Manual de estrategias para interrupciones de negocios cibernéticas: guía de respuesta y recuperación

índice

Haga clic en los siguientes enlaces para ir a una sección:

• Introducción
• Preparación para la interrupción de negocios
• Seguro de riesgos cibernéticos y cobertura para interrupciones de los negocios
• Conclusión
• Apéndice A: documentación posterior a la violación - solicitud de información
• Apéndice B: solicitudes de documentación posibles
• Referencias y reconocimientos

Introducción

En los últimos 20 años, la tecnología ha cambiado la forma en que nos comunicamos, hacemos negocios y vivimos. Es poco habitual caminar por la calle de una ciudad y no ver a alguien usando algún tipo de tecnología. Se ha convertido en una parte integral e indispensable de nuestras vidas cotidianas.

El papel importante que tiene la tecnología en los negocios no puede subestimarse. Las empresas de todo el mundo dependen de la interconectividad digital para su crecimiento. Las organizaciones dependen de aplicaciones de gestión de proyectos, contabilidad, videoconferencias e Internet para mantenerse conectadas. La tecnología es clave para la eficiencia en la mayoría de las empresas, lo que ayuda a mejorar procesos, mantener el flujo de datos y reducir los gastos operativos.

Pero esta dependencia de la tecnología conlleva riesgos. Las compañías que dependen de la interconectividad digital son blanco de los delincuentes cibernéticos. Estas figuras amenazantes han encontrado formas de perturbar el entorno digital y sembrar el caos en empresas de todo el mundo.

Por ejemplo, las compañías que dependen de sistemas digitales interconectados para sus cadenas de suministro son susceptibles si esos sistemas digitales se ponen en riesgo. Un evento cibernético que afecte a cualquier parte de una red puede provocar una interrupción generalizada, demorar entregas de productos y provocar multas, pérdida de contratos o daños a relaciones y reputaciones comerciales. Las empresas deben comprender que las consecuencias de un evento cibernético pueden tener un gran alcance y afectar no solo su salud financiera, sino también su viabilidad y competitividad a largo plazo.

Este Manual de estrategias para interrupciones de negocios (BI) cibernéticas tiene el objetivo de ayudar a las empresas a atravesar las complejidades únicas a las que se enfrentan al prepararse para eventos de interrupciones de negocios cibernéticas. Este manual analiza cómo adoptar un enfoque proactivo respecto de las interrupciones de negocios, lo que incluye el análisis de riesgo, la cobertura de seguro, la respuesta ante incidentes y la planificación de la recuperación.

Preparación para la interrupción de negocios

La mayoría de las organizaciones reconocen que los eventos no planificados pueden interrumpir las operaciones. Las organizaciones resilientes hacen la inversión en tiempo, dinero y otros recursos para planificar de qué forma minimizarán las interrupciones y reaccionarán ante ellas.

Planificar para interrupciones de los negocios suele implicar el desarrollo de un plan de respuesta ante incidentes, planes de recuperación ante desastres y planes de continuidad de las operaciones. Si bien todos estos planes están relacionados con la forma en que una organización debe actuar frente a un evento, hay diferencias claras que justifican desarrollar cada uno de ellos. Por ejemplo, en algunos casos, las organizaciones consideran implementar programas de respuesta ante incidentes y de continuidad de las operaciones para supervisar actividades de respuesta y resiliencia en toda la empresa, con planes separados para diversas partes del negocio (por ejemplo, la parte de seguridad cibernética o ambiental).

Los planes de respuesta ante incidentes se centran en la forma en que una organización detecta incidentes, responde a ellos y se recupera de estos. Los planes de recuperación ante desastres suelen ser específicos de un sistema (por ejemplo, un servidor de aplicaciones), son desarrollados por el propietario del sistema y están fuera del alcance de este documento. Los planes de continuidad de las operaciones se centran en la forma en que una organización mantendrá las operaciones críticas, posiblemente con una capacidad reducida, durante un evento disruptivo. Idealmente, estos tres planes se desarrollan en conjunto y se complementan entre sí.

¿Por qué las organizaciones deben prepararse para interrupciones de los negocios?

Si bien no es posible evitar todas las interrupciones de un negocio, una organización puede reducir significativamente los costos relacionados con una interrupción y, en algunos casos, permitirle sobrevivir a una crisis.

