schadenspiegel Peligro en la red La revista para gestores de daños Número 2/2014

Transcripción

1 TOPICS La revista para gestores de daños Número 2/2014 schadenspiegel Peligro en la red Los riesgos cibernéticos aumentan continuamente. Y, por ello, las empresas están expuestas a daños de muy diversa índole, que frecuentemente son muy difíciles de estimar. PÁGINA 6 Responsabilidad Civil Lesiones cerebrales en jugadores profesionales de fútbol americano Daños por granizo Existe un riesgo de cambio? Construcción de una central eléctrica Los altos estándares de calidad evitan siniestros

2

3 Editorial Estimado lector: En un primer plano de este Schadenspiegel se encuentran los riesgos y los siniestros cibernéticos: pérdida de datos, vulneración de datos y las cuestiones relacionadas con la responsabilidad. Una nueva tendencia siniestral que pronto pasará a ser asunto cotidiano en la tramitación de siniestros, al igual que los georriesgos, accidentes de tráfico y los daños por incendio. Esto supone para la industria aseguradora nuevos retos que solamente se pueden afrontar, contando con conocimientos expertos únicos y soluciones hechas a la medida. Además, los riesgos tradicionales siguen siendo importantes para nosotros: las tormentas de granizo en Alemania han costado mucho dinero a los aseguradores en Pero, incluso en un complejo de daños tan clásico como éste, hay nuevos aspectos que destacan como cuando las instalaciones solares y las modernas técnicas de aislamiento tienen repercusiones perceptibles en la gravedad de los daños causados. Por tanto, es indispensable cumplir con las altas normas de calidad en la construcción. A veces ya basta con que se produzca un cambio de mentalidad a la hora de presentar demandas para que surjan nuevos complejos siniestrales. Un ejemplo de ello son las recientes demandas que han presentado algunos deportistas profesionales por las secuelas que padecen a causa de las numerosas conmociones cerebrales que han padecido a lo largo de su carrera deportiva. Le deseo una interesante lectura. Tobias Büttner Jefe de Corporate Claims de Munich Re NOT IF, BUT HOW Munich Re Topics Schadenspiegel 2/2014 1

4 Al encuentro de piratas informáticos En el encuentro internacional de piratas informáticos, como el Campus Party en São Paulo 2012, los así denominados hackers de sombrero blanco intercambiaron sus puntos de vista sobre las tendencias más recientes. A pesar de la creciente sensibilización de los responsables en las empresas, la acumulación de siniestros son testimonio del ingenio y de la energía criminal de los ladrones de datos. 6 2 Munich Re Topics Schadenspiegel 2/2014

5 Contenido Las aseguradoras alemanas pagaron miles de millones en el año 2013 por daños de granizo. Estudios actuales ponen de manifiesto que la tendencia a graves granizadas en Europa y América del Norte seguirá existiendo en el futuro. 34 Después de haber sufrido varias conmociones cerebrales, algunos jugadores de fútbol americano enfermaron, incluso en su juventud, de Alzheimer o demencia. Los jugadores de hockey sobre hielo y de fútbol subestiman este riesgo. 26 CIBERRIESGOS Quien quiera perjudicar a una empresa, tiene buenas posibilidades gracias a Internet 6 Los objetivos y los métodos de los piratas informáticos cambian incesantemente. Un plan de seguridad escalonado ayuda a proteger los valores propios. Siniestros cibernéticos un riesgo a tomar en serio 12 Quien quiera defenderse contra los ataques cibernéticos, necesita protección técnica y no debería subestimar el factor humano. La defensa de las fronteras digitales 16 Así quieren los gobiernos proteger a las empresas contra ataques cibernéticos. Caros ataques cibernéticos en el comercio minorista estadounidense 18 En los centros comerciales Target y Nyman Marcus se sustrajeron enormes cantidades de datos de clientes con consecuencias de diversa índole. La protección adecuada contra daños cibernéticos 24 Los productos de Hartford Steam Boiler contribuyen a que los tomadores de seguros puedan dormir tranquilos. RESPONSABILIDAD CIVIL K. o. postergado 26 Un acuerdo judicial de la Liga de fútbol nacional americana con antiguos jugadores alerta a los representantes de la Liga y a los aseguradores. PELIGROS DE LA NATURALEZA Graves tormentas de granizo Hay un riesgo de cambio? 34 En 2013, grandes bolas de granizo causaron severos daños en Alemania. RIESGOS TÉCNICOS Interfaces críticas 42 Las elevadas normas de calidad en la construcción de centrales de energía ayudan a evitar daños. Editorial 1 Noticias de la empresa 4 Columna 46 Pie de imprenta Munich Re Topics Schadenspiegel 2/2014 3

