer este ejercicio, una organización está mejor preparada para identificar qué tipos de lagunas existen, ver dónde se necesita ayuda externa e, incluso, identificar posibles áreas de riesgo, tanto antes como después de un incidente, incluidos los que requieren trabajo de seguimiento (p. ej., juicios, daño a la reputación, exposiciones a mayores gastos, etc.).
Una vez que se identifique, se debe realizar un ejercicio de mapeo final contra la póliza de seguro. En esencia, una organización que realiza este ejercicio "está intercambiando tarjetas comerciales antes del incidente" y "preposicionando activos". Parte de este "preposicionamiento" o planificación formalizada puede incluir la identificación de las firmas forenses, de respuesta, jurídicas y de relaciones públicas, y determinar si son un proveedor autorizado. Estos terceros podrían figurar en la póliza de seguro como proveedores aprobados. Este enfoque incluso podría permitir que una organización negocie tarifas por hora de proveedores antes de un incidente.
Esta serie de dos partes tiene como objetivo ayudar a las organizaciones a identificar áreas posiblemente problemáticas que podrían surgir durante el proceso de reclamos. Si la organización ha sufrido un ataque, gestionar proactivamente estas cuestiones la ayuda a atravesar un proceso de reclamos más fluido.
Para terminar, los siguientes son algunos de los mayores problemas que hemos visto cuando no se han tomado las medidas proactivas, junto con algunas soluciones rápidas para ellos:
Nos gustaría agradecerles a nuestros colegas Jessica Eldridge y George Platsis por compartir su experiencia y sus conocimientos, los cuales contribuyeron en gran medida a llevar adelante esta investigación.
Jessica Eldridge es vicepresidenta sénior en la práctica de Contabilidad Forense - Servicios de Seguros de J.S. Held. Cuenta con más de 19 años de experiencia en investigaciones y contabilidad forense, especialmente en mediciones de los daños financieros relacionados con la interrupción de actividades comerciales, informática, gastos adicionales, acciones, riesgos del contratista, deshonestidad/fidelidad de los empleados, lesiones personales, subrogación y servicios de apoyo en litigios. También tiene vasta experiencia en la administración de fondos de cargos comunes y la supervisión de reclamos por daños a la propiedad para proyectos grandes de construcción.
Puede comunicarse con Jessica enviando un correo electrónico a [email protected] o llamando al +1 857 219 5720.
George Platsis es un director sénior que presta servicios de Descubrimiento e Investigación Digital en la práctica de Investigaciones Globales de J.S. Held. El Sr. Platsis es un profesional de los negocios, autor, educador y orador público con más de 20 años en el emprendedurismo. Ha diseñado y proporcionado soluciones, además de dirigir equipos, para mejorar la preparación ante ataques cibernéticos y brindar programas de respuesta a incidentes específicos para unidades comerciales o a nivel empresarial, y ha fortalecido a una serie de clientes incluidos en la lista Fortune 100 en el campo de la atención médica, medios, servicios financieros, fabricación, defensa e industrias comerciales electrónicas, lo que también incluye a brindar soporte a clientes de pequeñas y medianas empresas. Asimismo, aporta su experiencia en la gestión de emergencias e investigaciones complejas a empresas y particulares que deseen reducir sus riesgos. George es un director de seguridad de la información certificado.
Puede contactarse con George enviando un correo electrónico a [email protected] o llamando al +1 321 346 6441.
Si bien la modalidad cibernética se incorporó en algunas pólizas de responsabilidad general (GL) de la década de 1980, la primera póliza cibernética independiente fue suscrita en 1997 a través de AIG. Si bien la propuesta fue totalmente innovadora, por ser la primera en abordar la ciberseguridad...
El propósito de este artículo es analizar algunos de los principales asuntos de trabajo y financieros en los que se centran los contadores forenses, que incluyen las investigaciones de fraude y los reclamos de seguros y de qué manera ellos aportan un valor único al proceso...