Por ejemplo, supongamos que un fabricante de neumáticos pequeño utiliza una máquina y un software de terceros para hacer un seguimiento de los números de lote y estampar números que permiten el seguimiento (como números de serie o de lote) a los neumáticos terminados. Si los servicios de este proveedor se interrumpen debido a un evento propio (por ejemplo, secuestro de datos o ransomware), el fabricante de neumáticos ya no puede enviar neumáticos. Si el fabricante es responsable de suministrar neumáticos a un fabricante de equipos originales de automóviles de gran envergadura, podría enfrentarse a multas y no sobrevivir ni siquiera unos días, y mucho menos semanas, sin una planificación eficaz.

Si este fabricante de neumáticos hubiera planificado las interrupciones del negocio antes de la disrupción de su proveedor, probablemente hubiera identificado la capacidad de seguimiento de lotes como un aspecto clave de la producción. Podría haber identificado a un proveedor secundario o desarrollado un proceso manual para no detener el proceso de fabricación mientras se buscara una alternativa.

Pasos para desarrollar un plan de respuesta ante incidentes

Desarrollar un plan de respuesta ante incidentes eficaz es una tarea que requiere mucho tiempo. Es necesario tener una comprensión sólida del negocio de una organización, su entorno operativo, su personal y recursos disponibles, y los tipos de eventos que podrían afectarla. No se aconseja comprar un plan completo o una plantilla, y adoptarlo sin personalizarlo.

Si bien una organización puede contratar a expertos en el campo de la respuesta ante incidentes para que ayuden a desarrollar un plan, estos planes se desarrollan de manera más eficaz con la participación de partes interesadas clave de toda la organización. Esto garantiza la relevancia del plan y ayuda a acelerar su adopción.

La mayoría de los planes de respuesta ante incidentes incluyen tres componentes principales, que siguen la secuencia de la forma en que una organización reaccionará ante los eventos. Estos incluyen detectar eventos, analizar eventos y responder a eventos.

Antes de que una organización pueda responder a un incidente cibernético, primero debe poder detectar cuándo se produce uno. Un evento cibernético o ciberevento puede ser cualquier actividad informática que afecte a la organización o sus activos, por ejemplo, un usuario que inicia sesión en su correo electrónico, la interrupción en el funcionamiento de un sitio web o la apertura de un área confidencial después del horario laboral. Por lo general, las organizaciones identifican los eventos mediante el monitoreo de sus sistemas, al suscribirse a fuentes de información externas (como las alertas de vulnerabilidad críticas publicadas por la Agencia de Seguridad de Infraestructura y Cibernética [CISA] o asesores específicos de la industria), en su comunicación con clientes y proveedores clave, y por otros medios.

No es poco común que una compañía se entere de una entidad externa, como organismos de aplicación de la ley, que tiene una infección de software malicioso o malware de la que antes no estaba al tanto. Establecer relaciones con organismos de aplicación de la ley locales y federales, y representantes de la CISA siempre es una buena idea.

Idealmente, un plan de respuesta ante incidentes documenta la forma en que una organización hará lo siguiente:

• detectar eventos,
• clasificar fuentes de información que puedan entrar en conflicto entre sí y
• registrar eventos y hacer un seguimiento de ellos.

Una vez que la organización puede detectar en forma habitual la mayoría de los eventos, debe tener un mecanismo para analizar esos eventos y reaccionar a ellos. Ninguna organización tiene el tiempo, el dinero y los recursos para tratar cada evento de la misma forma. Los planes de respuesta ante incidentes deben documentar los criterios para clasificar eventos y determinar qué es un incidente en comparación con una crisis; en otras palabras, la diferencia entre un evento que requiere una respuesta y uno que puede amenazar la supervivencia del negocio.

El proceso de desarrollar estos criterios debe tener en cuenta las operaciones, finanzas y obligaciones de una organización (por ejemplo, para prestar un servicio crítico a los suscriptores), y factores similares. Los criterios deben desarrollarse con la participación de los directivos y ser aprobados por el equipo de gerencia ejecutiva de la compañía. Este será uno de los estándares utilizados para determinar cuándo es necesario notificar los incidentes a los directivos ejecutivos.