6 NOTICIAS Knowledge in dialogue Client seminar programme 2015 REDES SOCIALES Síganos en las redes sociales! Desde hace tiempo ofrecemos a nuestros lectores un espacio en nuestra página web para que puedan hacer comentarios sobre los artículos que se publican en Topics Online. Munich Re cuenta también con varias plataformas en las redes sociales, a través de las cuales nos puede contactar: nos puede encontrar en Twitter, Facebook, Google+, YouTube, Linkedln y Xing. Únase a nosotros y siga con nosotros los temas que ocupan al Seguro: en artículos interesantes, vídeos fascinantes o, de forma actual, mediante live tweets sobre eventos de empresas o de los ramos del seguro. >> twitter.com/munichre >> facebook.com/munichre >> youtube.com/user/munichrevideo >> linkedin.com/company/munich-re >> xing.com/companies/munichre >> plus.google.com/ RESPONSABILIDAD CIVIL INDUSTRIAL Están infraaseguradas las empresas industriales? La distribución internacional del trabajo influye en la práctica de la responsabilidad civil en todo el mundo. Los accidentes industriales y los escándalos ambientales llaman más la atención y afectan a diversas jurisdicciones. Es difícil obtener una visión general de las responsabilidades locales y globales. Munich Re ofrece con su publicación Employers liability for occupational illness and injury A familiar risk in a changing world una visión general de las diferentes variantes de la responsabilidad patronal. En breve saldrá otra publicación con estudios de casos sobre responsabilidad medioambiental. >> Puede descargar nuestra publicación Employers liability for occupational illness and injury A familiar risk in a changing world en connect.munichre. com o solicitarla a su gestor de clientes. SEMINARIOS PARA CLIENTES Knowledge in dialogue 2015 Ya está disponible el nuevo programa de seminarios para clientes Knowledge in dialogue El año que viene ofreceremos de nuevo a nuestros clientes internacionales un amplio espectro de seminarios y talleres de trabajo. En nuestra oferta de actividades no solamente se incluyen todos los ramos de seguros importantes sino también temas específicos como los seguros financieros y la gestión de riesgos empresariales. >> Para más detalles, le rogamos contacte a su Gestor de Clientes. Noticias breves El 24 de septiembre de 2014, Dieter Berg, Senior Executive of Business Development de Global Marine Partner ship, fue elegido nuevo Presidente de la Unión Internacional de Seguros de Transportes (IUMI, por sus siglas en inglés) durante la conferencia anual de la Unión. Berg es el primer presidente en la historia de la IUMI que proviene del sector del reaseguro. La IUMI se fundó en 1874 con el propósito de representar, salvaguardar y desarrollar los intereses de los aseguradores en todas las clases de seguros del ramo de transportes. Munich Re Boletín de Ramos Técnicos: Nuestros ingenieros hacen el seguimiento de grandes proyectos en todo el mundo y apoyan a los clientes con su pericia técnica en la exitosa puesta en práctica y más allá. En nuestro nuevo Boletín de Ramos Técnicos gratuito que enviamos por correo electrónico les informamos sobre fascinantes proyectos de ingeniería de todo el mundo. Suscríbase gratuitamente a nuestro Boletín de Ramos Técnicos en 4 Munich Re Topics Schadenspiegel 2/2014

7 NOTICIAS Bienvenidos a una forma completamente nueva de trabajar: connect.munichre le ofrece un entorno seguro para la formación y el desarrollo del negocio, la optimización de procesos y el acceso a valiosos contactos. Venga y mire! Un nuevo prospecto de marketing para el portal de clientes connect.munichre.com El nuevo prospecto publicitario de connect.munichre muestra a los clientes cómo pueden llevar a cabo su cooperación diaria y el intercambio de datos seguro mediante salas de proyectos virtuales o cómo acelerar su proceso de suscripción con nuestras herramientas para el análisis de riesgos y la tarificación, tales como MIRA y NATHAN. Con connnect.munichre, el acceso a contribuciones de investigación actuales, publicaciones y pólizas es muy fácil y la lectura es muy agradable gracias al Flip Viewer. De esta forma, los clientes pueden leer cómodamente desde su puesto de trabajo las más recientes noticias del sector asegurador, ojear nuestra amplia oferta de formación en diversas ubicaciones o participar en línea en los seminarios en directo interactivos. Además, cuando lo desee, tiene a su disposición en un archivo las grabaciones de anteriores webinars. La toma de contacto con los expertos de Munich Re y el registro en el portal de clientes son de fácil manejo. En el prospecto encontrará todas las informaciones detalladas necesarias al respecto. >> Para más información contacte por favor con su Gestor de Clientes o en línea bajo connect.munichre Munich Re Topics Schadenspiegel 2/2014 5

