Geekly articles weekly

Ciberseguro en el mercado ruso



No, no se trata de deportistas electrónicos que quieran asegurarse contra magulladuras con el mouse o la visión estropeada por un monitor defectuoso. Hablemos del seguro de riesgo cibernético utilizando tecnología de TI.

En el contexto del rápido desarrollo de las tecnologías digitales y la creciente complejidad de la infraestructura de TI de las empresas, también se nota un aumento significativo en el número de delitos cibernéticos. Según el Ministerio del Interior , en 2018 hubo un 92% más que en 2017. No es sorprendente que los problemas de protección contra los riesgos de pérdida de datos, tiempo de inactividad, ataques de piratas informáticos o fuga de información confidencial se vuelvan más relevantes, y el seguro de riesgo cibernético parece una forma razonable de minimizar el daño.

Las empresas querían saber qué tipo de garantías proporciona la protección de los datos procesados ​​por el proveedor del servicio y cómo se propone minimizar el daño si el ataque no se puede detener.

El procedimiento para asegurar los riesgos cibernéticos parece engorroso y complicado, porque además de la organización de seguros, el contrato también debe incluir un cierto auditor de seguridad de la información (SI) de la compañía, que evaluará los riesgos y preparará conclusiones para la compañía de seguros. Pero en el mercado de seguros de Rusia ya hay ofertas de seguro cibernético integral.

¿Qué ofrecen las compañías de seguros?


Alpha Insurance

Alpha ofrece productos AlfaCyber a su negocio . El contrato puede concluirse a partir de todos o de ciertos tipos de peligro cibernético. Si lo desea, el cliente puede elegir uno de los paquetes de seguro estándar o hacer un individuo, teniendo en cuenta las características del negocio y las necesidades individuales. Los paquetes básicos de la política cubren los riesgos de pérdida y distorsión de datos (incluidos los virus de cifrado), software y la divulgación de datos personales e incluye la investigación y el diagnóstico de ataques cibernéticos.

Además, la política puede proporcionar protección contra riesgos: pérdida de información; robo de propiedad intelectual; mal uso de los recursos informáticos; extorsión malversación de fondos; violación de la confidencialidad y divulgación de datos personales; daños a la propiedad, vida y salud de terceros; daño a la reputación comercial; pérdida, muerte o daño a productos terminados, materias primas, materiales; interrupción en la actividad.

El costo del seguro depende del conjunto de riesgos, el monto asegurado y el deducible, así como el tipo de actividad del asegurado y los resultados de la evaluación del riesgo.

Aig

La compañía, que fue una de las primeras en aplicar un enfoque amplio y unificado a las amenazas cibernéticas, desarrolló el programa de seguro CyberEdge para proteger los datos personales en la empresa de las consecuencias de su fuga o uso ilegal. Para ayudar a las empresas a protegerse del robo de identidad, piratas informáticos, errores humanos y mucho más, AIG brinda a los clientes acceso a servicios de empresas especializadas en seguridad cibernética e investigaciones de delitos cibernéticos, asesoramiento legal y relaciones públicas contra la crisis. De hecho, es una herramienta conveniente para evitar pérdidas y superar las consecuencias de la fuga de datos.

El seguro incluye cobertura obligatoria y adicional. Obligatorio incluye:

  • Pérdidas de violación de datos
  • Investigación administrativa sobre datos
  • Costos de respuesta por violación de datos.
  • Responsabilidad por el contenido de la información.
  • Extorsión virtual.
  • Corte de red

La cobertura adicional incluye responsabilidad por el contenido de la información, extorsión virtual, pérdidas por fallas de la red como resultado de un mal funcionamiento del sistema de seguridad y compensación por la pérdida de ganancias.
AIG no registró un solo caso de contacto con el cliente debido a una infección con los virus WannaCry o Petya, pero estos casos también causaron un creciente interés de los clientes en el servicio de seguro de riesgos. “Después de los incidentes, vemos un creciente interés en los servicios de seguros de riesgo cibernético y actualmente estamos negociando con varias compañías. Sin embargo, cuanto más grande es el negocio, más complicado y más largo se aprueba el presupuesto, por lo tanto, puede llevar mucho tiempo concluir un acuerdo ".
- dijo el jefe del departamento de seguros de riesgo financiero en AIG Rusia Vladimir Kremer .

Allianz

Allianz desarrolló su producto de seguro de riesgo cibernético Allianz Cyber ​​Protect. La póliza brinda seguro contra las siguientes categorías de riesgo:

  • Responsabilidad civil por la pérdida de datos personales y financieros de los clientes;
  • Pérdidas incurridas por el asegurado mismo debido al tiempo de inactividad, extorsión cibernética;
  • Cubriendo los costos de la investigación de incidentes y la asistencia de especialistas forenses.

"La creciente demanda de seguro cibernético en los EE. UU. Ya está en una etapa activa, ya que las leyes de protección de datos ayudan a guiar a las empresas, y los cambios regulatorios y los niveles crecientes de responsabilidad proporcionan un crecimiento acelerado en otros países", comenta Nigel Pearson, responsable del seguro cibernético en Allianz Global Corporate & Specialty (AGCS) “Estamos presenciando una tendencia general hacia el establecimiento de regímenes regulatorios de protección de datos más estrictos, que están plagados de la amenaza de multas serias en caso de fuga de información.