A menudo, los planes de respuesta ante incidentes definen diversos criterios y, luego, proporcionan un cuadro de eventos de ejemplo para ayudar al personal a comprender mejor cómo clasificar los eventos (ver figura 1). En algunos casos, es posible que las organizaciones creen cuadros separados para impactos en los empleados, operativos y financieros. Los criterios deben revisarse y actualizarse de manera periódica para garantizar que estén alineados con el negocio.

Figura 1: identificar ejemplos puede ayudar a los equipos de respuesta ante incidentes a clasificar mejor los eventos cuando se producen.

Una vez declarado un incidente o una crisis, una organización debe responder. Esta sección del plan de respuesta ante incidentes identifica roles y responsabilidades, líneas de tiempo para la recuperación, listas de verificación y otras herramientas que la organización debe utilizar para responder a un evento. La respuesta ante incidentes, a menudo, dispara procedimientos de copia de seguridad de datos, comunicaciones de crisis, deberes alternativos para empleados afectados y, en algunos casos, la interrupción de las operaciones que no son críticas hasta que el incidente esté contenido.

La mejor práctica es revisar en forma rutinaria e iterar los planes de respuesta ante incidentes para alinearlos mejor con el negocio y reducir aún más el impacto de cualquier incidente. Muchas compañías hacen revisiones posteriores a las acciones luego de todos los incidentes y las crisis para obtener aprendizajes mientras son recientes.

Los roles y las responsabilidades clave que todo plan de respuesta ante incidentes debe abarcar incluyen los siguientes:

• Directivos y junta ejecutivos: brindar apoyo de nivel ejecutivo al plan y programa de respuesta ante incidentes, aportar y aprobar criterios de notificación y escalación, y manejar decisiones de nivel ejecutivo (por ejemplo, pago de rescates).
• Asesores legales corporativos: garantizar que la respuesta de la organización sea apropiada desde el punto de vista legal y reglamentario, minimizar los riesgos legales y proteger los intereses de la compañía.
• Comunicaciones corporativas: administrar el flujo de información a partes interesadas tanto internas como externas, mantener la reputación de la compañía y garantizar una comunicación transparente y uniforme.
• Finanzas: concentrarse en riesgos e impactos financieros, asignación de presupuesto para la respuesta, informes precisos y que cumplan con los requisitos, gestión de reclamos de seguro, monitoreo de flujo de efectivo, gestión de contratos y proveedores, e informes reglamentarios.
• Gestión de riesgos: garantizar que las actividades de respuesta estén alineadas con el marco de la gestión de riesgos de la organización, coordinar las diversas funciones e iniciar planes de contingencia y continuidad de las operaciones.
• Operaciones: mantener la continuidad operativa, supervisar la escalación de eventos, coordinar transiciones entre operaciones normales y reducidas, y garantizar la seguridad y concientización de los empleados.
• Tecnología informática: identificar y mitigar riesgos relacionados con la tecnología, garantizar el monitoreo continuo, mantener la concientización situacional del entorno de la amenaza, contribuir al análisis de la causa raíz y supervisar la identificación y reparación de vulnerabilidades, la recuperación del sistema y los respaldos de la tecnología.
• Seguridad cibernética: detectar y monitorear amenazas, administrar la clasificación y priorización de incidentes, contener y aislar sistemas afectados, erradicar amenazas identificadas, contribuir al análisis de la causa raíz y hacer capacitaciones de concientización para empleados.
• Instalaciones: garantizar la seguridad de los empleados y el cumplimiento con normas en materia de salud y seguridad, asegurar las instalaciones físicas, supervisar el monitoreo de vigilancia, administrar los servicios de respaldo (por ejemplo, generadores o baños químicos) y preparar sitios alternativos.

Terceros comúnmente involucrados en la respuesta ante incidentes

• Asesores legales para violaciones
• Contadores forenses
• Expertos en análisis forense digital
• Relaciones públicas
• Consultores en restauración y recuperación
• Expertos en extorsión cibernética
• Servicios de monitoreo de crédito o notificación
• Corredores de seguro
• Compañías aseguradoras
• Organismos de aplicación de la ley

Pasos para desarrollar un plan de continuidad de las operaciones

Al igual que con los planes de respuesta ante incidentes, es fundamental que las organizaciones se tomen el tiempo de desarrollar planes de continuidad de las operaciones personalizados que se ajusten a la singularidad de sus operaciones. Incluso dos compañías en la misma industria tendrán diferentes formas de operar. Las organizaciones pueden consultar a expertos externos, pero no deben esperar que estos puedan desarrollar planes de continuidad de las operaciones exhaustivos sin una participación significativa de las partes interesadas internas.