8

9 CIBERRIESGOS Quién quiera hacer daño a una empresa tiene buenas posibilidades gracias a Internet Las empresas sufren cada vez más ataques cibernéticos. Florian Seitner de la Oficina del Estado de Baviera para la Protección de la Constitución y Michael Hochenrieder del proveedor de servicios de seguridad de TI, HvS Consulting, hablan con Munich Re sobre siniestros caros y riesgos complejos. Michael Lardschneider (Munich Re): En varios ramos estamos observando un número creciente de ataques cibernéticos que causan grandes daños. Las empresas están invirtiendo cada vez más en la infraestructura técnica. Ello intimida a los hackers? Florian Seitner: Actualmente estamos experimentando una fuerte profesionalización de los piratas informáticos. Esto también se refleja en una división del trabajo. Al igual que en la economía, se subcontratan las tareas de programación difíciles; diversos grupos de hackers trabajan tanto para los servicios de inteligencia como para clientes criminales. Lardschneider: Sr. Hochrieder, como proveedor de servicios de seguridad de TI, usted quiere averiguar cómo de eficaces son las medidas de protección de sus clientes. En el marco de los análisis sobre los puntos débiles y de las pruebas de penetración se le solicita a usted que robe las joyas de la corona digitales. Cómo se lleva a cabo un ataque fingido? Michael Hochenrieder: Dirigimos el ataque a un sitio seleccionado en la red y observamos cómo responden el personal de seguridad y los sistemas: Suena la voz de alarma? O podemos movernos sin ser molestados durante dos o tres semanas en la red y extraer continuamente datos de la empresa? Las empresas suelen percibir un ataque a su propio sistema como una declaración de guerra. Munich Re Topics Schadenspiegel 2/2014 7

10 CIBERRIESGOS Lardschneider: Las compañías son cada vez más conscientes de que todas están en el mismo barco. Pero para entender qué ataques fueron realizados y qué acciones se llevaron a cabo, hace falta mucha confianza mutua. Sólo poco a poco se van desarrollando círculos de confianza interempresariales. Esto también es válido para la cooperación con los proveedores de servicios de seguridad de TI y los fabricantes de los productos. Por ejemplo, cuando existe el riesgo de que un proveedor de servicios también trabaje para la competencia, entonces la confianza en el proveedor de servicios tiene que ser muy alta y la relación de trabajo muy estrecha. También es importante la cooperación con la Oficina de Protección de la Constitución. Seitner: Las empresas pueden cooperar con nosotros de forma confidencial y reciben apoyo oficial en caso de ataques electrónicos, sin que ello tenga que derivar en un proceso penal. Muchas empresas se muestran reacias a dirigirse a la policía. La policía tiene que avisar a la Fiscalía este tipo de incidentes debido al principio de legalidad. Nosotros, la Oficina de Protección para la Constitución, no estamos sujetos a este principio de legalidad. Garantizamos confidencialidad a las empresas. Michael Lardschneider es Chief Security Officer de Munich Re. Lardschneider: Qué experiencias ha tenido? Se detectan los ataques más rápidamente que antes? Hochenrieder: No, lamentablemente no, al contrario. Se necesita más tiempo porque, entretanto, las herramientas disponibles que se utilizan para los ataques reales, están sumamente desarrolladas. Esto hace que sea muy difícil identificar a un atacante que dispone de los correspondientes conocimientos técnicos. Seitner: La ventaja para la otra parte es que puede aprender de sus errores porque, bajo determinadas circunstancias, puede ver porqué ha fallado un ataque. Para la próxima vez perfecciona el software y se utiliza en otra red. Hochenrieder: En última instancia, tenemos que admitir que, en general, somos solo el segundo ganador en este juego del gato y el ratón. Porque para aprender se debe producir un ataque. El análisis del ataque requiere cierto tiempo y, mientras tanto, puede que se estén atacando a otras compañías con una tecnología similar. Lardschneider: El año pasado, las autoridades de seguridad de los Estados Unidos informaron a empresas de que podrían haber sido atacadas. Veremos esta cooperación aún más estrecha en el futuro también en Europa y en otras regiones? Seitner: Cuando detectamos un ataque o se notifica un ataque que, por su patrón, podría afectar a más de una empresa, entonces emitimos advertencias de seguridad. En ellas se describe el ataque de manera anonimizada de tal forma que cualquier posible afectado pueda entenderlo y aprovechar la información. En base a nuestras alertas, muchas empresas han realizado tests y, con ellos, algunas también han detectado ataques. Estos casos los podemos incluir luego en nuestro informe sobre la situación actual. 8 Munich Re Topics Schadenspiegel 2/2014

11 CIBERRIESGOS Michel Lardschneider, conversando con Michael Hochenrieder y Florian Seitner (de izda. a dcha.) Por término medio, se tarda 260 días hasta que la empresa atacada descubre que se ha realizado un ataque con éxito. Hochenrieder: En el caso de ataques dirigidos a objetivos concretos se utilizan simultáneamente diferentes métodos. Por término medio, transcurren 260 días hasta que la empresa descubre que sido atacada. A veces, los atacantes se mueven desapercibidos en la red de la empresa durante varios años. Lardschneider: Para evitar esto, lo único que sirve es la interacción entre la tecnología y el hombre. Técnicamente se puede restringir mucho, pero eso a veces dificulta el flujo de trabajo de los empleados. Los empleados lo entienden si comprenden por qué ciertas funciones están desactivadas. También invertimos mucho con el fin de proporcionar a nuestros empleados los conocimientos necesarios y para sensibilizarlos en este tema. Hochenrieder: Actualmente vemos muchos ataques de spear phishing. Aquí, las personas son atacadas como con una lanza. No fluye sangre, sino informaciones confidenciales. Spear phishing se hace, por ejemplo, a través de s referentes a ofertas de trabajo. Tal oferta de trabajo parece profesional, pero el anexo con el curriculum vitae o el enlace de la página web están infectados. Cuando un empleado del departamento de Personal abre el anexo entonces, al mismo tiempo, también abre la puerta para el pirata informático. Lardschneider: Qué otro tipo de escenarios de siniestros se puede imaginar? Hochenrieder: Por ejemplo, si un aspirante quiere perjudicar a un competidor, entonces simplemente podría desconectarle todos los sistemas de TI. Pero en este caso, se reconocería rápidamente tal actuación y se podría solucionar el problema. Mucho más difícil de detectar sería un ataque por el cual se manipulan específicamente datos financieros o, por ejemplo, se modifican aunque sea sólo mínimamente las medidas para la fresadora de un fabricante de automóviles. Es suficiente con cambiar el punto decimal en algunas cifras o la fecha en un par de puntos. Al principio, esto no llama la atención pero tiene consecuencias fatales para el producto final. Cuando se detecta un ataque Munich Re Topics Schadenspiegel 2/2014 9