Regulación estatal


Hasta el momento, no hay estándares en el campo del seguro cibernético, y la legislación está poco desarrollada en términos de determinar la responsabilidad por violaciones y delitos en el campo de la seguridad de la información.

Pero en el futuro cercano la situación debería cambiar. El proyecto nacional "Economía digital de la Federación de Rusia" prevé una serie de medidas destinadas a popularizar el seguro voluntario de riesgos de seguridad de la información y mejorar la cultura cibernética. Además, el proyecto incluye una propuesta para estudiar la posibilidad de utilizar los beneficios fiscales para el seguro de riesgo cibernético.



Algoritmo de seguro de riesgo cibernético


¿Cómo es el procedimiento del seguro cibernético? Para responder a esta pregunta, tomamos un sistema de información con un sistema de protección de datos ya creado. Puede tratarse de un sistema de almacenamiento de datos personales, un sistema estatal con un certificado de cumplimiento de los requisitos de seguridad de la información u otro sistema de información con características de seguridad seleccionadas en función de la razonabilidad y la proporcionalidad de los costos.

En este caso, la empresa deberá seguir los siguientes pasos:

  • Elegir una compañía de seguros que ofrezca un servicio integral de seguro de riesgo cibernético;
  • Selección de una organización experta para llevar a cabo una auditoría de seguridad de la información (de entre organizaciones acreditadas por una compañía de seguros);
  • Auditoría de SI y evaluación de riesgos (realizada por una organización experta);
  • Definición de casos de seguros;
  • Determinación del tamaño de la cobertura del seguro y las primas del seguro;
  • Formación de un contrato para un servicio integral de seguro cibernético.

Si la compañía aún no ha creado un sistema de protección o no cumple con los requisitos de la legislación rusa sobre protección, el paso preliminar será crear un sistema de protección o colocar un sistema de información con un proveedor de servicios con la conclusión de un contrato para el almacenamiento de información confidencial.

Tipos de riesgos de seguro


En la práctica mundial, existen varios riesgos que pueden recibir una cobertura de seguro parcial o total:

  • El riesgo de apropiación indebida y uso de información confidencial por parte de los empleados de la compañía y su uso;
  • El riesgo de que un hacker obtenga información sobre números de tarjetas de crédito o cuentas de clientes de la compañía;
  • El riesgo de robo de fondos de cuentas bancarias o valores de una cuenta con un depositario;
  • El riesgo de robo de datos de tarjetas de crédito y fondos de ellos;
  • El riesgo de pérdida o divulgación de información debido a un error del empleado;
  • Un descanso en el trabajo de la empresa, su red informática, su sitio web;
  • Pérdidas asociadas con la publicación de información falsa o información difamatoria en el sitio web del asegurado;
  • El riesgo de perder un medio tangible que contiene información confidencial.



Cobertura de seguro


En casi todos los casos de seguros, la pregunta más difícil es la estimación confiable del costo de la información perdida.

Además, al evaluar la información como un activo intangible y recibir una compensación de seguro, no se descartan problemas con nuestra legislación fiscal, que no dejará de designar el monto total de la compensación de seguro como ganancia y gravarlo. Esta pregunta aún no se ha resuelto a nivel de aclaraciones del Ministerio de Hacienda.

Además, no todo está claro con el pago de la cobertura del seguro, calculado como la cantidad de gastos incurridos para restaurar el derecho violado. Será bastante difícil demostrar la necesidad de realizar uno u otro gasto o su tamaño, por lo tanto, es recomendable prescribir una lista aproximada de dichos gastos y los límites de su costo en los contratos de seguro.

La cobertura del seguro puede incluir:

  • Pérdidas debido a violaciones de datos personales o información corporativa;
  • Pérdidas como resultado de una larga interrupción en el funcionamiento de la red;
  • Pérdidas y gastos resultantes de la divulgación pública de datos personales o información corporativa;
  • Efectivo pagado para limitar o terminar un riesgo de seguridad que de otra manera podría causar una pérdida;
  • Cobertura de costos de investigación por parte de las autoridades reguladoras;
  • Servicios de respuesta en caso de fuga de datos, restauración de la reputación personal, información en caso de fuga de datos personales, así como gastos por notificaciones y monitoreo relacionados con la fuga de información;
  • Cubriendo los costos asociados con la restauración, recolección o reconstrucción de información después de una fuga o uso no autorizado de datos;
  • Los costos del asegurado en la corte;
  • Gastos de gestión de crisis;
  • Daños a terceros.

Conclusiones


A pesar del relativamente joven mercado de seguros de servicios cibernéticos, ya existen soluciones integradas complejas. Se espera que los proveedores de la nube pronto proporcionen servicios de seguro de responsabilidad civil. Cloud4Y, además de las garantías ofrecidas por el acuerdo de nivel de servicio, está listo para ofrecer a los clientes una forma conveniente de asegurar los riesgos de colocar infraestructura y servicios en la nube.

Source: https://habr.com/ru/post/454278/

More articles:


All Articles