Los planes de continuidad de las operaciones tienen el objetivo de mantener operaciones críticas frente a un evento. Por lo tanto, las organizaciones primero deben identificar sus operaciones críticas, dependencias clave, obligaciones y otros aspectos de su negocio.

Luego, deben clasificar estos aspectos para determinar cuáles son los más importantes para la supervivencia y el éxito de los negocios. Esto puede hacerse mediante análisis del impacto de los negocios, talleres de cuantificación para comprender mejor los impactos financieros de posibles eventos y análisis de riesgo para determinar en qué líneas de negocios es mayor el riesgo.

Una vez completados el análisis y el establecimiento de prioridades, las organizaciones pueden desarrollar estrategias de mitigación y planes respecto de cómo mantendrán en funcionamiento las operaciones críticas durante una interrupción. Algunas de las estrategias pueden ser buscar proveedores alternativos para recursos clave, rentar y equipar instalaciones alternativas, eliminar el uso de tecnologías vulnerables o reducir las operaciones durante un período.

Estos procesos deben plasmarse en documentos escritos, y su eficacia debe comprobarse durante ejercicios periódicos. La capacitación también debe reforzar lo que los empleados deben hacer durante las interrupciones.

Seguro por interrupciones de negocios: de bienes a riesgo cibernético

Hace más de 200 años, la industria de seguros reconoció que la pérdida de bienes tangibles podía tener consecuencias financieras que van mucho más allá del valor real de los bienes dañados o destruidos. De hecho, una interrupción a las operaciones comerciales, sin importar la causa, puede ser devastadora para una empresa.

A lo largo del tiempo, la interrupción de los negocios se convirtió en un componente fundamental de las pólizas de seguro de bienes comerciales. Con el reconocimiento del riesgo que representan las amenazas cibernéticas (y la necesidad de que los productos de seguro aborden esos riesgos), la cobertura de las interrupciones de negocios se ha adaptado a los riesgos cibernéticos y ahora es un componente esencial de una póliza de seguro de riesgo cibernético.

NOTA: si un evento cibernético provoca daños en los bienes que tienen como resultado una interrupción de los negocios, es posible que una póliza de bienes responda si una póliza de riesgo cibernético no brinda cobertura.

Seguro de riesgos cibernéticos y cobertura para interrupciones de los negocios

Los seguros de riesgos cibernéticos están diseñados para cubrir pérdidas financieras que surjan de eventos cibernéticos, como filtración de datos y ataques de ransomware. Por lo general, las pólizas incluyen un conjunto de coberturas, como las siguientes:

• responsabilidad civil (reclamos de otras personas),
• investigación forense y gastos de recuperación de datos,
• costos de notificación de filtraciones,
• pérdidas por extorsión cibernética (lo que incluye el reembolso de rescates pagados),
• interrupción de los negocios.

Si bien todas estas coberturas son partes importantes de un programa de seguro cibernético integral, en este caso, nos centramos en la cobertura para la interrupción de los negocios que está disponible en casi toda póliza de riesgos cibernéticos.

El objetivo del seguro para interrupciones de negocios es lograr que la entidad asegurada vuelva a la posición en que hubiera estado si el evento disparador no se hubiera producido, con sujeción a determinadas limitaciones y exclusiones. Para muchos, la cobertura para interrupciones de negocios es el componente más importante y menos comprendido de un programa de seguro de riesgos cibernéticos.

La pérdida por interrupciones de negocios en la mayoría de los formularios de seguro de riesgo cibernético se calcula como la suma de las ganancias netas perdidas debido a un corte o interrupción en el sistema informático, y los gastos que deben continuar durante la interrupción. [1] Independientemente del texto específico de la póliza, el objetivo debe ser cubrir la pérdida real sufrida para la organización. [2]

Actualmente, la mayoría de las organizaciones dependen de sistemas informáticos para funcionar; es probable que un corte prolongado de estos sistemas lleve a gastos o pérdidas de ingresos significativos. Es importante que las organizaciones cuantifiquen sus posibles pérdidas ocasionadas por diferentes tipos de eventos cibernéticos para determinar la cantidad de la cobertura por interrupciones de negocios cibernéticas que necesitan, si es que la necesitan.