12 CIBERRIESGOS debe preguntarse qué datos son todavía auténticos. Porque no se sabe el tiempo que el atacante ha estado en la red ni cuándo o qué puntos han sido manipulados. Examinar la integridad de todos los datos en una gran empresa es una tarea muy compleja y costosa. Seitner: Quiero dar aún un paso más. Qué ocurre cuando los procesos de una línea de producción están afectados por los atacantes de tal manera que algo cambia en el producto, por ejemplo un fármaco, sin que el fabricante se dé cuenta? También en el sector de automóviles podrían causarse considerables daños con retiradas de productos de grandes dimensiones y las complicadas cuestiones de responsabilidad consiguientes. Michael Hochenrieder es gerente de HvS-Consulting, una empresa que se dedica al asesoramiento en cuanto a la seguridad. En el futuro, la protección efectiva contra los piratas informáticos y unas buenas soluciones de seguro serán una ventaja competitiva muy valiosa para las empresas. Centro de Alianza contra Riesgos Cibernéticos de Baviera El Centro de Alianza contra Riesgos Cibernéticos (CAZ, por sus siglas en alemán) de la Oficina Estatal de Baviera para la Protección de la Constitución asesora a empresas e instituciones de investigación así como a operadores de infraestructura crítica en la prevención y el análisis de ataques cibernéticos selectivos. Actúa como socio de contacto confidencial y centro estatal de control y coordinación en los ámbitos del espionaje y sabotaje cibernéticos. En el análisis de los ataques, el CAZ trabaja en estrecha colaboración con la Oficina Federal para la Protección de la Constitución (BfV, por sus siglas en alemán), la Oficina Federal para la Seguridad de la Técnica de la Información (BSI, por sus siglas en alemán) y otras agencias de seguridad federales y de los estados federados. Los resultados se evalúan en el CAZ y se procesan internamente. Además de las empresas afectadas, también otras empresas posiblemente afectadas por un ataque similar obtienen informaciones de forma anonimizada. Lardschneider: Además, cada vez hay más ataques que podrían denominarse como terrorismo cibernético. Seitner: Los ataques de este tipo van dirigidos principalmente a la infraestructura de abastecimiento. Por ejemplo, si se atacase a una sola central de cogeneración para un nuevo barrio, entonces el proveedor tal vez lo pueda compensar. Pero si varias centrales de cogeneración con el mismo sistema de control fueran atacadas y se produjera una parada de todas ellas, entonces esto si que podría ser relevante para el sistema. Lardschneider: Las empresas perciben los ataques contra su propio sistema como una auténtica declaración de guerra. Para las empresas está en juego más que su reputación. Sobre todo en la industria financiera, los clientes van a observar cada vez con más detenimiento cómo las empresas tratan sus informaciones y si las empresas ya han sido atacadas. No obstante, por otra parte a las empresas que gestionan informaciones confidenciales se les brinda una gran oportunidad porque, con medidas específicas y una cobertura de seguro apropiada, pueden conseguir ventajas respecto a otras empresas en el mercado. 10 Munich Re Topics Schadenspiegel 2/2014

13 CIBERRIESGOS Hochenrieder: Las empresas tienen que entender que no pueden proteger todo, especialmente porque los objetivos de los ataques y los métodos cambian constantemente. Por lo tanto, necesitan un concepto de seguridad escalonado para proteger los valores esenciales de manera efectiva. Aquí se tienen que sopesar exactamente los costes, los beneficios y los riesgos. Ello incluye también una cobertura de seguro a medida para los riesgos cibernéticos. Lardschneider: Cómo va a evolucionar el tema de los riesgos cibernéticos en los próximos años? Seitner: Puede que los conflictos militares se expandan más y más al ciberespacio, algo que tenemos que observar muy de cerca. También las empresas y las autoridades deben posicionarse mejor y crear una fuerte y amplia alianza de confianza. Sólo de esta manera se pueden detectar y prevenir más rápidamente los ataques electrónicos. Hochenrieder: Las empresas deben ser flexibles para hacer frente a la nueva situación. Todavía se pueden proteger, pero hará falta otra forma de pensar. Hasta ahora, siempre hemos tratado de construir muros altos. Pero como sabemos que ello ya no es suficiente hoy en día, nuestra nueva estrategia es un modelo de protección basado en el principio de las capas de la cebolla. La sensibilización del personal y de los administradores respecto a la seguridad de la información y los riesgos cibernéticos, así como la implementación de sistemas de alerta temprana pueden realizarse con bastante rapidez. Medidas como una segmentación más precisa de las redes, la protección de cuentas privilegiadas y la identificación, clasificación y el aseguramiento de las joyas de la corona requieren tiempo, a veces incluso hasta varios años. Precisamente por esta razón, las empresas deberían comenzar hoy e invertir al mismo tiempo en coberturas cibernéticas adecuadas para estar preparadas ante el futuro. Florian Seitner del Centro de Alianza contra Riesgos Cibernéticos (CAZ) de la Oficina Estatal de Baviera para la Protección de la Constitución. Munich Re Topics Schadenspiegel 2/

14 CIBERRIESGOS Siniestros cibernéticos un riesgo a tomar en serio Las redes digitales no sólo han cambiado radicalmente nuestra vida, sino también han traído consigo la ciberdelincuencia como nueva forma de delincuencia. Para la industria de seguros, ello ofrece una gran oportunidad a desarrollar nuevas soluciones y hacer su contribución social para conseguir más seguridad. Helga Munger Las infracciones de normas legales perpetradas a través de Internet con fines de lucro, por razones políticas o propósitos de espionaje, representan un grave riesgo. Debido al rápido desarrollo de las tecnologías digitales y al hecho de que, a menudo, es más fácil atacar un sistema que protegerlo, las filtraciones de datos o ataques de piratas informáticos son, hasta cierto punto, inevitables. Aunque puede ser que algunos aspectos de estos riesgos sean nuevos, un factor de riesgo importante y decisivo es bien conocido: el hombre. El ámbito de los seguros Se estima que el volumen de primas de seguro para los riesgos cibernéticos se eleva en 2014 a cerca de dos mil millones de dólares en todo el mundo. No es mucho en comparación con los costes de 445 mil millones de dólares, causados por la delincuencia cibernética. Teniendo en cuenta estas cifras, los problemas cibernéticos son de gran interés para muchas compañías de seguros. A medida que más y más empresas son conscientes de los riesgos y buscan soluciones para controlar y minimizar los costes de un ataque, este mercado promete un enorme potencial de crecimiento. Es verdad que no se trata de formas completamente nuevas de cobertura. Varias compañías de seguros ya han ganado en los últimos diez años mucha experiencia y conocimientos en este campo. Algunas fueron capaces de establecerse como proveedores flexibles. Han ido revisando sus servicios y ahora ofrecen seguros especializados adaptados a las necesidades específicas de sus clientes. Hay otras compañías que son nuevas en el mercado y enfocan su oferta a productos nicho. Aseguran los riesgos cibernéticos para aquellas industrias que ya conocen bien de otros ramos de seguros. En vista de los siniestros, en ambos enfoques es importante garantizar que la comunicación entre el departamento de siniestros y la suscripción funcione sin problemas. Las aseguradoras directas Hay muchas formas de perder datos. Los ataques de piratas informáticos, la introducción ilícita de software malicioso o sitios web y/o correos electrónicos manipulados figuran entre las violaciones de datos más comunes. y las reaseguradoras se benefician mucho cuando se abordan de forma rápida los problemas emergentes y se pueden ajustar los conceptos correspondientemente. Daños cibernéticos La evolución de la siniestralidad durante los últimos años muestra que los siniestros más conocidos, más espectaculares y más costosos siguen ocurriendo sobre todo pero no exclusivamente en los Estados Unidos. Algunos siniestros, como los recientes ataques de piratas informáticos al minorista Target o a a casa de subastas en línea ebay han atraído la atención pública por la extensa cobertura en los medios de comunicación. Cada vez más empresas están deliberando si serían capaces de responder a un ataque. 12 Munich Re Topics Schadenspiegel 2/2014