El alcance de la cobertura por interrupciones de negocios en formularios de pólizas por riesgos cibernéticos se ha ampliado desde que se agregaron por primera vez hace unos 20 años. Si bien la cobertura se puso a disposición en primer lugar principalmente para el corte de un sistema informático del asegurado provocado por un ataque malicioso, actualmente, está disponible en forma rutinaria para cortes que no son provocados por ataques externos. Esto, a menudo, se denomina cobertura por "fallas de sistema". Hoy en día, también hay cobertura disponible para interrupciones de negocios de un asegurado provocadas por el corte de sistemas informáticos controlados por proveedores de servicios de TI tercerizados y posiblemente muchos otros.

Componentes importantes de la cobertura por interrupciones de negocios cibernéticas

El seguro por interrupciones de negocios es complejo. La terminología varía entre distintas compañías aseguradoras, y los términos pueden variar entre los formularios de las pólizas.

Más allá de la fórmula utilizada para calcular los ingresos de negocios en sí, los límites de la responsabilidad contratados y las retenciones autoaseguradas, los siguientes términos pueden afectar el alcance de la cobertura proporcionada y el monto de la pérdida recuperable:

1. Evento disparador: ¿la póliza especifica que solo responderá en caso de ataques maliciosos ("eventos de seguridad") o también cubre las "fallas de sistema" no maliciosas? La cobertura para eventos de seguridad es el núcleo de la cobertura cibernética, pero la mayoría de las pólizas de riesgos cibernéticos independientes también cubren, o brindan una opción para cubrir, fallas de sistema no maliciosas. Algunos formularios excluyen o limitan la cobertura de determinados tipos de cortes no maliciosos, como aquellos que podrían afectar a diversas organizaciones no relacionadas.
2. Interrupción de negocios dependiente: también denominada "interrupción de negocios contingente" y "cobertura de proveedor tercerizado", la interrupción de negocios dependiente brinda cobertura para cortes informáticos (eventos de seguridad de red o fallas de sistema) de otras organizaciones que tienen un impacto disruptivo en el negocio del asegurado. Si se cubre, el alcance de la cobertura puede variar. ¿Es solo para proveedores de tecnología informática? ¿Puede obtenerse cobertura para cortes de quienes prestan a las empresas servicios tercerizados u otros productos y servicios que no son de tecnología? Los límites, las retenciones y los períodos de espera pueden ser diferentes para diferentes tipos de eventos.
3. Período de espera: esta es la cantidad de tiempo que debe durar un corte antes de disparar la cobertura por interrupciones de negocios. Los períodos de espera de 8 a 48 horas son habituales en las pólizas de riesgos cibernéticos, si bien pueden variar según el tipo de evento o el sistema afectado. Es importante comprender si el período de espera es un deducible pecuniario o no.
4. Cobertura de gastos: ¿cuál es el alcance de los gastos cubiertos fuera del cálculo de los ingresos comerciales? Mínimamente, deben cubrirse los gastos incurridos a los fines de reducir la pérdida de los ingresos comerciales, pero también puede estar disponible la cobertura de otras categorías de gastos incurridos debido a un evento. En los últimos años, las pólizas de riesgo cibernético han incluido los costos incurridos para probar que se produjo una pérdida por interrupciones de negocios, por ejemplo, los cargos y gastos de un contador forense.
5. Período de indemnización: este es el período durante el cual pueden recuperarse pérdidas de ingresos en virtud de la póliza. La definición de este período puede variar según el formulario de la póliza. Puede limitarse al tiempo en que un sistema informático no funcionaba o puede definirse como el tiempo durante el cual las operaciones comerciales estuvieron interrumpidas. También puede medirse con un número determinado de días o incluir un número determinado de días después de que un sistema sea restaurado o las operaciones comerciales vuelvan a la normalidad. A veces, se lo denomina "período extendido de indemnización".