15 CIBERRIESGOS El alcance y la complejidad de los incidentes varían mucho. Van desde el ordenador portátil perdido hasta grandes filtraciones de datos, como hace poco en caso de Sony, TJX, Target y ebay. A menudo no son ni siquiera las propias víctimas las que descubren las violaciones. No pocas veces, las autoridades informan a las empresas de que se ha producido un ataque cibernético, o bien las mismas empresas se percatan de que se han realizado transacciones comerciales inusuales en las cuentas de sus clientes. Muchas de las espectaculares filtraciones de datos ya se han dado a conocer en los blogs antes de que la compañía afectada las hiciera público. Los ataques de malware son un problema no sólo para las grandes empresas minoristas, aunque si son un blanco lucrativo para los piratas cibernéticos. Las pequeñas y medianas empresas (PYME) también están en riesgo, como quedó demostrado por un incidente que afectó al asegurador británico Staysure Insurance. Staysure, un corredor de seguros especializado en seguros de viaje para personas mayores de 50 años, tuvo que ponerse en contacto con clientes después de un ataque. El asegurador asumió que los piratas informáticos podían haber robado números de código sensibles de las tarjetas de los asegurados. Afortunadamente, la compañía pudo declarar públicamente que el siniestro estaba cubierto por una póliza de seguro correspondiente. Esto permitió una tramitación efectiva de la violación de los datos y una rápida comunicación con todas las autoridades pertinentes. La mayoría de las víctimas se enteró del ataque a ebay sólo a través de los medios de comunicación. La propia empresa informó a sus usuarios sobre el ataque en su página web en una fecha posterior y pidió a 233 millones de clientes que cambiaran sus contraseñas. EBay hizo hincapié en que no se había robado ninguna información financiera. Sin embargo, tal vez sí que existían riesgos para aquellos clientes que utilizan la misma contraseña para diferentes servicios de Internet. Los datos robados eran de gran valor, ya que contenían direcciones, direcciones de correo electrónico, números de teléfono y fechas de nacimiento. Los riesgos, por tanto, no se limitaron a Internet, ya que muchos bancos ofrecen telebanca y utilizan la dirección y la fecha de nacimiento para la verificación de los datos. En el mundo analógico también se produjo una fuga de datos que se registró frente a la Autoridad de Protección de Datos del Reino Unido (ICO, por sus siglas en inglés): Se vendió un archivador que contenía sensibles documentos del Gobierno en una subasta de muebles de segunda mano. Hace poco se interpuso también una multa contra una autoridad policial, porque al mudarse a otro edificio se habían dejado actas sensibles sobre interrogatorios llevados a cabo así como información confidencial. A pesar de que este tipo de siniestros resultantes de unas filtraciones de datos aún es manejable, se puede sacar conclusiones de ello para hacer frente a las filtraciones de datos cibernéticas. Si hay un ataque llamado denegación de servicio que paraliza páginas web o servidores, entonces posiblemente los problemas sean difíciles de superar para una empresa pequeña. Volver a arrancar una página web junto con las posibles ventas en línea después de tales incidentes puede ser muy costoso y requiere mucho tiempo. Para corregir esta situación se puede recurrir a empresas especializadas en la protección de datos que ya ofrecen soluciones excelentes. Los servicios incluyen la limpieza de los datos y su relocalización en la página web correcta. Aunque ello significa una breve demora para el cliente, el servicio se mantiene y las pérdidas de ingresos y los costes de interrupción de negocio son limitados. Cada filtración de datos es diferente. Ataques profesionales Datos perdidos Piratería informática o malware Phishing o pharming Liberación intencionada de información (empleado, contratista) Fraude de tarjetas de pago Pérdida de medios de copia de seguridad Reubicación de equipos informáticos Eliminación inadecuada (papel, desechos electrónicos) Seguridad y control de acceso inadecuados Desventuras Datos de tarjetas no encriptados (código CVC) Uso simultáneo de los mismos datos de acceso Falta de actualizaciones del sistema Divulgación no intencionada de información Pérdida/robo de dispositivos móviles Robo de dispositivos estacionarios Transmisión de datos a los dispositivos de los empleados Munich Re Topics Schadenspiegel 2/

16 CIBERRIESGOS Condiciones marco legales De momento, la situación jurídica es compleja y confusa. En Europa, los esfuerzos por una armonización sobre la base de normas vinculantes para todos los Estados miembros avanzan sólo a paso de caracol (véase el artículo de Patrick Hill a partir de la pág. 16). También en EE.UU., donde se producen ciberataques espectaculares con mucha más frecuencia, la legislación de los respectivos estados federales no es homogénea. A menudo se define de manera diferente lo que se entiende por datos personales, y ello conduce luego a diferentes sentencias judiciales. Como resultado, aún se sostiene la opinión de que la pérdida de datos en sí no es una infracción, a menos que se hubieran acordado garantías especiales. Pero es probable que los demandantes seguirán intentando luchar contra este punto de vista. En la mayoría (aunque no en todos) de los estados federales de Estados Unidos, la notificación de una filtración de datos es obligatoria. No está tan claro cuándo se puede hablar de una filtración de datos. En 29 estados, por ejemplo, no existe ninguna obligatoriedad de notificación en el caso de datos personales cifrados. La divulgación de datos relacionados con la salud de una persona es considerada como algo muy delicado. Por lo tanto, su divulgación y publicación ilícita desencadenan sanciones particularmente rigurosas que están asociadas con elevados costes. Esto demuestra que las empresas deberían colaborar con proveedores de servicios experimentados y competentes que les ayuden a hacer frente a estos problemas complejos. La sensibilidad a los riesgos cibernéticos comienza en los despachos de la dirección La sensibilidad es un buen comienzo, pero es suficiente? En una reciente encuesta entre las 350 empresas más grandes que cotizan en la Bolsa de Londres, el 64 por ciento de los miembros de las Juntas Directivas y de los comités de auditoría indicaron que están tomando muy en serio los riesgos cibernéticos. En un principio, esto suena bien. Pero menos de la mitad de los CEO encuestados dijo que, según su opinión, los miembros de las Juntas Directivas eran lo suficientemente conscientes de las consecuencias que puede conllevar una filtración de datos. Muchos factores de los riesgos cibernéticos están directamente influenciados por las decisiones tomadas por los directivos. Esto incluye el tipo de gestión de una empresa, así como la selección de los socios de negocios y proveedores. Los riesgos se incrementan cuando se subcontratan a terceros para que realicen las tareas sensibles. También ya hubo reclamaciones contra altos directivos cuyo comportamiento podría haber dado lugar a una filtración de datos o podría haber agravado tal fuga de datos. Aún no se dispone de decisiones judiciales sobre estos casos conocidos públicamente, pero se debería seguir con atención la evolución de estos procesos. Desafío y oportunidad Como es natural, las aseguradoras directas y las reaseguradoras reciben avisos de siniestros debidos a la delincuencia cibernética sólo de aquellos clientes que han reconocido los riesgos y que están cubiertos. No cabe duda de que este grupo es más consciente de estos riesgos que otras personas. No obstante, todo parece indicar que en general aumentará la concienciación sobre los riesgos cibernéticos. Con miras a la mayor comprensión de estos riesgos, el sector asegurador puede realizar su contribución, ofreciendo conceptos de cobertura específicos y ayuda profesional. Además de una buena preparación para casos de emergencia y una mayor vigilancia frente a posibles ataques, también es crucial disponer de un equipo de profesionales para la gestión de la crisis. Este equipo debe estar formado por especialistas en seguridad informática que toman de inmediato las correspondientes medidas de actuación después de un ataque. En base a nuestra experiencia actual en materia de siniestros, el mensaje clave es el siguiente: Para limitar los gastos y los daños a la reputación después de un ataque cibernético, lo más importante es que el equipo de gestión de crisis reaccione adecuada y rápidamente. Como expertos en la gestión de riesgos, las aseguradoras pueden desempeñar un papel importante en el control de riesgos cibernéticos. Apoyan a sus clientes y, al mismo tiempo, se benefician de un mercado en pleno auge. NUESTRA EXPERTA: Helga Munger es asesora jurídica senior en el área Global Clients/ North America y se ocupa de siniestros de Casualty. hmunger@munichre.com 14 Munich Re Topics Schadenspiegel 2/2014