También deben tenerse en cuenta las exclusiones. Por lo general, la cobertura por interrupciones de negocios cibernéticas no está disponible para un evento que implica daños a bienes físicos o que es ocasionado por un peligro natural; es posible que la cobertura por interrupciones de negocios esté disponible para estos eventos en una póliza de bienes. Las pólizas de riesgos cibernéticos suelen excluir la cobertura de eventos provocados por una falla de infraestructura (agua, electricidad, Internet) y por acciones gubernamentales. Algunos gastos, como los costos para defender juicios, a menudo, no se incluyen en el seguro de interrupciones de negocios cibernéticas, pero podrían estar cubiertos en virtud de una parte diferente de una póliza de riesgos cibernéticos u otra póliza de seguro.

Interrupción de los negocios en la atención médica

Un hospital de gran envergadura es víctima de un ataque de ransomware, que encripta múltiples servidores, lo que incluye las copias de seguridad del hospital. El hospital debe enviar a sus pacientes de la sala de emergencias a otros hospitales. Las máquinas de diagnóstico por imágenes y otros dispositivos no funcionan. Las citas y cirugías se reprograman o cancelan. Es necesario contar con personal adicional, ya que las historias clínicas deben completarse a mano. Y se pone en riesgo y filtra información confidencial de los pacientes. El hospital tarda más de un mes en volver a estar totalmente operativo, incluso después de pagar un rescate.

Los costos de restauración, el lucro cesante y los gastos adicionales son de mucho más de 60 millones de dólares. Este monto no incluye el pago del rescate de 10 millones de dólares ni los costos de asesores legales para violaciones, investigaciones forenses, notificación a pacientes, investigaciones reglamentarias y defensa y conciliación de demandas colectivas de terceros.

Estos costos se suman rápidamente. Es imprescindible que un negocio complete la debida diligencia antes de un evento para asegurarse de tener una cobertura de seguro adecuada.

Cuando se produce un evento cibernético

Una vez que queda claro que se ha producido un evento cibernético, es importante actuar de inmediato. Si una organización tiene un plan de respuesta ante incidentes, este debe dispararse, y el equipo de respuesta ante incidentes debe seguirlo. Si su organización debe responder a un evento cibernético, usted debe hacer lo siguiente:

• Contactar a su corredor de seguros y compañía aseguradora para conversar sobre los derechos y requisitos en virtud de su póliza de seguros. La mayoría de las pólizas de riesgos cibernéticos requieren el consentimiento de la aseguradora antes de poder contratar a proveedores.
• Contratar asesores legales especializados en violaciones, con el consentimiento de la aseguradora, para garantizar que se cumplan todas las obligaciones legales en relación con la violación y que sus derechos estén protegidos. Los asesores deben contratar, en su nombre y con el consentimiento de su aseguradora, una firma forense o a otros expertos técnicos cibernéticos para investigar, evaluar y remediar el evento. En relación con un reclamo de interrupción de negocios, estos proveedores lo ayudarán a lo siguiente:
  • Confirmar la causa del evento o la pérdida, de manera que las aseguradoras pueden determinar si se produjo un evento cubierto.
  • Identificar los sistemas afectados específicos y el impacto en el negocio.
  • Determinar la medida correctiva adecuada y el cronograma de recuperación más eficiente.
  • Identificar cualquier actualización de la tecnología que se pueda haber completado en el mismo momento que el evento que pueda afectar el período de recuperación.
• Considerar los pasos necesarios para seguir operando comercialmente de la manera más normal posible durante el evento o volver a las operaciones con la mayor rapidez posible.
• Llevar registros de todos los gastos que no se hubieran incurrido si no fuera por el evento cibernético. El texto de la póliza puede diferir, pero es mejor conservar registros de todos los gastos y determinar si hay cobertura posteriormente. Incluir registros de empleados temporarios contratados u horas adicionales trabajadas por empleados por hora regulares.
• Recopilar la documentación necesaria para probar lucro cesante (ver el Apéndice B) y contratar contadores forenses para revisarlo con su equipo financiero.
• Considerar el lucro cesante mientras las computadoras no funcionaban y después de que los sistemas informáticos volvieran al estado en el que estaban antes del evento. ¿Fue necesario tiempo adicional para que las operaciones comerciales volvieran a la normalidad? ¿Con cuánta rapidez regresaron los clientes? ¿Realmente perdió ingresos o estos se pospusieron hasta después de que las operaciones comerciales volvieran a la normalidad?
• Conversar con su corredor, contador forense y el contador forense de la aseguradora sobre la metodología para calcular pérdidas por interrupciones de negocios antes de enviar la prueba del siniestro a la aseguradora.