17 RECENSIÓN Employers Liability and Workers Compensation Ina Ebert En el estudio Employers Liability and Workers Compensation del Centro Europeo del Derecho de Seguros e Indemnizaciones (Ectil) de Viena, expertos de los respectivos mercados tratan el tema de la indemnización de los trabajadores por siniestros laborales en doce países: Alemania, Francia, Inglaterra, Italia, Dinamarca, los Países Bajos, Austria, Polonia, Rumanía, Australia, Japón y Estados Unidos. Se explican en detalle los diferentes modelos de solución nacionales responsabilidad civil patronal pura, combinación de la responsabilidad civil patronal y seguro de accidentes laborales, un desplazamiento (casi) completo de la indemnización de la ley de responsabilidad civil a sistemas de compensación alternativos y se elaboran las ventajas y las desventajas respectivas. En este contexto queda evidente la transformación de las tareas a realizar por cada una de estas formas de indemnización a los trabajadores: Al principio figuró en un primer plano la indemnización de trabajadores lesionados después de accidentes. Más tarde, la asistencia a trabajadores con enfermedades relacionadas con el trabajo ganó en importancia. Ello planteó una serie de nuevos problemas: de cuestiones de causalidad y prescripción en caso de siniestros a largo plazo (el mejor ejemplo: daños consecuenciales por amianto), pasando por las consecuencias de una insolvencia del empresario hasta la delimitación de los trastornos relacionados con el trabajo frente a otros trastornos psíquicos. Además, en los últimos tiempos se produce sobre todo en los EE.UU., pero también en Europa, la responsabilidad del patrono por discriminación, acoso psicológico y sexual. El libro es útil e interesante para todo aquél que se ocupa del seguro de riesgos en este conflicto de intereses entre el derecho laboral, la seguridad social y la ley de responsabilidad civil, a nivel nacional o incluso internacional. Ken Oliphant, Gerhard Wagner (Eds.): Employers Liability and Workers Compensation Editorial De Gruyter, Berlín/Boston 2012 Munich Re Topics Schadenspiegel 2/