Es importante recordar que responder a un evento cibernético y enviar un reclamo por interrupciones de negocios es un proceso. Confíe en los expertos que contrató, en especial, en su corredor y contador forense, para obtener orientación. La resolución de reclamos por interrupciones de negocios puede demorar meses según la complejidad del reclamo. La comunicación es clave para hacer que este proceso sea más eficiente.

Conclusión

A medida que la tecnología siga mejorando, las empresas la utilizarán para la eficiencia, la productividad y el crecimiento, por lo que seguirán siendo vulnerables a interrupciones relacionadas con la tecnología. La forma en que las organizaciones respondan a una interrupción determinará, en algunos casos, si seguirán prosperando o si siquiera sobrevivirán.

Los seguros de riesgos cibernéticos, y en particular la cobertura contra interrupciones de negocios, puede ayudar a las empresas a mitigar este riesgo. No obstante, las empresas no tienen que atravesar estos riesgos solas.

Los consultores de riesgos cibernéticos pueden ayudar a su organización a evaluar su exposición a amenazas cibernéticas, problemas de privacidad que no estén relacionados con la filtración de datos y otras formas de delito cibernético. Estos especialistas también pueden ayudarlo a determinar los posibles impactos financieros de los eventos cibernéticos y a desarrollar estrategias para mitigarlos.

Su corredor puede ayudarlo a atravesar las complejidades de las pólizas de seguro de riesgos cibernéticos, lo que garantiza que una empresa cuenta con una protección adecuada contra amenazas cibernéticas que están en evolución y, a la vez, optimiza la cobertura de seguro. Un corredor experimentado e informado puede ayudarlo a elegir las pólizas correctas y los límites de cobertura apropiados, y puede actuar como intermediario entre usted y su aseguradora durante el proceso de reclamo.

También es clave para este proceso tener a un contador forense en su equipo de respuesta ante incidentes. Estos profesionales pueden proyectar pérdidas futuras y evaluar la eficacia de sus planes de continuidad de las operaciones. Durante el proceso del reclamo, un contador forense puede ayudarlo a cuantificar su impacto financiero y cualquier pérdida de ingresos debido a un evento. Luego del incidente, los contadores forenses pueden ayudar a preparar informes detallados, como una prueba del siniestro, para enviar a su aseguradora en cumplimiento de su póliza. [3]

Adelantarse a los actores de amenazas cibernéticas puede parecer un trabajo de tiempo completo, pero es fundamental confiar en expertos que lo pongan en el mejor lugar financiero posible para la recuperación. No espere hasta que se produzca un evento cibernético para comprender plenamente el impacto que esto pueda tener en su empresa; comience a planificar hoy mismo para estar listo para un evento cibernético mañana.

Apéndice A: documentación posterior a la violación - solicitud de información

Preguntas preliminares para el asegurado:

1. ¿En qué fecha y hora las ubicaciones denunciadas se vieron afectadas por el evento cibernético?
2. ¿En qué fecha y hora se descubrió el evento cibernético?
3. ¿En qué fecha y hora las ubicaciones denunciadas reanudaron las operaciones comerciales normales después del evento cibernético?
4. ¿Cuál es el horario comercial normal de las ubicaciones denunciadas?
5. ¿De qué forma afectó el evento cibernético a los diversos segmentos de negocios?
6. ¿Alguna operación dejó de funcionar por completo?
7. ¿Alguna operación dejó de funcionar en forma parcial?
8. ¿De qué forma el cese en las operaciones (completo o parcial) afectó los flujos de ingresos y gastos? ¿Cómo genera la empresa sus diversos flujos de ingresos?
   1. ¿Cómo hizo el evento cibernético para evitar que la empresa generara ingresos?
   2. ¿Se rechazaron clientes debido al evento cibernético?
   3. ¿Se pudieron recuperar los ingresos o la producción?
9. ¿Tiene la organización algún cargo fijo o contrato de plazo y materiales?
10. ¿La nómina se vio afectada por el evento cibernético?
11. ¿Los empleados son asalariados, por hora o ambos?
12. ¿Qué trabajo hicieron los empleados durante el período de restauración?
13. ¿Se pagaron horas extra a los empleados durante el evento cibernético? En caso afirmativo, ¿cuándo y de qué forma está esto relacionado con el evento cibernético?
14. ¿Las horas de algún empleado son facturables? En caso afirmativo, ¿de qué manera la organización hace el seguimiento de sus horas facturables normales?
15. ¿De qué forma el evento cibernético afectó los gastos operativos?
16. ¿La empresa incurrió en gastos adicionales debido al evento cibernético?