18 CIBERRIESGOS Defender las fronteras digitales La preocupación por que se produzcan ataques cibernéticos induce a gobiernos y empresas a tomar medidas. Han puesto en marcha iniciativas y proyectos de ley en todo el mundo para proteger mejor los datos y la privacidad. Patrick Hill Asegurar el ciberespacio resulta difícil. La arquitectura de Internet tiene como objetivo principal facilitar las conexiones entre ordenadores y no blindarse. La consecuencia de esto la resumió el primer ministro británico, David Cameron: No podemos defender el Reino Unido en los acantilados blancos de Dover. Es por eso que quiere poner a disposición 1,1 mil millones de libras esterlinas para la lucha contra el enemigo invisible en el campo de la ciberdelincuencia y el ciberterrorismo. Ésta es la medida más reciente del gobierno británico en sus esfuerzos por mejorar la seguridad cibernética y proteger la infraestructura nacional crítica de los ataques cibernéticos. Anteriormente, el gobierno ya había puesto en marcha su iniciativa Cyber Essentials Scheme. Con este proyecto se quiere alentar a las empresas a que examinen con lupa su exposición frente a los riesgos cibernéticos y los reduzcan. En noviembre de 2014, tuvo lugar una cumbre con los CEO de la industria de seguros del Reino Unido, a la cual había invitado Francis Maude, el ministro responsable de la seguridad cibernética (UK Cyber Security Strategy). Se espera que el mercado del seguro cibernético crezca gracias a una cooperación más estrecha entre el gobierno británico y la industria aseguradora para mitigar los riesgos cibernéticos. El sector de los seguros está muy bien posicionado para avanzar en la gerencia de los ciberriesgos y para sensibilizar a los clientes, por ejemplo mediante preguntas concretas sobre sus directrices y procesos para riesgos operacionales y ataque a sus datos. Además, los asegurados obtienen asesoramiento y apoyo de expertos después de que les hayan robado sus datos. Los bancos abogan por un Consejo de Guerra Cibernética En EE.UU., el sector financiero teme que los sistemas quizá no puedan hacer frente a un ciberataque de gran escala a la infraestructura. Así, por ejemplo, un ataque a las redes de energía podría provocar la paralización del comercio en los mercados financieros, lo que, a su vez, podría dar lugar a un pánico masivo y a una avalancha a los bancos. Para protegerse de este riesgo, los principales bancos de Estados Unidos han sugerido la creación de un Consejo de Guerra Cibernética. Con esta retórica de una guerra cibernética se reconoce que las amenazas de Internet pueden tener las mismas consecuencias catastróficas que las amenazas físicas. En el futuro se verá si se puede mejorar de forma decisiva la seguridad a través de un Consejo de Guerra Cibernética. Pero con la iniciativa de las instituciones financieras, los riesgos del ciberespacio y la importancia de estrategias adecuadas para su defensa al menos se convierten en temas de interés público. Nueva directriz para la protección de datos en la UE También la Unión Europea (UE) toma muy en serio el tema de la seguridad cibernética. La Comisión prevé, por ejemplo, unificar la protección de datos dentro de la UE en una sola norma el Reglamento General de Protección de Datos. La Directiva en vigor ya no está al día. Allí no se consideran suficientemente aspectos importantes como la globalización y las innovaciones tecnológicas en los ámbitos de las redes sociales y la computación en la nube. El 25 de enero de 2012 se presentó una propuesta de Reglamento. 16 Munich Re Topics Schadenspiegel 2/2014

19 CIBERRIESGOS En octubre de 2013, el Parlamento Europeo aceptó formalmente un proyecto para nuevas directrices en materia de protección de datos, presentado por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE). El proyecto es un compromiso entre las propuestas de la Comisión y los cambios que fueron solicitados por el Parlamento Europeo y el Consejo de Ministros. Ahora el Consejo Europeo, en el que están representados todos los 28 Estados miembros, debe adoptar el Reglamento. Dado que el Consejo aún no se ha puesto de acuerdo sobre una posición común respecto a la reforma de la ley de protección de datos, es poco probable que la aprobación sea antes del comienzo de Está previsto que el Reglamento entre en vigor después de un período transitorio de dos años. Según las nuevas regulaciones, la ley de protección de datos de la UE se aplicará en el futuro también a todas las empresas en todo el mundo que procesan datos de ciudadanos de la UE. Está previsto armonizar las normas de protección de datos en toda la UE, facilitando así a las empresas no europeas el cumplimiento de tales disposiciones. Para ello se requieren regulaciones de cumplimiento estrictas y sanciones elevadas de hasta el dos por ciento del volumen de negocios anual global o un millón de euros. El Parlamento Europeo ha solicitado incluso sanciones de hasta diez millones de euros o el cinco por ciento del volumen de negocios anual global. Los cambios propuestos están relacionados con algunas dificultades prácticas. Para hacer cumplir las normas y controlarlas, la Comisión Europea y las autoridades locales de protección de datos necesitan recursos y facultades suficientes. Pero ya ahora faltan expertos en la protección de datos y conocimientos y, con la introducción de nuevas reglas, la situación podría empeorar. Además, se espera que las barreras lingüísticas puedan suponer problemas para las autoridades de protección de datos. Por lo tanto, el éxito del Reglamento General de Protección de Datos dependerá de si se ofrecen oportunidades de formación en el ámbito de la protección de datos y privacidad. Con 28 Estados individuales siempre existe el riesgo de diferentes interpretaciones de las normas, lo que podría dar lugar a divergencias en la protección de datos dentro de la UE. Por otra parte, dada la variedad de normas de seguridad y protección de datos existentes en la UE es de esperar que en algunos Estados miembros se produzcan cambios significativos. Aunque detrás del Reglamento General de Protección de Datos hay, sin duda, buena voluntad, todavía queda mucho por hacer antes de que pueda entrar en vigor en toda la UE. NUESTRO EXPERTO: Patrick Hill es socio del bufete londinense perteneciente al despacho de abogados internacional DAC Beachcroft LLP phill@dacbeachcroft.com Munich Re Topics Schadenspiegel 2/

20