Apéndice B: solicitudes de documentación posibles

Por lo general, estas solicitudes se hacen de forma que incluyen períodos previos a la pérdida, durante la pérdida y posteriores a la pérdida a fin de permitir la proyección de resultados operativos (tendencia), la actividad real durante la pérdida en comparación con las proyecciones y las operaciones posteriores a la pérdida para identificar cualquier ajuste posible. Los períodos y registros solicitados variarán según las respuestas a las preguntas detalladas en el Apéndice A.

1. Cuadros de reclamos de gastos adicionales o interrupciones de negocios en Excel que deben incluir todos los documentos de respaldo.
2. Estados de resultados mensuales detallados, por ubicación, si corresponde.
3. Informes de ingresos diarios, semanales o mensuales, por ubicación, si corresponde.
4. Facturas o recibos de gastos adicionales importantes incurridos.
5. Declaraciones de impuesto a las ganancias federales, lo que incluye cuadros de respaldo (no siempre es necesario).
6. Registros de producción diarios, semanales o mensuales.
7. Informes de registros de horas trabajadas diarias, semanales y mensuales, por horas trabajadas, total de horas facturadas y total de dólares facturados.
8. Registros de nómina semanales (a veces, por empleados; otras veces, por departamento).
9. Listado de cualquier proyecto o cliente perdido como resultado directo del evento cibernético.
10. Informes de utilización del personal para firmas de servicios profesionales.
11. Registros de inventario para entidades de producción o fabricación.

Referencias

[1] En forma alternativa, la pérdida puede calcularse determinando el lucro cesante de la empresa durante la interrupción y restando los costos variables ahorrados cuando la empresa no estaba operando. El primer enfoque, a menudo, se denomina método de "ganancia bruta"; el enfoque que se describe en esta nota al pie es el método de "ingresos brutos".

[2] Por ejemplo, con interrupciones parciales, los gastos continuos se compensan con los ingresos reales obtenidos durante el período de la pérdida.

[3] La mayoría de las pólizas de seguro de riesgo cibernético con cobertura contra interrupciones de negocios proporcionan un sublímite para costos de preparación de prueba del siniestro, lo que incluiría costos de contabilidad forense.

Más información sobre las soluciones para daños cibernéticos de J.S. Held

Con especialistas en equipos y contadores forenses ubicados en todo el mundo, nuestros expertos en daños cibernéticos brindan soluciones personalizadas y de alta calidad para los ataques cibernéticos.

Nuestro equipo de expertos en equipos está capacitado para identificar y validar un incidente cibernético, medir el alcance del impacto y analizar los costos incurridos. Con este protocolo, nuestros expertos pueden determinar cambios significativos en la red general. Este análisis permite a nuestros expertos determinar el período exacto de interrupción (POI) relacionado con el evento de la pérdida por interrupción del negocio.

Nuestros contadores forenses trabajan para recopilar y revisar los registros operativos y financieros de la parte afectada, así como datos comparativos de la industria, para cuantificar los daños por interrupción del negocio y los gastos adicionales.

Juntos, nuestros expertos técnicos y contadores forenses pueden cuantificar adecuadamente todos los daños del evento y brindar la solución integral y personalizada que necesitan nuestros clientes.

Más información sobre Lockton

Lo que hace que Lockton se destaque es también lo que nos hace mejores: la independencia. Lockton, que es de propiedad privada, empodera a sus más de 12,500 asociados que operan comercialmente en más de 140 países para que se concentren únicamente en las necesidades de las personas, el seguro y el riesgo de los clientes. Con su experiencia internacional, Lockton brinda profundos conocimientos de la industria y especialización en productos con una pasión por atender a los clientes. Para obtener más información, visite global.lockton.com.